Telegram Desktop — DoS Exploit

Версия приложения 2.9.2 для Windows.
Опубликовано 4 октября 2021 года.

0day уязвимость среднего уровня опасности.

@hashb1n

Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/

https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com

Источник @tomhunter

Пост о хакере по жизни.
Не могу промолчать.

😒 Стало известно, что основатель WikiLeaks Джулиан Ассанж перенес инсульт в британской тюрьме строгого режима Белмарш ещё в октябре.
А недавно, 10 декабря лондОнский суд разрешил экстрадировать его в США.
Собственно, ничего удивительного в этом и нет, если кто-то вообще рассчитывал на нормальный исход.

✅ Там Ассанжа засудят так, что Протасевичу и не снилось.
Как обычно, наши пиздатые журналисты из самых правдивых СМИ на свете отметятся (или уже отметились) двумя позорными абзацами и ни одного плохого слова не напишут о сияющем бастионе прав человека. Ой хуле я доебался 😆.

✅ А между тем, Дж. Ассанжа под соусом неоднозначности его личности обвиняют за:
- "Дневники афганской войны" и "Иракское досье";
- Изнасилование активистки Викиликс;
- Сотрудничество с Russia Today, Россией и лично Путиным;
- Способствование избранию на пост президента США Д. Трампа;
- Связь с "Анонимусами".

Ёпт, а что ты сделал для хип-хопа в свои годы???
Это ли не политика двойных стандартов во всей красе???

Если ты Протасевич, Венедиктов, Навальный, то ты борец с тиранией, за свободу, демократию и права человека, а если ты Ассанж, то ты террорист 🤦🏻‍♂

Всем добра, жители матрицы.
Не протекайте 🖥💦

🌐 Агрегатор утечек @data1eaks

Завтра будем обзирать недавний слив парсинга LinkedIn по косточкам.

Достаточно интересное обновление вышло в нашем любимом Telegram

Постепенно, с каждым нововведением выселяют ботов монополистов, на этот раз реакции.

Функция в чатах и каналах по умолчанию недоступна.

Если вам понравился контент дважды нажмите на пост ❤️

Есть такой интересный сервис скриншотов с подпиской — screenshotmachine.com

В нем мы нашли несколько крупных недочётов, которые могут вам пригодиться в ваших проектах и просто, как интересная информация.

1. Ключи API у каждого пользователя всего 6 символов, большая возможность перебрать и найти ключ с платной подпиской для скриншотов, скорее всего платную подписку выдаст отличающийся от остальных других IP сервера

2. Очень простая капча, которую можно распарсить небольшим Python-скриптом. (что мы и сделали)

3. Нет детекта temp-mail и вообще подтверждения по email.

4. Самое грандиозное, не нужно никаких API, есть торчащий endpoint для скриншотов:

POST https://www.screenshotmachine.com/capture.php

url=ВАШ_URL&device=desktop&width=1920&height=1080&zoom=100&format=png&timeout=2000&click=&hide=&cacheLimit=0

Получаем сессию (на каждый скриншот новую) и с ней отправляемся получать скриншот к следующей странице:

https://www.screenshotmachine.com/serve.php?file=result

@EmailPhoneOSINT_bot стукнуло 4 месяца, мне кажется стоит поддержать данный замечательный проект, хотя бы высокой нагрузкой на бота 🧐

Конечно не все так замечательно, как и хотелось бы. Я знаю, что администратор бота меня сейчас читает и наконец, сделает нормальное определение email / номера регуляркой сразу по всем форматам, а не кнопками.

Не помешало бы убрать снижение количества запросов за ложные срабатывания (неправильный формат или вовсе другой текст).

Эксплоит CVE-2021-4034 — github.com/berdav/CVE-2021-4034

Уязвимость заключается в локальном повышение привилегий на машине под управлением Debian и части основанных на ней дистрибутивов. Недочет скрывается в приложении polkit-pkexec, которое является инструментом setuid и позволяет обычным пользователям выполнять команды от имени привилегированных с предопределенными политиками.

