information disclosure leads to accessing “access log” file から学ぶ

ソース:

medium.com

脆弱性:情報漏洩

 

訳:

HackerOne で新しいプログラムを見つけ。
program.com と呼びましょう。
まだ数日しか経っていないのですが、ぜひチェックしてみたいと思い。
しかし、メインドメインをチェックし始めたとき、サインアップページはなく、ログインページだけで。
そこで、偵察を行うことにし。

通常、新しいプログラムや幅広い資産プログラムを見た場合、最初に頭に浮かぶのはshodanをチェックすることで。
今回はプログラムが新しくて範囲が広かったので幸運で。

それで私はshodanを開いてこのクエリを使用しました:

ssl.cert.subject.CN:”*.program.com”+200

 

この部分はおそらく SSL 証明書の属性を参照して。
SSL/TLS 証明書では、

 

→「 subject 」フィールドには、証明書の発行先であるエンティティに関する情報が含まれ
CN (Common Name) 属性は、エンティティの共通名を具体的に示し
→ +200 : 200 ステータス コードの結果をすべて取得して

したがって、このクエリ では、*.program.com の証明書が発行された SSL サービス (HTTPS、SMTPS、POP3S など)が得られます。

 

 

と呼びましょう それで、私が見つけたipsの1つをチェックしているときに、それをhttps://10.0.0.0 、by dirseach

dirsearch -u https://10.0.0.0/

ディレクトリを取得してください /logs 200 OK

それで、私はそれを手に取り、再びファジングを始めました。
というファイルを見つけました。 最終的に、 access.log アクセスログファイルとは何かわからない方へ。

 

アクセス ログは、クライアント アプリケーションとドメイン上のリソースへのユーザー アクセスに関連するすべてのイベントを記録するログ ファイルです。

したがって、 /admin を取得するために GET リクエストを行うと、そのように記録され。

4月13日:12:00(データ/時刻) GET /admin 200 OK (ステータスコード)

したがって、私にとっては、これは通常のログインページのように見えて。
ただし、雇用主や、管理者などの特定の役割を持つ個人の場合、ログインすることにした場合を想像してみて。
私は彼らの資格情報を持っているでしょう。

したがって、このファイルにアクセスすると、多くのことが表示されて。

  • パスとそのステータスコード
  • 資格情報、ユーザー名、パスワード。 残念ながら、どれも機能しませんで
  • 他の研究者が XSS や SSRF などのペイロードを試していることにさえ気づき
  • ファイルはリクエストが行われるたびに継続的に更新され

 

したがって、このファイルについては、有効なパスや有効な資格情報を見つけるなど、できることがたくさんあって。
このファイルはしばらくの間存在しているため、より価値があると考えられ。
そこで、アカウント乗っ取りの可能性を考え、有効な認証情報を探すことにして。
しかし、何も見つからず。
おそらく、ドメインが新しすぎて有効な認証情報が存在しなかった可能性があり。

それで、私はそれを重大なものとして報告しましたが、会社はそれを高レベルに格下げし。

 

ほなほな。

SSRF on PDF generator から学ぶ

ソース:

medium.com

脆弱性:SSRF

 

訳:

プライベートのバグ報奨金プログラムで見つけた問題を共有したいと思い。
PDF ジェネレーターには SSRF 脆弱性がありますが、Web アプリの問題は特殊文字を挿入できないことで。
しかし、モバイルアプリがあり、そこにペイロードを挿入できることに気づき。
「PDF として保存」機能は Web アプリでのみ使用できるため、モバイル アプリ経由でペイロードを挿入し、Web アプリにログインして「PDF として保存」機能を使用する必要があり。
幸いなことに、スペースにスラッシュ (/) を使用しているペイロードはフィルタリングされないため、スペースとしてスラッシュを含む iframe タグ ペイロードを使用でき。

これは私が使用したペイロードです: <iframe/src=””>

 

<iframe/src=” http://localhost/ ”> と <iframe/src=”http://127.0.0.1 ”>を挿入しようとしましたが、PDF は空白になり。
次に行ったステップは、サブドメインを作成し、DNS127.0.0.1 に変更することで。

したがって、ペイロードは次のようになり <iframe/src=” http://sub-domain.mydomain.com ”>。
モバイルアプリ経由でペイロードを挿入し、Webアプリの「PDFとして保存」機能を使用しました。 ペイロードは機能しましたが、PDF に表示されているのはアプリのログインフォームです。
しかし、私には考えが。
内部でのみ利用可能なファイルにアクセスできる場合はどうなるでしょう。
そこで私が次にしたのは、dirsearch を使用してディレクトリを総当たり攻撃すること。
結果を確認すると、dirsearch でステータス コード 403 を持つ「elmah.axd」が見つかり、ファイルへのアクセスが禁止されていることを意味し。
ペイロードに「elmah.axd」を追加すると、次のようになり。

