子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

admin
admin
admin
135739
文章
111
评论
2024年9月11日22:00:39评论36 views字数 2092阅读6分58秒阅读模式
正文部分
原文作者:
https://medium.com/@HX007

总结

检查 burp 中的重定向响应

在遇到权限不足,进行重定向的时候,要查看一下他的检测规则,是否可以绕过,例如红帆oa历史漏洞等,可能都只是前端js的重定向,并不是后端的真正鉴权

ffuf子域模糊测试技巧

利用添加子域名的前缀和后缀,发现新的隐藏资产,同时可以根据自己的字典去添加,发现更多的隐藏资产!!

admin-FUZZ.target.com  例如:  admin-stg.target.comFUZZ-admin.target.com  例如:  cert-admin.target.comadminFUZZ.target.com   例如:  admintest.target.comFUZZadmin.target.com   例如:  testadmin.target.comadmin.FUZZ.target.com  例如:  admin.dev.target.com

使用ffuf进行fuzz

ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c  -t 350 -mc all  -fs 0-t 设置线程,不要太高也不要太低,要根据自己的vps进行设置-mc all 表示匹配的全部状态码

子域名fuzz字典推荐

https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS

https://github.com/netsecurity-as/subfuz/blob/master/subdomain_megalist.txt

漏洞复现

目标资产

admin.Target.com

进行子域名fuzz

使用此命令使用了子域模糊测试

ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c  -t 350 -mc all  -fs 0
子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

成功发现隐藏子域名https://admintest.Target.com

漏洞寻找

  1. 1. 重定向

https://admintest.Target.com 重定向到  https://admintest.Target.com

  1. 2. 发现只是前端的过滤

阅读一些 js 文件,我们发现了一个名为 Opening it directly in browser 的端点,它将再次将我们重定向到登录页面,但在 Burp 中我们注意到了一些东西,[https://admintest.Target.com](https://admintest.target.com/)/admin/main.aspx

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

对于重定向响应来说,这太大了Content-Length

发现后端是正常的返回了结果的,只是使用js和状态码进行了跳转

使用 burp 修改下面这几项,则可以实现绕过

1. 302 Moved Temporarily 修改为 200 OK2. 删除请求头 Location: /admin/Login.aspx?logout=y3. 删除html里面的跳转代码

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

这个点‍就想之前红帆oa的一个未授权访问类似,只需要进行js的删除就可以实现未授权访问,他实‍际上是返回了正常的页面的!

i. 访问有鉴权

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

ii. 拦截返回包,进行过滤代码的删除即可

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

iii. 成功进入后台

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!
  1. 3. 举一反三,发现未授权访问,获取到账户密码

来到了main.aspx页面后,点击其功能点,使用相同的技巧,我们能够访问端点并添加管理员帐户,我们还发现了另一个端点,它显示管理员密码和用户名,没有任何身份验证adduser.aspx ``main.aspx``adduser.aspx

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!
  1. 4. 登录测试后台漏洞(sql注入)

添加 管理员帐户 后,使用账户密码进行登录,虽然使用前端绕过也可以,但是还是没有直接登录方便,所以使用创建的账户密码进行登录,

我们找到了一个名为 并且从它的名称中,您知道它的功能:)``SQLQuery.aspx

我尝试的第一件事是这个 **Query **Select * from users

我们能够看到所有用户的信息,包括密码、电子邮件、用户名

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!
  1. 5. mssql开启xp实现rce

由于数据库是mssql,我们尝试使用xp_cmdshell进行rce

默认情况下,它是禁用的,但您可以使用 **sqlmap **选项轻松启用它--os-shell

但在我们的例子中,我们不需要 sqlmap,因为我们可以直接对数据库执行查询,就像Select * from users ; SELECT @@version

使用这些查询来启用xp_cmdshell

SP_CONFIGURE "show advanced options", 1RECONFIGURESP_CONFIGURE "xp_cmdshell", 1RECONFIGURE

使用xp进行rce:xp_cmdshell ‘whoami’

子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!
在一个报告中发送了所有这些 + 另一个端点中的另一个 sql注入,我们总共获得了 35k 的赏金

 

原文始发于微信公众号(fkalis):【海外SRC赏金挖掘】子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月11日22:00:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   子域名fuzz技巧,发现隐藏域名并RCE,获取35k美刀!!https://cn-sec.com/archives/3155384.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息