Wayback机器指向管理员面板的那天——以及为什么范围界定仍然至关重要
我喜欢快速获胜。我喜欢探索奇怪的URL。我喜欢咖啡。但我不喜欢的是:意外闯入明确超出漏洞赏金范围的基础设施。这正是最近发生在我身上的事情——整个过程让我对侦察、披露以及在有效PoC和奖励之间的小官僚主义有了清晰的认识。
以下是故事经过、技术细节(经过编辑)以及对其他猎人的实用建议。
摘要
在搜索存档URL(Wayback/CDX)寻找有趣端点时,我发现了一个看起来像是仪表板导出端点的存档引用。打开该链接重定向到了一个管理员/仪表板界面,该界面无需身份验证——我不需要登录或绕过任何东西就能看到它。我录制了PoC视频并报告给供应商的漏洞赏金地址。他们迅速回复但因主机属于其内部VM/基础设施家族而拒绝报告为超出范围。没有奖励——但获得了有用的情报。经验教训:首先检查范围,记录一切,并保持投资组合整洁。
我是如何发现的
我定期查询公共档案和CDX,寻找公司域名模式下的有趣端点。这是低噪音侦察:存档URL经常揭示被遗忘的导出端点、测试仪表板或备份文件。
这次CDX输出包含一个看起来像是仪表板数据导出的存档路径。打开该存档链接(并测试实时对应项)将我重定向到一个仪表板/管理员界面。关键的是,管理员面板是公开可访问的——我可以在不进行身份验证的情况下查看界面,并且没有尝试任何绕过或主动利用。我记录了重定向和UI流程作为证据——一个经典的PoC视频。
重要提示:我在观察和记录后停止了。没有登录尝试,没有数据外泄,没有暴力破解。道德第一。
我报告了什么
我向供应商的漏洞赏金邮箱发送了一份干净、专业的报告,包含:
- 简短摘要(用于分类的一行描述——此处已编辑)
- 精确的复现步骤(CDX查询+存档路径——此处已编辑)
- PoC视频(带时间戳)
- 建议的严重性(特权接口暴露——P2,因为管理员UI无需认证即可访问而提高)
- 建议的缓解措施(阻止存档、要求对导出和仪表板进行身份验证、IP白名单)
我还提出通过密码保护链接或他们偏好的任何安全方法分享PoC。
他们的回复——以及拒绝原因
快速回复。礼貌。简短:主机属于他们的内部虚拟化/托管基础设施,超出了他们的漏洞赏金计划范围。他们将任何VM/虚拟机管理程序/基础设施管理主机明确视为超出范围,即使这些主机存在于同一父域名下。
因此:从技术上讲,主机名是主域的子域名——但从政策上讲,它被分类为内部基础设施,因此被排除在外。
这是公平的。他们的政策=他们的规则。并非每个漏洞都有资格获得赏金,但如果负责任地处理,仍然可以帮助公司。
即使超出范围也重要的原因
即使存在于内部基础设施上,无需身份验证即可访问的管理员面板也会增加风险。公开可访问的管理UI:
- 向机会主义攻击者揭示内部工具和攻击面
- 使社会工程或定向网络钓鱼更容易(攻击者可以制作逼真的诱饵)
- 可能被爬虫意外索引或被Wayback等服务存档,创建长期存在的引用
即使程序因范围原因拒绝报告,从防御角度来看,潜在问题(未经身份验证的管理员UI)也值得注意。
对猎人的经验教训(实用清单)
- 首先阅读范围。不要假设"子域=在范围内"。许多程序列出明确的排除项,如kvm、vm、hosting、support等。
- 存档侦察很有价值——但在发布前进行编辑。Wayback可以揭示被遗忘的端点;不要公开泄露它们。
- PoC卫生很重要。只记录必要内容,避免在观察之外与管理控制台交互,避免下载数据。为视频添加时间戳。
- 如果管理员UI公开可访问,请指出——但要负责任。说明它无需认证即可访问(如我所做),但避免发布确切的主机名或显示敏感内部的截图。
- 准备好"无奖励"。即使可靠的报告也可能因政策原因被拒绝。将报告保存在私人投资组合中作为学习案例。
- 提供安全证据传输。建议密码保护链接或安全上传——这显示专业性。
- 礼貌的跟进会有回报。如果分类人员错误分类了主机,冷静的澄清可能会有帮助——但如果政策明确,不要争论。
最终想法
狩猎是70%的侦探工作,20%的技术技能,以及10%的文书工作。对公共档案的敏锐眼光会不断发现有趣的事情——但业务方面的规则(范围)决定了发现是成为付费漏洞还是仅仅是一个有趣的研究笔记。
我宁愿负责任地报告并被拒绝,也不愿利用不属于我或不允许的东西。保持道德,记录一切,并保持咖啡热度。☕️