这篇文章是关于微软关于我如何能够在微软的一个子域名上挖到一枚存储型 XSS 漏洞的文章。

我对 Microsoft 域进行了初步信息收集并收集了一些子域名。

信息收集

对于子域名侦察，尤其是子域枚举——我使用Knock、Subrake、Sublist3r、Amass等工具。

当然现在还有更多子域名工具值得推荐，比如OneForAll

切勿依赖单一子域名工具进行子域名侦察，因为您可能会错过一些潜在的子域目标。

我收集了所有可能的枚举子域并选择了一些目标进行测试。

我选择了https://storybook.office.com（域名已停止使用）进行测试，并开始了目标的侦察过程。

我遇到了一个场景，用户定义的输入被存储在目标上，因为这基本上是一个故事发布平台。

我找到了一个用户可以分享他们故事的选项。所以我在这些输入字段上尝试了 XSS 漏洞。

微软漏洞赏金报告

我使用了一个简单的 XSS payload并添加了一个故事。

"><script>alert(document.domain)</script>

在下一个页面上是我的 XSS payload的弹出窗口，它是 Microsoft 门户上的存储型 XSS 漏洞。

微软 XSS

在向 Microsoft 报告此漏洞后，我已在微软SRC名人堂中获得认可。

这不是一个很难找到的错误，也许我在正确的时间找到了正确的目标。

所以，现在挖漏洞，子域名的收集面很重要，建议各位赏金猎人们，最好自己整理一份超全的子域名字典，仅供自己使用，这样才能占据先发优势！

推荐阅读：

实战 | 记一次1000美金的TikTok盲打XSS的漏洞挖掘

干货 | 无视杀软使用远控横向小技巧

实战 | 记一次PHP混淆后门的分析利用

干货 | Certutil在渗透中的利用和详解

实战 | 记一次Everything服务引发的蓝队溯源