shikata ga nai

Private? There is no such things.

How I was able to find easy P1 just by doing Reconを訳してみた

Hello there, ('ω')ノ

 

偵察を行うだけで簡単なP1を見つけることができた方法を。

 

脆弱性:

 LFI

 

記事:

 https://medium.com/@kirtanpatel9111998/how-i-was-able-to-find-easy-p1-just-by-doing-recon-fdef0c689362

 

ツール:

 assetfinder

 findomain

 amass

 aquatone

 naabu

 dirsearch

 

今回は、偵察を行うだけで、簡単なp1(クリティカル)バグを。

見つけることができた方法について説明することに。

ターゲットを「target.com」と呼ぶことに。

ターゲットには、巨大なスコープ(* .target.com)があって。

「.target.com」のようなものが表示されると。

Assetfinder、Findomain、Amassなどの複数のツールを使用して。

サブドメインの列挙をすばやく開始することに。

常に3つ以上のツールを実行するのがおすすめで。

 

 assetfinder -subs-only target.com

 findomain -t target.com

 amass enum passive -d target.com

 

 https://github.com/tomnomnom/assetfinder

f:id:ThisIsOne:20211028074738p:plain

 

 https://github.com/Findomain/Findomain

f:id:ThisIsOne:20211028074819p:plain

 

 https://github.com/OWASP/Amass

f:id:ThisIsOne:20211028074948p:plain

 

プロセスを自動化するための簡単なbashスクリプトを作成して。

サブドメインの列挙後、私は各サブドメインを手動で調べて。

aquatoneを試してすべてのサブドメインのスクリーンショットを取得することも。

Firefoxですべてのサブドメインを開いて。

下記のようにbashのワンライナーを使用してすばやく表示することもできて。

    cat subdomains.txt | while read subs; do firefox $subs; sleep 8; done

 

 https://github.com/michenriksen/aquatone

f:id:ThisIsOne:20211028074119p:plain

 

このプロセス中に、接続できなかったサブドメインが多数あったり。

エラーが発生しましたので、これらのサブドメインに対して。

他のポート(ftp、sshなど)が開いていることがわかった場合は。

ポートスキャンを試してみようと思って。

すべてのサブドメインのIPアドレスを見つけて、nmapスキャンを開始することに。

    nmap -sV -iL ips.txt -oN nmap_scan.txt


または、projectdiscoveryの「naabu」ツールを試すこともできて。

nmapよりもはるかに高速で。

    cat ips.txt | naabu

 

 https://github.com/projectdiscovery/naabu

f:id:ThisIsOne:20211028072836p:plain

 

nmapの結果を調べると、1つのサブドメイン(loadturn002.example.com)の。

ポート5080(OnScreen Data Collection Service)が開いていることがわかって。

すぐにブラウザにアクセスして、http://loadturn002.example.com:5080と入力すると。

サーバー情報とともに「ファイルが見つかりません」というエラーが表示されたので。

ディレクトリブルートフォーシングを試してみようと思いdirsearchを。

 

python3 dirsearch.py -u http://loadturn002.example.com -e * -w my_wordlist.txt -t 100 -x 403,404,301

 

 https://github.com/maurosoria/dirsearch

f:id:ThisIsOne:20211028074628p:plain

 

そして興味深いことに、「/etc/passwd」という名前のディレクトリを見つけたので。

ブラウザを開いて、http://loadturn002.example.com:5080/etc/passwdと入力すると。

 

f:id:ThisIsOne:20211028072707p:plain

 

いくつかのポイント:

    常にできるだけ多くのサブドメインを見つけて。

 ジューシーに感じるすべてのサブドメインを候補リストに追加して。

 非表示のパラメータ検索、ディレクトリブルートフォーシングやポートスキャン。

 JSファイルやCVE検索を試すように。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain