Как изучать что угодно 🤓
При изучении чего-то нового, будь это фреймворк или сисадминская утилита, можно начинать изучать это по такому удобному алгоритму:
🟢 Используем как обычный пользователь
🟢 Используем как разработчик или сисадмин
🟢 Используем как пентестер
➡️ Использовать как обычный пользователь - это нам даст понимание что мы можем использовать, какие точки входа есть, какие есть кнопки, папки, файлы, механизмы, фичи и функции
➡️ Использовать как разработчик - это нам даст понимание как работает под копотом то, что мы с вами тыкали как обычный пользователь. Также есть возможность изучить какие защитные меры есть, от каких уязвимостей можно спастись и как именно это спасает
➡️ Использовать как пентестер - на тех, двух этапах, мы с вами поняли какая используется дефолтная конфигурация, какие могут быть дефолтные креды, какие есть защитные меры и как именно устроена защита от уязвимостей. Теперь есть время попробовать обойти те защитные меры и деф от уязвимостей, также потыкать к примеру функционал загрузки файлов на уязвимости, перед нами еще и есть открытый исходный код, одни плюсы.
📌 Теперь когда Вы прошли через все этапы, вы при столкновении с этим объектом знаете куда смотреть, что открывать что тыкать и какие уязвимости не стоит искать.
ЧТНП | #блабла
При изучении чего-то нового, будь это фреймворк или сисадминская утилита, можно начинать изучать это по такому удобному алгоритму:
ЧТНП | #блабла
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Обход капчи у веб-приложений построенных на Bitrix ⛈
Однажды я на работе ломал один сайт который был построен на 1с-bitrix
Мне попался один файл с регистрацией и заметив в нем капчу мне стало любопытно, а можно ли ее обойти
Недолго поисследовав как одна устроена и как генерируется - мне удалось ее обойти.
Давайте разберемся как обошел, о чем думал когда исследовал и т.д.
💪 Внутреннее устройство капчи
Давайте познакомимся с деталями и устройством капчи
🟢 captcha.php - системный файл битрикса, который генерирует капчу и ее SID каждый раз по новой, когда приходит ей GET запрос при подгрузке страницы где капча размещена, далее этот файл обращается к функции GetSID() для того, чтобы получить значение капчи и её SID
🟢 SID - дословно расшифровывается как secure id. Он нужен чтобы в html форме на прямую не лежало значение капчи, выглядит он как-то так: 0f7e32b13881c476d4d1f7be9796ed42
после его генерации в html форме появляется ссылка такого вида: /bitrix/tools/captcha.php?captcha_sid=0f7e32b13881c476d4d1f7be9796ed42
перейдя не неё - там лежало значение капчи в виде картинки, которую нужно ввести руками
🟢 Условно выглядит это так 0f7e32b13881c476d4d1f7be9796ed42 == we0f
Где 0f7e32b13881c476d4d1f7be9796ed42 - SID
И we0f значение капчи
🟢 Также, при регистрации нового пользователя отправляется POST запрос где в параметрах есть значение капчи в виде "f4oK" и ее SID, далее идет проверка капчи
💪 Почему начал исследовать?
🟢 Начал я исследовать из-за того, что ранее сгенерированные SID оставались еще долгое время живы и не удалялись системой, это и привлекло мое внимание
и подумал я, а что если проверить на генерацию одного и того же SID, если сгенерируется один и тот-же SID что и ранее, то можно без проблем ввести значение капчи и ее обойти и начал это реализовывать
мой коллега помог написать скрипт на python чтобы отправлялся get запрос на ловлю старого sid, за что большое спасибо, но через get запрос не сработало к сожалению, тогда я попробовал написать через post запрос
💪 Обход капчи
⬜️ Отправляем post запрос на регистрацию нового юзера через python
⬜️ Отправляем его до тех пор, пока не попадется старый sid
⬜️ Если попался старый сид, то зарегистрируется новый юзер и выведет "ok"
🟢 Весь эксплойт выглядит так:
https://pastebin.com/DiZXUkWW
🟢 И в результате это сработало, скрипт мне выдал любимый "ok" и чтобы проверить не ошибка ли это, я пошел авторизироваться с пользователем зарегистрированным через обход капчи, и сработало
💪 Импакт и завершение
Таким образом можно сгенерировать к примеру 10 таких SID введя значение и ждать когда скрипт задетектит старые и зарегает пользователя
Импакт от этого - возможность забить место в базе данных
ЧТНП | #исследования #web
Однажды я на работе ломал один сайт который был построен на 1с-bitrix
Мне попался один файл с регистрацией и заметив в нем капчу мне стало любопытно, а можно ли ее обойти
Недолго поисследовав как одна устроена и как генерируется - мне удалось ее обойти.
