Skip to main content

Session leak & CORS misconfiguration lead to account takeover

Subdomain Enumeration (Arabic)

ازاي تكبر scope الخاص بالtarget?

السلام عليكم 

كلنا خلال عملية تجميع الSubdomains دايما بنخش نجيب الtargetو نطلع الSubdomains 

و نشوف ال live فيهم و بس كدا نكمل و الscope يكون فيه بتاع 20 subdomain و خلاص كدا

و طبعا اكيد في اشخاص كتير من قبلك دخلو عليهم و عملو منهم بطاطس

بس دايما مش معني ان كلو دخل هنا يبقي مش هلاقي حاجة 

لا اكيد هتلاقي لان كل الي بيخش اكيد مش بيفكرو زيك وكل واحد له طريقة بالتفكير

بس الموضوع بيبقي اصعب فا الفكرة من ان الscope بتاعك يبقي كبير

انك تجيب subdomains او endpoints ميكونش حد شافها او عدد قليل قام بزيارتها

فا بالتالي فرصتك بتبقي اكبر 

فا الموضوع بيبقا ك التالي
 

مثال هنا في test.com انك بتجيب الsubdomains عندنا هنا 3 subdomains

فا اكيد في اشخاص كتير دخلو عليهم قبليك فا بالتالي فرصتك بتبقي قليلة 

فا انت بتخش تجرب حظك و لقيت Bugs او ملقتش و خلاص كدا و بتمشي

لكن لو الscope بتاع test.com عبارة عن 3 subdomains

فا ازاي اكبر الscope من 3 subdomains لاكتر

هو اكيد الفكرة معروفة عند البعض و البعض عارفها لكن بينسي يطبقها

و هو انك بتستخرج الSubdomains بتاعت الSubdomains

في مثال عملي بس بعد التوضيح دا

فا بيكون كالاتي


فا اصبح كان عندي 3 subdomains فا انا ضفت عليهم 2 subdomains 

التابعيين ل blog.test.com فا بالتالي بقا عندي مجموع 5 subdomains

فا لو عملت نفس الفكرة مع بقيت الsubdomains فا الscope اصبح اكبر

بالتالي فرصة ان حد عمل test في الsubdomain الخاص ب admin.blog.test.com

اصغر من blog.test.com

فا شوف حجم الscope هيبقي مثالا كالاتي


فا انت هنا خليت حجم الscope اكبر اضعافا


دلوقتي هنا مثال علي "offsec.com"

هنبدا نجمع الsubdomains 

دي ادوات ممكن تستخدمها:
 
 
  انا هنا هستخدم Findomain علي offsec.com


طلعلي هنا مجموع 20 subdomain 

جميل يلا نطلع الlive منهم

دي ادوات ممكن تستخدمها:

 
انا هنا هستخدم fhc
 
 
هنا مجموع الlive اي طلع 18 
 
توقع بقا معايا كام واحد دخل عليهم
 
نيجيي بقا نكبر الscope بتاعنا و و نطلع الsubdomains الخاصة subdomains
 
الادوات الي ممكن تستخدمها في كدا كتير
 
بس انا هنا هستخدم altdns  

بعد متعمل clone للtool هتخش تثبتها كالاتي

python3 setup.py install
pip3 install -r requirements.txt
 
بعدها نيجيي نشغل الاداة
 
كالاتي
 
 
-i بنديلو بعدها الsubdomains الي احنا استخرجناها بالاول 

-o نيديلو بعدها اسم الtxt الي يحفظ فيه الsubdomains الي هيطلعها من الsubdomains 
 
-w بنديلو بعدها الwordlist الي  هيستخدمها علي الsubdomains بتاعتنا 
 
ال -r بيخلي الاداة تعمل resolve للsubdomain بعد ميعملو generate

-s بتخلي الtool تحفظ الsubdomain الي اتعملو resolve في الtxt الي انت هتدهولو

ندوس enter  و ننتظر

ملحوظة ان الwords.txt بيجيي مع الاداة


كدا الاداة اشتغلت و الsubdomains الي قدامك دي الي عملها resolve و هيحفظها في res.txt

