Уязвимость LFI⛈

Сегодня познакомимся с уязвимостью LFI, раскроем ее прелести, из-за чего возникает и как и почему это работает, let's root!

📌Статья

ЧТНП | #статья #vuln #base #web

Уязвимость LFI ⛈

В предыдущей статье мы познакомились с LFI
В этой части мы с вами познакомимся с тем, что такое wrapper и как их применять к LFI и научимся раскручивать LFI до уязвимости RCE
Let's root!

📌Статья

ЧТНП | #статья #vuln #base #web

Зачем нам изучать веб-фреймворки ⚡️

Изучение фреймворков даёт глубокое понимание его внутреннего устройства.
Т. к. большинство дефолтных методов при пентесте, которые можно использовать, могут не сработать
А еще их можно заспидранить.
Давайте разберемся, как и зачем.

📌Статья

ЧТНП | #web #статья

Как изучать что угодно 🤓

При изучении чего-то нового, будь это фреймворк или сисадминская утилита, можно начинать изучать это по такому удобному алгоритму:

🟢 Используем как обычный пользователь
🟢 Используем как разработчик или сисадмин
🟢 Используем как пентестер

➡️ Использовать как обычный пользователь - это нам даст понимание что мы можем использовать, какие точки входа есть, какие есть кнопки, папки, файлы, механизмы, фичи и функции

➡️ Использовать как разработчик - это нам даст понимание как работает под копотом то, что мы с вами тыкали как обычный пользователь. Также есть возможность изучить какие защитные меры есть, от каких уязвимостей можно спастись и как именно это спасает

➡️ Использовать как пентестер - на тех, двух этапах, мы с вами поняли какая используется дефолтная конфигурация, какие могут быть дефолтные креды, какие есть защитные меры и как именно устроена защита от уязвимостей. Теперь есть время попробовать обойти те защитные меры и деф от уязвимостей, также потыкать к примеру функционал загрузки файлов на уязвимости, перед нами еще и есть открытый исходный код, одни плюсы.

📌 Теперь когда Вы прошли через все этапы, вы при столкновении с этим объектом знаете куда смотреть, что открывать что тыкать и какие уязвимости не стоит искать.

ЧТНП | #блабла

Обход капчи у веб-приложений построенных на Bitrix ⛈

Однажды я на работе ломал один сайт который был построен на 1с-bitrix
Мне попался один файл с регистрацией и заметив в нем капчу мне стало любопытно, а можно ли ее обойти
Недолго поисследовав как одна устроена и как генерируется - мне удалось ее обойти.
Давайте разберемся как обошел, о чем думал когда исследовал и т.д.

💪Внутреннее устройство капчи
Давайте познакомимся с деталями и устройством капчи
🟢captcha.php - системный файл битрикса, который генерирует капчу и ее SID каждый раз по новой, когда приходит ей GET запрос при подгрузке страницы где капча размещена, далее этот файл обращается к функции GetSID() для того, чтобы получить значение капчи и её SID
🟢SID - дословно расшифровывается как secure id. Он нужен чтобы в html форме на прямую не лежало значение капчи, выглядит он как-то так: 0f7e32b13881c476d4d1f7be9796ed42
после его генерации в html форме появляется ссылка такого вида: /bitrix/tools/captcha.php?captcha_sid=0f7e32b13881c476d4d1f7be9796ed42
перейдя не неё - там лежало значение капчи в виде картинки, которую нужно ввести руками
🟢Условно выглядит это так 0f7e32b13881c476d4d1f7be9796ed42 == we0f
Где 0f7e32b13881c476d4d1f7be9796ed42 - SID
И we0f значение капчи
🟢Также, при регистрации нового пользователя отправляется POST запрос где в параметрах есть значение капчи в виде "f4oK" и ее SID, далее идет проверка капчи

💪Почему начал исследовать?
🟢 Начал я исследовать из-за того, что ранее сгенерированные SID оставались еще долгое время живы и не удалялись системой, это и привлекло мое внимание
и подумал я, а что если проверить на генерацию одного и того же SID, если сгенерируется один и тот-же SID что и ранее, то можно без проблем ввести значение капчи и ее обойти и начал это реализовывать
мой коллега помог написать скрипт на python чтобы отправлялся get запрос на ловлю старого sid, за что большое спасибо, но через get запрос не сработало к сожалению, тогда я попробовал написать через post запрос