Давайте разберемся как обошел, о чем думал когда исследовал и т.д.
Давайте познакомимся с деталями и устройством капчи
после его генерации в html форме появляется ссылка такого вида: /bitrix/tools/captcha.php?captcha_sid=0f7e32b13881c476d4d1f7be9796ed42
перейдя не неё - там лежало значение капчи в виде картинки, которую нужно ввести руками
Где 0f7e32b13881c476d4d1f7be9796ed42 - SID
И we0f значение капчи
и подумал я, а что если проверить на генерацию одного и того же SID, если сгенерируется один и тот-же SID что и ранее, то можно без проблем ввести значение капчи и ее обойти и начал это реализовывать
мой коллега помог написать скрипт на python чтобы отправлялся get запрос на ловлю старого sid, за что большое спасибо, но через get запрос не сработало к сожалению, тогда я попробовал написать через post запрос
https://pastebin.com/DiZXUkWW
Таким образом можно сгенерировать к примеру 10 таких SID введя значение и ждать когда скрипт задетектит старые и зарегает пользователя
Импакт от этого - возможность забить место в базе данных
ЧТНП | #исследования #web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2❤1
Атаки на 1с-битрикс | Часть 1 | Разведка 🤓
Что делать есть по всем известной методичке ненадох в плане уязвимостей?
Как-то раз я выступал тему как ломать 1с-битрикс сайты у друзей @RESOLUTEATTACK на youtube канале Доклад
И обсудил некоторые моменты, давайте преображу их в текст и вкратце обсудим что делать
⛈ Самописные php скрипты
Допустим вы развернули сайт на битриксе и ходите сделать что-то типа информационного сайта
По дефолту у битрика есть шаблоны, но их приходится переписывать и писать что-то своё
Таким образом и появляются самописные php скрипты с использованием api bitrix и возможно с небезопасно написанным кодом
⛈ Где такое найти?
🟢 AJAX - чаще используют концепцию SPA(Single page application) когда с основной страницы по одному клику может выскочить к примеру форма подписки на рассылку
В таком случае достаточно порыться в коде элемента и собрать ряд js скриптов и собрать информацию с основной страницы, искать можно по словам типа: ajax, $.get, $.post, XMLHttpRequest
И заметить что в js скрипте есть php файл к которому идет ajax, также можно заметить какие query string параметры ему передаются и через какой http метод
🟢 Фаззинг - достаточно запустить какой нибудь ffuf, wfuzz, dirsearch с расширением файла php и найти самописный скрипт
🟢 JS файлы - покопавшись в коде панели разработчика или отрыв js скрипт с фаззинга можно открыть их в браузере и поискать на слова типа: .php, .inc, .inc.php
ЧТНП | #исследования #web
Что делать есть по всем известной методичке ненадох в плане уязвимостей?
Как-то раз я выступал тему как ломать 1с-битрикс сайты у друзей @RESOLUTEATTACK на youtube канале Доклад
И обсудил некоторые моменты, давайте преображу их в текст и вкратце обсудим что делать
Допустим вы развернули сайт на битриксе и ходите сделать что-то типа информационного сайта
По дефолту у битрика есть шаблоны, но их приходится переписывать и писать что-то своё
Таким образом и появляются самописные php скрипты с использованием api bitrix и возможно с небезопасно написанным кодом
В таком случае достаточно порыться в коде элемента и собрать ряд js скриптов и собрать информацию с основной страницы, искать можно по словам типа: ajax, $.get, $.post, XMLHttpRequest
И заметить что в js скрипте есть php файл к которому идет ajax, также можно заметить какие query string параметры ему передаются и через какой http метод
ЧТНП | #исследования #web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
Атаки на 1с-битрикс | Часть 2 | Атака🤓
⛈ Атака на самописы
Когда вы обнаружили список самописных скриптов и определились какие query string параметры они принимают, можно протестировать на ряд уязвимостей в зависимости от функционала скрипта
К примеру, если это подписка на рассылку, значит он будет ожидать email адрес, оттуда и можно построить вектор атаки и потестировать к примеру на XSS таким пэйлоадом:
🟢 Атака Mass Assignment
