看我如何hack BlackHat：使用BCard API枚舉註冊與會者

BlackHat是世界上最大的網路安全活動之一，每年夏天都會在美國拉斯維加斯舉行。那些參加 BlackHat 的人可能已經注意到他們的徽章包含 NFC 標籤。此 NFC 標籤在商務大廳的展位進行掃描，因此供應商可以收集他們的營銷數據，包括姓名，地址，公司，職位和電話號碼。在 BlackHat 之後，各個供應商掃描過徽章的與會者會收到一連串的營銷電子郵件。我最初沒有意識到的一件事是數據實際包含在標籤內部。

今年在 BlackHat 的培訓期間，我對徽章和掛繩在培訓中在我的脖子上發出噪音感到沮喪，所以我將它取下並放在我旁邊的桌子上。後來我將手機放在上面並看到了通知，以便閱讀 NFC 標籤。出於好奇，我下載了一個標籤閱讀器應用程序，查看了我的標籤上存儲的數據並做了一些觀察：

在查看上面的數據後，我遇到了一些問題：供應商如何獲取我的電子郵件地址的？我的所有數據都存儲在卡上，只有部分數據是加密的嗎？是否有可用於提取其餘數據的 API？幾天後，我決定重新訪問並下載了 BCard APK。我使用 Jadx 工具將 APK 反編譯為 Java 源碼，並開始在輸出中搜索任何潛在的 API 端點。

（1）./jadx-gui ~/Desktop/bcard.apk（2）grep -R "http.*://"

接下來，我做了一些數學計算，以確定能夠暴力枚舉所有 BlackHat 與會者的可行性。在 0-100000 和 000000-100000 上嘗試了幾百個請求並且沒有收到有效的徽章後，我確定那些可能不會是有效的 ID 範圍。然後我們可以假設有效 ID 是 100000-999999。這給我們留下了 900,000 個請求。估計有 18,000 名 BlackHat 與會者，我們可以假設我們將在大約 2％的請求中枚舉有效的 badgeID。

我們能夠強制改變訪問 API 的速度意味著我們可以在大約 6 個小時內成功收集所有 BlackHat 2018 註冊與會者的姓名，電子郵件地址，公司名稱，電話號碼和地址。

在成功證明這個概念之後，我開始了漏洞披露過程。ITN 團隊最初很難與他們聯繫，因為他們沒有 security@ 或者 abuse@電子郵件地址，但是一旦我能夠與合適的人聯繫，他們就非常有禮貌，專業和敏感。此外，他們在初次接觸後的 24 小時內解決了此問題。

披露時間表

2018 年 8 月 9 日 - 通過電子郵件發送 security@電子郵件地址並收到退回回復。

2018 年 8 月 9 日 - 在 LinkedIn 上向首席運營官發送了一條消息。

2018 年 8 月 12 日 - 在 LinkedIn 上向系統管理員發送了一條消息，並在當晚晚些時候收到了 IT 主管的回復。我們交換了一些電子郵件，詳細說明了這個問題，我被告知他們將在星期一討論這個問題。

2018 年 8 月 13 日 - 我被告知 API 已被禁用，因為它是一個遺留系統。重新測試 API 後，我無法提取任何 BlackHat 與會者記錄。

*參考來源：ninja.style，生如夏花編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！