用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    230

    主题

    230

    帖子

    1951

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2020-1-7 18:20:35 01442

    22.jpg

    大家好!这是我第一次写关于漏洞悬赏的文章。我从2019年7月22日开始加入大量漏洞悬赏项目,想和大家分享我发现的所有漏洞。

    关于项目的选择方面,我基本都选择范围较大的目标,因为我不太关心奖励高低,只是想锻炼自己。最后我选择了索尼。

    让我们先从子域枚举开始。首先,我使用了网站crt.sh,并使用以下代码来查找可能的子域。

    crt.sh是一款证书搜索工具,你可以借用通配符对某个域名进行范围搜索,并根据其相关的一系列时间判定其有效性。

    33.png

    %my%.sony.net
    %jira%.sony.net
    %jenkins%.sony.net
    %test%.sony.net
    %staging%.sony.net
    %corp%.sony.net
    %api%.sony.net
    %ws%.sony.net
    %.%.%.sony.net
    

    我也会插入某些随机字母进行查询:

    %p%.sony.net
    %i%.sony.net
    %ff%.sony.net
    %co%.sony.net
    

    44.png

    很快我便找到了可疑的目标(ppf.sony.net)。然后,我用assetfinder和tomnomnom的httprobe进行子域枚举,成功发现了一个深度子域,也就是我们的目标authtry.dev2.sandbox.dev.ppf.sony.net

    assetfinder -subs-only ppf.sony.net | httprobe
    

    55.png

    assetfinder是一款子域名遍历工具,它可从多个公开的数据源中提取出相关域名的资产。

    66.png

    httprobe可判定域名是工作在http还是https上(或者两者都有),这也可用于判定域名的有效性。

    77.png

    最后,我使用dirsearch对目录进行爆破,如果如下:

    dirsearch.py -u “authtry.dev2.sandbox.dev.ppf.sony.net” -e html,json,php -x 403,500 -t 50
    

    88.png

    从上图中你可以看到一个/phpinfo.php,这是一个明显的信息泄露,我据此提交了另一份报告。

    当我访问index.php时,得到的页面如下。

    99.png

    很明显该页面可以接受参数输入,很可能和at以及code有关,我直接插入XSS的payload在页面上,反应如下:

    我最常用的<img onerror=”{alert`1`}” src>
    

    100.png

    我相信任何安全研究人员一旦看到这个页面都能摸索出利用方法,但前提是能找到该域名。

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3818.html
    来源:https://medium.com/@gguzelkokar.mdbf15/xss-on-sony-subdomain-feddaea8f5ac
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册