[閒聊] Bounty 初體驗

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間4年前 (2020/12/31 12:40)推噓10(10推 0噓 1→)

留言11則, 10人參與討論串1/3 (看更多)

這篇是分享一下 bounty program[0] 的初體驗時間軸如下： 2020-09-23 發送 report 給對方 -> 2020-09-23 <- 對方回覆收到報告 2020-10-05 發送詢問進度、同時發現問題已修復 -> 2020-10-16 <- 回覆確認問題、確定獎金 2020-12-21 收到獎金 2020-12-31 對方表示12/31前不能公佈細節故事是這樣的 .... 某天跟朋友聊到 find.synology.com 這個功能、跟背後可能的實作方式突然想到當年考 OSCP 時候號稱的 try hard 跟那時候認知到的沒有不可能的 bug 只有你想不到的 ... 我就一邊 key 著 curl 指令一邊想說堂堂 Synology 應該不會犯這種錯誤吧 ... 燈愣！ ======== 故事結尾分隔線 ========= find.synology.com[1] 是一個幫你找尋網路中的 NAS 的一個網頁服務透過簡單的 F12 大法之後發現主要的做法其實很簡單 - 找 http://diskstation.local:5000 - 找 http://rackstation.local:5000 - 找 http://nvr.local:5000 - 找 http://beyondcloud.local:5000 - 找 http://synologynas.local:5000 - 找 http://synologynas.local:5000 - 找 http://synologyuc.local:5000 - 找 http://datastation.local:5000 - 找 http://flashstation.local:5000 - 找 http://synologynvr.local:5000 很明顯上面幾個就是透過內網尋找是否有存在的 NAS 取以上其中一種名字使用的方式是找 .local[2] domain 除了上述之外還發現他還會呼叫另外兩隻 API 1. https://global.quickconnect.to/finder/server 2. https://twc.quickconnect.to/finder/get.php 第一個的用法感覺是為了拿到第二個 API 用的猜測類似 route53 幫你做最佳化(?) 然後第二個 API 則是告訴你 Server 可能的內網 IP 位址跟 FQDN[3] 這時我想... 如果餵給他 X-Forwarded-For[4] 會發生什麼事情不過想想堂堂 Synology 科技版的白板魔王關應該不會犯這種錯誤才是一邊手自然地敲下 curl https://twc.quickconnect.to/finder/get.php -H "X-FORWARDED-FOR: IP" 燈愣似乎發現了不該發現的東西了 :) 想說該不會是 cache 吧拿放在日本的 linode 配上台灣的 IP 燈愣拿到跟直接台灣 IP 查詢得到一樣的結果順口問了強者我朋友 (有買 DSM) 家裡的 IP 也是可以拿到他的內網 IP + FQDN 之後透過了一點關係拿到了 Synology 公司的對外 IP 拿到的 NAS 資訊我一個 160*32 的 terminal 頁面放不下啊... 當天就剪短寫了一篇信過去 (連 PoC 都懶得給了直接給一個 curl 指令) 接下來就是過了一個冗長的時間之後拿到獎金 (不過沒被放在致謝清單 QQ) [0]: https://en.wikipedia.org/wiki/Bug_bounty_program [1]: http://find.synology.com/ [2]: https://en.wikipedia.org/wiki/.local [3]: https://en.wikipedia.org/wiki/Fully_qualified_domain_name [4]: https://en.wikipedia.org/wiki/X-Forwarded-For -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.159.47 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1609389612.A.196.html