暗号通貨関連の会社にハッキングして、60,000ドルを稼いだ方法

一般的に、ビットコインと暗号通貨は広く耳にされています。 私が暗号通貨に精通したのは約5ヶ月前で、それからビットコインとイーサリアムに投資し始めました。そのときの為替レートはbtcが1900ドル、etherが89ドルでした。 私が受け取った利益を理解するために、この記事の執筆時点では、ビットコインの費用は 18,100 ドルで、エーテルは830ドルであり、他の暗号通貨と一緒に軌道に乗り続けています。 暗号通貨の節約を維持するサービス、それらを取引する、または信頼して提供するサービスがどれほど安全であるかを見るのは素晴らしいことだと思いました。



春の終わりに戻って、私は1つの投資クラブのインサイダーに500ドルのアクセスを購入しました。 私は自分でもっとコインを買いました-これはエーテルとビットコインに加えて、8月末にトレーダーに毎月15％であなたにビットコインを与えることができるという勧告を受けました。それが私が信頼管理に携わっているサイトから旅を始めた理由です。



最初の会社であるexample1.com （Webサイトに関連付けられた名前を明かしていない）は、非常に人気があり、多くの投資家に知られています。 そこで投資する前に、アカウントの脆弱性をチェックすることにしました。 登録しましたが、驚くべきことに、何も見つかりませんでした。どこでもフィルタリングしたり、csrfトークンなどを見つけました。 次に、別のアカウントを登録しましたが、名前の代わりにスニファースクリプトを入力しました。 長い間私には何も来ていませんでしたが、プロジェクトがセキュリティでうまく機能しており、BLIND XSSなどはありませんでしたが、ログが到着するまで（ソースコード、管理IP、ローカルストレージなど）



管理者がadmin.example1.com/user/default/index?page=75の管理ページをチェックしているときにJSが実行されました。 同様の脆弱性は、 https： //hackerone.com/reports/251224のように、ますますハッカーで発見されています 。



ログを確認した後、httponlyフラグが設定されたすべてのCookieを取得できなかったことが動揺しました。その結果、管理パネルにアクセスできませんが、リンクadmin.example1.com/user/defaultをクリックすると/ index？page = 75 、その後、 管理者パネルが許可なく使用できることを確認しました -これは開発者の大失敗です。



合計で、 2010ユーザーに関する情報（電子メール、電話、ソーシャルネットワークへのリンク、ビットコインを引き出すためのウォレット、ログイン、残高、リファラー）を表示および変更できました。 クラブの最も裕福な投資家の1つであるスクリーンショットでは、多数の購読者がおり、私は常にブログをフォローしています。 彼は、彼のすべての加入者が、もちろん紹介リンクを通じてこのリモートコントロールにお金を投資することを推奨しましたが、資本の20％を超えないようにしました。 しばらくして、彼はこれで20ビットコインを獲得することができました。これは現在まで$ 360,000に相当します。







攻撃者は、準備や経験がなくても、管理パネルに簡単にログインし、すべての投資家のメールアドレスを自分のものに変更できます（または、何らかの理由で財布を引き出そうとしたときに被害者が不必要な疑いを起こさないように、単に引き出しのために財布を変更します）表示されます）。 投資家は非常に多く、多くは0.5btc以上の預金を持っています。 管理パネルでパスワードが明確に示されていないことは非常に奇妙です-

このリモートコントロールの開発者は、サービスのセキュリティを損なうという点で何でもできると感じています。



脆弱性が発見された後、開発者にレポートを送信し、開発者は作成者に連絡して脆弱性を排除しました...自分のアカウントのアカウントに報酬を請求するように申し出られました。％を受け取り、半年後に損益分岐点に行き、1年後に自分でそれを取ります体。 1か月後、私は彼らのサービスで同様のブラインドxssを見つけて、それに対するより多くの賞金を得たとき、リモートコントロールの開発者が解雇されたことがわかりました（そして、彼らはその時に仕事にお金を払っていなかったようです）、他の人々が開発に取り組み始めました。



少し後に、最初の推奨事項の後、2番目の推奨事項が提示されました（ example2.com ）。 これは、トップエンドの人気のある信頼管理サービスでもあり、最初の会社と同じように、alexarankは50,000未満です。



