How I Got a Bug Bounty Using Only Recon

Bug Bounty writeups လေး ရေးချင်စိတ်ပေါ်လာလို့ share ပေးလိုက်ပါတယ်။

ကျွန်တော် Bounty ရှာတဲ့ website က နိုင်ငံတစ်နိုင်ငံရဲ့ ဝန်ကြီးဌာန website ပါ။ တကယ်က ဘာမှမထူးပါဘူး။ ကိုယ့်ဘာသာ ရှာခြင်းရှာ Government Website တွေပဲရှာမယ်ဆိုပြီး သက်သက် လျှာရှည်တာပါ။

ကျွန်တော် YesWeHack မှာပထမဆုံးတွေ့တဲ့ Bug ကို ဘာ Attack တွေမှ မလုပ်ပဲ Recon only နဲ့ရှာတွေ့တာပါ။ ကျွန်တော် Bug Hunting လုပ်ဖို့အတွက် Recon Tools တစ်ခုစမ်းရေးထားတာရှိပါတယ်။ အဲ့ဒီ Tools လေးစမ်းချင်တာနဲ့ Bug Hunting စလုပ်ဖြစ်သွားတာပါ။

Tools က သိပ်မခက်ပါဘူး Subdomain ရှာတယ်။ ရှာတဲ့အခါမှာ နည်းပေါင်းစုံနဲ့ ရှာပါတယ်။ crt.sh ကအစ subdomain ရှာလို့ရတဲ့ Tools တွေအပြင် Web API တွေအကုန်သုံးပြီးရှာပါတယ်။ sudomain ရှာတာမှာတင် dev, uat, staging နဲ့ testing site တွေပါအကုန်ထွက်ပါတယ်။ ပြီးမှာ အဲ့တာတွေ တစ်ခုခြင်းစီကို crawling လုပ်ပါတယ်။ katana , waybackurl သုံးဖြစ်ပါတယ်။ ပြီးရင် js file တွေအကုန်ရှာပါတယ်။

ပြီးရင် ဖြစ်နိုင်တဲ့ IP တွေအကုန်စုထွက်အောင်လုပ်ထားပါတယ်။ securitytrail API, censys အဓိကသုံးဖြစ်ပါတယ်။ အဲ့ဒီ IP တွေကို port scanning လုပ်ပြီး hidden web app တွေရှိလား ဆက်ရှာပါတယ်။

နောက်ဆုံး Result အနေနဲ့ subdomain (Active, Inactive), js file link, url တွေထွက်အောင်လုပ်ပါတယ်။ ကိုယ့်ဘာသာ Tools တစ်ခုခြင်းစီသုံးပြီးထွက်လာတဲ့ result ကိုစုထားလဲတူတူပါပဲ

Recon runပြီးတာနဲ့ ကျွန်တော်စပြီး js file တွေကို analysis လုပ်ပါတယ်။ အဲ့ဒီအခါမှာ Linkfinder ကိုအဓိကသုံးဖြစ်ပါတယ်။ သူက Js file တွေထဲကနေ Link တွေဆွဲထုတ်ပေးတာပါ။ SecretFinder လဲရှိပါသေးတယ်။ အဲ့တာ sensitive key တွေဆွဲထုတ်ပေးပါတယ်။

ကျွန်တော် js file list ကို Linkfinder နဲ့ ရှာလိုက်တဲ့အခါမှာ စိတ်ဝင်စားစရာ Link တွေတော်တော်များများ js တွေထဲက ထွက်လာပါတယ်။ Website က RESTful URLs တွေအလုပ်လုပ်တဲ့ပုံစံမျိုး action ကို directory မှာ အလုပ်လုပ်ပါတယ်။ ဉပမာ user1 ကို edit မယ်ဆိုရင် http://www.example.com/user/1/EditAll ဆိုတဲ့ပုံစံမျိုးပါ။ သူလုပ်ချင်တဲ့ Edit ကို URL path မှာပဲ EditAll ဆိုပြီးခေါ်ပြီးအလုပ်လုပ်ပါတယ်။

အဲ့ဒီ Endpoint pattern ကို js ထဲမှာလိုက်လေ့လာပြီးတဲ့နောက်ပိုင်း endpoint တွေကို သေချာ Fuzzing လုပ်ပါတယ်။ user အနေနဲ့ login မဝင်ပဲ Fuzzing လုပ်တာပါ။ အဲ့ဒီ website က Internal ကလူတွေပဲ Microsoft Account သုံးပြီးဝင်လို့ရအောင်လုပ်ထားပါတယ်။ ကျွန်တော်ကိုလဲ စမ်းဖို့အကောင့် Register လုပ်ခွင့်မပေးတာမို့ တော်တော်လေး တိုင်ပတ်ပါတယ်။ နောက်ဆုံး Fuzzing လုပ်ရင်း http://www.example.com/user/config/GetAll ဆိုပြီးခေါ်လိုက်တဲ့အခါမှာ User နဲ့ဆိုင်တဲ့ Config တွေအကုန်ကျလာပါတယ်။ အဲ့ဒီမှာ တစ်ချို့ sensitive ဖြစ်တဲ့ Key တွေ,config တွေလဲပါလာပါတယ်။

ဘာ Attack မှမလုပ်သေးပဲ Recon အဆင်မှာတင် ကျွန်တော် Bug Bounty ရခဲ့လို့ပဲပြောရပါမယ်။ Bug Bounty Hunting မှာ Recon က အရေးအရမ်းကြီးပါတယ်။ ကိုယ်က တကယ်စိတ်နှစ်ပြီးလုပ်ချင်တယ်ဆိုရင် Recon ကိုအချိန်တစ်ခုပေးပြီးသေချာလုပ်ကြည့်သင့်ပါတယ်။

နောက်တစ်ခုက Application Mapping ပါ။ Application Mapping သေချာလုပ်ရင် Logic flaws တွေကောင်းကောင်းတွေ့နိုင်ပါတယ်။ Business Logic Flaws နဲ့ပတ်သက်ပြီး တွေ့ခဲ့တဲ့ Bug တွေကတော့ ပြောပြပေးလို့ရတဲ့အချိန်ကျရင် ဆက်ပြောပြပေးပါမယ်။