Ну, и так сказать, чтобы поссать на пятак допоможных, переможных, горелодупных хохлов - мое любимое :3 Ну а шо поделать, выходные, все-таки. Приятного вечера :3
#wm #combatfootage
#wm #combatfootage
Media is too big
VIEW IN TELEGRAM
Чет заебали ОЯШи.
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Чтож, 13-ое мая уже на носу, а это значит что пора выдвигаться на подведение итогов закрытого мероприятия Standoff Hacks.
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Всем привет.
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Дом, милый дом :3
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Ладно, предыдущий пост был удален, но надеюсь он вернется, когда пыль усядет.
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
Вообще, похуй, что там и что думает, мы делимся знаниями. Я был бы не я если бы сглотнул, что кто-то чето мне запретил. Тут нет ничего, просто кто-то относится к вашим ПД довольно иронично. Я не лицемер.
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
А, кстати, че вы погрустнели? Я просто решил стальнго алхимика пересмотреть. Ну вы и лалки :3
Я это, по второму кругу кажись зашел :3
Предыдущую (https://t.me/ScriptKiddieNotes/229) фиксанули, так что шансы вроде высоки, что все ок.
Посмотрим, что завтра ответят, лол.
Ну и по традиции - вы мое ебало имажинировали?
#bb
Предыдущую (https://t.me/ScriptKiddieNotes/229) фиксанули, так что шансы вроде высоки, что все ок.
Посмотрим, что завтра ответят, лол.
Ну и по традиции - вы мое ебало имажинировали?
#bb
Есть контакт :3
Сделал себе заметку/напоминание, как назначат выплату и пофиксят - запросить дисклоуз у Яндекса и рассказать для кунчиков и тяночек, что было, как и почему в этих двух XSScках. Хотя там ничего особенного c одной стороны. Но с другой сам немного удивился, да.
Но за это мы и любим багхантинг - это сплошной круговорот баттхерта и приятных открытий, same?
#bb
Сделал себе заметку/напоминание, как назначат выплату и пофиксят - запросить дисклоуз у Яндекса и рассказать для кунчиков и тяночек, что было, как и почему в этих двух XSScках. Хотя там ничего особенного c одной стороны. Но с другой сам немного удивился, да.
Но за это мы и любим багхантинг - это сплошной круговорот баттхерта и приятных открытий, same?
#bb
В общем-то, когда последний раз я выступал на публике, это была защита диплома перед толстыми генералами c лампасами на форменных штанах и полковниками.
Тупа двачер-хикка.
Прошло лет 20.
И вот я на пхд.
Смотрю на себя со стороны - косноязычен. Слова-паразиты. В этих ваших интернетах мне дается лучше. Да и в форму следовало бы себя привести.
Но это было охуенно!
https://www.youtube.com/watch?v=lbRL5jR8vpw&ab_channel=PositiveEvents
#bb #phdays
Тупа двачер-хикка.
Прошло лет 20.
И вот я на пхд.
Смотрю на себя со стороны - косноязычен. Слова-паразиты. В этих ваших интернетах мне дается лучше. Да и в форму следовало бы себя привести.
Но это было охуенно!
https://www.youtube.com/watch?v=lbRL5jR8vpw&ab_channel=PositiveEvents
#bb #phdays
YouTube
g/vrp
Глянул канал, чет подписчиков много стало. Надо это исправить. Так вот.
Держите сложный пост.
_____________________________________
Принципы, это хорошо. Придерживаешься их, и жизнь кажется проще.
Лично я стараюсь соблюдать следующие:
1. Не лицемерь(тяжело, да, ну а че поделать)
2. Пообещал/что-то спизданул - делай(за язык же тебя никто не тянул)
3. Не опаздывай на встречи, будь пунктуальным(уважай свое и чужое время)
4. Не покупай игры Близзард.
Я нарушил 4 принцип и купил дыряблу4. В свое оправдание могу сказать лишь то, что до дыр затер все первые три части(кроме ремастера). Ну, типа извернулся, сделал финт ушами, завел казахстанский акк и сижу, ебашу сюжетку. Довольно урчу. Стыдно.
______________________________________________________________________________________
Таким образом плавно плавно переходим к последнему пункту. Если что-то нарушил, то не держи это в себе, а прост скажи:
Хохлы - сосать)0))) Че с ебалом?)0))
____________________________________
Хорошо быть фулл-тайм багхантером, есть повод задуматься о вечном, ну и занести нашим посонам копеечку на мавик с тепловизором.
А ты занес?
#wm #bb
Держите сложный пост.
_____________________________________
Принципы, это хорошо. Придерживаешься их, и жизнь кажется проще.
Лично я стараюсь соблюдать следующие:
1. Не лицемерь(тяжело, да, ну а че поделать)
2. Пообещал/что-то спизданул - делай(за язык же тебя никто не тянул)
3. Не опаздывай на встречи, будь пунктуальным(уважай свое и чужое время)
4. Не покупай игры Близзард.
Я нарушил 4 принцип и купил дыряблу4. В свое оправдание могу сказать лишь то, что до дыр затер все первые три части(кроме ремастера). Ну, типа извернулся, сделал финт ушами, завел казахстанский акк и сижу, ебашу сюжетку. Довольно урчу. Стыдно.
______________________________________________________________________________________
Таким образом плавно плавно переходим к последнему пункту. Если что-то нарушил, то не держи это в себе, а прост скажи:
Хохлы - сосать)0))) Че с ебалом?)0))
____________________________________
Хорошо быть фулл-тайм багхантером, есть повод задуматься о вечном, ну и занести нашим посонам копеечку на мавик с тепловизором.
А ты занес?
#wm #bb