【漏洞简述】得到某个功能点可以一次性查询员工的部分同事敏感信息，并利用技巧获得几乎全部敏感信息，提升危害使其最终变成高危

00x0 前言

之前因为XSS在这个Bugcrowd厂商中很难挖到，尤其在主站挖到两个XSS都重复了，决定还是随机应变找找其他漏洞类型

00x1 正题

1.经过以下命令，初步判断域名情况（后加-all可以得到更多的子域）

subfinder -d xxxx.com | httpx -sc -title | tee xxx.subs.txt

2.测试看似有戏的域名无果，看网上文章讲host碰撞，懒得批量碰撞，想到去shodan翻找之前解析过的ip，然后进行host碰撞的简单尝试，即为1对1这样，幸运地成功访问！

3.翻找功能，逐步点击，可以得到绝大部分的url，翻找js部分是否有新的path，得到常用格式，根据代码复用，可以在Sitemap部分，全局搜【"url":】（看具体格式）发现一个新路径，但是没有写参数，猜测是获得同事信息的路径

4.未登录状态直接访问之后，果然泄露了十几个厂商员工的企业邮箱，直接交的话，可能只是中危，750刀（5000元左右）所以我fuzz了一下参数，发现有text，然而不知道合适的参数值，观察泄露的邮箱，发现都是A开头的，于是?text=A，结果不变

5.改成?text=B，响应都变成B开头的员工邮箱，仍然是固定的十几个，如何获取全部的员工邮箱呢？我尝试了A-Z与a-z，发现结果是字典式排序

6.于是想到了遍历text=[a-z][a-z][a-z]进行爆破，最后获取了近乎全部员工邮箱

7.审核将漏洞定级为p2（高危）最终获得赏金1500刀（1w元左右）

00x2 结尾

a. 遇到无法解析的域名，可以尝试Host碰撞，幸运的话，可能在Shodan等网络测绘搜索平台中，可以得到保存的解析记录，得到对应的解析IP

b. 先从浅处开始测试，一步步深度信息搜集，可以尝试搜集各种url或path或请求的关键词方便审计JS代码，由于代码复用，很多泄露path的点会用相同的代码格式

c. 不断观察请求包与响应包的关联，什么样的参数值会有什么样的响应信息，而路径名与参数名的上下文分析有助于了解请求的意义和参数的作用

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！