在hackerone上发现了这个案例,很优质
HackerOne众测计划 [将此目标称为 xyz.com] 而且这个目标范围有限。范围是—
-
xyz.com
-
admin.xyz.com
-
api.xyz.com
子域admin.xyz.com看着很有价值,使用search.censys.io来查询下,使用admin*.xyz.com语句查找这个子域可能的测试或开发环境,结果如下面截图
快速查找所有列出的子域后,我发现了有关 admin-support.xyz.com 域的以下有价值的内容
-
CNAME admin-support.xyz.com 指向了 xyzdocs.zendesk.com
但测试访问 http://admin-support.xyz.com 和 http://xyzdocs .zendesk.com 都报错
很不幸运,在xyzdocs.zendesk.com的admin-support帮助中心似乎不存在了。
所以我刚刚创建了一个Zendesk帐户,并从https://xyzdocs.zendesk.com/admin/account/appearance/branding中主机映射字段中添加了admin-support.xyz.com域。这使我可以接管子域并在admin-support.xyz.com域上发布任何内容。
但是,这仍然不是目标众测的范围域,在此状态下报告这个问题只会是中危或被忽略。
因此,我开始研究 Zendesk 的配置及其 helo 文档,将传入电子邮件转发到 Zendesk的功能看起来非常有趣,因为这允许已经存在的电子邮件转发到Zendesk支持台。此设置的要求是:
因此劫持开始了,在Zendesk管理中心=>频道=>通话和电子邮件=>电子邮件,并根据他们的文章进行了一些配置,还启用了“接受通配符电子邮件”选项,我们将查找目标<anything>@xyz.com转发设置指向Zendesk电子邮件<anythiny>@xyz docs.Zendesk.com的任何现有电子邮件。
因此,任何发送至 [email protected] 的电子邮件都会在我的 Zendesk 帐户中创建支持票证,几个小时后,我的 Zendesk 帐户充斥着活跃用户的支持票证,其中包括付款信息、发票和用户机密数据等敏感信息。
我们可以看到来自 [email protected] 的传入电子邮件 让我们看看他们的登录面板是否有任何现有帐户使用,电子邮件请求他们的用户登录面板重置密码,其中包含密码重置链接
完全控制https://admin-support.xyz.com子域内容。
根据所有这些信息,我创建了一份有关他们的 Bug Bounty 计划的报告,在一个工作日内,他们获取了解决此问题所需的信息,并支付了 2,000 美元
原文始发于微信公众号(军机故阁):Zendesk域劫持
评论