Hello there, ('ω')ノ
robots.txt ファイルを読み取ると4つの XSS レポートが表示されるのはなぜですか?を。
脆弱性:
記事:
https://c0nqr0r.medium.com/reading-robots-txt-got-me-4-xss-reports-9fd2234c635f
今回は、5つ以上のXSSを獲得できた方法を共有することに。
スコープ:
いつものように、すべての人は *.domain.com や広いスコープを見ると。
偵察を開始しますが、スコープは 10または 8つのサブドメインであり。
それらすべてが 1つのドメインに属しているわけではなく。
いくつかの異なる TLD(トップレベルのドメイン) とドメインがあり。
ここではサブドメインの列挙を行うことはできず。
ハンズオン:
ログインや登録などの通常のユーザとしていくつかの機能をテストし。
何か機能があるかどうかを確認しようとしましたが。
興味深いものは何も見つからなかったので、解決策は1つしかなくて。
偵察プロセスを実行して、次のようなデータを収集できて。
エンドポイント、JS ファイル、パラメータ、Web アーカイブからのリンク。
そして、機能に戻って偵察データで再度テストするときに役立つメモ。
偵察:
はじめにGoogle Dorking を開始して、何かがあるかどうかを確認しますが。
何も見つからず。
次にWayback アーカイブでドメイン名を検索しましたが、何も見つからず。
次に robots.txt ファイルを開いて、開発者が私たちから何を隠しているかを確認し。
分析することに。
ここで /Admin を見つけましたが、/admin/login.asp [302] にリダイレクトされ。
他のディレクトリは、.aspエンドポイントにリダイレクトしないため。
それから始めることに。
ソース コードを開く
⇩
シークレットまたはエンドポイントを検索
⇩
何も見つからず
JS ファイルを開く
⇩
gospider や Jsscanner などのツールを使用して。
そこからシークレットとエンドポイントを抽出して手動で分析
⇩
何も見つからず
ファジングしてみることに。
ffuf -u https://sub.domain.com/admin/FUZZ -w aspfiles.txt -mc 200
このリストは Github SecLists リポジトリにあって。
このページにたどり着きましたが、静的なように見え。
HTML と CSS ボタンだけが機能しておらず。
しかし、ソースコードは機能していたので分析すると。
.JSファイルとHTMLソースコードを読んだ後に。
この興味深いエンドポイントを見つけて。
すぐにエンドポイントを 下記に変更して。
https://sub.domain.com/admin/colorpicker_IEPatch.asp
色をクリックしても何も起こらず。
すべてのボタンをクリックしても何も機能せず。
これで、サーバまたはクライアント側とのやり取りを維持するパラメータを。
見つけることができると思い。
これによりデータを挿入して、それがどのように機能するかを確認でき。
Arjun ツールをバックグラウンドでこのエンドポイントで動作させたままにし。
この間、JSファイルとソースコードを再度探して。
JS ファイルを開く
⇩
gospider や Jsscanner などのツールを使用して、そこからシークレットと。
エンドポイントを抽出するか、手動で分析
⇩
何も見つからず
ソース コードを開く
⇩
シークレットまたはエンドポイントを検索
⇩
いくつか見つけて
同時に、Arjun がソース コードからこれを取得したので。
ページのソース コードの本文にあるデータが反映されていることがわかり。
arjun -u https://sub.domain.com/admin/colorpicker_IEPatch.asp
https://www.kali.org/tools/arjun/
任意のパラメータで、“>qaramany<と入力すると、script タグ内に反映され。
><文字 は、フィルタリングなしで反映され。
スクリプト タグを閉じて新しいタグを挿入し、アラートを実行することに。
</script><img src=x onerror=alert(document.cookie)>
これで最初の XSS を取得して。
同じ手順で、他のスコープ サブドメインを使用して他の 4つの XSS を取得して。
それは多くの人が気にしないrobots.txtから始まり。
./adminである同じディレクトリをテストし、開発者がそれを削除するのを。
忘れていることを発見して。
この開発者は素晴らしく怠惰で。
他の4つのサブドメインをテストして見つけ。
それらはすべて XSS に対しても脆弱で。
Best regards, (^^ゞ