0112.从反向DNS到超级管理员:我是如何通过找到一个暴露的管理员面板赚取7500美元的

admin
admin
admin
0
文章
0
评论
2026-01-07 02:51:36 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文讲述了作者在漏洞赏金活动中,通过反向IP和反向DNS分析,发现了一个未授权的超级管理员面板。该漏洞导致系统完全沦陷及5.4万份敏感文件泄露,最终获得7500美元赏金。文章强调了挖掘隐藏资产的重要性,建议不仅依赖自动化工具,更要深入分析IP关联资产以寻找高危漏洞。 综合评分: 83 文章分类: SRC活动,渗透测试,实战经验

cover_image

0112.从反向 DNS 到超级管理员:我是如何通过找到一个暴露的管理员面板赚取 7500 美元的

原创

Ahmed Ghadban

Rsec

2026年1月5日 20:52 贵州

本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。

声明:本文搬运自互联网,如你是原作者,请联系我们!

类型:反向DNS

严重程度: 危急 (10.0)

赏金: 7500 美元

修复时间: 2 天

介绍

在漏洞赏金猎人的世界里,唾手可得的漏洞往往几分钟就被摘走了。要想在防御严密的目标上找到高危漏洞,你必须去别人没注意到的地方寻找。

最近,我把目标锁定在一个已被其他黑客搜遍的网站上。我放弃了传统的子域名枚举方法,转而采用反向 IP 和反向 DNS 分析,最终发现了一个“私有”子域名,该域名直接指向一个未经身份验证的超级管理员面板。这一发现使我完全控制了该公司及其子公司,并获得了超过 54,000 份敏感文件的访问权限。

以下是我找到它的过程。

第一阶段:初步侦察

我的工作流程通常从基础开始。我使用 Subfinder 收集子域名列表,以构建初始攻击面。

subfinder -d target.com -all -o subdomains.txt

拿到列表后,我通过 httpx 过滤掉失效的主机,只关注可用的 HTTP 服务器。

cat subdomains.txt | httpx -sc -title -o alive.txt

现阶段,我列出了一份标准的资产清单。然而,仅仅依赖这些工具通常意味着你看到的资产和其他人看到的一样。我需要更深入地挖掘。

#

第二阶段:转型(反向 IP 和 DNS)

我最喜欢的查找“隐藏”或仅供开发者使用的资源的方法之一是分析 IP 地址空间。通常,公司会将内部或测试环境的子域名托管在与公共资源相同的 IP 地址上,但这些子域名不会出现在标准的证书日志或字典中。

技术要点:

  1. 我访问了目标系统的一个有效子域名。
  2. 我使用 Shodan 扩展程序找到了主机 IP 地址。
  3. 我对该 IP 地址进行了反向 DNS 查询, 以查看该地址上还托管了哪些其他服务

示例

虽然 Shodan 非常出色,但它并非总能显示所有已连接的域名,尤其是在资产位于 Cloudflare 等 Web 应用防火墙 (WAF) 之后的情况下。为了弥补这一不足,我转而使用 SecurityTrails 。

我获取了目标主应用程序的 IP 地址,并在 SecurityTrails 上进行了搜索。

提示:务必在多个平台上交叉验证 IP 地址。SecurityTrails通常会索引历史 DNS 数据,这些数据可以揭示与某个 IP 地址关联的“影子”资产

#

第三阶段:发现

SecurityTrails 的结果列表中显示了一个看起来很有意思的子域名。它的命名规则与主站不同,看起来像是一个内部管理门户。

我访问了网址: https://admin-internal.target.com (已编辑)。

我原本以为会看到登录提示或者 403 Forbidden 错误。结果页面加载完毕后,映入眼帘的是完整的控制面板。没有登录页面,也没有身份验证。

我就这样进来了

第四阶段:影响分析

我立即核实了与此会话相关的权限。这不仅仅是只读视图;这是一个超级管理员会话。

  • 完全控制权: 我对母公司及其子公司拥有完全权限。
  • 用户管理: 我可以添加、删除或编辑其他管理员账户。
  • 数据泄露: 该小组直接提供了约 54,000 个机密文件的访问权限。

这是一个典型的 CVSS 10.0 严重漏洞。“通过混淆实现安全”(隐藏子域名)的做法完全失效了。

报告与解决

我立即撰写了报告,详细介绍了用于定位资产的反向 DNS 技术,并提供了管理面板的屏幕截图(敏感数据已编辑)。

  • 报告日期: 第 0 天
  • 分诊: 2 小时后
  • 已解决: 第 2 天
  • 赏金金额: 7500 美元

猎人须知

  1. 不要止步于 Subfinder: 每个人都在使用 subfinder 和 amass 。真正的宝藏往往来自于对这些工具发现的资产进行灵活调整。
  2. 追踪 IP 地址: 如果找到一个有效的资产,请检查其 IP 地址。它的邻居是谁?像 SecurityTrails 这样的工具在这方面非常有用。
  3. 检查“隐藏”资源: 开发人员经常在不知名的子域名上启动管理面板,他们认为“没人知道这个网址存在,所以暂时不需要密码。”他们错了。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Rsec Ahmed Ghadban《0112.从反向 DNS 到超级管理员:我是如何通过找到一个暴露的管理员面板赚取 7500 美元的》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
为什么要做账号安全检查 网络安全文章

为什么要做账号安全检查

文章总结: 文章指出账号安全是信息系统防护的根基,特权、内嵌、弱口令账户易被利用导致提权与数据泄露,提出脆弱性、生命周期、权限审计三维度治理,建议梳理全量账号并
01-070 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0