Наткнулся на сайт мошенников. Whatsapp + socket.io (websocket). Как?

[IvanPetrov]

Пришел спам в whatsapp. Решил разобраться в нем.
«Проголосуй за Лену, пожалуйста»
Зашел, начал в Burp смотреть запросы, думаю, сейчас на дельфи быстренько накидаю прогу для создания 1000 запросов, посмотрим как отреагируют.

Не тут то было. Используют socket.io (websocket). Ладно, думаю, найду компоненту или хотя бы самые примитивные запросы и так как-нибудь сделаю.
Но сперва надо в Burp Repeater повторить эти запросы. Но тут затык. Не хочет почему-то.

Получаем sid

Скопировать в буфер обмена

GET /socket.io/?EIO=4&transport=polling&t=OjtG5Yw HTTP/2
Host: ritechcnc.com
Cookie: Auth=79d3098cafa6170856b57f94d72acd1e
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://ritechcnc.com/ffm9/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

Скопировать в буфер обмена

HTTP/2 200 OK
Date: Sat, 28 Oct 2023 17:06:41 GMT
Content-Type: text/plain; charset=UTF-8
Content-Length: 118
Access-Control-Allow-Origin: http://localhost:5173
Vary: Origin
Server: stormwall

0{"sid":"z0G77OByE-6DM-8YAACe","upgrades":["websocket"],"pingInterval":25000,"pingTimeout":20000,"maxPayload":1000000}

Он используется для получения коннекта к вебсокету

Скопировать в буфер обмена

GET /socket.io/?EIO=4&transport=websocket&sid=RRQs5mJyHk7YQpnVAABB HTTP/1.1
Host: ritechcnc.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Sec-WebSocket-Version: 13
Origin: https://ritechcnc.com
Sec-WebSocket-Key: h8TwzisROXvZHtN2gZyONg==
Connection: keep-alive, Upgrade
Cookie: Auth=79d3098cafa6170856b57f94d72acd1e
Sec-Fetch-Dest: websocket
Sec-Fetch-Mode: websocket
Sec-Fetch-Site: same-origin
Pragma: no-cache
Cache-Control: no-cache
Upgrade: websocket

Скопировать в буфер обмена

HTTP/1.1 101 Switching Protocols
Date: Sat, 28 Oct 2023 17:06:41 GMT
Connection: upgrade
upgrade: websocket
sec-websocket-accept: vC2yOeQ4g3raY7Wyl+onwbybGmI=
access-control-allow-origin: http://localhost:5173
vary: Origin
Server: stormwall

Я получил последовательность в Burp запросов:

Первый отправляю - сервер отвечает. Тут ОК. А потом всё, не реагирует и отключается.

Давай-те разберемся? )
Страница:

 

[X-Shar]

Мошенничество заключается в том-что у ватсапа есть фишка "Связанные устройства", введя специальный код на своём устройстве, ты можешь авторизоваться на другом устройстве...

Короче при попытке проголосовать, будет какая-то такая штука:

Введя этот код, ты дашь доступ злоумышленнику на свой аккаунт.)

Странный функционал, в общем-то похоже на дыру в безопасности...

А так ты этими запросами скорей-всего ничего не добьешься, связь с ватцап скорей-всего на стороне сервера, а на стороне клиента просто коннект с вебсокетом.

Но это не точно...

 

[X-Shar]

Если интересно как...

То у ватсапа скорей-всего есть АПИ, вот в сторону этого рекомендую посмотреть, а не реверсить протокол.
Это наверняка открыто и проще.)

 

[IvanPetrov]

Так в том и дело, что соединение ватсап и того сервера идет, а я лишь получаю копию того, что отдает ватсап им. Моя задача была создать таких 1000 попыток подключения другого устройства за короткое время (потоков 50), чтоб ватсап отреагировал на флуд подобных запросов с 1 ip хотя бы

 

[IvanPetrov]

Последовательность запрос-ответов я несколько раз проверил, по времени глянул - вроде все правильно, но не прошел дальше первого запроса. Может между первым и вторым запросом времени много проходит, т.к. я руками их провожу в Burp

 

[X-Shar]

Так в том и дело, что соединение ватсап и того сервера идет, а я лишь получаю копию того, что отдает ватсап им. Моя задача была создать таких 1000 попыток подключения другого устройства за короткое время (потоков 50), чтоб ватсап отреагировал на флуд подобных запросов с 1 ip хотя бы

Как-то заморочно, не проще наябиднячить провайдеру и всё.)

 

[X-Shar]

К тому-же коннект может быть через прокси, или вообще не сработает такое подход.

 

[IvanPetrov]

Я так понял, это новая мошенническая схема от наших соседей из UA. Немного погуглил, да и так, прислали звуковое в ватсап, что ребята даже не особо скрываются.

 

[IvanPetrov]

К тому-же коннект может быть через прокси, или вообще не сработает такое подход.

может через прокси, но я тогда 100 потоков запущу с vps и оставлю на сутки, никаких прокси не хватит

 

[X-Shar]

Ну в целом умно, кто незнает, те поведутся.

Тут вопрос к ватсап, почему таким не хитрым образом можно аккаунт угнать.