This media is not supported in your browser
VIEW IN TELEGRAM
Недавно выложил в паблик свою ферму для CTF в формате Attack-Defense, которую около года обкатывали командой 89cr3w 👻
https://github.com/arkiix/CulhwchFarm
Из интересного:
• API позволяет оптимизировать работу с фермой. Например, можете написать парсер команд, который добавит их в ферму (В репе есть примеры client/team_parsers)
• Валидаторы, с помощью них вы можете валидировать поступающие флаги в ферму (откидывать невалидные)
• Удобная настройка основных параметров фермы и параметров протоколов/валидаторов на фронте
• Генератор команд на фронте, Вы можете сгенерировать список команд в одно нажатие (Поддерживает IPv6)
• Скачивание уже настроенного скрипта-клиента на фронте (Автоматически установит URL и пароль фермы, attack-period)
• Удобные графики и метрики на основной странице
• Переделать протокол из DestructiveFarm или S4DFarm не составит труда, а основные протоколы мы уже завезли
Как поднять:
• Клоним репозиторий
• Меняем SERVER_PASSWORD в compose.yml
• Выполняем
• После билда ферма будет доступна на http://127.0.0.1:8893
https://github.com/arkiix/CulhwchFarm
Из интересного:
• API позволяет оптимизировать работу с фермой. Например, можете написать парсер команд, который добавит их в ферму (В репе есть примеры client/team_parsers)
• Валидаторы, с помощью них вы можете валидировать поступающие флаги в ферму (откидывать невалидные)
• Удобная настройка основных параметров фермы и параметров протоколов/валидаторов на фронте
• Генератор команд на фронте, Вы можете сгенерировать список команд в одно нажатие (Поддерживает IPv6)
• Скачивание уже настроенного скрипта-клиента на фронте (Автоматически установит URL и пароль фермы, attack-period)
• Удобные графики и метрики на основной странице
• Переделать протокол из DestructiveFarm или S4DFarm не составит труда, а основные протоколы мы уже завезли
Как поднять:
• Клоним репозиторий
git clone https://github.com/arkiix/CulhwchFarm
• Меняем SERVER_PASSWORD в compose.yml
• Выполняем
docker compose up --build -d
• После билда ферма будет доступна на http://127.0.0.1:8893
🔥10❤1⚡1🍓1
Сейчас зафорсилась уязвимость в aiohttp (CVE-2024-23334)
Если при добавлении обработчика возврата статических файлов флаг Follow_symlinks выставлен на True (Он служит для того чтобы обработчик следовал символическим ссылкам на файлы вне корневого каталога), то из-за недостаточной проверки это может привести к атаке обхода каталога (directory traversal, aka path traversal).
Что позволяет хакерам получить доступ к любым файлам на уязвимых серверах.
Данная уязвимость затрагивает все версии aiohttp, начиная с 3.9.1 и старше (Исправлено в 3.9.2).
Простой пример уязвимого кода:
PoC прост до безобразия, пример:
Если при добавлении обработчика возврата статических файлов флаг Follow_symlinks выставлен на True (Он служит для того чтобы обработчик следовал символическим ссылкам на файлы вне корневого каталога), то из-за недостаточной проверки это может привести к атаке обхода каталога (directory traversal, aka path traversal).
Что позволяет хакерам получить доступ к любым файлам на уязвимых серверах.
Данная уязвимость затрагивает все версии aiohttp, начиная с 3.9.1 и старше (Исправлено в 3.9.2).
Простой пример уязвимого кода:
app = web.Application()
app.router.add_static('/static/', path='static/', follow_symlinks=True)
PoC прост до безобразия, пример:
curl --path-as-is http://localhost:3000/static/../../../../../etc/passwd
🔥12👍1🍓1
Forwarded from Омский багхантер
BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ
Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. В своей статье собрал небольшой список материалов, которые в свое время использовал и до сих пор использую для изучения.
Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. В своей статье собрал небольшой список материалов, которые в свое время использовал и до сих пор использую для изучения.
Telegraph
BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ
Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. Собрал небольшой…
🔥5
12 апреля в Москве проходил BUGZ.ZONE
Вместе с @bughunter_omsk посетили тусовку и выступили с докладами про триаж и использование питона в поиске и эксплуатации уязвимостей.
