大家好！这是我第一次写关于漏洞悬赏的文章。我从2019年7月22日开始加入大量漏洞悬赏项目，想和大家分享我发现的所有漏洞。

关于项目的选择方面，我基本都选择范围较大的目标，因为我不太关心奖励高低，只是想锻炼自己。最后我选择了索尼。

让我们先从子域枚举开始。首先，我使用了网站crt.sh，并使用以下代码来查找可能的子域。

crt.sh是一款证书搜索工具，你可以借用通配符对某个域名进行范围搜索，并根据其相关的一系列时间判定其有效性。

%my%.sony.net
%jira%.sony.net
%jenkins%.sony.net
%test%.sony.net
%staging%.sony.net
%corp%.sony.net
%api%.sony.net
%ws%.sony.net
%.%.%.sony.net

我也会插入某些随机字母进行查询：

%p%.sony.net
%i%.sony.net
%ff%.sony.net
%co%.sony.net

很快我便找到了可疑的目标（ppf.sony.net）。然后，我用assetfinder和tomnomnom的httprobe进行子域枚举，成功发现了一个深度子域，也就是我们的目标authtry.dev2.sandbox.dev.ppf.sony.net。

assetfinder -subs-only ppf.sony.net | httprobe

assetfinder是一款子域名遍历工具，它可从多个公开的数据源中提取出相关域名的资产。

httprobe可判定域名是工作在http还是https上（或者两者都有），这也可用于判定域名的有效性。

最后，我使用dirsearch对目录进行爆破，如果如下：

dirsearch.py -u “authtry.dev2.sandbox.dev.ppf.sony.net” -e html,json,php -x 403,500 -t 50

从上图中你可以看到一个/phpinfo.php，这是一个明显的信息泄露，我据此提交了另一份报告。

当我访问index.php时，得到的页面如下。

很明显该页面可以接受参数输入，很可能和at以及code有关，我直接插入XSS的payload在页面上，反应如下：

我最常用的<img onerror=”{alert`1`}” src>

我相信任何安全研究人员一旦看到这个页面都能摸索出利用方法，但前提是能找到该域名。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3818.html
来源：https://medium.com/@gguzelkokar.mdbf15/xss-on-sony-subdomain-feddaea8f5ac