挖洞经验 | 通过谷歌广告越权获取Youtube私享视频图像帧

访客4年前黑客工具1079

本文通过谷歌广告中的视频 *** 功能,作者发现了Youtube私享(Private)视频图像帧的越权获取漏洞,利用该漏洞可以获取知晓视频ID号的任意Youtube私享(Private)视频的所有图像帧,从而可完整拼凑出整个视频图像信息。漏洞最终获得了谷歌官方$5k的奖励。

漏洞测试

2019年底的时候,我参与了YouTube的漏洞众测,在此过程中我尝试去测试对他人未授权视频的获取。当用户上传视频到YouTube时,可以对上传视频选择三种隐私权限。公开(Public)-即任何人可以发现并观看该视频;不公开(Unlisted)-只有知晓该视频ID或URL链接的用户才能观看该视频;私享(Private)-只有上传者自己或是其他授权者才能观看该视频。

首先,我用我的第二个Youtube账户进行了视频上传,并把该视频权限设置为私享(Private),然后以该视频为对象进行测试。如果我用我另一个Youtube账户获取到该视频,那么,漏洞就存在了。

然后,我登录了我的之一个Youtube账户,对上传视频流程相关的功能进行了反复测试,之后,我发现了一个包含视频ID(video ID)HTTP请求,此时我的直观思路就是能否把该视频ID替换成另一个账户中上传的私享视频ID,这样看看会有什么反应?但一番操作后完全不行。Youtube主站点会对请求中的视频执行权限检查,因此,最后的响应一直返回'This video is private'。

因此,这里需要转变一下思路。可以这样想想,看看是否有其它产品/服务是否会从内部去调用YouTube视频,或者说与YouTube上传的视频有交互关系。如果有,那么在其中的机制中可能会有一些脆弱性环节。之后,我发现了一个有意思的服务平台-Google Ads(谷歌广告),广告商可以通过该平台使用包括YouTube在内的等多种谷歌服务来创建广告页面。

漏洞线索发现

接下来,我就创建了一个Google Ads(谷歌广告)账户,它将播放我的一个视频,作为YouTube用户的可跳过广告。在该广告的 *** 过程当中,我还是用之前上传的私享视频做为测试目标,但是几经尝试,还是没能发现可利用的线索。广告 *** 完成后,我看了一下Google Ads的各种功能,发现它当中的功能非常全面,为此我着重看了一下它其中与YouTube相当的功能。

Google Ads中有一个叫Videos的页面,从中可以看到广告用到的相关视频列表。当点击其中的某个视频时,会打开一个针对该视频的特定分析(Analytics )功能。广告 *** 者可以通过该分析功能中内嵌的播放器、数据和一个叫Moments(片刻)的有意思功能,了解广告视频的点击情况,并可通过其Moments(片刻)功能标记视频,设置某些广告Logo的出现时间等。

当我标记视频的时候,从burp抓包流量中发现了以下包含视频ID的请求包:

POST /aw_video/_/rpc/VideoMomentService/GetThumbnails HTTP/1.1
Host: ads.google.com
User-Agent: Internet-Explorer-6
Cookie: [redacted]

__ar=

在__ar参数中,1的参数值为视频ID,2的参数值为标记时间的毫秒时间。该请求的响应为广告视频中标记时刻的缩略图base64编码。这里,我想到的当然是把该POST请求中的视频ID替换我之前另一个Youtube账户中上传的,权限为私享(Private)的视频的ID。果然,让我吃惊的是,这种视频ID替换之后,竟然能成功返回相关视频的base64编码!我赶紧在谷歌上查找“base64 to image”工具,通过一个相关工具,我成功地获取了我另一个Youtube账户中上传的私享(Private)视频缩略图!哈哈,成功了!这是一个典型的IDOR越权漏洞,可以通过该漏洞利用获取Youtube上任意私享(Private)视频的任意图像帧,当然最终也能完全拼凑出一个完整的视频来!

好吧,现在的漏洞利用只能对单独的图像帧进行获取,能否获取更多的东西呢?之后,我决定通过Python脚本来进行更多图像帧获取。假如目标视频的每秒传输帧数为24FPS,那么每个图像帧驻屏时间为33毫秒。那么,这样我就能从0毫秒进行获取,通过33毫秒的间隔图像帧获取,就能获取到完整的目标视频了。我快速地编写了一个POC脚本,下载了目标视频中前3秒图像,经解码还原,与目标测试视频完全相同。

该漏洞隐患确实严重,但还是存在以下利用限制:

1、必须知晓目标私享视频的视频ID号,不过在大量数据泄露中,该漏洞也许就能派上用场了;
2、只能获取到目标私享视频的图像信息,不能获取到其中的音频信息;
3、获取到的目标私享视频图像信息分辨率较低,但也不影响观看。

经验总结

当在测试中碰壁时,可以转变思路,看看周边产品或服务是否与当前系统有交互调用;认真细致地去了解目标系统或应用的功能特性,尽量多的去测试一些相关功能,不要放过任何可执行操作。意外总会发生在大多数人想像不到的地方。

漏洞上报和处理进程

2019.12.11 - 漏洞上报
2019.12.11 - 漏洞分类
2019.12.20 - 漏洞接收(P4 -> P1)
2020.1.8 ? ? - 漏洞‘片刻’Moments功能修复
2020.1.17 ? - 漏洞奖励$5000发放

参考来源:xdavidhu,编译整理:clouds,转载请注明来自Freebuf.com

相关文章

什么是八卦(八卦包括哪些)

什么是八卦(八卦包括哪些)

八卦,是我国古代的一套有象征意义的符号。八卦的最基本的单位是”爻",多是记述日影变化的专门符号。“爻”有阴阳两类,用“-”代表阳,用“--”代表阴,“阳爻”表示阳光,“阴爻”表示月光,每卦有三爻,三爻...

骇客与黑客的区别(黑客与骇客有何区别?)

骇客与黑客的区别(黑客与骇客有何区别?)

本文导读目录: 1、红客、骇客、黑客的区别? 2、骇客和黑客有什么不同?不同在那里? 3、红客,骇客,黑客他们具体有什么不同? 4、骇客与黑客的区别 5、黑客 骇客 极客 都有什么区别...

文明节俭过双节 和总倪志福追悼会书记一起对浪费说“不”!

  联播+一粥一饭,当思来处不易;半丝半缕,恒念物力维艰。古往今来,勤俭节约是中华民族的传统美德。   今年8月,习近平总书记对制止餐饮浪费行为作出重要指示,要求“进一步加强宣传教育,切实培养节约习...

北美洲印第安人是什么人种(美洲土著人是什么人种)

  文章正文/余贤文   谈起印地安人,许多年青人总是会在影视制作界面里把她们和美国西海岸的“土著人”联络在一起。可是,欧洲人事实上是什么样的人呢?   印地安人是英国最开始的原住民中华民族。麦哲伦抵...

学习黑客的书籍(黑客自学书籍)

学习黑客的书籍(黑客自学书籍)

本文目录一览: 1、刚入门的黑客学那本黑客书较好? 2、黑客新手入门应该学习哪些书籍? 3、谁能推荐好的几本黑客入门的书籍啊,我只是对这个有点好奇,不拿来做坏事,平时没事的时候当个爱好学学...

手机号码查个人信息_太原黑客联系方式急-找黑客帮忙调查账户

「手机号码查个人信息_太原黑客联系方式急-找黑客帮忙调查账户」Applications-->BackTrack-->Information Gathing-->Web Applica...