نيجيي للsubdomains الي عملها generate في new.txt

 
لو عملنها cat عشان يقرا الملف و ممرناها ل wc -l عشان نشوف عدد الاسطر 

هنلاقي مجموعهم وصل ل 33 الف subdomain 

نسيب الtool غالة و نيجيي نشغل اداة fhc علي new.txt و نخليه يحفظ انتايج في final.txt


نستني اول لما الاداة تخلص 


الاداة خلصت نعمل cat ونشوف عدد ااسطر هنلاقي 364 subdomain

:) يعني من 18 live الي 364 شوف كان هيوفتك كام subdomain :)

ونعمل cat  و نمررها ل sort  عشان يرتبهم ابجديا 
 
و نممرها ل uniq عشان يحذف المتكرر و مطلعش في اي شئ متكرر و كان مجموعهم بردو 364 

ملحوظة:
نقدر تشغل كل الادوات الي بتطلعلك الsubdomains عن طريق amass 
تقدر تشوف الشرح من هنا
 
و رزقكم الله رزقا طيبا و السلام عليكم ورحمة الله وبركاته

Comments

  1. خف عظمة 😂⁦❤️⁩🖤 .. علي الهادي⁦❤️⁩🖤💖

    ReplyDelete

Post a Comment

Popular posts from this blog

Amd XSS & WAF Bypass ( Arabic )

السلام عليكم في هذا المقال سوف نتكلم عن ثغرة  AMD ب XSS WAFو الطريقة البسيطة المستخدمة في تخطي جدار الحماية language في الرابط الخاص بل النطاق الذي كنت به هناك براميتر باسم قمت بعرض مظهر الصفحة لرؤية الاكواد   في الصفحةlanguage و كان يتم كتابة اي قيمة اعطيها ل بعد تجربة العديد من الاكواد لاستغلال الثغرة WAF لم يتنفع بسبب ال و ذلك لانه لا يقبل اي علامات و نفذت كل الافكار لدي بعد اعادة النظر في الكود الخاص بالصفحة  وجدت انه يقوم بوضع القيمة ايضا بداخل كود جافاسكربت بنهاية الصفحة كالاتي   <script>اذا الاشارة الخاصة ب موجوده و القيمة موجدة بها اذا المكان المخزن به القيمة ينتهي ب الرمز الاتي "); اذا فل نقوم بوضع الرمز الاتي اولا ثم القيمة اذا لقد قمنا بكسر السطر و القيمة الخاصة بنا يتم كتبتها بسطر جديد ولكن سوف نلاحظ ان بعد القيمة هناك رموز اخره تضاف تلقائيا اذا سوف نقوم بكتابة الكود الخاص بنا بالشكل التالي ");alert("azima سوف نرا ان الكود الخاص بنا تم اغلاق السطر تلقائيا  بسبب الرمز التي تضاف تلقائيا اذا فل نجربه الان     كما نرا تم تنفيذ الكود  و الفكرة بسيطة جدا و في

Session leak & CORS misconfiguration lead to account takeover

 Hello, everyone. This blog is about Account takeover via session leak over url on a private program. Reconnaissance & Enumeration:  After subdomain enumeration, i found a subdomain that has no pages. So, the right thing to do here is to enumrate the resources.  I strat using dirsearch & gobuster. Then, i found the following directory: test.example.com/id       I have found this json contains id and value. I tried to refresh the page many times to see if the value will change, but the value doesn't change. So, i tried to open burp suite to see the request and lol the value is the cookies value:   But the website is using Https. So i tried to see if there is any misconfigurations and the http was enabled. Also the cookies wasn't regnerated. So, we can capture the request over the http. Steps: 1- Victim open the link 2- Attacker capture the request and server response in clear text 3- Attacker use the cookies to login to victim account Note: since the http is enabled atta