🥷🏿 От Android-хука до RCE: вознаграждение в размере $5000

Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:

✔️ Автор рассматривает необычный случай RCE, который вы могли не видеть раньше (он заставил headless браузер выполнить произвольный JavaScript-код на стороне сервера)
✔️ Чтобы перехватить сетевой трафик, автор должен был открыть два уровня шифрования: обычный уровень TLS, который используется в широко распространенных приложениях, и дополнительная реализация AES со случайным ключом для каждого пользователя.
✔️ Уязвимость RCE была слепой, а у удалённого сервера не было подключения к интернету, поэтому пришлось создать DNS-туннель для передачи данных 🤯.

🔗 Читать

#bugbounty #writeup #pentest

🤖 Security ProbLLMs в Grok от xAI: глубокое погружение

Исследования в области безопасности ИИ набирают обороты, и Johann Rehberger продолжает публиковать качественные статьи с подробной методологией.

Напомним, что Grok представляет собой чатбот xAI. Это современная модель, чатбот и недавно также API. Он имеет веб-интерфейс и интегрирован в приложение X (бывший Twitter), а недавно он также стал доступен через API.

Johann рассматривает уязвимости Grok перед лицом современных угроз безопасности приложений LLM, включая prompt injection, data exfiltration, conditional attacks, disinformation и ASCII Smuggling.

👉 Читать и учиться ломать чат-ботов

#writeup #bestpractices

💪 Теперь вы Super_Admin: Fortinet FortiOS Authentication Bypass CVE-2024-55591

Эта уязвимость — не просто байпас аутентификации, а цепочка проблем, объединённых в одну критическую уязвимость. Если кратко описать эту уязвимость, то происходит четыре важных события:

1. Подключение к WebSocket может быть создано на основе pre-auth HTTP-запроса.

2. Специальный параметр local_access_token может использоваться для пропуска проверок сессии.

3. Race condition в WebSocket → Telnet CLI позволяет отправить запрос на аутентификацию до того, как это сделает сервер.

4. Аутентификация, которая используется, не содержит уникального ключа, пароля или идентификатора для регистрации пользователя. Можно просто выбрать профиль доступа super_admin.

➡️ Погрузиться подробнее

#pentest #bugbounty #writeup

🔎 Утечка электронной почты любого пользователя YouTube за $10k

Багхантер исследовал Google Internal People API и обнаружил, что функция блокировки пользователей использует обфусцированный Gaia ID (уникальный идентификатор Google-аккаунта). Оказалось, YouTube позволяет блокировать пользователей, что автоматически добавляет их в Google Blocklist.

➡️ В итоге получаем следующую цепочку атаки:

1️⃣ Получение Gaia ID любого пользователя YouTube:

— Достаточно заблокировать пользователя на YouTube через live-чат.
— В Google Blocklist появится его обфусцированный Gaia ID.

2️⃣ Масштабирование атаки на всех пользователей YouTube:

— При нажатии трёх точек рядом с комментарием в чате отправляется запрос:

POST /youtubei/v1/live_chat/get_item_context_menu

— Ответ содержит обфусцированный Gaia ID пользователя без необходимости блокировать его.
— Это позволяло получить Gaia ID любого YouTube-канала.

3️⃣ Преобразование Gaia ID в email-адрес:

— Исследователь нашёл старый сервис Google Pixel Recorder.
— Этот сервис позволял поделиться записью, используя Gaia ID.
— В ответе сервера вместо Gaia ID возвращался email-адрес.

4️⃣ Обход уведомления жертвы:

— При отправке записи пользователь получал уведомление на email.
— Но если название записи было очень длинным (миллионы символов), уведомление не отправлялось.
— Это позволило получить email жертвы без её ведома.

#writeup #bugbounty

🥷 Nginx/Apache Path Confusion для обхода аутентификации в PAN-OS

Команда Assetnote обнаружила очередную не самую очевидную багу, позволяющую обойти аутентификацию. Проблема связана с разницей в обработке путей между Nginx и Apache.

1️⃣ Nginx декодирует %252e%252e → %2e%2e, не обнаруживает .. и отключает аутентификацию.

2️⃣ Apache применяет RewriteRule, повторно декодирует %2e%2e → .., что приводит к обходу.

3️⃣ В результате PHP исполняет /php/ztp_gate.php без аутентификации.

#writeup #bugbounty #pentest

📦 Пошаговое прохождение Linux-машины HTB Drive

Мекан Байрыев из Mad Devs на примере машины Hack The Box показывает, как провести атаку на базу данных SQLite при помощи собственного загружаемого модуля. Но сначала требуется получить доступ к приватным данным через уязвимость IDOR и захватить учетку пользователя.

📺 Смотреть

#writeup #practice #pentest