未经许可,不得转载。
文章目录
- 正文
- 总结
正文
在之前测试一个私人项目时,我报告了admin.Target.com上的Auth Bypass漏洞,这将导致SQLI&RCE ,该漏洞在报告后仅一天就被修复。
现在重拾该应用程序,对子域进行模糊测试:
ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c -t 350 -mc all -fs 0
使用此命令,我们发现了一个目标:admintest.Target.com
访问 https://admintest.Target.com ,将被重定向至https://admintest.Target.com/admin/login.aspx
阅读一些 js 文件,我发现一个端点:https://admintest.Target.com/admin/main.aspx
直接在浏览器中打开它会将我们再次重定向到登录页面,但在 Burp 中却存在如下界面:
可以看到,Content-Length数值是非常大的。
通过测试发现,将返回包中的302 Moved Temporarily改为200 OK,删除Location: /admin/Login.aspx?logout=y,删除html重定向代码,即可访问面板。
再通过深入测试,我发现,绕过的不仅仅是前端,因为可以实现如下漏洞。
我发现adduser.aspx 端点用于添加管理员,它对应的返回包和main.aspx相似,因此我们能够修改响应包添加管理员帐户。
添加管理员账户后,我们就可以登录了,接着我们找到了一个端点:``SQLQuery.aspx ,输入命令:Select * from users,即可看到所有用户的信息,包括密码、电子邮件、用户名:
由于数据库是mysql,尝试使用xp_cmdshell将其升级到RCE。
更改配置:
SP_CONFIGURE "show advanced options", 1
RECONFIGURE
SP_CONFIGURE "xp_cmdshell", 1
RECONFIGURE
输入xp_cmdshell ‘whoami’,效果如下:
总结
1、始终检查 burp 中的重定向响应
2、如果在子域名中发现了一个 bug,并且已经修复,请尝试子域名模糊测试
admin-FUZZ.target.com EG: admin-stg.target.com
FUZZ-admin.target.com EG: cert-admin.target.com
adminFUZZ.target.com EG: admintest.target.com
FUZZadmin.target.com E.G testadmin.target.com
admin.FUZZ.target.com EG: admin.dev.target.com
ffuf - w / subdomain_megalist.txt - u 'https://adminFUZZ.Target.com' - c - t 350 - mc all - fs 0
- t 表示线程,不要太高,否则你可能会错过很多正在工作的子线程
- mc all表示匹配所有响应代码,如200、302、403
原文出处:
https://medium.com/@HX007/subdomain-fuzzing-worth-35k-bounty-daebcb56d9bc
