Search Suggest

Artikel
Bug Bounty
Beranda
Artikel
Bug Bounty

View Billing Information using IP Rotation

Hallo semuanya selamat datang pada artikel ke-empat di blog pribadi saya setelah lama tidak update writeup terbaru. Pada kesempatan kali ini izinkan saya untuk membagikan sebuah artikel temuan bug saya dengan severity kerentanan High pada private program dan target kali ini adalah aplikasi mobile.

Langsung saja kita masuk ke penjelasan singkat dari temuan bug.

Penjelasan singkat temuan bug

Jika mengalami pembatasan rate limit, sebaiknya jangan langsung mengabaikan target, akan tetapi mencoba untuk melewati (bypass) batasan tersebut. Rate limiting adalah strategi untuk mengontrol lalu lintas jaringan dengan membatasi frekuensi tindakan tertentu dalam jangka waktu tertentu. Contohnya, pembatasan ini dapat mencegah seseorang melakukan percobaan masuk ke akun dengan terlalu sering.

Pada kesempatan kali ini, penulis membahas tentang cara melewati (bypass) pembatasan rate limit menggunakan TOR untuk mendapatkan informasi pada shortlink yang sengaja dibuat oleh pengguna.

Pengenalan tools

Teknik yang akan dibahas dalam artikel ini melibatkan penggunaan TOR dan tmux untuk melakukan perubahan IP perdetiknya dan tools ffuf untuk melakukan fuzzing terkait target tersebut.
  • TOR (The Onion Router)
    Adalah sebuah jaringan privasi yang memungkinkan pengguna untuk menyembunyikan lokasi dan aktivitas online mereka. Ini dapat mengubah IP kita menjadi IP palsu yang berlokasi secara acak.
  • tmux
    tmux yaitu terminal/cmd yang memungkinkan untuk menjalankan perintah atau proses di latar belakang, mempertahankan sesi bahkan setelah keluar dari terminal atau kehilangan koneksi. 
  • ffuf (Fuzz Faster U Fool)
    Tools fuzzing yang berfungsi mengirimkan request ke server web dengan menentukan nilai parameter tertentu untuk mencari celah keamanan atau kelemahan pada aplikasi web.
  • waybackurls
    Tools yang digunakan untuk mengumpulkan URLs yang diketahui oleh Wayback Machine (Archives).

Affected target

Target kali ini adalah mobile aplikasi pada private program, dan meskipun saya tidak bisa menyebutkan nama target-nya, yang ter-penting kita dapat mengerti alur dari writeups/temuan ini. Kita sebut target aplikasi nya sebagai 'api.redacted.id'. Untuk tema dari target ini yaitu “Pinjaman Online”.

Dampak kerentanan

Bocornya informasi tagihan dari banyak user, merupakan pelanggaran privasi yang dapat merusak kepercayaan pengguna terhadap layanan redacted dan dapat menyebabkan user mencari alternatif lain yang lebih aman

Proof of Concept

Tools:
  • TOR (The Onion Router)
  • tmux
  • wybackurls
  • ffuf (Fuzz Faster U Fool)
Langkah-langkah:
  1. Pertama gunakan tools waybackurls untuk melihat history kunjungan dari aplikasi tersebut, seperti pada screenshoot.
  2. Kemudian tedapat endpoint shortlink seperti ini api.redacted.id/urlshortener/{kata-valid} yang berfungsi sebagai redirect ke suatu url redacted.id, termasuk informasi tagihan dan pada path terakhir saya lakukan fuzzing untuk menemukan kata yang valid.
  3. Ketika melakukan fuzzing pada pertengahan proses terdapat rate limit yang menyebabkan tidak bisa mendapatkan kata valid dengan banyak, seperti pada screenshoot dibawah.
  4. Selanjutnya setelah install tools TOR jangan lupa untuk melakukan konfigurasi agar socks nya berfungsi dengan mengaktifkan SocksPort 9050 dan SocksPolicy accept * pada file torrc.sample.
  5. Untuk melakukan cek apakah socks sudah berfungsi dengan melakukan perintah ini “curl --socks5-hostname localhost:9050 https://api.ipify.org/” berfungsi untuk membaca IP kita.
  6. Selanjutnya yaitu menggunakan tmux dan script perulangan simple menggunakan bash seperti dibawah, Skrip bash tersebut bertujuan untuk secara otomatis mengganti alamat IP yang digunakan oleh jaringan TOR dengan cara menjalankan ulang layanan TOR secara berulang setiap satu detik. Screenshoot dibawah menunjukan IP saya telah berubah setiap detik.
    tmux new -s tor
    while true; do pkill -HUP tor; sleep 1; done
    CTRL + B + D (keluar sesi tanpa menghentikan proses yang berjalan)
  7. Kemudian, saya melanjutkan fuzzing nya menggunakan ffuf menggunakan wordlist kbbi (Kamus Besar Bahasa Indonesia) karena rata rata pengguna aplikasi ini adalah orang Indonesia.


  8. Hanya dengan 1 wordlist saja, berhasil menemukan puluhan valid Informasi Tagihan dari pengguna lain, untuk saran wordlist yang lain bisa menggunakan wordlist nama orang indonesia, kata kerja, kata benda, nama + huruf dan lain nya.

Referensi

  • https://medium.com/@ibnu.rusdianto55/panduan-lengkap-mengenai-waybackurls-a6c8f6c1a619
  • https://infosecwriteups.com/bypass-rate-limit-request-fuzzing-etc-with-tor-3a285f3980d2
  • https://blog.intigriti.com/2021/05/03/hacker-tools-ffuf-fuzz-faster-u-fool-2/

Timeline

  • Report: 29 Maret 2024
  • Triage: 06 April 2024
  • Status: Unresolved
  • Reward: Rp x.xxx.xxx
Demikian writeup yang saya buat untuk kesempatan ini. Saya berharap writeup ini dapat memberikan manfaat dan motivasi bagi teman-teman bug hunter yang juga bekerja keras dalam mencari dan melaporkan bug pada sebuah sistem. Jika ada kekurangan atau kesalahan, saya sangat mengharapkan masukan dan kritik dari teman-teman bug hunter lainnya agar tulisan ini dapat lebih baik kedepannya.

Mahasiswa Sistem Informasi di Universitas Singaperbangsa Karawang, yang memiliki minat di Cyber ​​Security, Penetration Testing, Front-end Web Development. saya memiliki pengalaman dalam Web Pentest.

Posting Komentar