挖洞經驗 | 價值$6500美金的Instagram發貼文字說明新增漏洞
大家好,我是Sarmad Hassan,今天我要和大家分享的是一個關於Instagram的漏洞,這個漏洞很有意思,我可以利用它來在其它Instagram使用者的發貼中新增描述,最終也獲得了Instagram官方$6500美金的獎勵。
漏洞端倪
Instagram為Facebook旗下的圖片視訊分享應用,為方便使用者的分享服務,Facebook中可以關聯登入Instagram。8月的一天,當我看到Facebook頁面中有一個可以管理 Instagram 應用的選項時(具體可 ofollow,noindex" target="_blank">檢視此處說明 ),我就突發奇想,想嘗試在Facebook網頁中來繞過Instagram的雙因素認證(2FA)機制。
於是,我想在Facebook網頁中進行測試,我先找到了Instagram選項按鈕,想用我之前老的Instagram賬戶進行登入,但不巧的是,我把密碼給忘記了。
由於在此之前我曾對Instagram網頁應用做過一些測試,為了方便新功能的提醒,我開啟了密碼登入記憶功能,所以接下平,我就直接在瀏覽器中輸入了Instagram網站 https://www.instagram.com/ 想看看我之前的賬戶是否存在。很好,竟然能登入進入:
這是我Instagram測試賬戶登入後的樣子,初看可能發現不了什麼異常,但仔細觀察我發現了其中有一個名為IGTV的選項,這是什麼呢?What is IGTV:
原來,IGTV是Instagram的一個新功能,它可以讓使用者觀看其他人建立的一些豎屏的長格式視訊(Vertical Video),具體功能說明 點此檢視 。從 Instagram的資訊中心簡介中,我對這個IGTV研究了好半天,最終我決定測試測試它。
首先,我自己建立了一個IGTV視訊,建立完成後,在BurpSuite的配合下,我點選視訊的編輯(Edit)選項操作,想看看其中存在些什麼傳輸引數,執行的POST請求如下:
POST /media/1887820989027383407/edit/ caption=test&publish_mode=igtv&title=test
分析以上請求,可以得到以下資訊:
1、其 media id號 為 1887820989027383407,它應該是我IGTV視訊的ID編號,之後,我查詢發現,Instagram對所有的使用者發貼(包括圖片、視訊和IGTV視訊),都是用這個 media id的ID號來標記的,這樣,也就是說,我可以在其他使用者的發貼中,檢查其中的原始碼來提取到其發貼media id號。如下:
2、另一種獲取media id號的方法還有,就是訪問其他使用者的發貼,在BurpSuite配合下,點選“贊”(Like),以此也可抓取到media ID號(文末的PoC驗證視訊中就是這種方式);
3、還有另外兩個引數:caption(說明) 和 title(標題);
4、當我們在Instagram網頁應用中建立任意圖片或視訊發貼時,Instagram都會詢問你是否要加上一段圖片或視訊說明,當然這是可選的,大多數人都不會填,直接留白。當然了,在IGTV視訊中,這裡的caption(說明)就代表了視訊說明的意思。
好了,有了以上基本的分析之後,接下來,我們來看看如何利用!
對於大多數Bug Hunter來說,肯定要圍繞這個media ID號來做點事情咯,可以把它改成其他使用者發貼的media ID號來試試,看看能不能騙過Instagram後臺系統,或者深入點說,能不能騙過Instagram,以其他使用者身份,在其他使用者的圖片視訊發貼中新增一段說明呢?
漏洞測試
我用我另外一個Instagram賬戶做Victim賬戶之後,經過測試,有了以下發現:
1、如果Victim賬戶發貼中未發說明描述文字,之後,當把我自己當前的media ID號用Victim賬戶發貼的media ID號替換後,我就能在caption引數中做手腳,在Victim賬戶發貼中新增說明描述文字;
2、這種新增說明描述文字的操作,適用於Instagram賬戶中的任何發貼,包括圖片、視訊和IGTV視訊發貼;
3、當然了,這隻限於針對一些有發貼檢視許可權的公開使用者;
奇怪的是,在以上的漏洞利用操作之後,響應訊息會返回一個名為“Oops an error occurred”的內部伺服器錯誤,但是,操作最終是有效的,具體可在文末的PoC視訊中檢視。
漏洞危害性
很多Instagram使用者,甚至是數百萬的Instagram使用者都是公開的;那麼,找到這些公開使用者之後,我們檢視他們的最近一次無說明描述的發貼,就可以偽裝其他使用者,用該漏洞來一波新增說明描述文字的惡意操作了;如果這個漏洞被壞人利用,那麼他們就會對那些Instagram中的大V人物下手,隨便新增一段描述說明,可能就會造成不小的輿論影響。
當然,可以想到的是,有很多在Instagram上的名人賬戶也會存在該漏洞影響,很多時候這些名人也會建立一些無描述說明的發貼,那麼,這個漏洞就有可利用的機會了。如下:
馬克·扎克伯格 ===> 460萬粉絲
賽琳娜·戈麥斯 ===> 1.4億粉絲
愛莉安娜·格蘭德 ====> 1.25億粉絲
碧昂絲 =====> 1.17億粉絲
金·卡戴珊 ===> 1.15億粉絲
梅西 ====> 9700萬粉絲
……
還有太多名流Instagram使用者就不一一羅列了,你可以想像利用這個漏洞製造的輿論風波多麼可怕,當然還可用於各大公司之間的惡意宣傳詆譭。
漏洞上報程序
由於Instagram屬Facebook旗下應用,之後,我迅速向Facebook安全團隊報告了這個漏洞,他們僅在一天內就修復了它。基於漏洞嚴重的危害性,Facebook向我獎勵$6500美元的獎金。
2018.8.6 漏洞初報
2018.8.14 漏洞分類
2018.8.15 漏洞修復
2018.8.15 修復確認
2018.10.10 $6500發放
PoC視訊
*參考來源: medium ,clouds編譯,轉載請註明來自FreeBuf.COM