🕷 Повышение эффективности разведки с помощью reverse DNS

В разведке все методы хороши, особенно когда речь идет о больших скоупах. Reverse DNS и анализ SSL-сертификатов — тот самый необходимый минимум.

😵 На помощь приходят как онлайн-сервисы, так и опенсорсные инструменты:

⚙️ hakip2host — принимает список IP-адресов через stdin, а затем выполняет ряд проверок и возвращает соответствующие доменные имена.

▪️Поиск PTR-записей в DNS
▪️Subject Alternative Names (SANs) в SSL-сертификатах
▪️Common Names (CNs) в SSL-сертификатах

⚙️ dnsx — быстрый и многофункциональный тулчейн от ProjectDiscovery для работы с DNS.

$ echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr

🕷 Versioned comments как инструмент для эксплуатации SQL-инъекций

В MySQL и ее форках можно использовать versioned comments, что позволяет в некоторых кейсах с точностью узнать версию СУБД.

Допустим, у тебя потенциальная SQLi в параметре id, но атака возможна только в слепом режиме, и ты не знаешь тип/версию СУБД.

👉 Попробуй заменить значение параметра на:

/*!50000 <id_value>*/



Если страница вернёт тот же контент, что и при обычном id, значит, скорее всего, приложение использует MySQL, форки или совместимые СУБД с версией ≥ 5.0.0.

Дальше можно играться с числами (/*!51000 ...*/, /*!51010 ...*/ и т. д.) и нащупать точную версию без вызова функции version().

Такой кейс позволяет обнаружить MySQL и заодно часто обходить WAF — фильтры могут просто игнорировать эти конструкции.

🌡 Логика простая: часть внутри /*!<число> ...*/ выполнится только если версия БД ≥ этого числа. Это даёт возможность прятать пэйлоад прямо внутри комментариев.

Кстати, sqlmap уже умеет использовать этот кейс через tamper. А если число не указано (например, просто /*! ... */), то содержимое выполняется всегда.

🕷 Фаззинг регулярных выражений методом чёрного ящика

REcollapse генерирует пэйлоад для байпаса валидаций/WAF и обнаружения нормализации в веб-приложениях. Новая версия добавляет:

📌 Mode 6 для тестирования на устойчивость к изменениям регистра (case folding/upper/lower)

📌 Mode 7 для тестирования на устойчивость к усечению байтов (byte truncations)

Как использовать:

$ recollapse -e 1 -m 1,2,4 -r 10-11 https://legit.example.com
%0ahttps://legit.example.com
%0bhttps://legit.example.com
https%0a://legit.example.com
https%0b://legit.example.com
...

$ echo "a@b.com" | recollapse 
%00a@b.com
%01a@b.com
...

$ echo "<noscript/onload=alert(1)>" | recollapse | ffuf -w - -u "https://example.com/?param=FUZZ" -mc 200,403,500

🕷 Распространённые HTTP-заголовки, используемые обратными прокси-серверами

Подделка HTTP-заголовка может выстрелить в самой разной форме — от SSRF и DoS до open redirect, XSS и других багов, связанных с контролем доступа.

📌 Самые распространенные заголовки для тестов:

❣️ Общие: X-Forwarded-For, X-Forwarded-Host, X-Forwarded-Proto

❣️ Nginx: X-Real-IP, Forwarded

❣️ Apache: X-Forwarded-Server, X-Real-IP, Max-Forwards

❣️ Envoy: X-Envoy-External-Address, X-Envoy-Internal, X-Envoy-Original-Dst-Host

Автоматизируем одной командой:

ffuf -w headers.txt:HEADER -w payloads.txt:PAYLOAD \
  -H "HEADER: PAYLOAD" \
  -u https://target.com/admin \
  -mc 200,301,302

🕷 Приватный режим в Burp Suite

Кейсов использования этой фичи много, поэтому в «нужный момент» просто нажми F12.

➡️Ссылка на исходники Privacy.bambdas

🕷Байпас WAF за счет манипуляции лимитами веб-запросов

Большинство WAF имеют ограничения на объем данных, обрабатываемых в теле запроса. Для HTTP-запросов с телом (POST, PUT, PATCH и т.д.) обычно можно обойти WAF, просто добавив в начало запроса мусорные данные.

🥷 Как это работает:

✅ WAF обрабатывает только первые n байт запроса
✅ Все, что превышает лимиты WAF, проходит без анализа
✅ Пэйлоад размещается после мусорных данных

В прошлом году команда Assetnote представила nowafpls — простое расширение Burp (Caido тоже поддерживает) для обхода WAF путем вставки мусорных данных в репитере.

От тебя требуется добавить в Burp nowafpls.py, выбрав тип расширения Python. Дальше — дело техники — выбрать объем вставляемых данных или добавить произвольное количество с помощью опции Custom.

🕷 Поиск и эксплуатация DOM Clobbering

DOM Clobbering — тип атаки, в которой используется взаимодействие между JavaScript и DOM.

Цель — запутать клиентский JS-код, вставляя в веб-страницы фрагмент HTML-разметки, не содержащей скриптов, и преобразуя его в исполняемый код с помощью named property accesses.

Проблема возникает из-за коллизии имён между JS-переменными и HTML-элементами с атрибутами id или name. Браузеры автоматически создают свойства объектов window и document на основе этих атрибутов:

var s = document.createElement('noscript');
let config = window.globalConfig || {href: 'noscript.js'};
s.src = config.href;
document.body.appendChild(s);

Ты можешь внедрить HTML-разметку: <a id="globalConfig" href="malicious.js">, и браузер заменит переменную window.globalConfig на этот элемент. В результате вместо безопасного скрипта загрузится вредоносный. Бинго🎯

🥷🏿 DOMC Payload Generator — инструмент, который поможет найти ещё больше пэйлоадов для эксплуатации DOM Clobbering атак.

Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈

➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте.

➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :)

Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность. 🥤

Ссылка на статью

💫 @pentestnotes | #pentest #OWA #Exchange

🕷 Мониторингr, перехват и отладка JavaScript sinks

С DomLogger++ отслеживать взаимодействия с DOM при тестировании DOM XSS еще никогда не было так просто! Под капотом:

✅Настраиваемые правила через регулярки
✅Гибкая поддержка хуков (class, function, attribute, event)
✅Фильтры по аргументам и стектрейсу
✅Возможность изменять аргументы функций через hookFunction
✅Удобный UI в DevTools
✅Удаленное логирование через вебхуки
✅Отладочные точки останова по запросу

Браузерное расширение регистрирует изменения в DOM в режиме реального времени, помогая точно определить уязвимые элементы и выявить интересное поведение.

🌐 Firefox
🌐 Chrome

🕷 При краулинге целевого веб-приложения всегда выполняй обход с двумя отдельными заголовками User-Agent

Один для десктопов, другой — для мобильных устройств. После этого проанализируй изменения в ответах 👀

Некоторые приложения имеют несколько версий для разных платформ — они часто содержат разные фичи, эндпоинты или даже механизмы аутентификации.