Как раз под партийное исследование подземелий.

Если понравилось, гуглите "Маклэйн Димер/Guild Wars"

#music

Импакт, лично для тебя.

#anime

Чтож, лето пролетело, надо и честь знать. Пора приниматься за работу.

Проснулись, потянулись.

Особо никаких планов на текущий год нет - поиск багов, моральное разложение, самокопание, рефлексия, игры, аниме, донат посонам на фронт, отпраздновать день варенья(40 лет в этом году, как никак) с друзяшками в сентябре.

Разве что будет интересно отстраненно созерцать за развитием отечественной багбаунти движухи в текущем году.

Хотелось бы увидеть конкуренцию, от которой выиграют все. И чтобы госуха была. Чтобы товарищ майор был доволен и примеривал звезды для подполковника, а то выше. Ну и оффзон было бы неплохо посетить, чтобы залутать бесплатную футболку, а то мои старые изрядно поистрепались, хех. Ну а phd я уже был, хех.

В планах на неделю/две - дисклоуз XSSкок с Яндекса на главной, дописать пост про физическое/ментальное здоровье фулл-тайм багхантера, ну и поржать над хохлами, которые, как известно, пиздец какие дегенераты.

#bb

Многие из нас пользуются готовыми инструментами, проверенными временем и опытом других багхнантеров.

Только это, just in case, перед использованием не забыайте прогонять запросы через свое прокси, тот же бурп подойдет, чтобы внимательнее рассмотреть отправляемые запросы.

А еще лучше, возьмите за правило явно задавать параметры, типа user-agenta явно, а не юзать по дефолту.

Наример, известный многим инструмент ffuf по дефолту отправляет примерно следующий user-agent: Fuzz Faster U Fool v2.0.0-dev

Однако:

ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,1 -u http://target/FUZZ

и

ffuf -w C:\Users\lalka\Desktop\burp\wfuzz.txt -mc 200,403,500 -c -o C:\Users\lalka\Downloads\ffuf.txt -fl 0,8,126 -u http://target/FUZZ -H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.171 Safari/537.36"

могут и будут отдавать кардинально разные результаты, особенно, если вы примелькались.

По ту сторону далеко не дураки сидят, и внести условный regexp по строке "fuzz" ничего не стоит. Вам будет казаться, что все ок, софт отработал как и должно, тем более если не прибанили в связи с количеством/скоростью запросов с одной машины.

Чем более популярнее инструмент, тем больше шансов, что ему начнут противодействовать, как только он обретает популярность.

Тот же sqlmap, без параметра --random-agent, будет отсылать легко детектящийся заголовок и скорее всего вы соснете, даже если скуля там есть.

Никогда не запускайте sqlmap без --random-agent.

#bb

Чет задумался.

Забавно.

Получается 6 лет прошло. От и до:

От

https://2ch.hk/b/arch/2017-01-20/res/144869013.html (Двач - на острие инфобеза, лооол)

->

до

https://xakep.ru/2023/06/27/phd12-10-reports/#toc04

Если брать отсчет от h1 то, почитай, все 8(восемь).

Как же время летит.

Я пиздец как всем благодарен, особенно тем, кто учил скули крутить, еще с античата.

FAZA02, да.

Ну, вот union+all+1,2,3+--+

Колонки там, хуе-мое, вывод на страницу.

Когда еще вывод прямо на странице был.

Да, были времена.

Интересно, что с нами будет еще лет через 10?

Будем ли мы улыбаться друг другу, когда встретимся? Будем ли мы вспоминать старые, добрые времена, зная, что нас связывает общая тайна?

#bb

Всем привет.

Хотелось бы поделиться с вами сокровенным.

Когда ты особенно не умный, но тебя тяготит к делу, от которого горят глаза, то приходится читерить и компенсировать упорством и настойчивостью.

Иногда так бывает, тестишь, например, IDOR, а это не самая сильная бага в твоем арсенале, и возникает потребность что-то быстро читнуть, ну, знаете, чек-лист, да. В памяти не отложилось, но материал под рукой нужен.

Вот, я когда сам учился, сохранял, с одной стороны всякое бесполезное говно, с другой - мнемонические подсказки, к которым обращаюсь до сих пор.

Тут, в архиве к посту, рассортированная на скорую руку подборка того, к чему я периодически обращаюсь.

Тупой карандаш лучше чем острая память.

Что-то потеряло актуальность, что-то нет. Просто я это собирал много лет. Зря добру пропадать, вдруг кому-то пригодится.

А вообще учитесь в академический подход - таблицы с источником там, закладки в браузере, приводите это все в систему, и все такое. Организуйте, в общем, свою личную кладезь справочной информации, чтобы она всегда была под рукой.

Добра :3

Мне тут 39 лет на днях привалило. Вдумчиво похмеляюсь.

Дружаню вот сегодня посадил на поезд до Москвы. Грустно. Не люблю расставаться. Тяготит атмосфера вокзалов. Хотя, это же не только место прощаний, но и встреч.

Разбираю старые архивы, которые скопились. Есть идея поднять все старые репорты, в том числе и и смешные/неудачные, чтобы кто-то другой не набивал шишки. Может, хуевая идея. А может нет.

И я вот чет подумал, что давно никуда не выбирался.