💪Обход капчи
⬜️ Отправляем post запрос на регистрацию нового юзера через python
⬜️ Отправляем его до тех пор, пока не попадется старый sid
⬜️ Если попался старый сид, то зарегистрируется новый юзер и выведет "ok"

🟢 Весь эксплойт выглядит так:
https://pastebin.com/DiZXUkWW
🟢И в результате это сработало, скрипт мне выдал любимый "ok" и чтобы проверить не ошибка ли это, я пошел авторизироваться с пользователем зарегистрированным через обход капчи, и сработало

💪Импакт и завершение
Таким образом можно сгенерировать к примеру 10 таких SID введя значение и ждать когда скрипт задетектит старые и зарегает пользователя
Импакт от этого - возможность забить место в базе данных

ЧТНП | #исследования #web

Атаки на 1с-битрикс | Часть 1 | Разведка 🤓

Что делать есть по всем известной методичке ненадох в плане уязвимостей?
Как-то раз я выступал тему как ломать 1с-битрикс сайты у друзей @RESOLUTEATTACK на youtube канале Доклад
И обсудил некоторые моменты, давайте преображу их в текст и вкратце обсудим что делать

⛈ Самописные php скрипты
Допустим вы развернули сайт на битриксе и ходите сделать что-то типа информационного сайта
По дефолту у битрика есть шаблоны, но их приходится переписывать и писать что-то своё
Таким образом и появляются самописные php скрипты с использованием api bitrix и возможно с небезопасно написанным кодом

⛈Где такое найти?
🟢AJAX - чаще используют концепцию SPA(Single page application) когда с основной страницы по одному клику может выскочить к примеру форма подписки на рассылку
В таком случае достаточно порыться в коде элемента и собрать ряд js скриптов и собрать информацию с основной страницы, искать можно по словам типа: ajax, $.get, $.post, XMLHttpRequest
И заметить что в js скрипте есть php файл к которому идет ajax, также можно заметить какие query string параметры ему передаются и через какой http метод

🟢Фаззинг - достаточно запустить какой нибудь ffuf, wfuzz, dirsearch с расширением файла php и найти самописный скрипт

🟢JS файлы - покопавшись в коде панели разработчика или отрыв js скрипт с фаззинга можно открыть их в браузере и поискать на слова типа: .php, .inc, .inc.php

ЧТНП | #исследования #web

Атаки на 1с-битрикс | Часть 2 | Атака🤓

⛈ Атака на самописы
Когда вы обнаружили список самописных скриптов и определились какие query string параметры они принимают, можно протестировать на ряд уязвимостей в зависимости от функционала скрипта
К примеру, если это подписка на рассылку, значит он будет ожидать email адрес, оттуда и можно построить вектор атаки и потестировать к примеру на XSS таким пэйлоадом: mail(<noscript>alert(0)</noscript>)@gmail.com
Полный список трюков по email можно глянуть тут

🟢Атака Mass Assignment
Программные фреймворки или скрипты иногда позволяют разработчикам автоматически привязывать параметры HTTP-запроса к переменным кода программы или объектам, чтобы упростить использование этого фреймворка или скрипта. Иногда это может причинить вред
Мы можем использовать эту методологию для добавления новых параметров, которые разработчик не предполагал, что, в свою очередь, создает или перезаписывает объекты в программном коде
Это называется Mass Assignment

Таким образом мы можем поискать скрытые параметры и потестить их на любые уязвимости
Список утилит для поиска скрытых параметров:
➡️X8
➡️ParamSpider
➡️Arjun
➡️ParamMiner

ЧТНП | #web #исследования

Джанго так джанго, ожидайте 😉

Скоро приправлю ваше ожидание в виде статьи о том, как я нашёл уязвимость обхода аутентификации в одном сервисе ВК. ⏳

Привет! Есть 2 хороших новости ⛈

Статья по уязвимости ушла на внутреннее утверждение у ВК, ребята из ВК помогли ее отредачить, так что примерно завтра-послезавтра выйдет статья.

И завтра в 15:00 буду у киберёж выступать с докладом о том, как ломать 1с-битрикс сайты и обходить капчу, приходити послушац, позже кину пост.

