这是一个比较私人的网站测试,所以作者把所有敏感部分都做了掩盖,也许我们可以借鉴下原作者的思路。
在翻遍了几个站点之后,我在一个站点中发现,js.example.com站点会从help.example.com中加载一些外部的json文件。
http请求大概是如下:
http://js.example.com/redacted/proxy?redacted=subdomain1&r=/jsonpfile.jsonp?token=undefined
然后,把参数”r”换成其他的,比如:http://google.com 就会出现以下这个错误页面
从返回的错误页面可以知道,这个页面加载了:“http://subdomain1.------private.comhttp://google.com”,并且导致了错误页面。这个时候,我开玩笑的把参数“c”的值“subdomain1”变成“www”就有了下图。事实上我后来发现,我们把这个地方改成private.com的任意不存在的子域名都是可以的。
现在,我们把这个值改成更有趣的东西,比如说:用file://替换http://
我们在回过头来看第一个报错,网站会试图从-----private.com子域加载文本。我就开始在这里做文章。
我猜想这里如果填写其他的内网站点的话,也许会有些收获。这里,我下了些子域名列表,并且把这些用burpsuit爆破这个子域名,如下:
然后我们可以有权进入到一个数据库存储的子域名:
http://js.example.com/redacted/proxy?redacted=www&r=http://subdomain2.----private.com/
还没有评论,来说两句吧...