发现关键漏洞获得 $4,000 赏金奖励

文摘   2024-12-12 20:30   江苏  

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


文章原文:https://gugesay.com/archives/XXXX

不想错过任何消息?设置星标↓ ↓ ↓



  • 目录
  • 子域枚举
  • 发现
  • 测试应用程序功能
    • 初步发现
  • 突破
  • 关键要点


子域枚举

本次狩猎中,分别使用了 Subfinder、Findomain 和 Assetfinder 等工具来对目标子域进行收集。

同时,为了删除重复项,可以利用 anew 工具,然后配合 httpx 来识别活跃子域。

在获得所有活跃子域后,使用 Eyewitness 工具对域名进行快速截图。

发现

在某个子域 test-domain-h1.app.com 发现一处有趣的登录和注册页面。

首先,了解一个应用程序的业务逻辑对于发现漏洞至关重要。

比如:一个电子商务的应用程序:就可以尝试寻找支付、定价和结账流程中的漏洞。

一个票务预订平台:则可以尝试寻找票务创建、共享和预订管理等功能中的漏洞。

对于本次目标,一个类似票务预订的应用程序,应特别关注它的核心功能,留意可能扰乱业务或危及用户数据的薄弱环节。

测试应用程序功能

在了解了应用程序的工作流程后,就可以测试票证创建和注册链接功能了。

首先在创建票证期间的姓名、电子邮件和描述等字段中注入Payloads如'><svg/onload=confirm(1)>

其次可以生成并测试注册链接,来验证Payloads是否可以触发 XSS 攻击。

初步发现

成功发现多处 XSS 漏洞,可惜的是,撞洞了。

撞洞很正常,重要的是心态。

突破

在研究管理功能时,发现一个标有“EXPORT YOUR CUSTOMERS”(导出您的客户)的按钮,它允许将客户数据导出为 PDF 或 Excel 文件。

通过 Burp Suite 拦截导出请求,发现以下POST请求:

POST /FileGenerator/user/ZAZZ-SDFSSDF-ZERZE-QSDFQSF Host: test-domain-h1.app.com Cookie: ....
{ "UserID": "ZAZZ-SDFSSDF-ZERZE-QSDFQSF" }

响应包中返回了一个 fileID,该 ID 稍后会在 GET 请求中用于获取客户数据。而通过改变 fileID 值(比如递增),可以获得其它客户数据的访问权限,包括:

  • 姓名
  • 电子邮件
  • 邮政编码
  • 电话号码
  • 地址

该漏洞泄露了价值数千美元的敏感信息!

第一时间上报该漏洞,顺利收获$2,000赏金奖励。

而在该应用程序的 VIP 功能中同样发现了与 VIP 客户数据相关的类似导出功能。

通过类似利用,同样存在IDOR漏洞,再次收获$2,000赏金奖励。

关键要点

  1. 枚举:尽可能枚举多的子域,它们通常蕴藏着巨大宝藏

  2. 了解业务逻辑:分析每项功能的目的和影响,锁定关键漏洞

  3. 坚持就会有回报:遭遇挫折很常见,但用新想法重新审视目标可以带来重大发现

  4. 撞洞?不放弃:测试类似的功能通常可以发现被忽视的漏洞


如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

一款bp神器

ssrf绕过新思路

一个辅助测试ssrf的工具


dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


以上内容由骨哥翻译并再创作,希望对你有所帮助。

原文:https://medium.com/@zack0x01_/how-i-found-a-critical-vulnerability-and-earned-4-000-in-bug-bounty-hunting-2ce4a1227fdc


迪哥讲事
作者主页: https://github.com/richard1230
 最新文章