设为首页收藏本站
开启辅助访问
【翻译】$30,000漏洞赏金的故事(002) 您所在的位置:网站首页 高赏金下载app任务 【翻译】$30,000漏洞赏金的故事(002)

【翻译】$30,000漏洞赏金的故事(002)

2023-06-15 14:22| 来源: 网络整理| 查看: 265

标题:The 30000$ Bounty Affair. 作者:Gokulsspace 原文地址:https://medium.com/@gokulsspace/the-30000-bounty-affair-3f025ee6b834

这是在喀拉拉邦最炎热的地区之一,Palakkad。我整天在搜寻漏洞,汗水浸透了我整个身体。由于到中午还没有找到任何漏洞,我感到烦恼和厌倦。到了中午,我特别搜寻了这家金融公司的不同域名,比方说target.com。这是一个两部分的故事!

第一部分:8081端口上的秘密

作为我在漏洞搜寻中未定义的方法论,如果我遇到不好的一天,我就会到Censys和Shodan上挖掘一切!因此,在这里我也采取了同样的做法。只是去Censys,挖掘了每个target.com的IP地址。 挖掘一段时间后,我发现了这个有许多端口开放的有趣IP地址,如80、443、8081、8080等等。 因此,这个IP特别在端口8080和8081上很可疑。我从Censys的侧栏中注意到这个IP地址与MongoExpress和Jenkins有关。但我仍然不确定这个IP地址是否属于target.com。所以,在探索那些端口之前,我先去了https://www.sslshopper.com/ssl-checker.html,只是为了检查该IP地址是否属于target.com。有趣的是,它属于target.com,并且还与这个特定公司的许多其他在线属性相关联。 所以我首先打开了8081端口:https://ipaddress:8081 这一刻,我感觉像沙漠中的雨一样。那是一个没有任何身份验证的暴露MongoExpress面板。

由于我获得了这个面板的公开访问权限,我可以做任何我想做的事情,包括:

配置现有数据库创建新的数据库删除现有的数据库,等等。

请添加图片描述

由于某些严重的配置错误,我还能够访问以下路径。

http://ipaddress:8081/db/config/

http://ipaddress:8081/db/config/system.sessions

http://ipaddress:8081/db/admin/system.users

http://ipaddress:8081/db/admin/system.version

http://ipaddress:8081/db/local/startup_log

最重要的是,我在admin数据库中找到了以salt形式存储的管理员凭证,攻击者可以编辑这些凭证。

请添加图片描述

因此,我立即向该公司报告了这一情况,并解释了一切,并将其评为严重等级。接下来请阅读第二部分,以了解一些真正惊人的转折。

第二部分:8080端口上的宝藏

正如我在第一部分中解释的那样,我正在检查这个重要的IP地址上的所有端口。我们已经完成了8081端口上的秘密。你们中的一些人可能会想,为什么我在测试8080端口之前先测试了8081端口。只有一个原因:8080端口是一个404错误页面,我以为这将是一个死路。

请添加图片描述

如果你遇到这样的404页面,请不要关闭选项卡并去找其他目标。那些天,我开始扫描目录,无论返回状态代码是200、404还是403都要尝试。大部分时间,宝藏就在这些页面中。

所以,我使用我的扫描字典在http://ipaddress:8080/上扫描目录,寻找一些有用的路径,使用ffuf进行模糊测试。虽然我并没有期望很大,但只有一个单词返回了状态码200 OK。那就是/jenkins/script。

我建议大家将这个路径添加到你们的扫描列表中。

我立即打开了这个路径:http://ipaddress:8080/jenkins/script

我的心跳开始加速。8081端口是打开的MongoExpress之门,但8080端口更加特别。它是打开JENKINS的大门。未经身份验证的我进入了这个jenkins面板。那里有许多路径和信息可用,但现在不会谈论那些。

这里的主要问题是我可以自由访问这个jenkins,并且更重要的是/script控制台是打开的。所以,http://ipaddress:8080/jenkins/script会带我进入:

请添加图片描述

所以,我记得在Twitter上看到有关Jenkins实例上RCE的随机推文。所以,我在Twitter上搜索了一下,并阅读了以前在HackerOne上发布的Jenkins RCE报告。

所以我知道是时候行动了,我立即采取了行动。我所需要做的就是在/script控制台上注入一些简单的命令:

我在这个控制台上尝试的一些命令是:

“ls /”.execute().text“ps aux”.execute().textprintln “whoami”.execute().text

这些命令将从内部产生正确的输出。例如,如果你在script控制台上给出println “whoami”.execute().text,输出将是Jenkins。

就是这样,我立即准备了所有的poc和一切,并报告给了团队,作为第2份报告。我希望他们会认真对待两者都作为严重问题,但他们更重视RCE,同时也重复了MongoExpress的问题,因为修复对两个实例都有效。他们在半夜给了我惊喜,赏金是我所期望的2倍,:

请添加图片描述

简而言之: 使用简单的Censys搜索,如(target.com)和services.software.product=”jenkins”或者使用这样的Shodan查询语法:Set-Cookie:mongo-express=”200 OK”将/jenkins/script添加到你的扫描字典中。 主要收获: 永远不要相信404页面。在漏洞搜寻中,Censys和Shodan是真正的好帮手。

每周一9点发布精选内容。

每周三9点发布翻译内容。

更多安全资讯,请关注微信公众号:安全虫。



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有