![dab8a3f489e99ebc1dda4c0e78e65c13.png](https://i-blog.csdnimg.cn/blog_migrate/290b69e476355f9e9d7db920c0fa62de.jpeg)
大家好!这是我第一次写关于漏洞悬赏的文章。我从2019年7月22日开始加入大量漏洞悬赏项目,想和大家分享我发现的所有漏洞。
关于项目的选择方面,我基本都选择范围较大的目标,因为我不太关心奖励高低,只是想锻炼自己。最后我选择了索尼。
让我们先从子域枚举开始。首先,我使用了网站crt.sh
,并使用以下代码来查找可能的子域。
crt.sh是一款证书搜索工具,你可以借用通配符对某个域名进行范围搜索,并根据其相关的一系列时间判定其有效性。
![43b6571a9380c2da212401d64e056cee.png](https://i-blog.csdnimg.cn/blog_migrate/6c10ae19e14272247037cd098795d737.jpeg)
%my%.sony.net
%jira%.sony.net
%jenkins%.sony.net
%test%.sony.net
%staging%.sony.net
%corp%.sony.net
%api%.sony.net
%ws%.sony.net
%.%.%.sony.net
我也会插入某些随机字母进行查询:
%p%.sony.net
%i%.sony.net
%ff%.sony.net
%co%.sony.net
![489499c82f78a6565890a1d26d35bb99.png](https://i-blog.csdnimg.cn/blog_migrate/690abbdcd79c375eb72b01d9b12da2ba.jpeg)
很快我便找到了可疑的目标(http://ppf.sony.net)。然后,我用assetfinder和tomnomnom的httprobe进行子域枚举,成功发现了一个深度子域,也就是我们的目标authtry.dev2.sandbox.dev.ppf.sony.net
。
assetfinder -subs-only ppf.sony.net | httprobe
![5d24fb591b3c325d00ccd02edd21d78c.png](https://i-blog.csdnimg.cn/blog_migrate/740ca2f690e80208c33cb6fca8f73ca7.jpeg)
assetfinder是一款子域名遍历工具,它可从多个公开的数据源中提取出相关域名的资产。
![4174954acd9d2e34104f5636d763a809.png](https://i-blog.csdnimg.cn/blog_migrate/1e26bea327f834b85217e6f279728c8e.jpeg)
httprobe可判定域名是工作在http还是https上(或者两者都有),这也可用于判定域名的有效性。
![61766f5a19930556b2a9b6b9ba110944.png](https://i-blog.csdnimg.cn/blog_migrate/031e1ce9b6390de00e66444ce4f449c8.jpeg)
最后,我使用dirsearch对目录进行爆破,如果如下:
dirsearch.py -u “authtry.dev2.sandbox.dev.ppf.sony.net” -e html,json,php -x 403,500 -t 50
![86b76007a94b4679992998e2c1e81ee7.png](https://i-blog.csdnimg.cn/blog_migrate/ae3e0abdc1d0185e41bc2a7d848a0498.jpeg)
从上图中你可以看到一个/phpinfo.php
,这是一个明显的信息泄露,我据此提交了另一份报告。
当我访问index.php
时,得到的页面如下。
![a405035733de4a70af85c735dc092526.png](https://i-blog.csdnimg.cn/blog_migrate/36fb6d4fd5304d7df4d34a5fe2607b58.jpeg)
很明显该页面可以接受参数输入,很可能和at以及code有关,我直接插入XSS的payload在页面上,反应如下:
我最常用的<img onerror=”{alert`1`}” src>
![05c2eaefaa286f4f2d5ca42caa63a645.png](https://i-blog.csdnimg.cn/blog_migrate/3dc39708d1f8a0520f6e713980e17e85.jpeg)
我相信任何安全研究人员一旦看到这个页面都能摸索出利用方法,但前提是能找到该域名。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:Sony某个深度子域上的XSS|NOSEC安全讯息平台 - 白帽汇安全研究院
原文:https://medium.com/@gguzelkokar.mdbf15/xss-on-sony-subdomain-feddaea8f5a
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。