Информация об уязвимости появилась вчера (25.01.2022), часть фиксов уже выпущена.

Обстановка в мире конечно не очень, но Тинькофф..

Еще вчера курс на покупку доллара был равен 84 рублям, пару часов назад он поднялся аж до 99 рублей, а сейчас он и вовсе 154 рубля.

Представьте, покупка доллара — 154р, евро — 165р, а на продажу 83 и 93 рубля соответственно...

Да ладно курсы, у меня все и так в долларах, но конкретно я был удивлен, когда увидел то, что творится с Тиньковом. Нельзя нормально снять наличные, а перевод между валютами в приложении и вовсе заблокирован!

На скриншоте можно наблюдать, что нет курса при конвертации, а второе поле равно нулю, press F владельцам Тинькофф и мне.

Единственная информации о ситуации, которую я нашел. Напоминаю, на Тинькофф не были наложены санкции.

А вот и я.. Прилетел с Тайланда обратно в Магадан.

За время, пока меня не было произошло несколько крупных утечек и без меня 🙃 Кто имеет какую нибудь из этих утечек – милости прошу в чат, а я сам вас найду.

«2 берега» – 10,4 миллионов строк
«Гемотест» – 30,5 миллионов строк
«Paysystem.tech» – якобы утечка QIWI, хотя сама база наверняка не более, чем просто обогащенная база номеров
«Суши Мастер» – минимум 1,3 миллиона строк
«Ykt.ru» – буквально недавно и тоже на 1,3 миллиона строк
«Fotostrana.ru» – тут только 800 тысяч, но тоже прикольно
«RaidForums» – приношу глубокие соболезнования данному проекту, поглубже, чем бутылка в заднице владельца

Не знаю чем вас порадовать, пишите в комментарии, что вы хотите, а я вам подыщу чего нить :)

Я уже не раз говорил про очень интересного бота – @acunetix_robot, который позволяет сканировать любой сайт на уязвимости.

В боте используется программное обеспечение Acunetix, цена на который варьируются от 4,500$ и до бесконечности, тем временем в @acunetix_robot одно полное сканирование любого сайта обойдется вам всего в 30 рублей.

На выходе, как и полагается, у вас будет красиво оформленный PDF-файл с отчетом. На одном таком сканировании можно найти множество уязвимостей и заработать на программе Bug Bounty. (или продать)

#не_реклама_а_благотворительность ❤️

В продолжение об утечке russkoe-slovo.ru, о которой писал @data1eaks

На одном из форумов, как уже обговаривалось, был выложен фазнутый лог ошибок, содержащий огромное количество пользовательских данных и информации о заказах (на скриншоте пример с поломанной кодировкой, но спокойно можно различить, что имеется адрес, номер, почта, стоимость заказа и так далее)

Пока я в кой то веке решил уведомить компанию о таком разочаровании я наткнулcя еще и на russkoe-slovo.ru/.git/config при поверхностном осмотре. 🤦🏻‍♂️

Вам не хочется плакать, осознавая то, что информационная безопасность настолько ужасно развита? Это уже далеко не первый сайт, который закрыл .git, но не закрыл каталог, блять...

UPD: Данные от 31 августа 2018г по 19 ноября 2019г, более года все это логировалось..

UPD2: Это лог данных заказов, которые отправлялись через api.grastin.ru (полагаю служба доставки и тоже не блещет безопасностью)

channel: @hashbin2

Смешнее вы сегодня ничего не увидите...

Украинский сервис nexus.ua в качестве почтового ящика использует заблокированный у них же Yandex.ru, в качестве доказательств выкладываю все данные с их сервера.

Заходите – играйте, на самом сервисе ничего интересного, кроме моего красивого поста нет, да прибудет актив на забытый народом сайт.

