Shikata Ga Nai

Private? There is no such things.

How I Get my first P1 (Sensitive Information Disclosure) using WPScanを訳してみた

Hello there, ('ω')ノ

 

WPScanを使用して最初のP1(機密情報開示)を取得する方法を。

 

脆弱性:

 情報開示

 

記事:

 https://medium.com/@harrmahar/how-i-get-my-first-p1-sensitive-information-disclosure-using-wpscan-c2fba00ac361

 

偵察フェーズ:

最初に行うステップは、すべてのサブドメインを見つけることで。

crtshをhttpprobe(By Tomnomnom)と組み合わせて使用​​して。

VPSで次のコマンドを実行して。

 

 https://crt.sh/

f:id:ThisIsOne:20220127233806p:plain

 

 https://github.com/tomnomnom/httprobe

f:id:ThisIsOne:20220127233910p:plain

 

curl -s https://crt.sh/\?q\=\%.$1\&output\=json | jq -r '.[].name_value' | sed 's/\*\.//g' | sort -u | httprobe | tee -a ./alive.txt

 

curl:

 crt.shでターゲットドメインを検索し、出力をjsonに保存して。

 jq、sed:

 出力のスライスとフィルタリングを行うため、ドメインのみを取得して。

sort:

 重複するドメインを削除して。

httprobe:

 サブドメインがアクティブかどうかを確認して。

tee:

 httprobeからの出力を2つの部分に分割するため、ターミナルに表示され。

 出力ファイルにも書き込まれて。

 

偵察を行うたびにその非常に長いコマンドを入力はせずに。

ショートカットでこれを行うために.bash_profileを使用する方法は。

下記のYoutubeのビデオで学んで。
 https://www.youtube.com/watch?v=YhUiAH5SIqk

 

Nahamsecのrecon_profileからそのコマンドを取得して。

 https://github.com/nahamsec/recon_profile/blob/master/.bash_profile

 

f:id:ThisIsOne:20220127201214p:plain

 

すべてのサブドメインを取得したら、サブドメインを1つずつブラウザで開き。

そこにある機能を確認しするものの1つずつ実行し、URLを1つずつコピーして。

ブラウザに貼り付け、ページが完全に読み込まれるまで待つのは時間の無駄なので。

Firefoxでこれらの非常に役立つ拡張機能を使用することに。

 

1. Open Multiple URLs(ワンクリックで複数のURLを開く)

https://chrome.google.com/webstore/detail/open-multiple-urls/oifijhaokejakekmnjmphonojcfkpbbh?hl=en

 

f:id:ThisIsOne:20220127201447p:plain

 

2.Wappalyer

https://www.wappalyzer.com/

 

f:id:ThisIsOne:20220127201532p:plain

 

取得したすべてのサブドメインについて、通常はワンクリックで。

20〜30個のサブドメインを開いて、1つずつチェックするのですが。

 

f:id:ThisIsOne:20220127201357p:plain

 

この手法を使用することで、サブドメインの50%以上が。

WordPress(メインドメインを含む)を使用していることがわかって。

あまり考えずに、最初にメインドメインをwpscanをすることに。

下記は、Wappalyzerで。

 

f:id:ThisIsOne:20220127201323p:plain


WPscan検索:

wpscanが完了するのを待った後、非常に興味深いアラートを見つけて。

wp-configバックアップファイル(wp-config.php.bak)が見つかったと。

書いてあったので、https://redacted.com/wp-config.php.bakなどの。

URLからアクセスしようとすると。

db_name、db_password、およびその他の機密情報が見つかって。

下記は、wp-configファイルで。

 

f:id:ThisIsOne:20220127201257p:plain

 

Best regards, (^^ゞ