Игры с инстой

Вы же наверняка помните, что я говорил про баг в инсте. Он невероятно банальный и до чёртиков простой. Но много кто допускает возможность эксплуатации этого бага в своих сервисах. Не исключением стал и инстаграм.

Баг заключается в том, что можно заспамить сообщениями и телефон (зная номер телефона), и почту (зная логин/ник аккаунта) любого пользователя и в любых количествах! Я так симку себе убил) В общем то говоря это банальная race condition, но здесь я распишу для всех пошагово как ее можно эксплуатировать в подобных случаях.

Итак, переходим в инсту и нажимаем "forgot password". Вводим в соответствующее поле логин/почту/номер телефона и, нажимая кнопку "send login link", перехватываем запрос в burp suite pro (потому что только там работает интрудер в многопоточности). Крякнутого бёрпа и туториалов по его установке в интернете навалом. Может быть позже залью статью об этом на канал.

Нажав правой клавишей мыши на наш реквест, отправляем его в интрудер, где во вкладке Positions жмём Clear.

Во вкладке Payloads выставляем null payloads и генерацию поставим 100 пейлоадов.

Во вкладке options устанавливаем количество потоков по количеству пейлоадов для того, чтоб все пейлоады улетели одновременно и нажимаем Start Attack, как на скрине выше.

Наслаждаемся результатом))

После того, как порадовались результатом, не забываем приглашать людишек на канал t.me/api_0 и задавать вопросы в чате канала t.me/api_00 или мне в лс t.me/areafishing