Программные фреймворки или скрипты иногда позволяют разработчикам автоматически привязывать параметры HTTP-запроса к переменным кода программы или объектам, чтобы упростить использование этого фреймворка или скрипта. Иногда это может причинить вред
Мы можем использовать эту методологию для добавления новых параметров, которые разработчик не предполагал, что, в свою очередь, создает или перезаписывает объекты в программном коде
Это называется Mass Assignment
Таким образом мы можем поискать скрытые параметры и потестить их на любые уязвимости
Список утилит для поиска скрытых параметров:
➡️ X8
➡️ ParamSpider
➡️ Arjun
➡️ ParamMiner
ЧТНП | #web #исследования
Когда вы обнаружили список самописных скриптов и определились какие query string параметры они принимают, можно протестировать на ряд уязвимостей в зависимости от функционала скрипта
К примеру, если это подписка на рассылку, значит он будет ожидать email адрес, оттуда и можно построить вектор атаки и потестировать к примеру на XSS таким пэйлоадом:
mail(<noscript>alert(0)</noscript>)@gmail.com
Полный список трюков по email можно глянуть тут Программные фреймворки или скрипты иногда позволяют разработчикам автоматически привязывать параметры HTTP-запроса к переменным кода программы или объектам, чтобы упростить использование этого фреймворка или скрипта. Иногда это может причинить вред
Мы можем использовать эту методологию для добавления новых параметров, которые разработчик не предполагал, что, в свою очередь, создает или перезаписывает объекты в программном коде
Это называется Mass Assignment
Таким образом мы можем поискать скрытые параметры и потестить их на любые уязвимости
Список утилит для поиска скрытых параметров:
ЧТНП | #web #исследования
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍1
Буду исследовать веб-фреймворк чтобы понимать какие уязвимости при встрече с ним не стоит искать, а какие лучше бы поискать. Его внутренние защитные механизмы и как он устроен, дальше сделаю статью для вас, так что выбирайте какой хотели бы видеть фрейм
Final Results
49%
Django
8%
Flask
19%
14%
Laravel
8%
Spring
0%
Symfony
1%
Свой варик в комменты
Что-то на пентестерском
Буду исследовать веб-фреймворк чтобы понимать какие уязвимости при встрече с ним не стоит искать, а какие лучше бы поискать. Его внутренние защитные механизмы и как он устроен, дальше сделаю статью для вас, так что выбирайте какой хотели бы видеть фрейм
Джанго так джанго, ожидайте 😉
Скоро приправлю ваше ожидание в виде статьи о том, как я нашёл уязвимость обхода аутентификации в одном сервисе ВК.⏳
Скоро приправлю ваше ожидание в виде статьи о том, как я нашёл уязвимость обхода аутентификации в одном сервисе ВК.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16
Привет! Есть 2 хороших новости ⛈
Статья по уязвимости ушла на внутреннее утверждение у ВК, ребята из ВК помогли ее отредачить, так что примерно завтра-послезавтра выйдет статья.
И завтра в 15:00 буду у киберёж выступать с докладом о том, как ломать 1с-битрикс сайты и обходить капчу, приходити послушац, позже кину пост.
Всем хорошего вечера❤️
Статья по уязвимости ушла на внутреннее утверждение у ВК, ребята из ВК помогли ее отредачить, так что примерно завтра-послезавтра выйдет статья.
И завтра в 15:00 буду у киберёж выступать с докладом о том, как ломать 1с-битрикс сайты и обходить капчу, приходити послушац, позже кину пост.
Всем хорошего вечера
Please open Telegram to view this post
VIEW IN TELEGRAM
☃10👍8💅2🕊1🐳1
Forwarded from CyberYozh
Media is too big
VIEW IN TELEGRAM
Пентест 1С-Битрикс. Прямой эфир.
Спикер: Firewall
👍 Начало трансляции в 16:00
В рамках доклада спикер от NetRunner - (партнеров RESOLUTE ATTACK) - Firewall расскажет про способы нахождения уязвимостей без методички, атак на php скрипты разработчиков и их поиск.
🎁 В качестве приятного дополнения - так же расскажет, как обходить капчу в 1С-Битрикс.
Канал Firewall | RESOLUTE ATTACK | NetRunner
Спикер: Firewall
В рамках доклада спикер от NetRunner - (партнеров RESOLUTE ATTACK) - Firewall расскажет про способы нахождения уязвимостей без методички, атак на php скрипты разработчиков и их поиск.
Канал Firewall | RESOLUTE ATTACK | NetRunner
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8⚡2🔥2👏1