 

ペイロード: <iframe/src=”http://sub-domain.mydomain.com/elmah.axd ”>

そこで、モバイルアプリ経由でペイロードを再度挿入し、Webアプリで「PDFとして保存」機能を使用したところ、ペイロードは機能して。
PDF で見たのはエラー ログです。 この問題を会社に報告したところ、報奨金が支払われ。
問題の解決にはわずか 1 時間、報奨金の送付には 1 日かかりました。

 

ほなほな。

Make Money 💸 Using Google Hacking から学ぶ

ソース:

ott3rly.medium.com

脆弱性:グーグルドーキング

 

訳:

Google 検索を使用するだけで重大なセキュリティ問題が見つかることを想像してみてください。 はい、可能です!
あなたは、Google ハッキング、別名 Google Dorking の世界に入ろうとしています。 これは、多くのバグ賞金稼ぎがスコアボードのトップに立つための秘密の方法です。
多くの人は Google を単なる検索エンジンだと考えていますが、実際には、より強力なハッキング ツールになる可能性があって。
たとえば、多くのサイバー犯罪者は、Google だけを使用して多くの Web サイトを侵害して。
彼らは、Google Dorking のテクニックやトリックを利用して、悪いことを行ってきて。 もちろん、私たちは善良な人間であり、企業のセキュリティを向上させる価値を提供したいと考えて。
この場合、Google は私たちの親友となるでしょう。
単純なキーワード検索は忘れてください。
私たちは高度な検索技術の世界に深く飛び込もうとしています。 

「site:target.com」のドーク

通常、ターゲットに近づいたら、 site キーワードを使用してワイルドカード ドメインを確認します。 ターゲット ドメイン (たとえば、 site:target.com ) で使用します。 target.com とそのサブドメインからの結果のみを示します。

挙げてみましょうコカ・コーラのプログラム を例に 。
所有するほぼすべてのブランドとウェブサイトが対象となるため、チェックすべきワイルドカードがたくさんあります。
したがって、メイン ドメインを追跡したい場合は、 site:coca-cola.com dork を使用して。

 

 

ご覧のとおり、19,000 件を超える結果があります。
私たちのような他のトップレベドメイン (たとえば、 site:coca-cola.us ) を試してみると、結果が少なくなる可能性があります。
すべての TLD の結果を取得したい場合は、 site:coca-cola.* dork を使用できて。 

 

 

注: Google Dorking を実行するときは、 通常、サイトの キーワードがクエリの最初に表示されます。 

 

「ext:<ファイル拡張子>」

次に確認したいのは、拡張機能です。
この場合、 ext キーワードを使用します。
ファイルの場合もあれば pdf の場合もあります 、 xlsx または xls
何を実験できるかはあなたの想像力の問題です。
この例では、PDF ファイルを取得したい場合は、 ext:pdf dork を使用してみることができます。
追加のキーワードを使用してそれらを除外することもできます。
PDF タイプのファイルに適しているのは、 機密 キーワードまたは 機密 キーワードです。
したがって、最終的なクエリは次のようになります。

 

 

もしくは、

 

 

これらはほとんど簡単に実行できる成果ですが、当然のことながら、報告する前にこれらのファイル内に機密データが含まれていないことを確認する必要があり。
PDF ファイルと xls と xlsx を常にチェックする必要があって。
doc、docx、または PowerPoint ファイルであっても、機密データをチェックするのに最適な場合があって。

次に注目すべき興味深いのは、サーバー側のファイル拡張子で。
phpjspasp、aspx、場合によっては .action 拡張子もチェックしたいとします。次に例を示します。

 

 

さらに、注目する価値のある最後の拡張子は、zip ファイル、バックアップ ファイル、またはログ ファイルである可能性があって。

 

「intitle:<キーワード>」のドーク

使用できる別のフィルタリング キーワードは intitle です。
ウェブサイトのタイトルを検索します。
これにキーワードとして 2 つの単語を含める場合は、二重引用符を使用できます。
たとえば、「index of」を持つサイトをチェックするには、次のような愚かなコードを使用できます。

 

 

これは、かなり巨大なターゲットや十分にテストされていないターゲットでも機能する可能性があります。

「inurl:<キーワード>」の愚か者

私の dork セッションで通常使用する最後の dork は inurl です。
URL 内のキーワードをチェックして、Google の結果をフィルタリングします。
:と一緒に使用できます ext これは、一般的なサーバー側拡張機能を備えた 。 たとえば、SQLi が存在する可能性が高い一般的なパラメータとともに、php ファイル拡張子をチェックできます。

 

もしくは、

 