Записей докладов пока нет, держите фоточки)
Вместе с @bughunter_omsk посетили тусовку и выступили с докладами про триаж и использование питона в поиске и эксплуатации уязвимостей.
Записей докладов пока нет, держите фоточки)
👍10🐳1🍓1
Forwarded from BI.ZONE Bug Bounty
Независимый исследователь Артем Бельченко провел несколько интервью с вендорами и поделился с нами тем, как проводят триаж в разных компаниях.
Независимый исследователь Аркадий Тен рассказал, что делать, если привычных инструментов Burp Suite не хватает для эксплуатации нужной уязвимости, и как эффективно использовать Python для поиска багов.
Смотрите записи, делитесь с друзьями, ждем вас на следующих ивентах :)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Сегодня мне исполнилось 2️⃣ 1️⃣
Этот год был насыщен новыми интересными знакомствами и мероприятиями, бесконечным развитием.
Около года назад я получил свою первую выплату за найденную на багбаунти уязвимость, закончил учёбу, уволился из разработки для того, чтобы направить время на дальнейшее развитие в сфере инфобеза.
С того момента я посетил кучу интересных профессиональных мероприятий, с 89cr3w стабильно катались на очные финалы различных ctf. Попробовал себя в роли спикера на Bugs Zone. К концу 2023 года попал в топ-10 хакеров на багбаунти площадке бизона.
За год участия в багбаунти программах нашёл 61 уязвимость, которые были подтверждены.
А к концу этого года я принял участие в первом пентест проекте, позднее попал в команду Deteact.
Не остановилось развитие и в разработке, мы с командой активно разрабатывали и применяли новые сервисы, инструменты. И даже собрали небольшой сервер для селф-хоста на соревнованиях))
Спасибо сообществу и людям, которые меня окружают, дальше - больше!🔥
Этот год был насыщен новыми интересными знакомствами и мероприятиями, бесконечным развитием.
Около года назад я получил свою первую выплату за найденную на багбаунти уязвимость, закончил учёбу, уволился из разработки для того, чтобы направить время на дальнейшее развитие в сфере инфобеза.
С того момента я посетил кучу интересных профессиональных мероприятий, с 89cr3w стабильно катались на очные финалы различных ctf. Попробовал себя в роли спикера на Bugs Zone. К концу 2023 года попал в топ-10 хакеров на багбаунти площадке бизона.
За год участия в багбаунти программах нашёл 61 уязвимость, которые были подтверждены.
А к концу этого года я принял участие в первом пентест проекте, позднее попал в команду Deteact.
Не остановилось развитие и в разработке, мы с командой активно разрабатывали и применяли новые сервисы, инструменты. И даже собрали небольшой сервер для селф-хоста на соревнованиях))
Спасибо сообществу и людям, которые меня окружают, дальше - больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥29🍓4🍌2👍1🤯1
Forwarded from Омский багхантер
Тут CyberR3bel взял 2 место в Pentest award 2024 в номинации HACK THE LOGIC. Поздравляем этого господина, заслуженная награда за топовую багу 🥳
❤🔥16🔥7
Сегодня в Москве прошла церемония награждения премии для этичных хакеров Pentest Award 2024, организованная компанией awillix.
Я занял второе место в номинации "**CK THE LOGIC" с историей двух интересных account takeover в одном из крупнейших интернет эквайринге. Надеюсь, позже появится возможность поделиться этой работой здесь.
Спасибо всем причастным за организацию данного мероприятия, проявленный интерес к моей работе и приятные подарки🔥
Я занял второе место в номинации "**CK THE LOGIC" с историей двух интересных account takeover в одном из крупнейших интернет эквайринге. Надеюсь, позже появится возможность поделиться этой работой здесь.
Спасибо всем причастным за организацию данного мероприятия, проявленный интерес к моей работе и приятные подарки
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27🍓2
Forwarded from BI.ZONE Bug Bounty
В июне TimeWeb расширил скоуп и увеличил выплаты по своим программам. Чтобы отпраздновать это событие, мы провели совместную акцию. Победители — исследователи, сдавшие валидные отчеты по обновленным программам первыми.
Героями стали:
Поздравляем наших багхантеров! Они уже наслаждаются призами от нас и TimeWeb.
