白帽故事 · 2023年8月11日 0

仅用Google Dork快速发现2枚微软XSS

方法分享:

首先

site:*.microsoft.com ext:aspx

可以想象这个搜索结果数量相当庞大,那么可以使用一些过滤参数来过滤那些对我们来说“相对安全”的网站:

-site:SAFE.microsoft.com

这个过滤参数是可以作为递归过滤的,对于缺少favicon.ico图标的网站,可以考虑“进一步”挖掘,通过查看页面,正下方发现 Copy right 2014 字样,推断应该很久没怎么维护了,第六感是不是在隐隐的告诉你,这网站有戏~

继续挖掘!URL 包含两个参数,那么针对这两个参数继续挖掘,启动 x8

X8有助于识别可能存在漏洞的隐藏参数,或揭示其它测试人员可能忽略的有趣功能。该工具由Rust编写

https://github.com/Sh1Yo/x8

x8 -u XXS1.microsoft.com -w WORDLIST

结果显示参数“message”获得响应,用XSS Payloads测试看看,BOOM!触发弹窗:

message=xss%27-alert(origin)-%27

由于第一个子域使用日语,那么如果在Dork中添加日语“検索”一词,是否会出现其它有趣的结果呢?说干就干(当然递归过滤别忘记):

site:*.microsoft.com 検索 -site:SAFE.microsoft.com
其中一个 https://xss2.microsoft.com/ 子域网站引起了注意,在该子域上进行了多次尝试之后,通过view-source,成功发现如下端点:

xss2.microsoft.com/REDACTED/REDACTED?id=1&appid=22&uid=54

但是该端点的所有参数都无法利用,于是继续Dork:

site:xss2.microsoft.com/REDACTED/REDACTED

结果没有令人失望:

xss2.microsoft.com/REDACTED/REDACTED/REDACTED?id=1&appid=22&uid=54

利用第一个XSS的Payloads,成功在id参数上弹窗!

你学废了么?