+ 1700$ trong 40 phút chỉ bằng phương pháp fuzzing

Hé anh em, mình thi thoảng có chơi bug bounty để khỏi lụt nghề thôi (tại bây giờ mình đang tập trung vào mảng automotive là chủ yếu). Hôm nay lên cho anh em con hàng mình vừa tìm được khá đơn giản.

Fuzzing web với FFUF

Đầu tiên sẽ là công cụ mà mình đã sử dụng, FFUF(Fuzz Faster U Fool) là một tool opensource được viết bằng Go dùng để scan subdomains với 1 wordlist khoảng 110 nghìn từ chỉ mất 3 phút 50 giây, trung bình là 2000 requests mỗi giây. Đối với pentest web chúng ta có thể sử dụng nó cho việc fuzz directory, files, các get parameters, hay post data, dns, ... Về việc cài đặt thì anh em tự gõ kiếm là ra (https://github.com/ffuf/ffuf).

Attack Path siêu đơn giản

Với target mà mình nhận được trong nền tảng bounty (https://targethunt), theo thói quen thì mình vẫn sẽ scan recognize như thường lệ và đặc biệt sử dụng FFUF để enum ra những path đang bị hidden đi

ffuf -u https://targethunt/FUZZ -w /mywordlist/path.txt

Đúng như kì vọng thì sau 15p output cho ra kết quả của 1 đường dẫn chứa các bài viết của người dùng

Và chúng ta có thể xem chúng mà không cần qua bất kì lớp authen nào. Oke và đến đây thì report cũng đã được rồi tuy nhiên để vắt khô hơn thì mình sẽ nghịch một vài phương pháp đơn giản để có thể raise cái impact này lên Chúng ta sẽ thử thay đổi method từ GET sang DELETE cùng lúc đó là thêm vào sau path 1 id có trong response, để test thử xem có xóa được ko (cái này mình ko khuyến khích anh em xóa dữ liệu của người ta ) tuy nhiên server trả về Not Found. Tiếp tục mình thử đổi sang method POST và thêm vào đuôi path là /id/delete Và kết quả trả về success

Và để chắc chắn đã xóa thì mình sẽ vào lại cái đường dẫn listing lúc nãy để kiểm tra và đúng là nó đã bị xóa thật

Đến đây mình tiếp tục fuzz path tiếp, cụ thể là POST /plmt/id/<FUZZ> và đúng là nó có thêm những path khác như clone, nôm na nó sẽ cho phép clone ra những bài viết theo id.