すべてを注意深くチェックした後 、投稿リクエストの2つのCSRFの脆弱性を除いて、何も見つかりませんでした（私のお気に入りのクリックジャックでも:)） 。 最初の方法では、資金を引き出すための詳細を変更できました。ユーザーはCSRFエクスプロイトへのリンクをクリックするだけでした。 2番目の方法では、ユーザーは既に変更された詳細にお金を引き出すことができました。 したがって、ユーザーが単にリンクをたどる場合、すべてのお金を失うことになります。 攻撃はどのように実行できますか？ 攻撃者はソーシャルエンジニアリングスペシャリストを雇い、参加者を電報で乗せて良い利益を得たかもしれません。



発見後すぐに、私はサイトの開発者に手紙を書き、クラブの友人にもオーナーに手紙を書くように頼みました。 ユーザーはリンクをたどる必要があるため、この脆弱性は絶対に危険ではないと言われました。 面白そうだった。 その後、バグにまだ注意を払う価値があり、すぐに修正する必要があるという証拠を添えて、さらに2、3通の手紙を書きましたが、残念ながら彼らは私を無視しました。



しばらくして、この種のプロジェクトでかなり予測可能なことが起こりました-ユーザーの詳細が一斉に変わり始めたのは、数日前に私に書いた開発者からわかりました（彼の言葉から理解したように、ユーザー自身が結論を出し、資金が消え始めました） 。 ハッカーが資金回収の脆弱性を悪用した場合の損失を想像するのは恐ろしいことです。 開発者はもう一度、脆弱性についてのレポートを送信するように要求しました。その後、詳細を変更するためにGoogle recaptchaとSMSによる確認がフォームに追加されました（確かに）。



その後、 暗号通貨交換の脆弱性を検索することにしました。



Poloniexには触れないことにしました。彼らは脆弱性の代価を払わず、そこに資本を保有していません。 セキュリティの問題を無視しているためです。2要素認証を回避する脆弱性がダークネットで販売されていたため、リンクはhttps://t.me/vulns/43です。





以前は、そこに私のアカウントに6,000ドルがありましたが、かなり偶然にモルドバのvpnから自分のアカウントに行きました。その結果、私のアカウントはすぐにブロックされました。 ロックを解除するのに半月待たなければなりませんでした。この事件の後、私はそこからすべてのお金を引き出しました。 多くのクライアントと同じように、彼らが自分でそれを受け入れなかったのは良いことです。



livecoin.netから始めることにしました 。 交換は十分に保護されていることが判明しました。影響の少ないSELF XSS脆弱性のみが見つかりました（サイト上でクリックジャッキングし、ポストリクエストでcsrfはそうではありません）。 PoCビデオ







それから彼はokex.comに行くことにしました 。 この交換は、中国だけでなく世界中で非常に人気があります。 一部の機能は英語に完全に翻訳されておらず、中国語になっていますが、これは問題になりませんでした。Google翻訳拡張機能により、ページを離れずにテキストをすばやく選択して翻訳できました。 他のすべての場合と同様に、サブドメインやディレクトリなどのセキュリティを慎重にチェックしました。 https://www.okcoin.com/（6000 alexa china）、 https： //www.okcoin.cn/（世界では9000、中国では2000）のデザインと機能は、okexとまったく同じであることが判明しました。 これは、あるサイトで脆弱性を見つけた場合、他のサイトも脆弱であることを意味します。 後でユーザーサポートサービス（シェルをチケットに埋めて実行する方法について少し想像してみました）を見て、多くの脆弱性を見つけました。それらについて以下で説明します。



1. iDORの脆弱性www.okex.com/question/questionDetail.do?workOrderId=2550で 、その時点で2500のすべてのokexチケットを表示できました。 現在までに、その数は4898に増えており、これらは交換のみのチケットです。 チケットには、完全な電話番号、電子メール、本名、ユーザーとサポート間の通信のテキスト、および添付ファイルへの完全なパスが表示されます。







後で判明したように、多くのユーザーは、サポートサービスの確認プロセスを経て、撤回制限を引き上げます。 パスポートにセルフィーを添付するか、パスポートの写真だけを添付する必要があります。

