Статья Раскрытие аналитики у коротких ссылок или деанон goo.gl и bit.ly

Привет,

Иногда нам надо знать что находится “по ту сторону” короткой ссылки (да, там может быть что-то спрятано с полезной нагрузкой, а нам нужно быть готовым к этому). Для этого я рекомендую использовать hoper, он поможет пройти до последнего эндпоинта вашей (или не вашей) короткой ссылки по всем редиректам. Но часто бывает необходимо узнать и аналитику по коротким ссылкам.

Если добавить к ссылке у сервисов goo.gl и bit.ly "+" в конец URL, то можно попасть на страницу статистики, которая раскроет количество кликов, какие браузеры, локации откуда открывали ссылку.

Например, если короткая ссылка такая https://goo.gl/abcd1234, то это значит что аналитика по этой коротной ссылке будет доступна такими способами:

- https://goo.gl/abcd1234+
- https://goo.gl/abcd1234.info (deprecated, но иногда может работать)

А если http://bit.ly/abcd1234, то инфа по ней будет доступна вот так:

- http://bit.ly/abcd1234+

Потестить можете на примере ссылок, которые я сделал для URL https://codeby.net

1. https://goo.gl/9opaek --> https://goo.gl/9opaek+ (
   Ссылка скрыта от гостей
   )
2. http://bit.ly/2FIGx1T --> http://bit.ly/2FIGx1T+ (
   Ссылка скрыта от гостей
   )

А у сервиса bit.do нужно добавить «-» и тоже откроется страница со статистикой

http://bit.do/eM89D -> http://bit.do/eM89D- (

Ссылка скрыта от гостей

)

P.S. Вот интересная статистика, например,

Ссылка скрыта от гостей

вплоть до IP

 

[am29f010b]

Ссылки укороченные через toclick (@toclick_bot telegram) в конец дописать /stat, также будет статистика (кривова-то иногда работает).

Ссылка скрыта от гостей

запрос

Ссылка скрыта от гостей

 

[deadroot]

Кстати, пока тестил другие сервисы и искал что да как у них, нарвался на https://tiny.cc/ и нашел хранимую XSS

1. Попробуем создать короткую ссылку https://gyazo.com/d47a8f33a392958767e74a11ee995c3e. Для https://codeby.net у меня получилась https://tiny.cc/kx9o4y=
2. У ссылки есть preview без автоматического перехода по ссылку, которое доступно если дописать "=" в конец строки и тогда ссылка будет выглядеть вот так: https://tiny.cc/kx9o4y=. Но тут видно что ссылка, по которой мы перейдем просто находится в textarea
   
   
3. Окей, попробуем добавить к ссылке символов различныз (if_you_know_what_i_mean.png).
4. Я засуну свой любимый вектор к новой ссылке <!'/*!"/*!//'/*//"/*--!><Input/Autofocus/%0D*/Onfocus=confirm`1`//><Svg>, чтобы получилось https://codeby.net/<!'/*!"/*!//'/*//"/*--!><Input/Autofocus/%0D*/Onfocus=confirm`1`//><Svg>.
5. Но сработало в другом месте xD Тоже прокатит
   
   
6. XSS вот тут
   Ссылка скрыта от гостей
   https://tiny.cc/dobp4y=

 

[deadroot]

Так же можно узнать количество открытий у ссылок ow.ly, owl.li, ht.ly, htl.li (как как сервис то один).
Но увы, правда, только количество переходов (как минимум в бесплатном аккаунте без импорта)

1. Авторизуемся в сервисе https://hootsuite.com
2. Переходим поссылке https://hootsuite.com/dashboard#/analytics/quick?id=2 (просто так ее уже не найти)
3. Вставляем ссылку, найденную на просторе интернетов и нам откроется такая картина
   
   
   
   (взято из твита "Michigan medical practice folds after ransomware attack" l
   Ссылка скрыта от гостей
   )

И если смотреть в сторону XSS, то на bit.do тоже работает

POC: http://bit.do/eNmHm-