داستان اولین RCE من روی Disney

سلام به تمام دوستان عزیز ، امیدوارم حالتون خوب باشه، تو این رایتاپ میخوام داستان اولین  RCE که زدم رو تعریف کنم.

1- تارگت

من برای تمرین Wide Recon روی بیشتر برنامه‌ها مثل Walmart ,Ford کار کردم ولی برای اینکه هانت کنم رفتم سراغ دیزنی چون خیلی وایدتره. پس تارگت من میشد هر asset که متعلق به دیزنی هست 🙃

2– ریکان

برای بدست آوردن دامین ها اول از پیدا کردن تمام Acquisition شروع کردم (البته خود دیزنی هم توی اسکوپ بعضی‌هاش رو گفته بود 😊)

حدودا 30000 دامین پیدا کردم که حداقل 90 درصدش وریفای شده بود.

برای پیدا کردن دامین‌ها از این روش ها استفاده کردم:

1 - Google Dork 
2 - Whois
3 - Shodan & Censys 
4 - Certificate Search

اینها چند تا از روش هایی بود که استفاده کردم. بعضی از گوگل دورک هایی که استفاده کردم هم میزارم:

1 - *disney*.com
2 - "© Disney • Pixar © & TM Lucasfilm Ltd. © MARVEL. Tous droits réservés."
3 - "© Disney, All Rights Reserved"

3– شروع هانت

بعد از اینکه دیگه حوصلم از ریکان کردن سر رفته بود گفتم بزار یه httpx بزنم ببینم چی پیدا میکنم؟!

cat domains.txt | httpx -td -sc -title -asn -o httpx.res

همه ریزالت‌ها رو ذخیره کردم داخل یه فایل و شروع کردم به نگاه انداختن…

همینجوری داشتم نگاه میکردم که دیدم، هیچی نیست حال کنم باهاش😐

گفتم بزار یه grep  بزنم فقط اونایی که با PHP هست رو نگاه بندازم (من خیلی هانت کردن رو سایت هایی که با php  یا asp  هست رو دوست دارم)

دیدم حدود 46 تا دامین آورد که با php  نوشته شدن. همینجوری رندوم یکی رو ورداشتم و شروع کردم به فاز کردن… به هیچی نرسیدم، گشتم توی سایت یه XSS رفلکت زدم ولی حال نداد 🥲

گفتم بزار یکی دیگه بردارم که از اینجا شروع شد تازه 🔥

رفتم یخورده چرخیدم تو سایت، دیدم که خب هیچ فاکشنالیتی نداره، چیکارش کنم اینو ولی به قیافه دامین میخورد از توش یه باگ درمیاد 😂 خلاصه شروع کردم فاز کردن با dirsearch به دایرکتوری‌ها  و فایل‌های خوبی رسیدم که البته بعضی‌هاش تو عکس نیست، چون این رو تازه زدم و خیلی هاش حذف شده 😊

یکی از اون ها /admin  بود که 403 میداد و من هر چیزی که در ادامه میزدم ریدایرکت میکرد به index.php، اومدم ولش کنم گفتم بزار اینم یه فاز بکنم که رسیدم به این فایل tinyfilemanager.php اولش نمیدونستم که این یه cms  هست برای مدیریت فایل ها و شروع کردم به تست کردن SQLi توی لاگین و … بعد یه admin:admin  زدم دیدم هیچ اتفاقی نیفتاد 😐 بعدش دوباره به نتیجه dirsearch یه نگاه انداختم دیدم که یه DockerFile داره، یادم افتاد توی CTF  یجایی این رو پیدا میکردی توش طرف یوزر پس گزاشته بود ولی تو این هیچی نبود. فقط زده بود که چجوری این فایل منیجر رو با داکر ران کنی و چنتا مسیر که هیچی نبود 😒

گفتم نه اینم احتمالا هیچی نداره، برای تلاش آخر اسمش رو سرچ کردم تو گوگل دیدم عهههههههه زده exploit داره . رفتم اولی رو نگاه کردم هیچی نبود، دومی رو دیدم هیچی نبود ولی سومی عجب چیزی بود 😂 یه بنده خدایی اومده بود تمام exploitهایی که کرده بود رو نوت برداری کرده بود گزاشته بود داخل سایتش. رفتم یه نگاه انداختم دیدم که گفته اینا یوزر پس دیفالتش هست و میتونید بزنید لاگین کنید و شل آپلود کنید. منم گفتم امکان نداره لاگین بشه، زدم با کمال ناباوری رفت تو پنل، یه لحظه پریدم هوا ولی خونسردی خودم رو حفظ کردم و با آپلود کردن یه فایل PHP تونستم کامند ران کنم .

<?php
$cmd = $_GET["cmd"];
echo "<pre>".exec($cmd)."</pre>";
?>

بعدش وسوسه شدم یه curl زدم به سرورم ببینم شاید آیپی های داخلیشون رو بتونم دربیارم یه کارای دیگه بکنم که دیدم نه این روی هاستینگ جدا هست کلا 😒

خیلی ممنون که وقت گزاشتید و این رایتاپ رو خوندید❤️امیدوارم مفید بوده باشه . آیدی توییتر و دیسکورد من این پایین هست ممنون میشم من رو دنبال کنید و یا اگر سوالی بود بپرسید 🌹

Disocrd : ho3ein_

Twitter