Не пропускайте новые программы и события на нашей платформе ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11
В хакере вышла статья, написанная по моей работе с Pentest Award
https://xakep.ru/2024/11/15/email-bugs/
https://xakep.ru/2024/11/15/email-bugs/
xakep.ru
История двух ATO. Ищем уязвимости в логике обработки email
В конце 2023 года я участвовал в программе багбаунти одной крупной российской компании. Комбинируя логические ошибки, я смог проэксплуатировать баг, который позволяет захватить любой аккаунт. В этой статье я расскажу, как проходило исследование и какие трюки…
👍11🍓1
JWT blacklist bypass
Как вы все знаете, JWT самодостаточен. Именно это делает его таким удобным, но некоторые обычные вещи становятся невозможными, например завершение сессии пользователя.
Если пойти в Google с вопросом об отзыве JWT, вы наткнётесь на кучу обсуждений и предложений. Обычно подход заключается в занесении его в blacklist, который хранится, например, в Redis. В интернете много рекомендаций вроде: когда нужно отозвать токен, сохраняешь его (или его хэш) в Redis, а когда запрос с токеном прилетает на сервер — проверяешь, нет ли его там.
Во время пентеста я заметил интересную аномалию, природа которой описана в этой статье: Decoding the JWT anomaly. Если последний символ в подписи JWT заменить на смежный в алфавите, то сигнатура остаётся валидной, и сервер не замечает разницы.
Пример:
Заменив в конце токена букву s на t, получаем валидный токен. Можете проверить сигнатуру на jwt.io (ключ — “key”).
Отсюда появилась теория: если сервер ведёт blacklist JWT, сохраняя в него сам токен или его хэш, то, заменив последний символ, подпись останется валидной, но этого токена (или его хэша) не будет в blacklist.
Теорию я проверил на bug bounty, и уже во второй программе смог «возрождать» отозванные токены.
Если при разработке сервиса всё-таки необходимо отзывать JWT, то заносите в blacklist jti или другие уникальные идентификаторы токена.
Как вы все знаете, JWT самодостаточен. Именно это делает его таким удобным, но некоторые обычные вещи становятся невозможными, например завершение сессии пользователя.
Если пойти в Google с вопросом об отзыве JWT, вы наткнётесь на кучу обсуждений и предложений. Обычно подход заключается в занесении его в blacklist, который хранится, например, в Redis. В интернете много рекомендаций вроде: когда нужно отозвать токен, сохраняешь его (или его хэш) в Redis, а когда запрос с токеном прилетает на сервер — проверяешь, нет ли его там.
Во время пентеста я заметил интересную аномалию, природа которой описана в этой статье: Decoding the JWT anomaly. Если последний символ в подписи JWT заменить на смежный в алфавите, то сигнатура остаётся валидной, и сервер не замечает разницы.
Пример:
eyJhbGciOiJIUzI1NiJ9.eyIxIjoxfQ.OUTJgV9NjeWLUPzLk0QzICm280pH00Zf54IpR5C4IFs
eyJhbGciOiJIUzI1NiJ9.eyIxIjoxfQ.OUTJgV9NjeWLUPzLk0QzICm280pH00Zf54IpR5C4IFt
Заменив в конце токена букву s на t, получаем валидный токен. Можете проверить сигнатуру на jwt.io (ключ — “key”).
Отсюда появилась теория: если сервер ведёт blacklist JWT, сохраняя в него сам токен или его хэш, то, заменив последний символ, подпись останется валидной, но этого токена (или его хэша) не будет в blacklist.
Теорию я проверил на bug bounty, и уже во второй программе смог «возрождать» отозванные токены.
Если при разработке сервиса всё-таки необходимо отзывать JWT, то заносите в blacklist jti или другие уникальные идентификаторы токена.
🔥20👍4🍓3👏1
Открыт приём заявок на Pentest Award 🏆
В прошлом году принял участие — крутой ивент: хорошие призы, интересные люди и ситуации из практики
Если есть опыт, который хочется пошарить — рекомендую подать заявку. Доступны различные интересные категории, а работы можно подавать в обезличенном виде
🔗 Заявки принимаются на сайте — https://award.awillix.ru/
В прошлом году принял участие — крутой ивент: хорошие призы, интересные люди и ситуации из практики
Если есть опыт, который хочется пошарить — рекомендую подать заявку. Доступны различные интересные категории, а работы можно подавать в обезличенном виде
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5