🔍 Глубокое погружение в RCU Race Condition: анализ TCP-AO UAF (CVE-2024–27394)

Эта уязвимость для Linux use-after-free (UAF) была исправлена в апреле 2024 года, но подробное описание и PoC стали доступны только в этом посте. Статью в формате PDF скинули в комментарии.

#cve #pentest #writeup

🔥 Подборка райтапов c Hack The Box от архитектора лабораторий 0xdf

📦 HTB Resource. Разбираемся с SSH-авторизацией по сертификату
📦 HTB Axlle. Повышаем привилегии через StandaloneRunner
📦 HTB Blazorized. Ломаем сайт на веб-платформе Blazor
📦 HTB PermX. Закрепляемся в Linux при помощи setfacl
📦 HTB Mist. Используем технику ESC13 для захвата домена Active Directory
🔍 HTB Sherlock: Pikaptcha. Анализируем pcap-файла с зараженной машины

#writeup #security #redteam #incedentresponse

🤑 $20000 за выход из песочницы Chrome с помощью DevTools

Райтап, в котором автор делится опытом поиска и эксплуатации CVE-2024-6778 и CVE-2024-5836 в Chromium, которые позволяли выйти из песочницы с помощью расширения браузера (при минимальном взаимодействии с пользователем).

Вредоносное расширение запускало любую команду на системе, которая затем могла быть использована для установки малвари. Вместо того чтобы просто украсть ваши пароли и скомпрометировать браузер, злоумышленник мог взять под контроль всю систему.

👉 Читать райтап

#writeup #pentest #bugbounty

💸 23000 за обход аутентификации, загрузку файлов и произвольную перезапись файлов

Багхантер не стал останавливаться на достигнутом, когда уровень критичности найденного бага снизили с Critical до Medium. Кажется, это только подтолкнуло его на дальнейшие исследования. На выходе — довольно крупное вознаграждение и три интересных уязвимости.

👉 Читать оригинал или перевод на русский

#bugbounty #writeup

🥷🏿 От Android-хука до RCE: вознаграждение в размере $5000

Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:

✔️ Автор рассматривает необычный случай RCE, который вы могли не видеть раньше (он заставил headless браузер выполнить произвольный JavaScript-код на стороне сервера)
✔️ Чтобы перехватить сетевой трафик, автор должен был открыть два уровня шифрования: обычный уровень TLS, который используется в широко распространенных приложениях, и дополнительная реализация AES со случайным ключом для каждого пользователя.
✔️ Уязвимость RCE была слепой, а у удалённого сервера не было подключения к интернету, поэтому пришлось создать DNS-туннель для передачи данных 🤯.

🔗 Читать

#bugbounty #writeup #pentest

🤖 Security ProbLLMs в Grok от xAI: глубокое погружение

Исследования в области безопасности ИИ набирают обороты, и Johann Rehberger продолжает публиковать качественные статьи с подробной методологией.

Напомним, что Grok представляет собой чатбот xAI. Это современная модель, чатбот и недавно также API. Он имеет веб-интерфейс и интегрирован в приложение X (бывший Twitter), а недавно он также стал доступен через API.

Johann рассматривает уязвимости Grok перед лицом современных угроз безопасности приложений LLM, включая prompt injection, data exfiltration, conditional attacks, disinformation и ASCII Smuggling.

👉 Читать и учиться ломать чат-ботов

#writeup #bestpractices

💪 Теперь вы Super_Admin: Fortinet FortiOS Authentication Bypass CVE-2024-55591

Эта уязвимость — не просто байпас аутентификации, а цепочка проблем, объединённых в одну критическую уязвимость. Если кратко описать эту уязвимость, то происходит четыре важных события:

1. Подключение к WebSocket может быть создано на основе pre-auth HTTP-запроса.

2. Специальный параметр local_access_token может использоваться для пропуска проверок сессии.

3. Race condition в WebSocket → Telnet CLI позволяет отправить запрос на аутентификацию до того, как это сделает сервер.

4. Аутентификация, которая используется, не содержит уникального ключа, пароля или идентификатора для регистрации пользователя. Можно просто выбрать профиль доступа super_admin.

➡️ Погрузиться подробнее

#pentest #bugbounty #writeup

🔎 Утечка электронной почты любого пользователя YouTube за $10k

Багхантер исследовал Google Internal People API и обнаружил, что функция блокировки пользователей использует обфусцированный Gaia ID (уникальный идентификатор Google-аккаунта). Оказалось, YouTube позволяет блокировать пользователей, что автоматически добавляет их в Google Blocklist.

➡️ В итоге получаем следующую цепочку атаки:

1️⃣ Получение Gaia ID любого пользователя YouTube:

— Достаточно заблокировать пользователя на YouTube через live-чат.
— В Google Blocklist появится его обфусцированный Gaia ID.

2️⃣ Масштабирование атаки на всех пользователей YouTube:

— При нажатии трёх точек рядом с комментарием в чате отправляется запрос:

POST /youtubei/v1/live_chat/get_item_context_menu

— Ответ содержит обфусцированный Gaia ID пользователя без необходимости блокировать его.
— Это позволяло получить Gaia ID любого YouTube-канала.

3️⃣ Преобразование Gaia ID в email-адрес:

— Исследователь нашёл старый сервис Google Pixel Recorder.
— Этот сервис позволял поделиться записью, используя Gaia ID.
— В ответе сервера вместо Gaia ID возвращался email-адрес.

4️⃣ Обход уведомления жертвы:

— При отправке записи пользователь получал уведомление на email.
— Но если название записи было очень длинным (миллионы символов), уведомление не отправлялось.
— Это позволило получить email жертвы без её ведома.

#writeup #bugbounty

🥷 Nginx/Apache Path Confusion для обхода аутентификации в PAN-OS

Команда Assetnote обнаружила очередную не самую очевидную багу, позволяющую обойти аутентификацию. Проблема связана с разницей в обработке путей между Nginx и Apache.

1️⃣ Nginx декодирует %252e%252e → %2e%2e, не обнаруживает .. и отключает аутентификацию.

2️⃣ Apache применяет RewriteRule, повторно декодирует %2e%2e → .., что приводит к обходу.

3️⃣ В результате PHP исполняет /php/ztp_gate.php без аутентификации.

#writeup #bugbounty #pentest