Начну делиться тулзами, которые использую для Recon'а:

https://github.com/six2dez/reconftw

Инструмент, который сочетает в себе множество других, используемых для поиска сабдоменов и сканированния на уязвимости.

Нуждается в API ключах (Shodan, WhoisXML и других).
Большинство можно получить бесплатно.

#Уязвимости #Recon #Web #Tools

Нагрузки для XSS и SQLi, которые использую при исследовании:

SQLi (time sleep) - 'XOR(if(now()=sysdate(),sleep(5*5),0))OR'

XSS - '),alert()//"><img src=x onerror=alert()>

SSTI - {{7 * 7}} (obviously, right?)

#Уязвимости #Web #BugBounty

Чаще всего, чтобы сбросить пароль, нужно отправить одноразовую ссылку для смены пароля на почту, что может пойти не так, вроде бы безопасная реализация?

И да, и нет. Недавно обнаружил багу, позволяющую получить ссылку любого пользовался, воспользовавшись содой массивом.

Для получения ссылки было необходимо указать почты в запросе массивом. Т.е. первая почта была "жертвы", а вторая - наша. Примерно так выглядел запрос на сервер:

{
"email":
[
"victim@example.com",
"attacker@example.com"
],
"captcha_response": "много ненужных букаф"
}

После отправки запроса на почты одна и та же ссылка приходила на обе почты, что позволяло совершить Account Takeover.

Такое случается крайне редко, но никогда не стоит исключать подобные кейсы.


#Уязвимости #Web #BugBounty

Человек, поставивший 💩, Вы этим что хотели сказать? Просто интересно.

___

А вообще поправил ошибку в посте выше, спасибо. Где-то массивы упоминались листом, оттуда и запомнил.

Ну и хотел бы напомнить, что канал ведёт скрипткидди, который не имеет профильного образования. Тут могут быть факапы. Пишу о том, что может быть интересным мне. Ожидать мегакрутых постов, imo, не стоит. Просто заметки от себя для себя же.

Написал небольшой скрипт для поиска токенов, параметров, ссылок и различных "похожих на токен" буков в коде VK Mini Apps.
Зачем - не знаю. Возможно просто ради опыта.

Как всегда shitcoded + много false positives, но зато сам + специализированное решение для VK Mini Apps.
Парочке подписчикам будет интересно (да-да, привет Эльчин и Влад).

https://github.com/ZemlyakovDmitry/VK-Miniapp-Scanner

#selfmade

Нашёл довольно полезный Github с кучей репозиториев для поиска уязвимостей.

Один из них помог продемонстрировать импакт одной из багулин.
А именно - список дефолтных картинок для разных дистрибутивов линукс.

https://github.com/cujanovic/Linux-default-files-images-location

Сам юзер - https://github.com/cujanovic/

#Уязвимости #Web #BugBounty

Пока откисаю в больнице, bi.zone запустили свою bugbounty.

На подходе уже есть несколько компаний, ждём-с.

UI выглядит неплохо, получше конкурентов. Надеюсь станет достойной заменой h1 с большим количеством организаций.

А ещё у них сейчас есть несколько конкурсов.

Ссылка - bugbounty.bi.zone

Этот канал был не только про то, что только работать и учиться, но иногда тут и делюсь своими достижениями/успехами.

У VK есть программа бета-тестирования VK Testers. Каждый год они награждают тестировщиков по самым разным направлениям. Одним из них является "Most Vulnerability Reporter".
Ну, собсана, шо я тут хотел написать. Я занял там 1ое место уже во второй раз (прошлый раз был в 2021) 🥳🥳🥳

Конечно, там оплата за уязвимости не такая, как на Bug Bounty, но тем не менее различных приколюх отсыпают.

#Достижения

Многие уже видели посты о мероприятии Hackconf, которое будет проходить завтра.
Вход бесплатный, но есть и билеты с "пожертвованием". Ссылка - https://hackconf.ru/

Решил пойти на мероприятие и выделил несколько докладов, которые показались мне интересными:


10:00 — Попов Дмитрий "Кибербезопасность это не стыдно"
12:00 — Канибор Сергей "Pentesting Kubernetes: From Zero to Hero"
13:00 — Станислав Богатырев "Практически полезный Web3"
15:00 — Александр (larchik) Ларин "И на GraphQL есть свой injection"

Интересных идей для постов нет, поэтому просто публикую то, что есть.

На днях получил свою первую CVE. 7.5 по CVSS 3.0. Неплохо.

Жаль не какой-нибудь веб сервис + уязвимость довольно-таки смешная. Но всё же факт есть факт.

CVE-2022-40978

Мерча зажали :(



P.S.: перезалив, ибо фотка прикреплялась файлом :(

#Достижения #CVE

Что ломать?

Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.

Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.

Для дееспособных совершеннолетних граждан РФ:
bugbounty.ru;
bb.standoff365.com.

Также можно рассмотреть bugbounty.bi.zone, но у них там нет ничего, кроме собственной программы.

