🚀 Lightyear: в слепую, но с прицелом

PHP filter chains — крутые векторы атак, которые позволяют реализовывать разные типы эксплойтов: маскировку файлов, манипуляции с содержимым, побайтовую выгрузку файлов через memory exhaustion и многое другое.

Помните старую добрую тулзу php_filter_chains_oracle_exploit? Да, ту самую, что помогала выцеживать PHP-файлы по байтам через blind file read + memory exhaustion.

Так вот. Пора её отпустить. Есть Lightyear, и это прям next level в эксплуатации примитивов слепого чтения файлов в PHP.

🤕 Что починили

🟥Payload теперь миниатюрный, в GET влезает без стыда
🟥Байт угадывается не по звёздам, а через бинарный поиск
🟥Нет memory exhaustion → нет подвисаний, нет «простите, сервер устал»
🟥И главное — никаких PHP warning'ов, от которых современные фреймворки начинали истерить

🔥 Результат

Файлы дампятся быстрее, чище и больше по размеру. Вроде бы та же цепочка фильтров, но будто на стероидах.

❓ Где все API-эндпоинты? 6 советов для улучшения разведки API

API-разведка — это искусство, особенно когда работаешь с RESTful или GraphQL API, где интроспекция ограничена или отключена. Без документации можно запутаться, но на помощь приходит разведка.

💡 Вот 6 простых, но проверенных кейсов, которые помогут тебе найти больше API-эндпоинтов:

1️⃣ Используй кастомные словари

Многие API используют уникальные структуры и эндпоинты. Стандартные словари не всегда помогут. Используй специализированные инструменты вроде ffuf для брутфорса, а для более глубокого анализа отправляй рабочие эндпоинты в Burp.

2️⃣ Исследуй мобильные приложения (iOS, Android)

Мобильные приложения часто используют API, которые могут быть недоступны в веб-версии.

3️⃣ Проверяй каждый параметр в ответах API

Параметры в ответах могут скрывать дополнительные данные или эндпоинты. Пробуй манипулировать этими параметрами, чтобы выявить скрытые фичи или эндпоинты.

4️⃣ Попробуй старые версии API

Иногда старые версии API остаются доступными для обратной совместимости. Если API имеет версионность, попробуй обратиться к предыдущим версиям, чтобы найти дополнительные возможности.

5️⃣ Используй не только автоматизацию: внимательно изучай функционал

Не полагайся только на инструменты автоматизации. Часто решение лежит во внимании к деталям: попробуй нажать все кнопки, изучить доступные фичи приложения и элементы интерфейса.

6️⃣ Документация — твой друг

Если документация есть, начни с неё (Swagger, Postman, GraphQL-схему и другие). Внимательно проанализируй все эндпоинты, запросы и параметры. Не ограничивайся только описанным функционалом — проверь все возможные значения параметров и тестируй нестандартные запросы. Часто документация может быть неполной.

🎯 Как найти реальный IP, скрытого за CDN

Content Delivery Network — штука нужная и полезная. Но кроме ускорения загрузки и уменьшения нагрузки, она даёт ещё один жирный плюс — скрывает реальный IP-адрес сервера.

❓ Чтобы что?

▪️ Ускорение загрузки сайта
▪️ Улучшение UX
▪️ Снижение нагрузки на основной сервер
▪️ Повышение надежности и отказоустойчивости
▪️ Защита от DDoS-атак

💡 Зачем багхантеру знать реальный IP?

▪️ Сканирование открытых портов и сервисов
▪️ Тестирование уязвимостей, которые не проходят через прокси
▪️ Обход WAF и так далее

🧠 Боевой чек-лист:

✅ Дергать исторические DNS-записи (SecurityTrails, DNSDumpster)

✅ Копаться в SSL-сертификатах на crt.sh, Censys, Shodan

✅ Искать хосты с идентичными favicon-хэшами

✅ Анализировать заголовки email-писем на наличие исходных IP (самый простой способ отправить себе письмо — форма обратной связи)

✅ Брутить/искать поддомены/vhost’ы, т. к. рядом может быть целевой хост

✅ Глубокий вдох, погрузиться в HTML-комменты и JS-файлы — там бывает всякое… даже захардкоженный IP 🙃

✅ Использовать CF-Hero для автоматизации процесса. Он собирает информацию из множества источников с помощью разных методов, включая описанные выше.


💬 Какие способы еще знаете? Ждем в комментариях 👇

😈 Встроенные словари Burp Suite Pro

Burp Suite Pro поставляется с ~50 предустановленными словарями, которые можно использовать всего в два клика. Они поддерживают различные типы пэйлоада, включая Simple list, Character substitution, Case modification, Illegal Unicode, — всё это важно для комплексного тестирования.

Методологию создания кастомных словарей мы разбирали ранее. Встроенные тоже надо использовать с умом.

Intruder > Configure predefined payload lists

💡 Работай с плейсхолдерами

Некоторые из словарей содержат плейсхолдеры, но стандарты именования могут отличаться (например, {FILE} vs {KNOWNFILE}, {domain} vs <yourservername>).

