Hello there, ('ω')ノ
偵察を行うだけで簡単なP1を見つけることができた方法を。
脆弱性:
LFI
記事:
ツール:
assetfinder
findomain
amass
aquatone
naabu
dirsearch
今回は、偵察を行うだけで、簡単なp1(クリティカル)バグを。
見つけることができた方法について説明することに。
ターゲットを「target.com」と呼ぶことに。
ターゲットには、巨大なスコープ(* .target.com)があって。
「.target.com」のようなものが表示されると。
Assetfinder、Findomain、Amassなどの複数のツールを使用して。
サブドメインの列挙をすばやく開始することに。
常に3つ以上のツールを実行するのがおすすめで。
assetfinder -subs-only target.com
findomain -t target.com
amass enum passive -d target.com
https://github.com/tomnomnom/assetfinder
https://github.com/Findomain/Findomain
https://github.com/OWASP/Amass
プロセスを自動化するための簡単なbashスクリプトを作成して。
サブドメインの列挙後、私は各サブドメインを手動で調べて。
aquatoneを試してすべてのサブドメインのスクリーンショットを取得することも。
Firefoxですべてのサブドメインを開いて。
下記のようにbashのワンライナーを使用してすばやく表示することもできて。
cat subdomains.txt | while read subs; do firefox $subs; sleep 8; done
https://github.com/michenriksen/aquatone
このプロセス中に、接続できなかったサブドメインが多数あったり。
エラーが発生しましたので、これらのサブドメインに対して。
他のポート(ftp、sshなど)が開いていることがわかった場合は。
ポートスキャンを試してみようと思って。
すべてのサブドメインのIPアドレスを見つけて、nmapスキャンを開始することに。
nmap -sV -iL ips.txt -oN nmap_scan.txt
または、projectdiscoveryの「naabu」ツールを試すこともできて。
nmapよりもはるかに高速で。
cat ips.txt | naabu
https://github.com/projectdiscovery/naabu
nmapの結果を調べると、1つのサブドメイン(loadturn002.example.com)の。
ポート5080(OnScreen Data Collection Service)が開いていることがわかって。
すぐにブラウザにアクセスして、http://loadturn002.example.com:5080と入力すると。
サーバー情報とともに「ファイルが見つかりません」というエラーが表示されたので。
ディレクトリブルートフォーシングを試してみようと思いdirsearchを。
python3 dirsearch.py -u http://loadturn002.example.com -e * -w my_wordlist.txt -t 100 -x 403,404,301
https://github.com/maurosoria/dirsearch
そして興味深いことに、「/etc/passwd」という名前のディレクトリを見つけたので。
ブラウザを開いて、http://loadturn002.example.com:5080/etc/passwdと入力すると。
いくつかのポイント:
常にできるだけ多くのサブドメインを見つけて。
ジューシーに感じるすべてのサブドメインを候補リストに追加して。
非表示のパラメータ検索、ディレクトリブルートフォーシングやポートスキャン。
JSファイルやCVE検索を試すように。
Best regards, (^^ゞ