从一个网站获取万元漏洞赏金的挖掘记录

0x01 前言

坚持网站必会存在漏洞的精神，坚持漏洞一定是成双的出现。

0x02 漏洞背景

一次众测项目，授权对目标子域进行渗透，从其中一个主页404的网站中发现多个漏洞。

0x03 漏洞挖掘过程

漏洞一：

使用dirsearch对目标网站进行爆破，字典为一个单词的字典，发现存在stat目录301跳转。

为spingboot页面，使用spingboot字典对其进行爆破，未发现存在actuator以及druid等泄露。

继续掏出api字典对其爆破，发现存在file/download目录返回500，使用参数字典对download进行爆破。爆破设置如下：

发现参数为id提示For input string。

对id值进行爆破，一般对于数字型的参数值爆破，我会从1-1000，10000-11000，100000-101000这样设置payload。

成功爆破出id=1000421返回122万字节。后面也爆破出如1000512等。下载的文件泄露了大量客户信息。至此，第一个漏洞已经可以提交。

漏洞二：

我一直遵循漏洞是成双成对出现的原理，继续对/stat/file/目录进行探测，发现存在/stat/file/view目录返回500。使用参数字典继续爆破参数，未爆破出参数，设置如下payload:

成功爆破出参数batchId参数，根据前面爆破出的参数值，直接设置参数值为10000000-10001000进行爆破，成功爆破出个多个值，泄露了大量客户信息。至此，第二个漏洞可以提交了。

漏洞三：

在访问https://xxx.com/stat/file/view?batchId时，从burp中发现其访问了https://1xxx.com/fileServer/preview?Url=,使用dnslog发现此处存在可回显ssrf。

直接将其子域名放入其url参数进行爆破，成功访问到内网多个系统。

至此第三个漏洞可以提交。

0x04 厂商反馈

三个漏洞提交获得了一万赏金。

0x05 总结

从目录到参数再到参数值的FUZZ，大家切勿放弃！

原文始发于微信公众号（网络安全之旅）：从一个网站获取万元漏洞赏金的挖掘记录