これらの写真の一部を次に示します（データは非表示です）













パスポートに加えて、デバイス画面の多くの写真とスクリーンショットも公開されています。







すべてのチケットのダウンロードを開始しました（この問題の重大性の証拠として使用されます）。 url /question/questionDetail.do?workOrderId=2550で1から2549まで起動およびインストールされたBurp Intruderを使用しました。 情報がロードされていないことがわかりました。 サポートに戻ってリクエストをインターセプトすることにしました。その瞬間、ページへの読み込みはget www.okex.com/v2/support/cs/work-order/2550/repliesを介して行われることがわかりました 。 私はこのリクエストを侵入者に投げ込み、すべてのチケットをダウンロードしました。これで、交換の開発者に自由に送信できるようになりました。



2. APIに保存されたXSS 。 私たちのjsは/question/questionDetail.do?workOrderId=2550チケット自体には表示されません。明らかに禁止されたキャラクターのフィルタリングがありました。 しかし、api / v2 / support / cs / work-order / 2550 /で、すべてが正常に動作しました-サードパーティのドメインからのjsでさえロードされました。

1つと2つの脆弱性を組み合わせると、多くのお金を盗むことができます。 攻撃は次のシナリオに従って進行することになっています。



1） Parsimのすべてのメールアドレス。

2）ページに、交換自体のフィッシングサイトへのjs / htmlリダイレクト（この場合、複数の交換があり、それぞれがフォームを作成する必要があります）、Myetherwallet、blockchain.infoなどを埋め込みます。



一部の職人は、poloniex.com / bittrex.com / blockchain.infoでログインとパスワードを入力した直後に、15秒ごとに被害者の2FAコードを要求しました（アカウントの入力、資金の引き出し）、2FA入力への応答短時間で期限切れになるため、非常に迅速に必要です。 したがって、 ユニコード文字を使用して、いくつかの文字、たとえばiをL（BlTTREX.com、POIONIEX.COm）に置き換え、 別のドメイン （たとえばpoloniex.com.ua）に交換機を登録し、 Androidアプリケーションを作成し、検索エンジンで広告を出します 。攻撃者は1年でユーザーから8000万ドル以上を盗むことができました。



3）ソーシャルエンジニアリングに精通している人と事前に合意した手紙の電子メールアドレスを送信します。 ユーザーはこの手紙を信じてリンクをたどる必要があります。これは、第三者のサイトではなく取引所につながるためです。



4） ??

5）エントリー用のデータを受け取り、資金を引き出します。

ビデオ内のこのXSSのPoC







3. iDORでコメントを追加する場合、チケットを作成したユーザーに代わってメッセージを追加できます。



簡単なリクエスト



POST /v2/support/cs/work-order/reply HTTP/1.1

Host: http://www.okcoin.com



workId=718&content=test_message







4.チケットに添付されていたが、ドメインbafangpublic.oss-cn-hangzhou.aliyuncs.comにあるhtmlファイルにXSSを保存しました。 ドメインは利用できなくなり、whoisはそれが杭州アリババ広告有限公司に属していると言います。



5.開示情報。 取引所の開発者は、アカウントをハッキングする際にユーザーの電話番号を隠したいことに気付きました。 セキュリティページでは、電話は636819 ****として表示され、Cookieでは6 * 6です。しかし、応答APIサポートサービス/ v2 / support / cs / work-order / 2550 / repliesでは完全に表示されますが、それはしません。



私が理解しているように、すべてのエクスチェンジには1人の所有者がいて、すべてを別々に書くのは意味がないので、チャットとメールエクスチェンジokexにレポートを送信しました。 Twitterの公式 okex アカウントから非常に迅速にメッセージを受け取り、脆弱性はすぐに修正されました。



次に、 example3.comのテストを開始しました。 取引所は脆弱性情報の開示を禁止しました、と私は引用します：

ブログへの投稿については、現時点でこれを行わないようにしてください。 私たちのサイトはまだ100％安全ではありません。悪意のあるユーザーに門戸を開くことを恐れています。