Всем хорошего вечера ❤️

Пентест 1С-Битрикс. Прямой эфир.
Спикер: Firewall

👍 Начало трансляции в 16:00

В рамках доклада спикер от NetRunner - (партнеров RESOLUTE ATTACK) - Firewall расскажет про способы нахождения уязвимостей без методички, атак на php скрипты разработчиков и их поиск.

🎁 В качестве приятного дополнения - так же расскажет, как обходить капчу в 1С-Битрикс.

Канал Firewall | RESOLUTE ATTACK | NetRunner

То, что могут спросить на собесе | Cookie 🍪

Всем привет! Статья по уязвимости из бб еще на рассмотрении у вк, поэтому пока не могу ее выложить.
Поэтому решил сделать небольшую серию постов о том, что у вас могут спросить на собесе и как ответить
Заодно и возможно узнаете что-то новое или вспомните старое.

➡️Cookie - небольшой фрагмент данных, который лежит на стороне пользователя.

У cookie есть несколько видов атрибутов, которые позволяют их сделать более менее безопасными, давайте поговорим о них:

🟢 HttpOnly - чтобы через js(document.cookie) нельзя было вызвать куки, ставить его лучше когда куки нужны только для поддержки сеанса и не вызываются фронтом через js
🟢 SameSite - это атрибут куки, который определяет, когда и как куки будут отправляться в запросе.
🟢 hostOnly - принимает boolean - true если cookie является host-only (то есть запрашивающий хост должен в точности совпадать с доменом cookie), в ином случае false
🟢 Secure - чтобы куки передавались через https

➡️Same-Site - это атрибут куки, который определяет, когда и как куки будут отправляться в запросе.

🟢 Если установлено значение strict, куки никогда не будут отправляться на сторонние сайты.
🟢 Если установлено значение lax, куки будут отправляться на сторонние сайты, но только если пользователь переходил на эти сайты непосредственно (например, кликнул на ссылку).
В сущности он добавляет исключение, когда куки передаются при навигации высокого уровня, которая использует "безопасные" HTTP методы, безопасными методами считаются GET, HEAD, OPTIONS и TRACE.
🟢 Атрибут None отключает ограничение на отправку кук для межсайтовых запросов, но только в безопасном контексте (то есть если установлен SameSite=None, тогда также должен быть установлен атрибут Secure). Это может привести к уязвимостям кросс-сайтового скриптинга (XSS) и кражи сессии.

ЧТНП | #web #base #собес

Burp Suite Certified Practitioner Exam Study ⛈

Крутой список заметок об уязвимостях и как их находить и идентифицировать, чтобы подготовиться к BSCP и находить в жизни

https://github.com/botesjuan/Burp-Suite-Certified-Practitioner-Exam-Study

ЧТНП | #web

Как расти в вебе | Часть 1💪

Привет! Давай подскажу как расти в вебе
Мнение чисто моё, субъективное
Расти лучше всего от простых вещей к более сложным, давайте разбираться

🟢[0х0] Изучить основы веба
⬜️ Основы веб-архитектуры
⬜️ Основы протокола HTTP и разницу версий, понимать HTTP заголовки
⬜️ Основы cookie, sessions и их безопасность, SOP, CORS, безопасные HTTP-Headers
⬜️ Научиться кодить на js и php либо node.js(Это даст понимание как механизмы веба работают изнутри, js даст буст в чтении кода, будет понятно что делают скрипты и что в них искать)
⬜️ Научиться работать в базах данных(sql, nosql)
⬜️ Конфигурировать и поднимать веб-сервера(nginx, apache)(Даст понимание как они работают и какие мисконфиги в безопасности могут быть и как задефать это)

🟢[0х1] Изучить базовые уязвимости
Уязвимости лучше изучать по такому паттерну(Суть уязвимости -> Эксплуатация -> Защита)

🔄 Суть уязвимости - даст понимание где именно она возникает, в каких местах ее лучше искать
🚀 Эксплуатация - даст понимание как ее эксплуатировать, какие есть методы а также какие есть виды обхода защитных мер
🔓 Защита - на нее лучше не забивать, тк мыж все таки в инфобезе, поэтому чем глубже знаний о защите будет - тем больше ваш рост

🟢[0x2] Изучить как работают механизмы в вебe
Это может быть механизм выхода из аккаунта, авторизация, аутентификация и т.д.
Изучать механизмы да и всё что угодно лучше по такому паттерну: https://news.1rj.ru/str/pntests/48
Чем глубже знаете механизм - тем лучше вы его будете понимать и соответственно ваши проверки станут качественней, будете знать какие уязвимости там искать а какие нет.

