未经许可，不得转载。

正文

在之前测试一个私人项目时，我报告了admin.Target.com上的Auth Bypass漏洞，这将导致SQLI&RCE ，该漏洞在报告后仅一天就被修复。

现在重拾该应用程序，对子域进行模糊测试：

ffuf -w /subdomain_megalist.txt -u 'https://adminFUZZ.Target.com' -c  -t 350 -mc all  -fs 0

使用此命令，我们发现了一个目标：admintest.Target.com

访问 https://admintest.Target.com ，将被重定向至https://admintest.Target.com/admin/login.aspx

阅读一些 js 文件，我发现一个端点：https://admintest.Target.com/admin/main.aspx

直接在浏览器中打开它会将我们再次重定向到登录页面，但在 Burp 中却存在如下界面：

可以看到，Content-Length数值是非常大的。

通过测试发现，将返回包中的302 Moved Temporarily改为200 OK，删除Location: /admin/Login.aspx?logout=y，删除html重定向代码，即可访问面板。

再通过深入测试，我发现，绕过的不仅仅是前端，因为可以实现如下漏洞。

我发现adduser.aspx 端点用于添加管理员，它对应的返回包和main.aspx相似，因此我们能够修改响应包添加管理员帐户。

添加管理员账户后，我们就可以登录了，接着我们找到了一个端点：``SQLQuery.aspx ，输入命令：Select * from users，即可看到所有用户的信息，包括密码、电子邮件、用户名：

由于数据库是mysql，尝试使用xp_cmdshell将其升级到RCE。

更改配置：

SP_CONFIGURE "show advanced options", 1
RECONFIGURE
SP_CONFIGURE "xp_cmdshell", 1
RECONFIGURE

输入xp_cmdshell ‘whoami’，效果如下：

总结

1、始终检查 burp 中的重定向响应

2、如果在子域名中发现了一个 bug，并且已经修复，请尝试子域名模糊测试

admin-FUZZ.target.com EG： admin-stg.target.com 
FUZZ-admin.target.com EG： cert-admin.target.com 
adminFUZZ.target.com EG： admintest.target.com 
FUZZadmin.target.com   E.G   testadmin.target.com 
admin.FUZZ.target.com EG： admin.dev.target.com

ffuf - w / subdomain_megalist.txt - u 'https://adminFUZZ.Target.com'  - c   - t 350  - mc all   - fs 0 - t 表示线程，不要太高，否则你可能会错过很多正在工作的子线程- mc all表示匹配所有响应代码，如200、302、403

原文出处：

https://medium.com/@HX007/subdomain-fuzzing-worth-35k-bounty-daebcb56d9bc