SQLi Web уязвимости Взлом Обучение

Поиск уязвимостей Web используя подручные средства для самых маленьких. Продолжение

Поиск уязвимостей Web используя подручные средства для самых маленьких. Продолжение

Это руководство предназначено для начинающих, которые все еще имеют минимальные знания в области информационной безопасности. Этой статьёй мы продолжаем цикл повествований о поиске Web уязвимостей.

Сегодня нам потребуется:

Установка настроек:

Я написал небольшой скрипт, чтобы облегчить процесс установки инструментов.

root@debian-s-1vcpu-2gb-ams3-01:~# git clone https://github.com/airwawekz/xrec.git

root@debian-s-1vcpu-2gb-ams3-01:~# cd xrec

root@debian-s-1vcpu-2gb-ams3-01:~# chmod +x xrec-install.sh

root@debian-s-1vcpu-2gb-ams3-01:~# ./xrec-install.sh

Процесс идентификации 

Сегодня мы попробуем поискать уязвимости во всех поддоменах, включая основной домен. Обычно основной домен является наиболее защищеным, чем субдомены, что означает, что мы должны сосредоточиться на субдоменах.

Например: *.example.com

Первый шаг:

Мы идентифицируем все субдомены, которые принадлежат example.com. Для этого мы используем Sublist3r.

123.jpg.fc3cb98d54d2c03be5a4906ba81140c4.jpg
root@debian-s-1vcpu-2gb-ams3-01:~#  cd /root/xrec/Sublist3r/
root@debian-s-1vcpu-2gb-ams3-01:~#  python sublist3r.py  -d example.com  -o domains.txt
123.jpg.6da8f9f2f94887a23d79afc1463f05ce.jpg

Я предлагаю для лучших результатов добавить API в конфигурации скрипта. (Например: Virustotal)

Ждём завершения сканирования, в результате которого будет создан файл «domains.txt», в котором будут сохранены результаты процесса сканирования.

Второй шаг:

Проверяем, какие домены действительно работают, для этого используем httprobe.

root@debian-s-1vcpu-2gb-ams3-01:~#   cat domains.txt | httprobe | tee -a alive.txt

После завершения этого процесса вы создадите файл с именем «alive.txt» с действительными поддоменами.

123.jpg.676237c8193c8fb631ae5c16ab4c9849.jpg

Третий шаг:

Мы делаем скриншоты для каждого действующего сайта, этот шаг помогает нам быстро определить потенциальные уязвимые субдомены, если у нас есть большой список действительных доменов.

root@debian-s-1vcpu-2gb-ams3-01:~# python  /root/xrec/webscreenshot/webscreenshot.py -r chromium -i alive.txt -o /root/xrec/webscreenshot/screens/
123.jpg.5d5fb940d905ebb2caafe53c9e76622a.jpg

Результаты будут сохранены в папке /root/xrec/webscreenshot/screen/ как * example.com.png.

Кстати, для этой цели можно использовать и утилитку aquatone из Kali Linux. Aquatone умеет сканировать открытые порты,
обнаруженные сканером nmap и делать скриншот того, что на них расположено.

Какой метод использовать каждому решать самому.

После завершения этого процесса я рекомендую вам проверить каждый скриншот отдельно. Напрмер, я часто нахажу забытые поддомены с уязвимыми старыми версиями cms.

Четвертый шаг:

Проверяем header response, этот шаг является очень важным, есть много уязвимостей, которые могут быть использованы через header.

Например: Yahoo Remote Code Execution

root@debian-s-1vcpu-2gb-ams3-01:~# cd /root/xrec/ | sudo chmod +x response.sh
root@debian-s-1vcpu-2gb-ams3-01:~/xrec# ./response.sh /root/xrec/Sublist3r/alive.txt
123.jpg.409e0a8fe89c5e3776c49ab1d5db3cac.jpg

В конце этого процесса будут созданы 2 папки «headers» и «responsebody», в которые будут сохранены результаты проверки.

Пятый шаг:

Последний шаг, это извлечение endpoint из файлов JS. Для этого используем jsfiles extractor.

root@debian-s-1vcpu-2gb-ams3-01:~# cd /root/xrec/ | chmod +x jsfiles.sh
root@debian-s-1vcpu-2gb-ams3-01:~# ./jsfiles.sh

После завершения этого процесса создаеться папка с именем «scripts», где все файлы будут иметь вид www.example.com.

123.jpg.7c374662a47e516a8298bada61b06a61.jpg

На данный момент мы собрали достаточно информации, нам осталось только протестировать.

Например:

Если у вас есть конечные ссылки: “details.php?id=3” или “details/id/3” первым действием является тестирование на наличие уязвимостей, таких как XSS/SQLi.

Другой пример, если у нас есть конечные ссылки: =redirectUrl=/example/photo мы можем попробовать open redirect.

Если у вас есть конечные точки формы: /pingcheck.php?s=google.com, можете сделать тесты для RCE или SSRF, если у вас есть  что-то подобное /viewpage.php?s=google.com.

Что можно добавить еще?

— Больше источников / API для сканирования поддоменов (например, Censys, Shodan и т. Д.)

— Сканирование портов с помощью nmap

— Направление bruteforce

— автоматизация всех процессов

Маленкая история как нашёл уязвимость XSS в Snapchat

Используя процесс сканирования поддоменов, я обнаружил, что этот поддомен snappublisher.snapchat.com имеет интересную функцию загрузки изображений после нескольких неудачных попыток пройти фильтр, я заметил что можно загрузить файлы формата SVG (Scalable Vector Graphics) а дальше все было просто:

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
<polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
  <script type="text/javascript">
    alert(document.domain);
  </script>
</svg>

Я сохранил код как img.svg и загрузил изображение, затем открыв изображение в новой вкладке ->Handler был активным. 

К сожелению, эта уязвимость может быть использована только для фишинг-атак. Мы сообщили об этой уязвимости команде Snapchat через Hackerone.

Кстати, сказали спасибо.

Не посмотришь—не увидишь, не расспросишь — не найдешь.

Статья написана в ознакомительных целях но каждый выбирет как это использовать…

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *