Дом, милый дом :3
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Ладно, предыдущий пост был удален, но надеюсь он вернется, когда пыль усядет.
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
А пока вот. Постами выше я расковырял XSSску в функционале поиска Яндекса.
И мне заплатили 100k полновесных рублей.
Пожалуй, самая моя крупная выплата с момента пидорения с h1.
100k за XSSску это неплохо, cоглы?
Бафф "УДАЧА БАГХАНТЕРА" работает. Спасибо, phdays. Всего то стоило почту разобрать по приезду, лол.
#bb
Вообще, похуй, что там и что думает, мы делимся знаниями. Я был бы не я если бы сглотнул, что кто-то чето мне запретил. Тут нет ничего, просто кто-то относится к вашим ПД довольно иронично. Я не лицемер.
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
Так, давайте обсудим техническую сторону вопроса закрытого ивента Standoff Hacks 13.05.2023
Что думал, что делал. Инструменты, методология. Поехали.
______________________________________________________
Поскольку ивент приобрел некоторую "спортивную" форму багхантинга - ограниченное число участников, ограниченное время, ЧСВ всех учавствующих, желание оказаться в итоговом скорборде повыше, то следовало адаптироваться и сменить привычный подход. До многих ребят мне было далеко и тяжело, поэтому надо было что придумать и отказаться от привычного алгоритма при работе с предложенным скоупом.
Было 30+ хакеров, я занес 6 репортов, которые позволилил мне оказататься, вроде месте на 14-ом, то есть ровно посередине - что считаю для себя хорошим результатом. Повторюсь, там матерые багхантеры были, которые точно знают, что и как. А я тупа скрипткидди.
Скоуп:
1. Система документооборота от VK(VK HR Tek)
Поставленная перед хакерами задача подразумевала некоторые технические трудности в плане регистрации в оной системе - данные должны быть реальные. Сразу стало понятно, что нужен не один, а два, и больше аккаунтов, для тестирования самых очевидных багов типа IDOR/BAC. Так же очевидно, что подобное занесут в первые сутки, а второго аккаунта у меня не было. Поэтому, адаптируясь к новым правилам игры, было принято решение сознательно отказаться от хантинга по этому скоупу и сосредоточить усилия на другом скоупе.
2. Вайлдберис
Хороший, широкий скоуп, идеально подходящий для подобных ивентов. Было все. Тут я работал первые 3 суток плотно.
- XSScка на периметре, на каком-то полумертвом домене - выстрелил nuclei - низкий рейтинг - тут вопросов нет
- XSS в функционале чата https://*.wb.ru/ - сделал ручками, были проблемы с обработкой markdown разметки. Нагрузка довольна банальна - были проблемы со скобками, обошлось url энкодом. Средний рейтинг, вопросов нет.
- FALSE2TRUE на https://*.wildberries.ru/ (https://www.jonbottarini.com/2019/06/17/using-burp-suite-match-and-replace-settings-to-escalate-your-user-privileges-and-find-hidden-features/) Рейтинг "Информацинный". Вопросы есть, но какбы похуй.
- JSON CSRF на *.wildberries.ru - очевидный дубликат, как по мне, но решил зарепортить, поскольку многие видят json и думают, что CSRF нет. Дубликат. Ожидаемо.
- утечка ** - расчитывал на крит(поставили высокий рейт, аналитик сказал, что , тут несколько сотен **, мол, хуйня, ну ок) Жопа пригорела.
- утечка исходных кодов приложения для работы, как я понял, с заказами на ПВЗ - рассчитывал на крит, поставили средний. Жопа пригорела.
По последним двум багам. Как были найдены.
Рекон - amass, subfinder, assetfinder + https://securitytrails.com/ (текущие/исторические записи по NS серверам, рекомендую, позволяет расширить скоуп). Обработали httpx и получили некотроый список живых доменов в алфавитном порядке.
Теперь финт ушами - было принято решение пройтись контекстуальным брутфорсом не с начала списка, а с конца.
То есть:
a.lol.com
b.lol.com
c.lol.com
Хакеры идут с a.lol.com вниз. Хитрожопые скрипткидди идут с c.lol.com вверх.
Контекстуальный брутфорс. Что значит.
Значит, что солидный словарь на миллион строк конечно иметь надо, но глупо искать .php файлы на серваке, который под управлением винды, и наоборот.
Ну и если мы видим домен ololo.api-lol.com, это значит, что:
- Мы соберем словарь под api(очевидный swagger, очевидные роуты типа v1/v2) и пройдемся
ololo.api-lol.com/ololo
ololo.api-lol.com/api-lol
Ну вы понели.
В общем, последние два бага были найдены с помощью ffuf. Потом на меня начало давить неотвратимость выступления на phdays и я сбавил обороты, чтобы допилить доклад.
Спортивный багхантинг, парни, охуенный опыт. Заставляет шевелить мозгами. Немножко сумбурно, но и чукча не писатель
А, кстати, че вы погрустнели? Я просто решил стальнго алхимика пересмотреть. Ну вы и лалки :3
Я это, по второму кругу кажись зашел :3
Предыдущую (https://t.me/ScriptKiddieNotes/229) фиксанули, так что шансы вроде высоки, что все ок.
Посмотрим, что завтра ответят, лол.
Ну и по традиции - вы мое ебало имажинировали?
#bb
Предыдущую (https://t.me/ScriptKiddieNotes/229) фиксанули, так что шансы вроде высоки, что все ок.
Посмотрим, что завтра ответят, лол.
Ну и по традиции - вы мое ебало имажинировали?
#bb
Есть контакт :3
Сделал себе заметку/напоминание, как назначат выплату и пофиксят - запросить дисклоуз у Яндекса и рассказать для кунчиков и тяночек, что было, как и почему в этих двух XSScках. Хотя там ничего особенного c одной стороны. Но с другой сам немного удивился, да.
Но за это мы и любим багхантинг - это сплошной круговорот баттхерта и приятных открытий, same?
#bb
Сделал себе заметку/напоминание, как назначат выплату и пофиксят - запросить дисклоуз у Яндекса и рассказать для кунчиков и тяночек, что было, как и почему в этих двух XSScках. Хотя там ничего особенного c одной стороны. Но с другой сам немного удивился, да.
Но за это мы и любим багхантинг - это сплошной круговорот баттхерта и приятных открытий, same?
#bb
В общем-то, когда последний раз я выступал на публике, это была защита диплома перед толстыми генералами c лампасами на форменных штанах и полковниками.
Тупа двачер-хикка.
Прошло лет 20.
И вот я на пхд.
Смотрю на себя со стороны - косноязычен. Слова-паразиты. В этих ваших интернетах мне дается лучше. Да и в форму следовало бы себя привести.
Но это было охуенно!
https://www.youtube.com/watch?v=lbRL5jR8vpw&ab_channel=PositiveEvents
#bb #phdays
Тупа двачер-хикка.
Прошло лет 20.
И вот я на пхд.
Смотрю на себя со стороны - косноязычен. Слова-паразиты. В этих ваших интернетах мне дается лучше. Да и в форму следовало бы себя привести.
Но это было охуенно!
https://www.youtube.com/watch?v=lbRL5jR8vpw&ab_channel=PositiveEvents
#bb #phdays
YouTube
g/vrp
Глянул канал, чет подписчиков много стало. Надо это исправить. Так вот.
Держите сложный пост.
_____________________________________
Принципы, это хорошо. Придерживаешься их, и жизнь кажется проще.
Лично я стараюсь соблюдать следующие:
1. Не лицемерь(тяжело, да, ну а че поделать)
2. Пообещал/что-то спизданул - делай(за язык же тебя никто не тянул)
3. Не опаздывай на встречи, будь пунктуальным(уважай свое и чужое время)
4. Не покупай игры Близзард.
Я нарушил 4 принцип и купил дыряблу4. В свое оправдание могу сказать лишь то, что до дыр затер все первые три части(кроме ремастера). Ну, типа извернулся, сделал финт ушами, завел казахстанский акк и сижу, ебашу сюжетку. Довольно урчу. Стыдно.
______________________________________________________________________________________
Таким образом плавно плавно переходим к последнему пункту. Если что-то нарушил, то не держи это в себе, а прост скажи:
Хохлы - сосать)0))) Че с ебалом?)0))
____________________________________
Хорошо быть фулл-тайм багхантером, есть повод задуматься о вечном, ну и занести нашим посонам копеечку на мавик с тепловизором.
А ты занес?
#wm #bb
Держите сложный пост.
_____________________________________
Принципы, это хорошо. Придерживаешься их, и жизнь кажется проще.
Лично я стараюсь соблюдать следующие:
1. Не лицемерь(тяжело, да, ну а че поделать)
2. Пообещал/что-то спизданул - делай(за язык же тебя никто не тянул)
3. Не опаздывай на встречи, будь пунктуальным(уважай свое и чужое время)
4. Не покупай игры Близзард.
Я нарушил 4 принцип и купил дыряблу4. В свое оправдание могу сказать лишь то, что до дыр затер все первые три части(кроме ремастера). Ну, типа извернулся, сделал финт ушами, завел казахстанский акк и сижу, ебашу сюжетку. Довольно урчу. Стыдно.
______________________________________________________________________________________
Таким образом плавно плавно переходим к последнему пункту. Если что-то нарушил, то не держи это в себе, а прост скажи:
Хохлы - сосать)0))) Че с ебалом?)0))
____________________________________
Хорошо быть фулл-тайм багхантером, есть повод задуматься о вечном, ну и занести нашим посонам копеечку на мавик с тепловизором.
А ты занес?
#wm #bb
Коллеги, такой вопрос.
Так повелось, что мы, условно, разбились на два лагеря - красные(атакующие) и синие(защищающиеся).
Но дело вот в чем.
Синие высказывают такое мнение/предположение(повсеместно встречается в литературе/статьях в газетах/журналах/книгах) - что мол, если ты не написал, свой "инструмент", то ты скрипткидди.
Ну типа у посонов damage control включается. Нещитово! Ты только погуглил, скачал с гитхаба и вот похекал. И вот результат - мой начальник(лооол) ругается, стучит ножками, лишает меня 13-ой зарплаты. А мы тут годами на бесполезный инструмент учились! А потом в довесок пишут умные статьи на куколдовско-соевом хабре как настроили/развернули тот или иной инструмент, и с его помощью гордо отразили набег скрипткидиссов со свежим CVЕ.
У меня встречный вопрос - дохуя из вас, синих, написали свои WAF, IDS/IPS etc? Может ли быть так, что вы лишь обученные макаки, с кучей бесполезных сертификатов, призванные обслуживать чужой софт и постоянно заглядывать в методичку/пыльные фолианты?
Вы серьезно?
))0))
Оправдывайтесь.
#lol
Так повелось, что мы, условно, разбились на два лагеря - красные(атакующие) и синие(защищающиеся).
Но дело вот в чем.
Синие высказывают такое мнение/предположение(повсеместно встречается в литературе/статьях в газетах/журналах/книгах) - что мол, если ты не написал, свой "инструмент", то ты скрипткидди.
Ну типа у посонов damage control включается. Нещитово! Ты только погуглил, скачал с гитхаба и вот похекал. И вот результат - мой начальник(лооол) ругается, стучит ножками, лишает меня 13-ой зарплаты. А мы тут годами на бесполезный инструмент учились! А потом в довесок пишут умные статьи на куколдовско-соевом хабре как настроили/развернули тот или иной инструмент, и с его помощью гордо отразили набег скрипткидиссов со свежим CVЕ.
У меня встречный вопрос - дохуя из вас, синих, написали свои WAF, IDS/IPS etc? Может ли быть так, что вы лишь обученные макаки, с кучей бесполезных сертификатов, призванные обслуживать чужой софт и постоянно заглядывать в методичку/пыльные фолианты?
Вы серьезно?
))0))
Оправдывайтесь.
#lol