前言
最近開始嘗試打Bug Bounty和認真搞Web,沒時間碰Pwn惹QQ
有聽聞Line的bug bounty打得人少,但錢給蠻多的
所以理論上應該會比較好挖一點
雖然最後沒拿到錢啦QQ
不過有個Special Contributor
也挺潮的,值得紀念一下
漏洞詳情
大略來說,就是一個邏輯上的漏洞
但沒想到其它方法做進一步利用,只能達到類似釣魚、欺騙使用者的效果
剛剛檢查了一下,這個洞應該已經修掉了
簡單說,就是Line有個admin manager網頁 https://admin-official.line.me/
他是用來管理BOT、廣告帳號等的
左邊有個選單,可以建立宣傳頁面和調查功能
然後裡面有個地方很有趣
他讓你可以輸入Youtube網址
看到這個,我第一個反應是:踹SSRF
踹了一波之後,感覺沒啥用,就放棄惹
然後過幾天剛好遇到TUCTF
發現 這怎麼跟最後一題的情境那麼像XD
於是馬上來踹踹Command Injection
很可惜也失敗了
可是我發現一個有趣的事
原本正常網址大概是這樣:http://youtube.com/watch?v=mebzXfWi87E
可是如果我輸入以下這些網址,他也會抓到跟上面連結一樣的「預覽圖」!
|
|
但是以下這幾種不行:
|
|
所以,看到這裡我就猜測,他後端應該是用正規表達式之類的去抓
規則大概是這樣: http(s)://隨意.隨意/watch?v=影片id
然後他會把影片id抓出來,塞在影片預覽圖片的網址中,再顯示出來
https://img.youtube.com/vi/影片id/0.jpg
到這一步,我就想,這樣好像也沒啥可以利用的
他最後還是會去抓正常的影片預覽圖
給錯的id,一樣會說不合法
可是,我發現如果我輸入http://kaibro.tw/watch?v=mebzXfWi87E
他會抓到正確的https://img.youtube.com/vi/mebzXfWi87E/0.jpg
這裡都很OK
但提交這個宣傳頁面出去給使用者時
他這個影片的連結還是錯誤的連結:http://kaibro.tw/watch?v=mebzXfWi87E
但顯示出來的卻是正確的圖片
所以利用這點,我們就可以構造一個釣魚網站
讓別人以為自己點的是Youtube影片,實際上卻不是XDDD
因為想不到進一步可以利用的地方,就回報上去惹
不得不說,Line處理的時間真的很快
大概1, 2天就給了回應
只可惜沒$$ QQ
很廢的一個洞XDDD
原本目標年底前拿到人生第一筆Bug Bounty獎金
看來有點難實現惹XD
Update
我後來在他們修好之後,無聊又跑去踹
結果發現能繞過XD
繞過方式:http://kaibro.tw/www.youtube.com/watch?v=mebzXfWi87E
他會抓www.youtube.com/watch?v=mebzXfWi87E
然後判定為合法youtube網址
回報之後,現在已經修好了