ルートドメインの検出

この Google Dorking を次に使用できるのは、他のトップレベドメインを検出することです。
たとえば、メイン サイト coca-cola.com にアクセスしてフッターを確認すると、「© 2024 The Coca-Cola Company. 無断転載を禁じます。" 一番下にあります。
著作権マークが付いているものをコピーして、Google 検索バーに貼り付けてみましょう。

 

 

この方法を使用すると、余分なルート ドメインが見つかる可能性があります。
本当にその会社のものかどうかも確認してみるとよいでしょう。
もう 1 つ行う必要があるのは、クエリからいくつかの単語を削除することです、この例では、2024 年を削除します。

 

 

追加のドメイン cokeconsolidated.comを見つけました。 2024 を削除したため。

 

 

もう 1 つお勧めするのは、メインのウェブサイトをチェックしてブランドを調べることです。
で他のどのルート ドメインを使用するべきかについていくつかの手がかりが得られるかもしれません これにより、サイト dork 。
たとえば、 sprite.com fanta.com も検索クエリの候補となる可能性があることがわかりました。
さらに多くの見込み客を獲得するには、必ずフッターも確認してください。
広範囲の最上位ドメインが得られるまで、これを何度も繰り返します。 その時点から、サブドメインの列挙を行うことができます。 

 

検索結果をフィルタリングする

他にも、Google Dorking に含めたいものは、検索結果を制限するためのキーワードです。
たとえば、非常に古いサイトが必要な場合は、マイナス記号を使用し、次のようなキーワードを含む既存のクエリに追加できます。

 

 

マイナス記号 + キーワードを使用すると、フッターにかなり最近のものがあるページが除外されます。
この例はこのターゲットに非常に具体的ですが、常にプログラムを試して、プログラムがどのようにページを構築するかを理解し、それに従って Google クエリを作成するようにしてください。

もう 1 つ確認しておきたいのは、エンドポイントの登録です。
これには register が 使用する あります。
これにはinurl:register を
ことも、それを使用せずに試すこともでき。

 

 

もしくは、

 

 

さらに、www サイトは通常、大多数のハンターによってテストされるため、除外する必要があります。 

 

 

の登録エンドポイントを見つけるために他の文字列をチェックすることもできます。 また、 「sign up」 sign in」 login など 

 

ファジングのアイデアを得る

たとえ現時点でバグ報奨金探しを行っていないとしても、Google Dorking はペネトレーションテストや単なるテストのアイデアを得るために使用できます。
たとえば、Twitter 検索を使用することもできますが、私にとっては、Google を使用して Twitter からアイデアを得るほうが価値があると感じました。
したがって、私は site:twitter.com を とともに inurl:status 使用します。
したがって、XSS ペイロードに関するアイデアを取得したい場合は、次の検索を使用。

 

 

ご覧のとおり、Google は他の興味深いアイデアとともに、最短のalert() XSS ペイロードに関する良いアイデアを提供してくれて。 

 

 

などの有名なブログをチェックすることもできます。
Medium.com また、代わりに、 Bounty 分野で非常に人気のある 

 

 

そこからいくつかのアイデアを得ることができます。
おそらく、 infosecwriteups.com も次の点をチェックするのに適したエリアです。 

 

 

多くの人が脆弱性を調査するために HackerOne フィードを選択するため、これにも Google を活用できます。 

 

 

Google はあなたの強い味方です。
他のサイトに独自の検索機能がある場合でも、Google の検索を使用できます。
CVE をチェックするのに適した私のお気に入りの場所は、Github で。 

 

 

Google ドーキングのリソース

使用して、Google Dorking で何ができるかについてのインスピレーションを得ることができます エクスプロイト データベース、特にGoogle ハッキング データベースを 。
フィルターがたくさんあります。
場合によっては、エラー メッセージでフィルタを見つけることができ。これらのエラー メッセージは機密情報の漏洩につながる可能性があり、あるいは単に脆弱なサーバーをチェックしているだけである可能性があり。

 

 

もあります GitHub ページ あるいは、私がとても気に入っている Google dorking 用の 。
毎日更新されるので、これを使用することを強くお勧めします。 

 

 

バックアップ、ログ、構成ファイル、grafana、kibana、またはその他のテクノロジーをチェックするためのアイデアを取得します。
XSS のみでも、さまざまなことができます。 

 

 

ほなほな。

How i buy a subdomain of Tokopedia’s website (yeah you read it right) から学ぶ

ソース:

infosecwriteups.com

脆弱性サブドメインの乗っ取り

 

訳:

 Tokopedia は、独自の公的バグ報奨金プログラムを主催する私の国インドネシアの数少ない企業の 1 つです。
ルールと詳細はここで読むことができます: https://github.com/tokopedia/Bug-Bounty 

 

