Sony某个深度子域上的XSS
大家好!这是我第一次写关于漏洞悬赏的文章。我从2019年7月22日开始加入大量漏洞悬赏项目,想和大家分享我发现的所有漏洞。
关于项目的选择方面,我基本都选择范围较大的目标,因为我不太关心奖励高低,只是想锻炼自己。最后我选择了索尼。
让我们先从子域枚举开始。首先,我使用了网站crt.sh
,并使用以下代码来查找可能的子域。
crt.sh是一款证书搜索工具,你可以借用通配符对某个域名进行范围搜索,并根据其相关的一系列时间判定其有效性。
%my%.sony.net
%jira%.sony.net
%jenkins%.sony.net
%test%.sony.net
%staging%.sony.net
%corp%.sony.net
%api%.sony.net
%ws%.sony.net
%.%.%.sony.net
我也会插入某些随机字母进行查询:
%p%.sony.net
%i%.sony.net
%ff%.sony.net
%co%.sony.net
很快我便找到了可疑的目标(ppf.sony.net)。然后,我用assetfinder和tomnomnom的httprobe进行子域枚举,成功发现了一个深度子域,也就是我们的目标authtry.dev2.sandbox.dev.ppf.sony.net
。
assetfinder -subs-only ppf.sony.net | httprobe
assetfinder是一款子域名遍历工具,它可从多个公开的数据源中提取出相关域名的资产。
httprobe可判定域名是工作在http还是https上(或者两者都有),这也可用于判定域名的有效性。
最后,我使用dirsearch对目录进行爆破,如果如下:
dirsearch.py -u “authtry.dev2.sandbox.dev.ppf.sony.net” -e html,json,php -x 403,500 -t 50
从上图中你可以看到一个/phpinfo.php
,这是一个明显的信息泄露,我据此提交了另一份报告。
当我访问index.php
时,得到的页面如下。
很明显该页面可以接受参数输入,很可能和at以及code有关,我直接插入XSS的payload在页面上,反应如下:
我最常用的<img onerror=”{alert`1`}” src>
我相信任何安全研究人员一旦看到这个页面都能摸索出利用方法,但前提是能找到该域名。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@gguzelkokar.mdbf15/xss-on-sony-subdomain-feddaea8f5ac
最新评论