Для несовершеннолетних граждан РФ:
bugbounty.ru (был дан ответ, что выплаты возможны при наличии согласия от родителей);
Различные selfhosted программы, которые платят по SWIFT* и в криптовалюте.

В этот список я не стал включать hackenproof.com, которые платят в USDT, из-за сомнительных высказываний CEO. Были вбросы, что "Russians are allowed to pass the verification but not to be rewarded".

Мои фавориты - selfhosted bug bounty программы, платящие в криптовалюте.

Как их искать?:
Дорки, дорки и ещё раз дорки.

Вот пример простой дорки:

(intext:"bug bounty" | intext:"responsible disclosure") & (intext:"USDT" | intext:"BTC")

Конечно, она не найдёт все 100% программ. Можно поиграться со словами (по типу "btc" => "Bitcoin", "Bug bounty" => "bounty for bugs" и т.д.).

Этот процесс можно автоматизировать, но я предпочитаю ручками.

У многих selfhosted программ существуют некоторые проблемы с общением, иногда они могут проигнорировать сообщение.
Именно поэтому делаю так:
1. Ищу программу;
2. Нахожу какую-нибудь багу;
3. Сообщаю о ней и жду ответа;
3.1. Если ответа нет в течение 2ух недель, если не указано иного, - повторяю письмо;
4. Если был получен ответ, а лучше выплата - записываю в док и продолжаю дальше ломать цель.

Надеюсь мой опыт поможет кому-нибудь.
Всем мира, багов и выплат за них.

*Но некоторые программы всё же отказываются платить и этот момент стоит уточнить перед сдачей.


@zema_notes

#Уязвимости #BugBounty #SelfMade

Иногда WAF может являться серьёзной проблемой при эксплуатации уязвимости.

Что делать? А фиг его знает! Обходить.

Сложный, но самый надёжный и, вероятно, самый профитный путь: Попытаться обфуцировать пейлоад. Это сложно и долго, не факт что получится, поэтому не буду останавливаться на этом.

Лёгкий путь, срабатывающий время от времени: Найти реальный IP адрес ресурса. Рассмотрим поподробнее что да как делать.

В своей практике я применяю 2 сервиса: censys.io и shodan.io. Моим фаворитом является shodan.io.

Как искать?
1) По сертификату
Для Shodan запрос выглядит так: ssl.cert.subject.cn:[target]
А для Censys иначе: services.tls.certificates.chain.subject_dn:[target]

В обоих случаях [target] необходимо заменить на нашу цель, чтобы получилось что-то вроде ssl.cert.subject.cn:example.com. Если у сервера был установлен SSL сертификат, то вам выдаст все сервера, имеющие сертификат вида *.[target]*

2) По заголовку страницы
Если сервер не имеет SSL сертификата, а HTTPS идёт между cdn и пользователем, то иногда может помочь следующие запросы:
Shodan: http.noscript:[Page noscript]
Censys: services.http.response.html_noscript:[Page noscript]

[Page noscript] необходимо заменить на заголовок страницы /


Вроде это всё, что хотел написать. Всем вкусных багов и приятного времяпрепровождения 🙂

@zema_notes
#Уязвимости #Web #BugBounty

Упрощение работы с прокси (Burp, Charles, etc).

На стриме @spbctf во время разбора тасков была трансляция экрана @sh1y0. Там заметил, что Александр каким-то образом направляет запросы в прокси с определённой вкладки. В ходе небольших исследований (сообщения в личку тг 🙂) выяснилось, что это расширение Container proxy для Firefox.
Ссылка на расширение для Firefox - https://addons.mozilla.org/ru/firefox/addon/container-proxy/

Пользуюсь уже больше месяца и очень сильно полюбил его, поэтому шерю тут. ❤️


@zema_notes

#Tools

Прошёл ОлимпПГУТИ.
4-5/22 место. Обидно? Немного.

Задания вроде были лёгкие, а вроде и нет. Набрал 22 балла. У 1 места 25.

Впервые почитал литературу про переполнение буфера. Ничего не понял (да и что можно было понять за 40 минут, что у меня остались).


Теперь, похоже, стоит учиться в пывн.

x8 - сканнер параметров, написанный на Rust.
https://github.com/Sh1Yo/x8

Довольно полезный инструмент для поиска различных хедеров и/или параметров запросов. Работает лучше некоторых других популярных аналогов.
Имеет кучу вариантов изменения параметров сканнера. Поддерживает разные методы (GET/POST/PUT и другие).

#tools
@zema_notes

Обход оплаты подписки.

На многих сайтах есть различные возможности, которые доступны по подписке. Пользователь платит определённую сумму и получает доступ к приложению. Казалось бы, что может пойти не так и как можно допустить ошибку? Именно об этом я сегодня и расскажу.

Цель имеет раздел, позволяющий разработчикам разместить своё приложение на платной или бесплатной основе.

Даже на бесплатные приложения нужно оформить подписку (суммой в $0).
При оформлении отправлялся запрос, содержащий тип подписки "free". Мои знания английского языка довольно легко позволили понять, что это означает "бесплатно".