ルールを読んだ後、ターゲットは主にワイルドカード ドメイン (*.tokopedia.com と *.tokopedia.net) に設定されていることがわかり。
そこで私は、sublist3r、knockpy、massdnsなどのいくつかのオープンソースツールを使用してサブドメインを列挙し始め。

 

興味深いサブドメインを見つけましたが、そこでも興味深い発見がありました 。
しかし、私の目に留まったのは REDACTED.tokopedia.com で。
サブドメインにアクセスすると、 ERR_NAME_NOT_RESOLVEDエラー ページが表示されたからです。 ブラウザーから  

 

infosecwriteups.com

コマンドを使用すると dig ターミナルで 、CNAME 構成が別のトップレベドメイン (REDACTED.com) を指していることがわかります。
したがって、REDACTED.tokopedia.com は実際には、REDACTED.com という別の異なるドメインエイリアスです。

驚いたことに、Whois レコードを確認したところ、実際にはドメインの有効期限が切れていて。
そこで、購入できるかどうかを確認するために namecheap.com に直接アクセスして、購入できるかどうかを確認し。

 

そこで、リスクを冒して友人から 8 ドルを借りて、ドメインを購入しました。

無料のホスティング サービスを指すようにした後、サブドメインを再度開こうとすると、サブドメインが自分のサーバーを指すようになったので、正常にサブドメインを引き継ぐことができ。

 

問題に遭遇しました XSS の PoC を作成することにしましたが、Cookie にセキュア フラグが設定されているため、サイトを https でホストする必要があるという 。
REDACTED.com 用の無料 SSL 証明書を設定した後、別の問題が発生。
証明書が REDACTED.com 用に署名されているのに、サイトはREDACTED.tokopedia.com からアクセスされるため、ブラウザーがプライバシー警告をスローし。

 

これは stackoverflow から取得したもので警告は異なりますが、アイデアはわかりました。


*.tokopedia.com の SSL 証明書を作成することは許可されないので、すぐに報告することに。
「ユーザーが 続行…」ボタンをクリックすることに決めた場合でも、Cookie を盗むことができます。 とにかく

 

 

注: サブドメインの乗っ取りを見つけた場合、フロントページに不必要なものを表示するのは賢明ではないと思います。
ユーザーに見られる可能性があるため、会社はそれを気に入らないでしょうし、評判にも悪影響を及ぼします。
このレポートは私がバグバウンティハンターとして活動し始めたばかりの頃のものなので、トップページに「サブドメインが乗っ取られた」と表示するのは最善のアイデアではないかもしれません。
代わりに、非表示の HTML タグに PoC を記述し、フロント ページに「メンテナンス中」と表示することもできます。
また、ユーザーが誤って見つけないように、そのサブドメインでホストするファイル名をランダム化することを忘れないでください。

Information Disclosure: Story of 500€ + 400$ Bounty から学ぶ

ソース:

v3d.medium.com

脆弱性:Information Disclosure

 

訳:

私の友人の一人がについて教えてくれましたこの Web サイトhttps://otx.alienvault.com ここで、OTX は (Open Threat Intelligence) の略で、セキュリティ研究者と脅威データ作成者が研究を共有し、新しい脅威を調査するために使用するプラットフォームです。

 

このウェブサイトの使い方は?

に移動するだけです。 https://otx.alienvault.com/indicator/domain/target.com
ここで、target.com をターゲット Web サイトに変更できます。
ここではターゲットに関連する多くの情報を見つけることができますが、「関連 URL」というオプションがあります。このオプションを選択すると、多くの情報とエンドポイントが表示されます。

 

500ユーロの報奨金の最初のケース :
ターゲットでテストを開始したときは OTX を使用しました。
に移動し https://otx.alienvault.com/indicator/domain/target.com 、[関連 URL] オプションに移動します。
ここで、ターゲット企業の 50 人以上の顧客の請求書を入手し、すべての請求書をダウンロードしてレポートし。
私のターゲット企業に 500 ユーロの報奨金が与えられ。 

 

2 番目のケース 200$+200$ 報奨金 :
最初のケースと同様に、対象の 2 社でテストを開始し、それらの企業にも OTX を使用しました。
に移動して https://otx.alienvault.com/indicator/domain/target.com 、[関連 URL] オプションに移動すると、ここで 400 件を超える顧客メール (それぞれ 200 件以上) の企業を取得でき。
顧客は大手多国籍企業であり、このことをターゲット企業に報告したところ、彼らは私に 400 ドル (200 ドル + それぞれ 200 ドル) の報奨金をくれて。

 

現在、OTX は結果を表示しておらず、「関連 URL」では 0 件の結果が表示されていますが、以下の API リクエストを使用できます。
https://otx.alienvault.com/api/v1/indicators/domain/target.com/url_list?limit=100&page=1

 

ほなほな。