正文
在之前测试一个私人项目时,我报告了admin.Target.com上的Auth Bypass漏洞,这将导致SQLI&RCE ,该漏洞在报告后仅一天就被修复。
现在重拾该应用程序,对子域进行模糊测试:
ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c -t 350 -mc all -fs 0使用此命令,我发现了一个目标:admintest.Target.com
访问 https://admintest.Target.com,将被重定向至
https://admintest.Target.com/admin/login.aspx
阅读一些 js 文件,我发现一个端点:
https://admintest.Target.com/admin/main.aspx
直接在浏览器中打开它会将我们再次重定向到登录页面,但在 Burp 中却存在如下界面:
可以看到,Content-Length数值是非常大的。
通过测试发现,将返回包中的302 Moved Temporarily改为200 OK,删除Location: /admin/Login.aspx?logout=y,删除html重定向代码,即可访问面板。
再通过深入测试,我发现,绕过的不仅仅是前端,因为可以实现如下漏洞。
我发现adduser.aspx端点用于添加管理员,它对应的返回包和main.aspx相似,因此我们能够修改响应包添加管理员帐户。
添加管理员账户后,我们就可以登录了,接着我们找到了一个端点:SQLQuery.aspx,输入命令:Select * from users,即可看到所有用户的信息,包括密码、电子邮件、用户名:
由于数据库是mssql,尝试使用xp_cmdshell将其升级到RCE。
更改配置:
SP_CONFIGURE "show advanced options", 1RECONFIGURESP_CONFIGURE "xp_cmdshell", 1RECONFIGURE
输入xp_cmdshell ‘whoami’,效果如下:
总结
1、始终检查 burp 中的重定向响应
2、如果在子域名中发现了一个 bug,并且已经修复,请尝试子域名模糊测试
admin-FUZZ.target.com EG:admin-stg.target.comFUZZ-admin.target.com EG:cert-admin.target.comadminFUZZ.target.com EG:admintest.target.comFUZZadmin.target.com EG: testadmin.target.comadmin.FUZZ.target.com EG:admin.dev.target.com
ffuf - w / subdomain_megalist.txt - u 'https://adminFUZZ.Target.com' - c - t 350 - mc all - fs 0- t 表示线程,不要太高,否则你可能会错过很多正在工作的子线程- mc all表示匹配所有响应代码,如200、302、403
原文出处:
https://medium.com/@HX007/subdomain-fuzzing-worth-35k-bounty-daebcb56d9bc
原文始发于微信公众号(芳华绝代安全团队):子域名模糊测试实现RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论