Попытался подставить такое же значение при оформлении подписки на платное приложение и... оно сработало! Я получил платное приложение абсолютно бесплатно.



#bugbounty
@zema_notes

Прошло больше месяца с последнего поста. Не очень круто, согласен. Но были свои дела, а идеи отсутствовали.

Благодарю всех за подписку. Не думал, что наберу на своём канале даже 50 подписчиков, а тут уже перешагнул за 100, несмотря на то, что я очередной скрипткидди, который оооочень редко публикует посты.

Что проделал за месяц:
0) Подготовился и сдал сессию (🎉🎉);
1) Отдыхал (Посетил кучу интересных мероприятий);
2) Потрогал траву;
3) Смотрел аниме;
4) Пытался написать свою тулзу.

И теперь подробнее о последнем пункте:
Залил в общий доступ свой проект - CloudFuck. Это моя первая попытка написать более-менее нормальный сканнер для обхода различных CDN и WAF.

Принцип работы:
0. Получение всех сабдоменов;
1. Проверка A записей на присутствие в массиве IP адресов (Akamai, CloudFront и CloudFlare);
2. Проверка поддоменов на ответ 200 OK;
3. Сканирование сабдоменов на предмет выдачи содержимого домена.

С какими API работает:
Пока что только только virustotal (обещаю исправиться и добавить другие API для лучшего поиска)

Результат работы выводится в консоль.
Результаты работы:
1. Найденные сабдомены;
2. Origin IP адреса доменов.

Чем он лучше аналогов:
Ничем (Без шуток, аналоги работают куда лучше. )

Issues, критика и битьё по попе только приветствуется.

Всех с наступающим 2023 годом. Всем благополучия и интересных баг в новом году.

Новый формат на моём канале — Статьи. Начну его с статьи про обход CDN (WAF).

Читать

@zema_notes

Всем привет!

Сегодня день благодарности разработчикам плагинов, а значит надо их поблагодарить и поделиться ими с другими.

Этим постом я хотел пошерить плагины для Burp Suite, которые могут помочь для багхантинга или пентестов.

1 - Scope Monitor.
Плагин, на который я наткнулся на днях, когда искал удобный инструмент для сохранения всех запросов во время пентеста. Оно позволяет легко отслеживать все URL из скоупа. Автоматически добавляет каждую конечную точку из Target Scope в лист, где вы можете отметить его проверенным или наоборот. Также есть экспорт в CSV, если вдруг будет необходимо передать кому список проверенных запросов.

2 - Auth Analyzer.
Неплохое расширение для бюрпа, помогающее в поиске багов, связанных с авторизацией. Автоматически подтягивает данные сессий или csrf токены. Плагин помогает искать уязвимости, связанные с правами пользователя.

3 - Logger++.
Расширение, которое поможет работать с отправленными запросами эффективнее. Позволяет фильтровать запросы по заданному выражению, отображает тулзы, отправившие запросы и многое другое. Есть экспорт истории в csv.

4 - Burp Bounty.
Плагин, который помогает в поиске уязвимостей путём добавления собственных профилей в Active и Passive сканеры бюрпа. Существует платная и бесплатная версии.

5 - Turbo Intruder.
Расширение для бюрпа, которое является "улучшенной" версией стокового Intruder`а. Имеет гибкие настройки и шаблоны, которые позволяют отправлять запросы куда эффективнее, по сравнению с оригинальным решением.


Надеюсь, что вы открыли для себя что-то новенькое ❤️

@zema_notes

XSS Hunter закрылся. Или нет?

Конечно, существует множество аналогов, но не факт, что они не воруют ваши уязвимости и данные. Но, оказывается, trufflesecurity договорились с владельцем xsshunter и теперь можно дальше пихать готовые пейлоады, не заморачиваясь с поднятием инфраструктуры и сохранности своих данных. Лично я доверяю ребятам из трюфельбезопасность и считаю, что их продукта можно не бояться.

Также, они добавили новый функционал, а именно:
Анализ CORS;
Обнаружение секретных ключей на страницах, на которых сработал пейлоад;
Обнаружение открытой .git директории;
Фичи для приватности, которые повысят защиту от случайных утечек;
Вход через Google SSO для избежания использования паролей.

Ознакомится полностью можно тут:
https://trufflesecurity.com/blog/xsshunter/


Credits to: Поросёнок Пётр (именно у него я увидел новость об этом)


Записки Земы

Всем привет! Спасибо за подписки. Уже больше >200 подписчиков! (Для меня это очень неожиданно, спасибо, @zaheck)

А теперь про сегодняшний пост:
В нынешнее время почти каждый сайт имеет различные виды дополнительного подтверждения через одноразовые коды. Сегодня я хотел бы рассказать про баги, связанные с OTP. Возможно кому-то это всё известно, но начиающим свой путь в тестировании web-приложений может оказаться полезным! Приятного прочтения!

https://telegra.ph/Pogovorim-pro-kody-podtverzhdeniya-03-28


Записки Зёмы