Hello there, ('ω')ノ
HackerOneでの私の最初の賞金の話を。
脆弱性:
SSRF
XSS
記事:
https://infosecwriteups.com/story-of-my-first-cash-bounty-on-hackerone-acad282ae962
今回は、メインのWebアプリケーションのみをスコープに持つターゲットを。
そのようなターゲットで偵察を開始するたびに。
waybackurlsを使用して多くのエンドポイントを収集しますが。
今回は別のツールを試すことに。
https://github.com/tomnomnom/waybackurls
Linkfinderツールのコマンドは、下記のとおりで。
python linkfinder.py -i https://example.com -d
https://github.com/GerbenJavado/LinkFinder
実行完了後の結果から注意を引いたのは下記のURLで。
htttps://www.example.com/image?Id=somelinkwithouthttp.com
なぜなら、http://またはhttps://がなかったので。
引数としてURLを受け入れるそのようなパラメーターを見た後は。
ほとんどのバグハンターはSSRFの診断をするので。
Burpコラボレーターを起動し、1つのペイロードをコピーして。
httpまたはhttpsを付加せずに、そのIdパラメータに貼り付けて。
SSRFを期待してEnterキーを押したものの。
残念ながら、コラボレータで下記のDNSリクエストのみを受け取って。
いくつかのことを試した後。
コラボレータのペイロードに@記号を追加することに。
そして、Enterキーを押すと驚くべきことに下記の応答が返されたので。
脆弱性と認められ。
さらに、いくつかのバグでSSRFをチェーンすることに。
そのパラメータが画像をフェッチしていたので。
brutelogic.comのXSS POCリンクを使用してみると。
XSSがポップアップされて。
下記のペイロードで、poc.svgが正常にフェッチされたので。
被害者のセッションCookieを盗むための。
XSSペイロードを含むHTMLファイルを作成することに。
htttps://www.example.com/image?Id=@brutelogic.com.br/poc.svg
下記のファイルを作成し、ngrokを使用してローカルホストでホストして。
このエクスプロイトをテストするために、そのサイトに2つのアカウントを作成して。
下記のペイロードを使用してみると被害者のクッキーが取得できて。
Best regards, (^^ゞ