注意事项
本指南适用于仍对信息安全了解最少的初学者。 我尝试鼓励有很多时间并且想做一些有成就的年轻人。
引言
如您所知,有许多与公司合作的中间站点可以提高Bug赏金计划的效率,其中包括:
- hackerone.com
- bugcrowd.com
- intigriti.com
- yeswehack.com
- openbugbounty.org
- synack.com(私人)
如何运作?
- 寻找漏洞
- 我们编写了利用漏洞的步骤
- 抛弃此技术报告。 支持。
- 我们得到一枚硬币。
为此我们需要什么?
VPS,最好是Debian(可以使用其他版本)+良好的互联网连接(我从alexhost.com获得,VPS 1.5 GB RAM,1核,10GB SSD每年仅11欧元。)
- sublist3r
- 长袍
- 截屏
- 标头响应
- 相对网址提取器
- jsfiles提取器
设定偏好
我写了一个小脚本来方便工具的安装。
root@debian-s-1vcpu-2gb-ams3-01:~# git clone https://github.com/airwawekz/xrec.git root@debian-s-1vcpu-2gb-ams3-01:~# cd xrec root@debian-s-1vcpu-2gb-ams3-01:~# chmod +x xrec-install.sh root@debian-s-1vcpu-2gb-ams3-01:~# ./xrec-install.sh
鉴定过程
假设我们要参与的程序旨在在所有子域(包括主域)中搜索漏洞。 通常,主域比其子域更安全,这意味着我们应该关注子域。
例如:* .example.com
第一步:我们确定属于example.com的所有子域。 为此,我们使用Sublist3r。
root@debian-s-1vcpu-2gb-ams3-01:~# cd /root/xrec/Sublist3r/
root@debian-s-1vcpu-2gb-ams3-01:~# python sublist3r.py -d example.com -o domains.txt
建议您在脚本配置中添加API,以获得最佳效果。 (例如:Virustotal)
我们正在等待扫描完成,最后您将创建一个“ domains.txt”文件,其中将保存扫描过程的结果。
第二步:我们检查哪些域有效,为此,我们使用httprobe。
root@debian-s-1vcpu-2gb-ams3-01:~# cat domains.txt | httprobe | tee -a alive.txt
完成此过程后,您将创建一个带有有效子域的名为“ alive.txt”的文件。
第三步:我们为每个活动站点拍摄屏幕截图,如果我们有大量有效域,此步骤可帮助我们快速识别潜在的易受攻击的子域。
root@debian-s-1vcpu-2gb-ams3-01:~# python /root/xrec/webscreenshot/webscreenshot.py -r chromium -i alive.txt -o /root/xrec/webscreenshot/screens/
结果将保存在文件夹/ root / xrec / webscreenshot / screen /中,作为* example.com.png。
完成此过程后,建议您分别检查每个屏幕截图。 我经常发现带有易受攻击的cms的被遗忘的子域。
第四步:我们检查标头响应,此步骤非常重要,可以通过标头使用许多漏洞。
例如:
Yahoo远程执行代码 root@debian-s-1vcpu-2gb-ams3-01:~# cd /root/xrec/ | sudo chmod +x response.sh root@debian-s-1vcpu-2gb-ams3-01:~/xrec# ./response.sh /root/xrec/Sublist3r/alive.txt
在此过程结束时,将创建2个标题和响应主体文件夹,其中将保存验证结果。
第五步:最后一步是从JS文件中提取端点。 为此,请使用jsfiles提取器。
root@debian-s-1vcpu-2gb-ams3-01:~# cd /root/xrec/ | chmod +x jsfiles.sh root@debian-s-1vcpu-2gb-ams3-01:~# ./jsfiles.sh
完成此过程后,将创建一个名为“脚本”的文件夹,其中所有文件都将类似于
www.example.com 。
目前,我们已经收集了足够的信息,我们只需要进行测试。
例如:
如果您拥有最终链接:“ details.php?Id = 3”或“ details / id / 3”,则第一步是测试XSS / SQLi等漏洞。
另一个例子,如果我们有末端链接:= redirectUrl = / example / photo,我们可以尝试打开重定向。
如果您具有以下形式的端点:/pingcheck.php?s=google.com,则可以使用/viewpage.php?s=google.com进行RCE或SSRF的测试。
我还能添加什么?
- 更多用于扫描子域的来源/ API(例如Censys,Shodan等)
- 使用nmap进行端口扫描
- 方向暴力
- 所有过程的自动化
XSS Snapchat
通过扫描子域的过程,我发现此子域snappublisher.snapchat.com具有有趣的功能,可以在几次失败的尝试通过过滤器后加载图像,我注意到您可以下载SVG(可缩放矢量图形)格式的文件,然后一切都很简单
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg"> <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/> <script type="text/javascript"> alert(document.domain); </script> </svg>
我将代码另存为img.svg并上传了图像,然后在新选项卡中打开图像->处理程序处于活动状态。
不幸的是,此漏洞只能用于网络钓鱼攻击。 我们通过Hackerone向Snapchat团队报告了此漏洞。 我们表示感谢))
您不会看-您不会看到,您不会问-您不会找到。