ウォレット、つまりアフィリエイトプログラム部門でXSSを見つけました。それが自己からcsrfに格納されたエクスプロイトに昇格することがわかりました。httponlyフラグが欠落しているため、Cookieを盗むことができました。 すでに録画したビデオを添付することができますが、悲しいかな、そこに交換の名前が表示されます。



彼女にとって、サポートサービスは100ドルを提供してくれましたが、ほぼ同時に、従業員のドメインからのログがスニファーに届きました。







ログにクッキーのみがありました



AWSELB=2B3B1851EC08CCFEEC18E2DB93AE1EF2A69A2A2F9D65DCC84AB785C7C7773319F1F769CCF35CA8F430D5785D5AE4AB2C48C46EE6BE8F33C293D40F3CCA9F92E38E62AA65



レポートを注意深く確認し、ソースコードに管理者のログインとパスワードを見つけました









しかし、認可ページに行ったとき、私はこれを見ました。







ログイン経由の管理パネル。 パスワードを取得できないため、Googleアカウントをハッキングして認証システムにアクセスするか、フィッシングサイトを管理パネルから直接リダイレクトし、コードを盗んですぐに入力する必要があります。 2番目のオプションは非常に実現可能です。



管理パネルでブラインドxssに関するレポートを書いているときに、次のこともわかりました。



1）アフィリエイト資金の引き出しの詳細を変更する際のCSRFの脆弱性、短いリクエスト：

 POST /affiliate_program HTTP/1.1 Host: www.example3.com wallet=my_wallet&act=wallet
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

セキュリティトークンはありません。エクスプロイトが作成されました。



2）注文の削除におけるiDOR、脆弱なリクエストexample3.com/account?act=cancel&order=ID_of_order。 この脆弱性の本質は、ユーザーが既に注文を作成していて、自分のビットコインをエクスチェンジウォレットに転送したい場合、このアクションをキャンセルできることです。 最良の場合、彼の注文は最悪の場合システムから単に削除されます-彼はビットコインを転送し、彼のお金を失います。 この脆弱性は、主に競合する交換にのみ有用であり、ハッカーには役立ちません。



サポートに関する新しいレポートを送信した後、最高セキュリティ責任者から脆弱性について話し合うよう連絡がありました。 彼らはSkypeや電話で私に電話したかったのですが、現時点では私の英語は平均的なレベルなので、チャットに制限することにしました。 脆弱性については、0.1 btc（$ 1130）が提供されました。

私たちの財政と相談した後、私たちの状況について、私たちはあなたに1000ドルを支払うことができます。 これは、バグに対して支払った最高額であり、通常支払う金額よりもはるかに高くなっています。 それはあなたへの感謝とあなたが状況に対処した方法を示すことです。

賞金に感謝します。 彼らはセキュリティに責任を負っています。CTOと話をして良かったです。



合計すると、これらの暗号通貨サイトでの脆弱性の検索から、次のことがわかりました。

信頼管理example1.com：1 btc 。

信頼管理example2.com：0.122 btc。

Livecoin.net交換：フィアットファンドで200ドル 。

Exchange okex.com：2 btc、脆弱性を公開することを許可されたCTO交換の報奨金に感謝します。

example3.comの交換： 0.1 btc

1 + 0.122 + 2 + 0.1 + $ 200 = $ 58,200そして、ビットコインの為替レートの成長に伴い、この金額は増加します。



記事からの結論：特に予算でこれを行うことができる場合は、プロジェクトの優秀なプログラマーを常に雇ってください。 最初の2つのケースでは、企業は十分に大きく、高品質のスペシャリストを雇う余裕がありますが、お金を節約でき、このためユーザーと評判が損なわれる可能性があります-管理パネルを完全に「裸」のままにして、セキュリティスペシャリストが指摘する問題を無視します



PS： gearbest.comの脆弱性を発見した方法に関する興味深い情報もあります。これにより、webmoney.ruの脆弱性だけでなく、任意のアカウントからログインとパスワードを見つけることができます（これについては管理者の許可がなければ話せません）これにより、3500万人のユーザーにjs / htmlでメッセージを送信することができましたが、これはまったく別の話です。 私の最新の記事に遅れずについていくために、私は電信 / twitter / vk、以下のリンクを購読することをお勧めします。