Polowanie na parametry do wtrysków
Wracamy z kolejnym blogiem.
Dziś omówimy skuteczne polowanie na parametry do zastrzyków
Od niedawna pracujemy nad prywatnym projektem. Nazwijmy to redacted.com .
Ponieważ było wiele subdomen, pomyśleliśmy o filtrowaniu subdomen na podstawie długości treści, aby znaleźć domeny oferujące dużą liczbę funkcji.
Więc po filtrowaniu wylądowaliśmy na <Sub.redacted.com>, która miała stronę logowania.
Początkowo szukaliśmy BAC; w międzyczasie zauważyliśmy, że gdy wprowadzamy nieprawidłowe dane uwierzytelniające na stronie logowania, odpowiada ona parametrem błędu w adresie URL.
Tak szybko zaczęliśmy wstrzykiwać ładunki XSS , aby wygenerować XSS , ale bez powodzenia, ponieważ nie byliśmy w stanie ominąć filtrowania.
Wkrótce potem zaczęliśmy testować funkcję resetowania hasła.
Tutaj zauważyliśmy, że po wprowadzeniu nieprawidłowego adresu e-mail w adresie URL nie został wygenerowany parametr błędu, więc pomyśleliśmy o ręcznym dodaniu tego parametru.
Ku naszemu zaskoczeniu param faktycznie odzwierciedlał .
Ponownie próbowaliśmy wstrzyknąć ładunki XSS , ale WAF wszystko blokował.
W końcu pomyśleliśmy o zrównoważeniu za pomocą tagu </div>, ponieważ i boom tutaj pojawia się HTML Injection .
Wiemy, co myślisz, tak, IFRAME wykonał resztę pracy .
Znajdowanie ukrytych parametrów:
Istnieje wiele narzędzi, takich jak Paramminer, Arjun, x8 itp., które pomagają nam znaleźć ukryte parametry, ale niestety w naszym przypadku żadne narzędzie nie zadziałało, ponieważ parametr może nie być obecny na domyślnej liście słów.
Polowanie na aktywne parametry:
Active Param Hunting pomaga w wykrywaniu wszystkich parametrów i generowaniu niestandardowej listy słów specyficznej dla celu.
Aby utworzyć niestandardową listę słów, musimy wyodrębnić wszystkie parametry związane z domeną i do tego użyjemy tego pięknego narzędzia getAllParams .
Kroki :
- Pobierz i skonfiguruj rozszerzenie getAllParams w swoim pakiecie burp
- Teraz zacznij indeksować witrynę zarówno automatycznie, jak i ręcznie.
3. Teraz Cel -> Mapa witryny -> Wybierz cel -> Kliknij prawym przyciskiem myszy -> Rozszerzenia -> Pobierz wszystkie parametry (GAP)
4. Zapisz wszystkie wyodrębnione parametry w pliku
5. Możesz także zebrać wszystkie adresy URL za pomocą gau , wayback , Katana lub innego narzędzia, a następnie wyodrębnić wszystkie parametry z wyodrębnionych adresów URL.
Napisaliśmy bardzo prosty skrypt, który może wyodrębnić wszystkie parametry z adresów URL zebranych z różnych narzędzi:
Param-Extract (tak, leniwy skrypt, ale działa, zaktualizujemy go później)
Alternatywnie możesz również użyć poniższego jednego wiersza, aby wyodrębnić adresy URL za pomocą narzędzia rozwijania:
adresy URL kotów | rozwiń format %q | wytnij -d „=” -f1 | sort -u > params.txt
6. Teraz połącz oba pliki param i sort -u
7. Po utworzeniu niestandardowej listy słów ze wszystkimi parametrami możesz łatwo użyć rozszerzenia Paraminer beknięcie, aby odkryć ukryte parametry.
8. Po zidentyfikowaniu ukrytych parametrów możesz przetestować różne wtryski lub inne błędy w oparciu o scenariusze przypadku.
Udanych łowów !!!!
Autorski:
Vaibhav Lakhani :
https://www.linkedin.com/in/vaibhav-lakhani https://twitter.com/vlakhani28
Dhir Parmar :
https://www.linkedin.com/in/dhir-parmar-925b171a4 https://twitter.com/dhirparmar
302 Znaleziono :
https://twitter.com/_302Found https://www.linkedin.com/company/302found/ https://github.com/302Found1/
Możesz też kupić nam kawę, jeśli podoba Ci się treść:https://www.buymeacoffee.com/302found
![Czym w ogóle jest lista połączona? [Część 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