SMTP
public $smtpuser = 'nexus.ua.2016@yandex.ru';
public $smtppass = 'aXdWtOhXLb';
public $smtphost = 'smtp.yandex.ru';
public $smtpsecure = 'ssl';
public $smtpport = '465';

FTP
public $ftp_host = '185.67.1.56';
public $ftp_port = '21';
public $ftp_user = 'nexus';
public $ftp_pass = 'rM97FaLt';

nexus.ua/administrator
admin:hashbin
nexus:nexus

UPD:
быстро вы, помянем.

ℹ️ Сегодня канал "Утечки информации" (@dataleak) попал в примерно такую же ситуацию, как и наш канал не так давно (когда совершенно необоснованно нам повесили плашку SCAM по ошибочной жалобе, которую администрация мессенджера без сомнений, не разбираясь в ситуации, исполнила).

🤦🏻‍♂ А именно, столкнулся с безобразной модерацией или фактически цензурой со стороны Telegram, опять же, по непонятной жалобе непонятных юристов - борцунов непонятно с чем. Из канала без предупреждения (как это принято в Телеге) был удалён пост об утечке персональных данных клиентов "GeekBrains" за "нарушение копирайта".

✅ То ли англоязычные модераторы "не алё", то ли это такая политика мессенджера в отношении каналов ИБ-тематики? Любой может придумать жалобу, приправить её серьезными словами, не забыть написать в ней "нарушение авторских прав" или "нарушения копирайта", дать ссылку на свою страницу в сети (на которой модератор Telegram будет единственным посетителем за сутки, так как до него она никому была не интересна) и вуаля.

❌ Уверяю вас, что обжалованию решение модерации не подлежит, т.к. у вас не получится достучаться до поддержки и построить диалог, это я вам гарантирую, проверено на собственном опыте.

❗️Владельцы каналов ИБ-тематики и просто всем, кому не безразлична такая ситуация, прошу сделать максимальное распространение с тем, чтобы привлечь внимание к этой имеющей место быть "проблеме". В противном случае, следующим пострадавшим окажетесь вы.

🌐 Агрегатор утечек @data1eaks
Не протекайте, друзья 🖥💦

Господа OSINTеры, для вас интересный таск

Найти координаты, с которых была сделана эта фотография.

Первый, кто пришлет в чат bin.discussion координаты с точностью до 100 метров получит небольшое денежное вознаграждение от меня.

UDP: Игра окончена. Это Дмитровский мост в Новосибирске.

Деанонимизированы владельцы даркнет форума Нимфетомания

Насколько мне известно расследование шло достаточно долго и мы с товарищем тоже внесли свой маленький вклад, надеюсь он вам помог, коллеги ❤️

Почитать полностью — telegra.ph/Otdel-po-borbe-s-kalom-pedofily-hakery-i-OSINT-07-25

XSS.IS, @data1eaks ❤️

channel: @h4shbin

Тем временем снова утечка билайна, на этот раз якобы 2022 год

По словам автора со скриншота это январь 2022, а значит данных за текущий год фактически нет.

По нашей информации это база билайна 2020 + 2021 года, про которую мы писали постом выше. (не точно)

UPD: в любом случае это не какая-либо уникальная выкачка, возможно номера из других баз операторов.

channel: @h4shbin

Масштабная утечка телефонов и IMEI в Китае

Должен признать утечка довольно таки интересная и заслуживает нашего внимания, ведь такого на моей памяти за последние несколько лет точно никто не делал.

По моей проверенной информации утечка произошла около месяца назад и является валидной, я также удостоверился в том, что был взломан один из крупных операторов Китая, название которого пока не разглашается.

channel: @h4shbin

Чтож, раз сегодня появилось настроение к постам, то давайте затронем хотя бы немножко тему ИБ.

Дарю вам свою краткую миндмапу, в ней нет ничего сверхъестественного или нового для большинства из вас, но тем не менее кому-то может быть полезно.

Если вы WhiteHat, то после Exploitation дорисуйте стрелочку к hackerone.com с подписью Scam.

channel: @h4shbin