一次很偏的子域名列目录所引起的一系列高危漏洞,教你薅厂商羊毛。
一次金融众测项目,称其主站子域名为target.com。
这次出现问题的站点我们称之为https://asdq14aq.target.com,这个子域名其它工具都没有收集到,是通过https://otx.alienvault.com收集到的。用法为https://otx.alienvault.com/api/v1/indicators/domain/baidu.com/url_list?limit=100&page=1,只需要将baidu.com替换为需要收集的域名即可。如果大家在挖src遇到缺少类似userId,orderId等参数时,也可以尝试去这个接口寻找你所需要的参数,因为它会收集历史url,可能会有意外收获。
使用dirsearch对其进行目录爆破,发现存在https://asdq14aq.target.com/fckeditor/目录。
发现此处Fckeditor存在列目录漏洞,至于为什么还存在这么老的洞,原因可能是这个子域名特别偏。找到网站根目录,关于怎么找网站根目录,我的建议就是一顿乱翻。发现存在备份文件,称之为backuphaha.zip,至此,已经可以提交俩个漏洞,一个列目录,一个备份文件下载,在提交备份文件下载时,建议大家不要说是列目录翻到的,问就是字典里有。
打开zip文件解压如下。
核心代码在bin目录下的这些dll文件中,通过dnspy工具对bin目录下的dll文件进行反编译,然后导出文件到visual studio进行查看,全局搜索select关键字,发现一处注入。
存在waf,直接盲猜一波user为dbo绕过waf,https://asdq14aq.target.com/OrderDetail.aspx?id=100and(user)='dbo',这里这个OrderDetail功能点也是网站正常访问不到的,问就是字典里有。
越权漏洞,我们可以去看源代码去找是否存在身份验证的脚本或是函数,但是通过了解网站的目录结构后,我们可以使用脚本将源码提炼出来,并做相应的处理,拼接到url后面一把梭哈。
也是发现了多个页面存在越权,可获取大量敏感信息,提交漏洞时,审核要是问如何发现这个页面的,就说字典里有(狗头保命)。
列目录高危1500元,备份文件获取源码3500元,sql注入以及未授权获取大量数据各5000元,总共一万五千元漏洞赏金。
一个站存在一个高危,就有可能存在俩三个高危,切勿大意。
如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流请加笔者微信:richardo1o1 (暗号:growing)