В общем, сначала написали, мол ололо селф, иди нахуй. Я обычно не спорю с аналитиками(тупа лень строчить письма), но тут жопка подгорела(когда еще найдешь XSSску на главной яндекса), и я, пройдя все знакомые хантеру стадии типа гнев/отрицание/депрессия, включил свое природное обаяние и забабахал сценарий атаки, который приняли.
Посмотрим, короче.
Держу в курсе.
#bb
Посмотрим, короче.
Держу в курсе.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Дарова, посоны. Вести с полей.
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированныхсамураев багхантеров, отобранных под этот ивент, соревнуются в течение короткого промежутка времени(27 апреля - 13 мая) по строго определенному скоупу.
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированных
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Ну, и так сказать, чтобы поссать на пятак допоможных, переможных, горелодупных хохлов - мое любимое :3 Ну а шо поделать, выходные, все-таки. Приятного вечера :3
#wm #combatfootage
#wm #combatfootage
Media is too big
VIEW IN TELEGRAM
Чет заебали ОЯШи.
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Чтож, 13-ое мая уже на носу, а это значит что пора выдвигаться на подведение итогов закрытого мероприятия Standoff Hacks.
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Всем привет.
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Дом, милый дом :3
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Ладно, предыдущий пост был удален, но надеюсь он вернется, когда пыль усядет.
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
Вообще, похуй, что там и что думает, мы делимся знаниями. Я был бы не я если бы сглотнул, что кто-то чето мне запретил. Тут нет ничего, просто кто-то относится к вашим ПД довольно иронично. Я не лицемер.
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
А, кстати, че вы погрустнели? Я просто решил стальнго алхимика пересмотреть. Ну вы и лалки :3