ЧТНП | #web #base

Материалы к первой части⛈

🔴Архитектура веба
Видос | Архитектура современных WEB приложений. Эволюция от А до Я
Видос | Архитектура Web Приложений / от простых до высоконагруженных
Видос | Современная Backend Архитектура
Видос | Как работают веб приложения
Книга | Архитектура и фреймворки веб приложений

🔴HTTP-протокол
Видос | Разница версий, фишки протокола на разных версиях
Видос | Keep-Alive и Pipelining техники
Видос | Протокол HTTP
Видос | Кэширование HTTP
Видос | Структура HTTP-запроса и ответа
Видос | HTTP/1.1
Видос | HTTP/2 и отличие от 1.1
Статья| HTTP-Caching
Статья| HTTP-редиректы
Книгa | HTTP/2 в действии

🔴Cookie, Auth, Session, Defense
Статья | Веб-безопасность: SOP, CORS и CSRF
Статья | CORS Mechanism
Статья | CORS
Статья | Cookie и безопасность
Статья | HTTP-Security-Headers(там слева панелька)
Видос | Cookies, session and tokens
Видос | Что такое localStorage, sessionStorage, Cookies
Видос | Аутентификация в Веб-Приложениях JWT и Сессии
Видос | Виды авторизации: сессии, JWT-токены
Видос | Аутентификация и авторизация в веб-приложениях

🔴Программирование
Курс | JavaScript
Курс | PHP(Там смотреть сразу можно)
Видос | Node JS фундаментальный курс от А до Я

🔴Базы данных
Видос | Что такое SQL и реляционные базы данных
Видос | Базы данных SQL
Видос | NoSQL
Видос | NoSQL MongoDB

🔴Веб-сервера
Видос | Как работают веб-сервера и их цикл
Видос | Основы Apache web-server
Видос | Курс по NGINX

📌 Веб механизмы лучше учиться писать самим или по каким нибудь курсам, веб-уязвимости изучать можно с PortSwigger Server-side and Client-Side topic. Всем хорошего дня 😘

ЧТНП | #web #base

Как расти в вебе | Часть 2💪

🟢Изучить разведку
⬜️ Багхантерская
⬜️ осинт
⬜️ научиться делать проверки с OWASP WSTG

🟢Уметь раскручивать XSS и SQLinj
XSS - разные контексты и виды blind, dom, mutation xss
SQLinj - различные техники - second-order, sixss, blind и т.д.

🟢Изучить методы безопасности от популярных и не популярных уязвимостей

🟢Изучить нестандартные уязвимости
К примеру request smuggling, account takeover, idor
Также научиться продумывать logic flaw, race condition
Научиться делать Host injection, cache poisoning, SSPP, Insecure deserialization

🟢Изучить атаки и безопасность на авторизацию и аутентификацию
Атаки на сессии
Атаки на OAuth 2.0, JWT, SAML и принцип работы этих механизмов
Атаки на websocket и как он работает

🟢Изучить атаки на API
Атаки на API становятся все более и более популярными, поэтому стоит научиться их ломать
OWASP top 10 API
rest api, soap
API Gateway, REST, endpoint, api call
Graph QL

🟢Изучить white-box или читать небезопасно написанный код
Это поможет находить 0-day уязвимости и получать CVE'шки
За основу можно к примеру взять PHP, т.к. он не является безопасным языком, и найти в нем уязвимость будет чуть легче

🟢Научиться писать скрипты для автоматизации атак и эксплойты

🟢Научиться обходить WAF и обфусцировать свои пэйлоады в различные кодировки

🟢Научиться обходить защитные меры

🟢Изучить популярный веб-фреймворк
Это нужно знать, чтобы при встрече с ним понимать от каких уязвимостей он защищает, а на какие стоит поискать
Также известна будет его файловая структура и как программисты могут допускать ошибки работая с этим фреймворком

🟢Умение анализировать архитектуру, строить модели угроз и продумывать сценарии эксплуатации, находить слабые точки(К примеру единая точка отказа)

ЧТНП | #web #base