[BUG BOUNTY REDACTED.ID] How I Found API Username and Password using dirsearch

Selamat malam dan salam sukses untuk semua sobat progress dimanapun anda berada, terimakasih sebelumnya karena sudah mau berkunjung dan menyempatkan diri untuk membaca artikel ini. Pada kesempatan yang hangat ini saya ingin membagikan sebuah temuan saya terkait bug bounty yang saya temukan pada 1 minggu yang lalu tepatnya tgl 20 Maret 2019 di salah satu situs yang ada di Indonesia.

Saya menemukan sebuah bug yang dimana bug tersebut menyimpan username dan password dari salah satu subdomain milik REDACTED.id yaitu https://api.REDACTED.id/. Bug tersebut berada pada salah satu file .env yang ada di subdomain https://ot.REDACTED.id/.

Untuk menemukan file ini anda tinggal mengakses URL https://ot.REDACTED.id/.env atau dengan melakukan curl pada terminal. Berikut adalah Proof of Concept nya:

  1. Scanning subdomain REDACTED.id dengan menggunakan tools knockpy dan didapatkan beberapa subdomain, salah satunya adalah subdomain ot.REDACTED.id seperti gambar dibawah ini
  2. Lakukan scanning directory dan file pada subdomain ot.REDACTED.id dengan menggunakan tools dirsearch kemudian didapatkanlah file .env seperti gambar dibawah ini
  3. Lakukan curl untuk melihat isi dari file .env tersebut seperti gambar dibawah ini
  4. Boooommmmm, saya berhasil mendapatkan username dan password dari subdomain api.REDACTED.id 
  5. Selanjutnya saya mencoba mengakses subdomain api.REDACTED.id untuk memvalidasi apakah username dan password tersebut benar-benar valid untuk login pada subdomain api.REDACTED.id dan benar saja ketika kita ingin mengakses laman https://api.REDACTED.id/ dibutuhkan authorization username dan password, namun pada percobaan pertama saya menekan tombol cancel dan mendapatkan response seperti dibawah ini
  6. Akhirnya saya mencoba memasukkan username dan password yang tadi ada pada file .env dan mendapatkan hasil yang mengejutkan yaitu saya berhasil masuk ke panel api dan mendapatkan respon seperti gambar dibawah ini
  7. Doneeeee, saya berhasil mendapatkan hak akses dari API milik REDACTED.id

 

Semoga bermanfaat, Happy Hunting and Happy Hacking

 

 

TIMELINE:

  • March 20, 2019 – Report
  • March 21, 2019 – Bug Fixed
  • March 22, 2019 – Bounty Rewarded

4 Comments

  1. Mau nanya bang, itu berarti semua subdomainnya discan pake dirsearch satu-satu ya sebelum nemu .env di ot.redacted.id itu?

Leave a Response