写在前面的话 最近,在社交网络Twitter(遵循Twitter的漏洞奖励计划)的漏洞挖掘过程中,我发现了一个漏洞,允许攻击者冒充Twitter用户发送推文,攻击者在整个过程中根本不需要访问。目标用户的Twitter帐户。 注意:此漏洞于2017年2月26日发现,并于2017年2月28日修复。 漏洞报告参考:[Point I Get] 接下来,我们来看看此漏洞的技术细节。 介绍 这是Twitter网络上的服务之一,地址为https://ads.twitter.com/ 这是用户在发布推文时通常使用的多媒体库。它不仅允许用户上传多媒体文件(视频,图像或GIF动态图像),而且用户还可以查看以前上传的多媒体文件。访问链接如下: 1 https://ads.twitter.com/accounts/*id_of_your_account*/media 现在让我们开始分析。 技术分析 如果我们在浏览器中访问此库,我们将能够直接看到“上传多媒体文件”功能:
按下“下载媒体文件”按钮后,我们必须选择要操作的文件,如下图所示:
单击“上传图片”按钮后,界面如下:
现在我们将能够完成以下两件事: 我们可以发布我们自己的多媒体文件; 2.我们可以与任何用户共享多媒体文件; 好的,那么让我们好好看看Twitter提供的这个功能:
我们可以了解以下信息: Account_id:是用户的帐户ID Owner_id:图像所有者的ID User_id:推文将发送给用户。这是用户的ID。 Media_key:要发布的多媒体文件ID 以下是我在测试期间需要使用的标签: 帐号1:我的第一个帐户 帐号2:我的第二个帐户 由于我不记得从系统输出的错误语句,我将在这里调用这些错误消息:《错误No1》和《错误No2》。 测试 让我介绍一下我的漏洞测试步骤: 首先,我拦截了系统的推文发送请求,然后修改了参数owner_id和user_id。此请求最初使用POST方法发送。我将其修改为GET请求。数据用json封装,然后帐号No1的ID更改为2号帐号的ID,但这次我没有得到所需的结果。它正在接收系统返回的错误No1。 接下来,我打算只修改owner_id和user_id(POST请求),这次我收到了系统返回的错误No2。我记得的错误大致如下:《owner_id所对应的用户并非这个多媒体文件的真实所有者,这里应该是一个media_key*id被替换*》 所以,接下来我打算做以下事情: 我用2号帐号登录ads.twitter.com,进入多媒体库,并提前上传了我们对media_key了解的图像。 现在让我们回到No1:帐户 接下来,我们拦截推文的发送请求,然后在GET方法和POST方法中修改参数owner_id和user_id,并将信息修改为帐号No2和多媒体键media_key的相应数据。我们上传图片时已知media_key。的。但是这次我们得到了错误No1的结果,这是非常不幸的。但是,当我们在之前修改GET和POST方法中的owner_id和user_id参数时,系统仅返回错误No1。如果我们只替换POST请求中的owner_id和user_id参数,则会收到错误No2。 接下来,我们只修改POST方法中的owner_id,user_id和media_key,然后我们可以看到系统提示我们推文已成功发布!切换到第2号帐户后,我们可以看到我们已成功发布第2号帐户之前上传的图像,但我们必须知道所有这些操作都不是由我们通过第2号帐户执行的。 让来我们试试更难的 好的,现在我们可以伪造用户的身份来发布推文,但现在有更多的限制,这些限制将降低此漏洞的严重性。根据以上所述,发布推文的用户必须预先上传多媒体文件,并且攻击者还必须知道对应于该文件的media_key,但是使用暴力方法破解几乎不可能获得多媒体。键。 虽然现在有各种限制,但我个人认为这个漏洞可能会产生非常严重的影响。由于我们可以分享其他用户上传的多媒体文件,我突然想到了一个非常有趣的想法。如果我们与其他用户共享我们的多媒体文件,然后使用该用户的帐户发布推文,那么用户将被视为多媒体文件的所有者,系统将不会返回错误No2,并且可以成功发布推文。 为了成功利用此漏洞,我们需要获取多媒体文件的media_key,如果此文件的所有者是我们自己的,那么media_key不再是我们的问题。 攻击场景如下: 1.上传我们自己的多媒体文件; 2.与目标用户共享文件。此帐户是我们用于发布推文的帐户。 3.拦截推文的发送请求,并将POST方法中的owner_id和user_id修改为与目标帐户对应的数据。 4.接收系统返回的通知,提示推文已成功发送; 5.享受这个漏洞! 本文由原乘客安全部发布,作者:WisFree 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。