Мои любимые инструменты от компании Project Discovery: ProjectDiscovery
Приступим!
Для начала соберем субдомены и отсечем от них веб ресурсы
Код:
subfinder -d gb.ru -o gb_domain | httpx -silent -sc -titleЕсли вы это сделали, то увидите огромное количество доменов с разными статус кодами, но наиболее частный это 403. Как выходец из HTB, сразу мне попался на глаза хост
Ссылка скрыта от гостей
, в моих мыслях сразу перед глазами появилась машина adminer
Нас там встречает 403, а это значит что пора байпасть, я в таких случаях использую инструмент
GitHub - laluka/bypass-url-parser: bypass-url-parser
На удивление была реакция на веб хидер
Код:
X-Forwared-for: 5.61.239.22Потом делаем все как учили на HTB: крутим уязвимость связанную с elasticsearch
CVE-2021-21311 - GitHub Advisory Database
и получаем SSRF
Перед тем как начать дальнешие атаки во внутреннюю сеть я связался с @mokando и попросил разрешения на атаки для других доменов, естественно без пост эксплуатации ,а для повышения критичности данной уязвимости.
ВАЖНО!!! Советую всегда спрашивать разрешения и говорить о своих намерениях , или можно улететь в бан)
Крутим дальше, так мы уже обошли фильтры reverse proxy и можем выполнять атаку Host header injection
Если у нас есть возможность обойти Reverse Proxy, то значит мы сможем и обращаться к другим доменам
Настраиваем бюрп что бы удобно было ходить и подгружается нормально веб приложение Host header injection
И для XFF
Ходя по внутренним доменам мы можем найти еще множесто уязвимостей LFI grafana
Information disclosure
Таким образом мы получаем полный доступ к хостам за реверс прокси и нашли еще множество интересной информации. Данная уязвимость была оценена как критическая.
Спасибо платформе standoff365, за возможность искать уязвимости на многих различных проектах!
Последнее редактирование:
