Shikata Ga Nai

Private? There is no such things.

第29回:過去の情報を使った調査 〜Wayback Machine をハック視点で活用する〜

Bug Bounty

Hello there, ('ω')ノ

1. Wayback Machine って何?

ポイント:本番サーバ撤去済みのページや JS、PDF、バックアップも丸ごと残っていることが多い。

2. なぜ過去ページがバグ探しに効くのか?

期待できる発見 よくある理由
旧 API エンドポイント 新版リリース後もバックエンドでは生きている ─ 認可チェック甘いケース多発
管理者用ディレクトリ /admin_old/ などをリネームしただけで中身そのまま
コメント付き JS / Config 本番では圧縮・削除 → 旧版には API キーが平文
開発用認証情報 体裁上は消したつもりの test:test サンプルログインが残留

3. 基本の調査フロー

3.1 URL 一覧の取得

waybackurls example.com > wayback_raw.txt
sort -u wayback_raw.txt > wayback_urls.txt
  • waybackurls:Go 製 CLI。Wayback Machine だけでなく Common Crawl も照会

3.2 “お宝” フィルタリング

grep -Ei '\.(php|aspx|bak|zip|json)$' wayback_urls.txt > juicy.txt

さらに

grep -iE 'admin|test|beta|old|backup' wayback_urls.txt >> juicy.txt
sort -u juicy.txt > targets.txt

3.3 存活確認 & 影響評価

httpx -l targets.txt -status-code -title -o alive.txt
  • 200/302 で応答する URL は現在もアクセス可能
  • 403/401 でも WAF 越しの場合あり。ヘッダー調整やパラメータ追加で再確認。

4. GUI 派のためのブラウザ活用術

  1. https://web.archive.org/web/*/https://example.com/* をブラウザで開く
  2. 年代タブ → もっとも古いスナップショット を選択
  3. URL バー下の “Download 〇〇 files” をクリックして ZIP 取得
  4. ローカルで grep -R "api_key" ./snapshot/ → キーやシークレットを検索

5. 便利ツール&プチスクリプト

ツール 役割
gau Wayback+VirusTotal+URLsScan をまとめて取得
katana 取得 URL に対しさらにリンククロールで深堀り
airixss Wayback から取得したパラメータ付き URL を XSS テスト

例:

gau example.com | airixss -payload "<svg/onload=alert(1)>" | tee xss_candidates.txt

6. ケーススタディ:実際にあった“Wayback ハック”

  1. Snapshop Ltd.(仮称)の beta-api.snapshop.com URL を Wayback で発見
  2. 現在は DNS 解決不可だが IP は残存 → 直接 IP へアクセス
  3. /v1/user/export に認証不要の CSV ダウンロード機能を確認
  4. 100 万件超の顧客データ → Critical 判定で報奨金 6,000 USD

7. 落とし穴と注意点

回避策
スコープ外 URL を掘ってしまう プログラムの in-scope を再確認しホワイトリスト照合
攻撃的 HTTP メソッドを連続実行 → DoS 誤判定 -rate オプションで低速化 & 時間帯分散
SnapShot 依存で“現存しない機能”を報告 必ず 現時点で再現可能か を確認してから報告

8. まとめ:過去は今も生きている

  • Wayback Machine は “消したはず”を暴く最強 OSINT
  • CLI / GUI 両方を併用し、URL → フィルタ → 実機確認 の3段構え
  • 古い資産 × 認証緩い × 管理者機能 = ハイバウンティ黄金パターン

「現在を守るには過去を知れ」 ─ アーカイブを掘る習慣を今日から取り入れてみてください。

Best regards, (^^ゞ