Используй правила обработки, чтобы заменить плейсхолдеры на реальные значения:

{base} —> payload position
{domain} —> collaborator interaction id
Match/replace (для {FILE}, ‹youremail>, ...)

🔥 Встроенные и настраиваемые словари Burp Suite + правильные правила обработки сделают стратегию фаззинга более эффективной и помогут избежать потери времени на создание повторяющегося пэйлоада.

🤖 Гибридный подход к разведке и поиску багов

Традиционные инструменты разведки — это хорошо, но что если комбинировать их возможности с LLM? Вайбкодингхакинг, получается.

Вот как можно объединить мощь LLM с традиционными методами обработки естественного языка:

✅ Получаем все поддомены и скрейпим их контент

✅ Используем NLTK для токенизации, лемматизации и фильтрации релевантных терминов

✅ Удаляем стоп-слова, применяем фильтры по длине и ранжируем по частоте

✅ Комбинируем извлеченные ключевые слова с LLM для обогащения

💬 Уже внедрили LLM в пайплайн разведки или нейронка уже хантит за вас?

📦 Archive Alchemist: уязвимости, основанные на архивах

Одно из главных отличий между успешными и не очень успешными багхантерами заключается в том, что последние не видят закономерности в приложении.

Пример: ты находишь багу, а затем начинаешь размышлять о ней и замечать закономерности в разработке этого конкретного приложения. Суть в том, что выбранный стиль разработки может привести к другим багам.

Mathias Karlsson представил инструмент Archive Alchemist, чтобы автоматизировать работу, связанную с уязвимостями архивов. Он возник после частых встреч с ошибками в архивах, которые требовали создания кастомных архивов и глубокого погружения в документацию.

💡 Три основных вектора атак:

▪️ Path Traversal (классический zip slip), позволяющий извлекать файлы за пределы целевых директорий с помощью путей вроде ../;
▪️ Link-Based Overwrites, где символические или жесткие ссылки могут привести к размещению файлов за пределами путей извлечения, что может привести к RCE;
▪️ Parser Differential Bugs, когда различия в парсерах позволяют обходить проверки безопасности.

Archive Alchemist автоматизирует и упростит эксплуатацию основных уязвимостей 👇

🤔 Несоответствия имен файлов в ZIP

Различия в Central Directory Header, Local File Header и Unicode Path создают возможности для атак. Проверка может использовать Central Directory Header, показывающий file.json, в то время как извлечение полагается на поле Unicode Path с содержимым ../../../../etc/passwd.

Дополнительные векторы атак включают проблемы с UTF-16, несоответствия CRC и ошибки обработки NULL-байтов, а также скрытие слэшей в многобайтовых последовательностях.

🏃 Усечение длины пути

В Linux максимальная длина пути — 4096 символов. При превышении этого лимита ошибки могут быть проигнорированы, что позволяет создавать архивы с длинными фальшивыми путями, оставляющими вредоносные файлы.

Эту технику можно использовать для утечки информации, постепенно раскрывая структуру директорий сервера.

🤕 Фингерпринт системы

Загрузка файлов с именами CON, NUL или <> помогает выявить Windows-системы. Также можно определить операционную систему по длине пути: 4096 символов — это Linux, 260 — Windows.

Тестирование симлинков в свою очередь помогает определить поддержку симлинков системой и проверить их на чувствительные пути.

🔍 Обнаружение уязвимостей API с помощью Autoswagger

Если хочешь ускорить и повысить эффективность поиска багов в API auth flaw, присмотрись к инструменту Autoswagger. Он еще молодной, но уже много чего умеет:

🔤 Несколько этапов обнаружения

Инструмент обнаруживает спецификации OpenAPI тремя способами:

1. Прямая спецификация: если предоставлен полный URL с путём, заканчивающимся на .json, .yaml или .yml, файл парсится напрямую.

2. Swagger UI: парсит известные пути Swagger UI (например, /swagger-ui.html) и извлекает спецификацию из HTML или JavaScript.

3. Прямая спецификация с использованием брутфорса: попытка обнаружения с использованием общих местоположений схем OpenAPI (/swagger.json, /openapi.json и т. д.). Этот метод используется только в случае, если первые два не дали результата.

🔤 Параллельное тестирование эндпоинтов

Многозадачное параллельное тестирование множества эндпоинтов с учётом настраиваемого ограничения по скорости (-rate).

🔤 Брутфорс значений параметров

Если используется -b или --brute, инструмент попытается применить различные типы данных с несколькими примерами значений для попытки обойти проверки, специфичные для параметров.

🔤 Обнаружение PII с помощью Presidio

Проверка вывода на наличие номеров телефонов, email-адресов, адресов и имён (с контекстной валидацией для снижения фолсов). Также парсит строки CSV и строки вида «ключ: значение».

🔤 Обнаружение секретов

Используется набор регулярных выражений для обнаружения токенов, ключей и артефактов отладки (например, переменных окружения).

🔤 Вывод в CLI или в JSON-формате

В стандартном режиме результаты выводятся в таблице. С опцией -json выводится структура в формате JSON. Режим -product фильтрует вывод, показывая только те результаты, которые содержат PII, секреты или большие ответы.