Думаю, вот, следующим летом выбраться в русский Крым. Побродить по местам воинской славы.

Никогда там не был.

Такие дела.

Хохлы, вы же не будете против? ))0

Минцифры запускает новый скоуп для поиска уязвимостей в государственных/социально значимых проектах типа госуслуг.

https://app.bugbounty.bi.zone/companies -> Минцифры России
https://bugbounty.standoff365.com/programs/ - > фильтруйте по "Новизне"

Расчехляйтесь, товарищ майор Родина-мать зовет!

#bb

Надеюсь, у вас все хорошо.

Немного багов перед Новым Годом никому не повредит, тем более, что обещал сделать дисклоуз, а слово надо держать.

Отсылка к https://t.me/ScriptKiddieNotes/229

Srored XSS в функционале поиска.

100k

Пытливый ум мог заметить, что скрин какой-то странный. Ну, так не обрезают картинки с пруфами.

Дело было в том, что задник был вырезаннен намеренно, потому что опытные хантеры по Яндексу сразу поняли бы, что имеет место быть баг в пользовательском поиске. То есть не просто поиск, а пользовательский, настраиваемый.

Далее текст оригинального репорта с пометками в cкобках, чтобы было более понятно.


>Шаги для воспроизведения

>Привет.

>Шаги:

>1. Перейти по PoC url: (По сути конечный результат, на данном этапе может быть непонятно)

>https://yandex.ru/search/site/?text={lol}&searchid=2832732

>2. Кликнуть в поисковую строку, чтобы отобразилась подсказка, XSS тригернется в контексте домена yandex.ru

>3???

>4. Profit!

>Почему:

>1. Cоздаем cвой кастомный поиск на https://site.yandex.ru/ (Яндекс багбаунти энджоер мог и должен был натыкаться на https://site.yandex.ru/. Чтобы ачивнуть ХSS было необходимо добраться до более тонких настроек пользовательского поиска/яузвимых уязвимых полей. Тогда это решалось так - добавляем свой домен, и его же добавляем в исключения, вселенная коллапсирует, и нас пропускает в настройки, что приводит к дополнительным настройкам, там, уже уязвимы поля и просто усидчивость/наблюдательность решает. Ну прост берешь и тыкаешь нагрузку )

>2. В настройках поиска:
>
>Где показывать результаты -> Показать результаты на Яндексе
>
>Поисковые подсказки - > для произвольного поискового запроса, в моем случае это набор "{lol}" добавляем полезную нагрузку в качестве подсказки "><img src=x onerror=alert(document.domain)> и сохраняем. Теперь нагрузка будет показывать при введенем поисковом запросе через подсказку и тригерить XSS. (Например, вводишь символ "a", выпадает полезная нагрузка с XSS, которая не фильтруется и отрабатывает. Вводишь "b/б" - все тоже самое. В итоге при любом вводе первого поискового символа можем добиться XSS)
>
>Тестировалось/воспроизводилось на win 10 64 + Mozilla Browser/Google Chrome
>
>Текущий результат
>https://owasp.org/www-community/attacks/xss/
>
>Ожидаемый результат и рекомендации
>Нет ответа
>
>Тип уязвимости
>Cross Site Scripting (XSS)
>
>Ссылка на скринкаст
>Нет ответа
>
>URL или IP
>https://yandex.ru/search/

Все сразу становится просто и понятно.

Чтож, новгодние на носу. И пора уходить в закат.

Еще пару багов по Яндексу.

1.

Вторая XSS в функционале поиска. Отсылка к https://t.me/ScriptKiddieNotes/259. Все тоже самое - отправная точка это https://site.yandex.ru/

Настраиваем пользовательский поиск с обязательным условием отображения поисковых результатов на главной Яндекса. В итоге там было еще одно уязвимиое поле, все банально до жути, просто стоило чуть попуститься и придти к тесту спустя некоторе время, чтобя взглянуть свежим взглядом.

Все как мы любим - есть уязвимое поле, есть "></script><svg/onload=alert(1)> и далее вы знаете.

100k.


#bb

2. Баг, которым я горжусь, потому что просто разыгралась фантазия.

Отправная точка - Я.Музыка.

Примерный сценарий атаки таков:

- Создаем свой безобидный плейлист, и наполняем его качественным контентом.
- Контент нравится(в теории), его лайкают, по количеству лайков мы можем судить, сколько и как.
- Меняем название этого плейлиста на наше, злобное, с полезноой нагрузкой.
- Имя меняется у всех, кто лайкал, при обновлении странички в браузере
- При генерации кода для вставки на свой сайт не фильтровался юзер инпут и мы могли в названии плейлиста пропихнуть тег <iframe>, закрыть его, и и добавить полезную нагрузку
- Таким образом приходим к тому, что среднестатиcтический пользователь Яндекс.Музыки мог добровольно, без всякой социнжнерии, добавить нагрузку к себе. Ну тут как бы не только XSS, но и что-то типа <?=$_GET[0];

Оригинальная картинка для репорта в аттаче.

Сначала оценили в 10k. Я расстроился, ибо это был полет чистой фантазии а не дрочь на параметры и все такое. Потом меня переспросили в чем суть. Я пояснил. Отправили 80k. Я доволен.

#bb

C наступающим и всех благ :3