Как мне удалось обойти панель входа администратора в BBC Corporation

Данная статья является переводом и ведется со слов автора. Оригинал тут.

Всем привет, сегодня я расскажу об одной из критических ошибок, обнаруженных мной на веб-сайте BBC, которая заключается в обходе панели администратора с использованием учетных данных по умолчанию. Давайте начнем с процесса разведки

Шаг 1:

1) Есть несколько инструментов, с помощью которых вы можете получить домены сайта. Некоторые из них приведены ниже:

•  Findomain
•  Subfinder
•  knock.py

2) Чтобы получить живые хосты из списка поддоменов, мы можем использовать такие инструменты, как

• httprobe
• httpx

Я предпочитаю использовать findomain и httpx для быстрого получения результатов. Таким образом, команда будет выглядеть примерно так:

findomain -t bbc.com | httpx | tee bbc.txt

Вы можете использовать несколько инструментов, чтобы найти поддомены, а затем сохранить их в одном файле.

Шаг 2 :

Теперь у нас есть все поддомены, поэтому мы можем использовать инструмент под названием Naabu. Этот инструмент просканирует все порты, которые могут быть открыты у нашего списка поддоменов.

Чтобы протестировать список сайтов с помощью этого инструмента, вы можете использовать команду:

naabu -iL bbc.txt | tee bbcportscan.txt

Шаг 3:

После сканирования всех поддоменов я обнаружил 1 веб-сайт у которого открыт порт 8080.

Веб-сайт не открывался напрямую, поэтому я изменил DNS адрес на IP, чтобы проверить, работает он или нет и это сработало.

Шаг 4:

Когда я открыл сайт, он выглядел примерно так

Шаг 5:

Эта часть была очень простой, потому что я думал, что использование учетных данных по умолчанию, типа admin:admin или root:password или administrator:password может сработать, но я ошибался. Затем я попробовал ввести имя пользователя и пароль admin:password, и это сработало.

Я был действительно шокирован, увидев, что страница администратора работает с учетными данными по умолчанию, и я смог получить полный доступ к панели администратора.

Сообщив об этой проблеме команде безопасности BBC, я удостоен чести попасть на их страницу в Зале славы, и мне будет вручена футболка BBC с ограниченным тиражом для охотников за ошибками.

По итогу, они удалили весь сайт и заблокировали доступ к админке.

Итог

Всегда старайтесь использовать учетные данные по умолчанию на каждой странице, если вы чувствуете, что это может поставить под угрозу всю систему.