تو زندگیم با گذاشتن یه @ خالی تو یه پارامتر نشده بود هم authentication رو دور بزنم
کامل هم full information disclosure بگیرم
هم بتونم دیتا ادیت کنم
و اون بالا هم لاگینمو با یه یوزر دیگه نشون بده :)

بامزگیه این این بود که فک کن باهاش میشه دیتارو در آورد
بعد تمام دیتارو ادیت کرد و انداخت گردن یکی دیگه
و در نهایت هم DoS زد نیاد بالا تا یه تایم 😂😂😂😂
و خوبیه پن تست هم نسبت به بانتی اینه که دستت بازه هر بلایی سر تارگت بیاری وقتی رو محیط staging باشه 😄

آقا جدی چه فازیه بیاید پی وی من بگید پیج اینستا مزاحم دارم هک و فلان؟
برید خدا روزیتونو جای دیگه بده 😂

ماشین زمان داشته باشم بر میگردم بیل گیتس کثافت رو بابت ساخت این ویندوز زباله ترور میکنم که هرگز این لجن تمام عیار ساخته نشه :)

خداروشکر
ما ام از تست
react2shell
بی نسیب نموندیم و یه جا توی اسکوپ قانونی زدیم و خورد 😄

ازتون ممنونم که هیچ isolation ای ندارید و من روی یوزر روت سوار ام 😄

آقا اینقدر نپرسید رو چه سازمان و سامانه هایی کار میکنید که اینارو میزنید
من اندازه کله ام NDA امضا کردم یک
دو امضاء نکرده بودم هم نمیگفتم بهتون کجا هان اخلاقی نبود.
چرا ؟ چون ممکنه پچ نکنن درست درمون
یا خیلی وقتا وقتی یه باگ بچ میشه همون فانکشنالیتی رو ممکنه توش یه آسیب پذیری دیگه با پچ کردنشون معرفی کنن 😂
در نتیجه نپرسید ، نمیگم!

من امروز فهمیدم خیلی چیزارو خیلیا بلد نیستن
به باگی زده بودم از یه جایی
BAC
بود
دقیق بخوام بگم
authorization bypass
چجوری کار میکرد؟
اینجوری بود که میتونستی بیای چنتا کارو با هم chain کنی
یه کوکی unauthenticated بگیری از تارگت
برش داری
از یه کوئری پارامتر خاص استفاده کنی
و اون کوکی بدون لاگین تبدیل میشد به authenticated با سطح اکسس ادمین

حالا من اومدم یه instance chromium headless باز کردم با ریموت پورت دیباگگینگ و اومدم با websocat کوکی رو گرفتم و این پروسه رو رفتم جلو
یکی از همکارام پیام داده من نمی‌دونستم chromium headless وجود داره این هم زیادی پیچیده است یه کار ساده تر بکن 😂

البته پسر به شدت با سوادیه یه اتکایی میزنه بیاید و ببینید فقط یکم با ترمینال غریبه است.

خب بیاید یه کار ساده باهاش بهتون یاد بدم
برای مثال همین گرفتن کوکی

اگه با یوزر روت اجرا میکنید باید نو سندباکس رو بزنید

chromium --headless=new --temp-profile --disable-gpu --no-sandbox --ignore-certificate-errors --allow-insecure-localhost --user-agent="mozila :)" --incognito --remote-debugging-port=9922 https://target.tld  --proxy-server=$(echo "http://$(ip -o route show default | awk '/default/ {print $3}'):8080")

اینم بگم جوری که من دارم پراکسی میکنم سر یه داستان دیگست شما اصلا میتونید نکنید یا هرجوری دوست دارید بکنید

این درخواست رو هم میتونید بندازید تو بک‌گراند هم میتونید یه اینستس دیگه ترمینال باز کنید و اینو برای گرفتن کوکی (بر فرض این که یدونه است ) بنویسید

echo '{"id": 1, "method": "Network.getAllCookies"}' | websocat -t - $(curl -s http://localhost:9922/json/list | jq -r   '.[0]."webSocketDebuggerUrl"') | jq -r '."result"."cookies".[0] | \"(.name)=\(.value)"' | xclip -selection clipboard -in

به همین سادگی ما کوکی رو گرفتیم و کپیش کردیم تو کلیپ بورد

@lousbs

just because you're paranoid , doesn't mean they aren't after you :)
stay paranoid 😄

خب امروز روز عجیبی بود
یه تارگت جدید داریم که به منم امروز یه درس بزرگ داد

تو پروسه ریکان یه مسیر پیدا کردیم
که یه دیتا ای فچ میکرد
بر اساس عادت متود دیلیت رو روی همون دیتا که یه سری دیتا ساده بود فرم ریپورت گونه زدم
انتظار ای که داشتم این بود که خیلی ساده همون دیتا دیلیت شه
درخواست دیلیت رو فرستادم و نظاره گر یه 200 شدم
اومدم یکم بررسیش کنم
دیدم شت
درخواست دیلیت اون تیکرو دیلیت نکرده بر اساس آی دی
زده ۷۰ درصد یو آی رو دیلیت کرده 😂😂😂😂
من هیچ من نگاه

قیافم الان شبیه آقای شگفت انگیزه تو عکس و دارم داد میزنم ولی قرار بود فقط یه ریپورت دیلیت شه نه کل یو آی

