前言

最近開始嘗試打Bug Bounty和認真搞Web,沒時間碰Pwn惹QQ

有聽聞Line的bug bounty打得人少,但錢給蠻多的

所以理論上應該會比較好挖一點

雖然最後沒拿到錢啦QQ

不過有個Special Contributor

也挺潮的,值得紀念一下

漏洞詳情

大略來說,就是一個邏輯上的漏洞

但沒想到其它方法做進一步利用,只能達到類似釣魚、欺騙使用者的效果

剛剛檢查了一下,這個洞應該已經修掉了


簡單說,就是Line有個admin manager網頁 https://admin-official.line.me/

他是用來管理BOT、廣告帳號等的

左邊有個選單,可以建立宣傳頁面和調查功能

然後裡面有個地方很有趣

他讓你可以輸入Youtube網址

看到這個,我第一個反應是:踹SSRF

踹了一波之後,感覺沒啥用,就放棄惹

然後過幾天剛好遇到TUCTF

發現 這怎麼跟最後一題的情境那麼像XD

於是馬上來踹踹Command Injection

很可惜也失敗了

可是我發現一個有趣的事

原本正常網址大概是這樣:http://youtube.com/watch?v=mebzXfWi87E

可是如果我輸入以下這些網址,他也會抓到跟上面連結一樣的「預覽圖」!

1
2
3
4

http://0.com/watch?v=mebzXfWi87E
https://0.com.com/watch?v=mebzXfWi87E
https://0.com/watch?v=mebzXfWi87E
http://kaibro.tw/watch?v=mebzXfWi87E

但是以下這幾種不行:

1
2

https://com/watch?v=mebzXfWi87E
https://watch?v=mebzXfWi87E

所以,看到這裡我就猜測,他後端應該是用正規表達式之類的去抓

規則大概是這樣: http(s)://隨意.隨意/watch?v=影片id

然後他會把影片id抓出來,塞在影片預覽圖片的網址中,再顯示出來

https://img.youtube.com/vi/影片id/0.jpg


到這一步,我就想,這樣好像也沒啥可以利用的

他最後還是會去抓正常的影片預覽圖

給錯的id,一樣會說不合法

可是,我發現如果我輸入http://kaibro.tw/watch?v=mebzXfWi87E

他會抓到正確的https://img.youtube.com/vi/mebzXfWi87E/0.jpg

這裡都很OK

但提交這個宣傳頁面出去給使用者時

他這個影片的連結還是錯誤的連結:http://kaibro.tw/watch?v=mebzXfWi87E

但顯示出來的卻是正確的圖片

img

所以利用這點,我們就可以構造一個釣魚網站

讓別人以為自己點的是Youtube影片,實際上卻不是XDDD

因為想不到進一步可以利用的地方,就回報上去惹

不得不說,Line處理的時間真的很快

大概1, 2天就給了回應

只可惜沒$$ QQ

很廢的一個洞XDDD

原本目標年底前拿到人生第一筆Bug Bounty獎金

看來有點難實現惹XD

Update

我後來在他們修好之後,無聊又跑去踹

結果發現能繞過XD

繞過方式:http://kaibro.tw/www.youtube.com/watch?v=mebzXfWi87E

他會抓www.youtube.com/watch?v=mebzXfWi87E

然後判定為合法youtube網址

回報之後,現在已經修好了