Sony某个深度子域上的XSS

iso60001  1736天前

22.jpg

大家好!这是我第一次写关于漏洞悬赏的文章。我从2019年7月22日开始加入大量漏洞悬赏项目,想和大家分享我发现的所有漏洞。

关于项目的选择方面,我基本都选择范围较大的目标,因为我不太关心奖励高低,只是想锻炼自己。最后我选择了索尼。

让我们先从子域枚举开始。首先,我使用了网站crt.sh,并使用以下代码来查找可能的子域。

crt.sh是一款证书搜索工具,你可以借用通配符对某个域名进行范围搜索,并根据其相关的一系列时间判定其有效性。

33.png

%my%.sony.net %jira%.sony.net %jenkins%.sony.net %test%.sony.net %staging%.sony.net %corp%.sony.net %api%.sony.net %ws%.sony.net %.%.%.sony.net

我也会插入某些随机字母进行查询:

%p%.sony.net
%i%.sony.net
%ff%.sony.net
%co%.sony.net

44.png

很快我便找到了可疑的目标(ppf.sony.net)。然后,我用assetfinder和tomnomnom的httprobe进行子域枚举,成功发现了一个深度子域,也就是我们的目标authtry.dev2.sandbox.dev.ppf.sony.net

assetfinder -subs-only ppf.sony.net | httprobe

55.png

assetfinder是一款子域名遍历工具,它可从多个公开的数据源中提取出相关域名的资产。

66.png

httprobe可判定域名是工作在http还是https上(或者两者都有),这也可用于判定域名的有效性。

77.png

最后,我使用dirsearch对目录进行爆破,如果如下:

dirsearch.py -u “authtry.dev2.sandbox.dev.ppf.sony.net” -e html,json,php -x 403,500 -t 50

88.png

从上图中你可以看到一个/phpinfo.php,这是一个明显的信息泄露,我据此提交了另一份报告。

当我访问index.php时,得到的页面如下。

99.png

很明显该页面可以接受参数输入,很可能和at以及code有关,我直接插入XSS的payload在页面上,反应如下:

我最常用的<img onerror=”{alert`1`}” src>

100.png

我相信任何安全研究人员一旦看到这个页面都能摸索出利用方法,但前提是能找到该域名。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@gguzelkokar.mdbf15/xss-on-sony-subdomain-feddaea8f5ac

最新评论

昵称
邮箱
提交评论