شاید باور نکردنی باشه ولی این درخواست ساده تمام یوزر های دیتابیسو پاک کرده نصف فانکشنالیتی های بک اند به فنا رفته بود فقط و فقط با تغییر یدونه GET به DELETE 😂
هنوز تارگت کامل بالا نیومده
دیتا های داخل تارگت همه پاک شدن
فرم ها پاک شدن
API
به کل نصفش ارور ۵۰۰ میداد 😂

خیلی سال بود
host header injection leading to password reset poisoning --> ATO
نزده بودم
چقدر این باگ جذابه

کل دیتا بیس Microsoft power BI report server
رو لخت کردم
شهر عجیبی شده
حتی یه basic authentication ام جلوم نبود :)
حال نمیده اینجوری زدن
هیچ چالشی نداره

یکی از کارایی که من موقع دیسکاوری میکنم زمانی که اصلا تارگت پتانسیل اینو نداره که crawler بندازم روش مثلا katana یا هرچی که استفاده میکنید، اینه که مثل یه کاربر برپو باز میکنم، ترافیک رو ازش رد میکنم و شروع میکنم به بالا پایین کردن تارگت بین منو ها و غیره با تمام سطوح دسترسی ای که دارم بسته به نوع تست.

اینجا قاعدتاً یه سری مسیر در اومده و احتمالا یه خیلی فایل جی اس بسته به نوع تارگت.
هدف اصلی ما ام در آوردن مسیر ها و پارامتر ها و غیره از اون فایل هاست.
کاری که من میکنم اینه
یه خروجی urls از هاست تارگت ام توی سایت مپ برپ میگیرم
ctrl+shift+numpad *
اینارو میپاچم تو یه فایل توی ترمینال
ولی فقط جی اس هارو
چجوری؟

xclip -o -selection clipboard | sort -uV | grep -E "\.js\b" | grep -vEi "jquery|othervendor"> js

خب با کامند بالا ما میایم جی اس هایی که پیدا کردیم رو سورت ، تمیز میکنم و میریزیم تو یه فایل
مرحله بعدی من تمام جی اس هارو دانلود میکنم با curl
یه همچین کاری میکنم
البته دستتون بازه که هر جوری دوست دارید اینارو دانلود کنید wget هست خیلی ام ساده تره نیازی ام به loop ندارید توش من اینجوری راحت ام

while read p; do curl -ki -H "Authorization Bearer your token" -H "Cookie: ifcookie=cookie_value" $p -o $(echo $p | unfurl format %p | grep -o '[^/]*.js$') ; done < js

تو مرحله بعدی تام هادسون عزیز یه ابزاری رو نوشته به اسم jsluice
ما هم ازش بهره میبریم به این گونه

jsluice urls *.js | jq -r 'select((.url | ascii_downcase) | test (microsoft|bing\\.com|aka\\.ms) == false ) | .url ' | sort -uV > paths 

به‌همین سادگی و زیبایی 😄
البته بگم باید تنظیم کنید خودتون،‌ چیو فیلتر کنید، چیو بپذیرید ، تارگ کدوم‌ ترد پارتی هارو داره و چندبار اینو جلو برید
برای مثال از همین یه سری جی اس دیگه در میاد مقایسه کنید ببینید همخونی دارن ؟ ندارن ؟ اگه جدیدن میخواید اونارو هم بررسی کنید و غیره


@lousbs

این نکته رو بگم من اینو بخش بخش کردم که خوندنش براتون راحت باشه وگر نه خودم وانلاینر استفاده میکنم واسه این کار 😄

یکی از دوستان میگه چجوری؟
اینجوری

while IFS= read -r p; do ofile=$(echo -n "$p" | unfurl format %p | grep -o '[^/]*.js$') ; [[ ! -f "$ofile" ]] && { curl -ki -H "Authorization Bearer your token" -H "Cookie: ifcookie=cookie_value" "${p}" -o "${ofile}" }; done < <(xclip -o -selection clipboard | tr -d '\r' | sort -uV | grep -E "\.js\b" | grep -vEi "jquery|othervendor") ; jsluice urls *.js | jq -r 'select((.url | ascii_downcase) | test (microsoft|bing\\.com|aka\\.ms) == false ) | .url ' | sort -uV > paths

@lousbs

من چرا اینجوری راحت ترم؟ چون یدونه فایل می‌سازم کلا این شکلی بعد اونو تمیز میکنم میندازم تو ffuf ببینم چی به چیه

اگر میخواید منو خوشحال کنید برام این دوتا رو بخرید
https://bir-robotic.ir/product/%D8%A8%D8%B1%D8%AF-%D8%B1%D8%B2%D8%A8%D8%B1%DB%8C-%D9%BE%D8%A7%DB%8C-5/

https://pcbcenter.ir/product/radxa-dual-2-5g-router-hat/
اصلا اوف :)

خب توضیح بدم چرا این دوتا؟
چون به سادگی میتونم باهاش یه روتینگ و فایروال قابل قبول راه بندازم با openWRT و مراحل بعد کارایی مثل Suricata و دیگر ابزار ها یه ست آپ کامل
واسه home network ساده هم باتل نک نمیشه 2.5