Trinh sát là chìa khóa thành công!

Mar 22 2022
Bạn đã bao giờ tự hỏi làm thế nào mà một chiến lược trinh sát đơn giản lại có thể biến bạn thành một siêu anh hùng? Không? Không bao giờ? Rõ ràng là theo thuật ngữ 'siêu anh hùng', tôi không có ý nói là một 'siêu anh hùng' thực sự nhưng vâng, nó chắc chắn sẽ giúp bạn, trong việc tìm ra một số lỗi thực sự tốt với điều kiện bạn tìm hiểu sâu về ứng dụng, hiểu logic của nó, ghi chú thích hợp và từ chối CHO ĐI! Chà, đây là câu chuyện của tôi. Vài tháng trước, tôi được giao mục tiêu để tiến hành đánh giá Black Box Pentest.

Bạn đã bao giờ tự hỏi làm thế nào mà một chiến lược trinh sát đơn giản lại có thể biến bạn thành một siêu anh hùng? Không? Không bao giờ?

Rõ ràng là theo thuật ngữ 'siêu anh hùng', tôi không có ý nói là một 'siêu anh hùng' thực sự nhưng vâng, nó chắc chắn sẽ giúp bạn, trong việc tìm ra một số lỗi thực sự tốt với điều kiện bạn tìm hiểu sâu về ứng dụng, hiểu logic của nó, ghi chú thích hợp và từ chối CHO ĐI!

Chà, đây là câu chuyện của tôi.

🙈

Vài tháng trước, tôi được giao mục tiêu để tiến hành đánh giá Black Box Pentest. Tôi sẽ không tiết lộ tên của nó nhưng hãy gọi nó là redacted.com vì tôi không thể nghĩ ra bất kỳ cái tên tưởng tượng nào khác vào lúc này! Đây là quy trình mà tôi đã theo dõi:

  1. Điều hướng đến mục tiêu và cố gắng sử dụng một số chức năng cơ bản để hiểu quy trình của ứng dụng.
  2. Cố gắng biết các công nghệ mà mục tiêu đang sử dụng, sử dụng wappalyzer.
  3. Vì tôi chỉ được cung cấp một tên miền duy nhất cho năm thứ nhất nên tôi biết việc tìm kiếm các tên miền phụ tương đối sẽ rất lãng phí thời gian nên thay vào đó, tôi ghi chú lại tất cả các tệp JavaScript có sẵn mà nó có.
  4. Ghi lại tất cả các URL có sẵn mà tôi có thể nhận được bằng cách sử dụng gauwaybackurls.
  5. Đã tiến hành khám phá tham số trên miền đích.
  6. Directory Bruteforce được thực hiện trên miền đích.
  7. Đã đi qua nguồn trang để tìm kiếm các bí mật được mã hóa cứng. Không có bí mật được mã hóa cứng nào nhưng đã tìm thấy 7 tệp JavaScript đã được thêm vào danh sách Việc cần làm cho ENUMERATION!
  8. Chạy QUÉT CỔNG cơ bản trên miền đích.

Tôi đã dành cả ngày để tìm hiểu quy trình của ứng dụng và sắp xếp các kết quả tôi nhận được bằng cách sử dụng trinh sát. Vào thời điểm này, tôi đã thông thạo logic của ứng dụng và mục đích của nó.

Bây giờ đến phần thú vị 😈 THE HUNT (Let the Drum Roll Begin)

Trong quá trình phân tích thủ công các tệp JavaScript (mà tôi nhận được thông qua nguồn trang của tên miền đích), một ý nghĩ ập đến với tôi và tôi tự hỏi mình, Điều gì sẽ xảy ra nếu tôi chạy Linkfinder trên các tệp JavaScript này?
Để trả lời câu hỏi của chính mình, tôi đã chạy công cụ này trên tất cả các Tệp JavaScript. Mặc dù, tôi có thể đã xem qua tất cả các tệp JavaScript theo cách thủ công nhưng đây là một quá trình mất thời gian và khả năng thiếu một số điểm cuối quan trọng chắc chắn là rất cao!

LƯU Ý: Tôi không khuyến khích sử dụng các công cụ tự động, tuy nhiên, bạn nên làm bẩn tay nếu điều đó làm tăng cơ hội tìm thấy lỗi hợp lệ của bạn.

Tuy nhiên, tôi không tìm thấy gì trong 5 tệp JavaScript đầu tiên nhưng thật ngạc nhiên khi tệp JavaScript thứ sáu và thứ bảy có một số thông tin rất hấp dẫn. Cái thứ sáu có tên thùng S3 bên trong có thể đọc được và ghi được.
Tuy nhiên, cái thứ bảy có điểm cuối cấp quản trị viên làm rò rỉ userID của người dùng ứng dụng.

Đây là một đoạn mã:

Nhóm có thể đọc và ghi được
Điểm cuối cấp quản trị viên Juicy làm rò rỉ thông tin
Rò rỉ UserID (Nhiều bị rò rỉ)

Tôi hơi không hài lòng với kết quả vì đâu đó sâu thẳm trong trái tim tôi, tôi biết mình đang thiếu một điều gì đó.
Tôi đã bắn nó lần cuối với hy vọng tìm được thứ gì đó bằng cách sử dụng mà tôi có thể báo cáo lỗi.

Sau đó, nó nhấp vào tên miền mục tiêu mà tôi đang thử nghiệm, nó đang được gửi trong tiêu đề 'giới thiệu' trong phản hồi. Tuy nhiên, tiêu đề 'Máy chủ lưu trữ' lại khác. Sau đó, tôi tự hỏi mình một lần nữa: Điều gì sẽ xảy ra nếu tôi đã tạo thư mục bruteforce trên miền đang được gửi trong 'Host Header'. Dưới đây là ví dụ về cách yêu cầu trông như thế nào.

Mục tiêu chính được gửi trên tiêu đề Người giới thiệu và giá trị của Tiêu đề máy chủ là khác nhau.

Để trả lời câu hỏi của chính mình, tôi đã trả lời và một lần nữa, thật ngạc nhiên khi tôi nhận được một điểm cuối hợp lệ “ / api-docs ”.
Đây thực sự là một thư mục hấp dẫn bởi vì nó là một tài liệu giao diện người dùng vênh váo về tất cả các điểm cuối đang được sử dụng tích cực trong ứng dụng đích.

Một điểm cuối thu hút sự chú ý của tôi, “ / getProfileStats / <UserIDs>
Tôi ngay lập tức gửi một yêu cầu GET đến điểm cuối trên, với UserID đã bị rò rỉ trước đó và BOOM! 💥PII rò rỉ.

Tài liệu giao diện người dùng Swagger.
Rò rỉ PII (Không thể tiết lộ toàn bộ rò rỉ)

Sau đó, đây là phản ứng của tôi:

Tôi hạnh phúc!

Ồ! Tôi là ai? Tôi là Yash Vardhan Tripathi, Chuyên viên phân tích an ninh mạng tại Detox Technologies theo chuyên môn và rất ham học hỏi (khao khát kiến ​​thức).

Kết nối với tôi trên:
LinkedIn: www.linkedin.com/in/yash-vardhan-tripathi-6234891a7

Hy vọng bạn thích cái này! Cho đến khi chúng ta gặp lại nhau. ❤️

© Copyright 2021 - 2023 | vngogo.com | All Rights Reserved