子域名模糊测试实现RCE
子域名模糊测试实现RCE
原创 玲珑安全官方 芳华绝代安全团队 2024-07-27 23:03
正文
在之前测试一个私人项目时,我报告了admin.Target.com上的Auth Bypass漏洞,这将导致
SQLI&RCE
,该漏洞在报告后仅一天就被修复。
现在重拾该应用程序,对子域进行模糊测试:
ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c -t 350 -mc all -fs 0
使用此命令,我发现了一个目标:
admintest.Target.com
访问
https://admintest.Target.com
,将被重定向至
https://admintest.Target.com/admin/login.aspx
阅读一些 js 文件,我发现一个端点:
https://admintest.Target.com/admin/main.aspx
直接在浏览器中打开它会将我们再次重定向到登录页面,但在 Burp 中却存在如下界面:
可以看到,Content-Length数值是非常大的。
通过测试发现,将返回包中的302 Moved Temporarily改为200 OK,删除Location: /admin/Login.aspx?logout=y,删除html重定向代码,即可访问面板。
再通过深入测试,我发现,绕过的不仅仅是前端,因为可以实现如下漏洞。
我发现adduser.aspx端点用于添加管理员,它对应的返回包和main.aspx相似,因此我们能够修改响应包添加管理员帐户。
添加管理员账户后,我们就可以登录了,接着我们找到了一个端点:
SQLQuery.aspx
,输入命令:Select * from users,即可看到所有用户的信息,包括密码、电子邮件、用户名:
由于数据库是mssql,尝试使用xp_cmdshell将其升级到RCE。
更改配置:
SP_CONFIGURE "show advanced options", 1
RECONFIGURE
SP_CONFIGURE "xp_cmdshell", 1
RECONFIGURE
输入
xp_cmdshell ‘whoami’
,效果如下:
总结
1、
始终检查 burp 中的重定向响应
2、如果在子域名中发现了一个 bug,并且已经修复,请尝试
子域名模糊测试
admin-FUZZ.target.com EG:admin-stg.target.com
FUZZ-admin.target.com EG:cert-admin.target.com
adminFUZZ.target.com EG:admintest.target.com
FUZZadmin.target.com EG: testadmin.target.com
admin.FUZZ.target.com EG:admin.dev.target.com
ffuf - w / subdomain_megalist.txt - u 'https://adminFUZZ.Target.com' - c - t 350 - mc all - fs 0
- t 表示线程,不要太高,否则你可能会错过很多正在工作的子线程
- mc all表示匹配所有响应代码,如200、302、403
原文出处:
https://medium.com/@HX007/subdomain-fuzzing-worth-35k-bounty-daebcb56d9bc
SRC漏洞挖掘培训
往期漏洞分享
Oracle Apiary:SSRF获取元数据
SSRF 之 Azure Digital Twins Explorer
玲珑安全交流群
玲珑安全B站免费公开课
https://space.bilibili.com/602205041