看我如何在前期踩點過程中發現價值$4500的漏洞

本文中我描述了在某漏洞賞金邀請項目中，在前期偵察踩點階段就發現Uber子域名劫持漏洞的一個案例，漏洞原因由於Uber在暫停AWS服務後，未及時刪除CNAME域名記錄所致。

剛踩點就有所發現

首先，我用來測試子域名漏洞的工具是Aquatone（洛克希德U2偵察機代號也叫這個），這個工具非常好用，可算是眾多白帽的必備利器了。非常幸運的是，我不經意地用它來測試目標，就有了發現，真像是中了頭獎！

在運行了命令aquatone-takeover —domain {}.com之後，我就發現了目標網站某個架設在AWS上的子域名存在可劫持漏洞。一開始，我倒不覺得興奮，因為大多數CNAME記錄域名，一般都是目標測試公司仍然在用的，這樣的子域名當然也就不存在可申請註冊的可能。但是，我仔細分析後發現，目標公司好像是暫停了AWS服務，真的忘記把CNAME域名記錄刪除了，而且，我還能申請註冊其CNAME域名！

漏洞原理分析

這裡的子域名劫持原理是這樣的，就是Uber公司使用了亞馬遜AWS的服務後，由於後期暫停取消了AWS服務，但是卻忘記了及時刪除cloundfront.net樣式的CNAME域名記錄指向，此時，這個CNAME域名就存在可被別人註冊的風險，惡意攻擊者通過註冊該域名，配合未刪除的CNAME記錄，就能實現對原先uber的子域劫持。

漏洞測試

當然，Uber已經在用的域名肯定不能申請，我們的目標是cloundfront.net樣式的CNAME域名。這裡有一個簡單快捷的子域名劫持驗證方法，那就是在上圖的兩組對應域名中，分別用http和https協議來測試打開，如果最終兩者返回的錯誤響應一致，那麼可以初步判斷存在子域劫持可能。

如果存在子域名可申請註冊可能，為了不影響目標測試公司的聲譽，那麼最好是把你自己的測試頁面放到網站的非根目錄/下。我申請註冊了上述cloundfront.net樣式域名，並把我的一個簡單的HTML測試PoC頁面指向了其域名解析，如下：

很好，毫無疑問地實現了子域名劫持測試。我把這個漏洞上報給HackerOne之後，他們非常重視，在4天內就給予了漏洞修復和回應。然而，比較有意思的是，在我進行子域名劫持測試期間，由於具備對該子域的管理權，所以也從後台卻收集到了一些不可思議的數據。

競爭異常激烈的眾測領域

上圖流量分析中，可以看到總共有1200多個請求測試，很多網路行為貌似都是白帽黑客對網站進行的漏洞探測，其中包含了大量的各種目錄測試枚舉、XSS測試、開放重定向驗證等。由此可以反映出，我們的漏洞賞金項目也是競爭激烈啊，還好，我有幸參與的是不那麼競爭慘烈的邀請項目，而且非常走運地發現了這個漏洞。

最終，由於該漏洞涉及的子域名可以在其中設置有效的cookie信息，存在很高的安全隱患，因此，獲得了項目發起方$4500美金的獎勵。

漏洞上報進程

2018.4.12 漏洞上報分類

2018.4.16 漏洞修復

2018.5.3 $4500賞金髮放

*參考來源：medium，FreeBuf 小編 clouds 編譯，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！