Сегодня в 15.00 начнется bi0sCTF, всем советуем порешать, будут хорошие таски!

как вам тасочки?)

Есть такая штука nextjs, несколько месяцев назад они добавили новую "фишку" распределение нагрузки - под капотом поднимается несколько микросервисов. Каждый из которых занимается своей частью обработки запроса. Работает все примерно так-же как и обычный прокси сервер, запрос приходит, обрабатывается, и через стороннюю библиотеку проксируется на другой порт.
Собственно именно это место нас и интересует.

В HTTP есть такой метод PRI (используются, если мне не изменяет память, чтобы проверить возможность HTTP/2 подключения). Нас интересует что запросы этого метода имеют cимвол * в пути, вместо привычного /.

PRI * HTTP/1.1.

Далее, все http-парcеры работают по разному, у nodejs он немного особенный, и url вида http://example.com:3456*@127.0.0.1:8080 будет разобран как:
hostname: 127.0.0.1,
port: 8080,
auth: example.com:3456*,
А самое важное тут то, что http-парсер nodejs считает валидными запросы вида:

GET *@127.0.0.1/ HTTP/1.1
Host: somehost

А знаете кто еще так делает - haproxy!

Ну и последнее: код который формирует url для проксирования внутрь nextjs выглядит так:

const targetUrl = `http://${
  targetHost === 'localhost' ? '127.0.0.1' : targetHost
}:${routerPort}${pathname}`

Собственно, т.к. мы контролируем pathname - мы можем отправить запрос вида:

GET *@127.0.0.1:11211 HTTP/1.1
Host: some

и запрос уйдет напрямую в memcached, получаем SSRF.
Но что более важное - это SSRF с возможностью чтения ответа: если внутри, в инфре, есть приватная веб-морда, мы можем спокойно обращаться к ней, как будь то бы она торчит наружу.

Уязвимые версии:
>= 13.3.0 | <=13.4.12
фича проксирования включена по умолчанию, она так же включается если установлен флаг appDir: true в конфигурации experimental.


Из интересного: vercel отказал в CVE, так как не считает что это уязвимость (на момент репорта уязвимость воспроизводилась в последних версиях). Однако с версии 13.4.13 изменили код. Теперь в части внутренних запросов используется fetch. Что дает некоторую защиту, т.к. fetch не принимает запросы содержащие авторизацию.

>

Статья, посвященная цтф тулзятинам. А еще мне очень понравился раздел с райтапами за последние много-много лет
В общем, интересно, гляньте

Мы знаем толк в закрытых-открытых дверях! Поэтому

открываем регистрацию на VolgaCTF Qualifier 2024.

Соревнования пройдут 30-31 марта 2024 года. Топ команд получит возможность попасть в финал VolgaCTF 2024, который состоится в Самаре в сентябре.

Правила участия и регистрация доступны тут.

Джойн и энжой!

Пора тренироваться!

Друзья, мы подняли для вас платформу для тренировок, на ней переодически будут появляться как задачки с прошлых годов, так и новые таски 🚩
Например, сейчас мы выложили первые задания для самых маленьких в рамках обучения в КибХак Школе CTF. Скорее беги смотреть!

Тык.

Огромное спасибо всем, кто пришел сегодня на занятие! Вы классная публика!❤️

К следующему занятию постараемся получше подстроиться под ваш уровень навыков, для этого, пожалуйста, дайте небольшой фидбек по сложности и вашей вовлеченности.

P.S. Таски поднимем в ближайшее время, все смогут еще раз попробовать их решить и сдать флаги) Также добавим несколько заданий с прошлых лет CybHack CTF

Переподняли тасочки

Если опять отвалятся, пингуйте!

Ну и совет вам - на питоне не пишите, развалится...

Всем доброго вечера!

Хотелось бы сказать несколько моментов:

1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.

2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)

P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00

ГДЕ можно поближе познакомиться с веб-тасками и порешать их:

1. https://tryhackme.com/ - тут очень много хорошей теории про Linux, основные уязвимости, разные способы эксплуатации этих уязвимостей и защиты от них.

2. https://portswigger.net - тут также есть объяснение того, как работают веб-уявзимости, но главное что тут огромное колличество лаб на абсолютно разные темы. Если нужна практика по вебу - must seen

3. https://app.hackthebox.com - отличная платформа для практики. Большое колличество, как и black box (без исходного кода) машин, так и white box (с исходным кодом).

4. https://vk.com/@spbctf-ctf-for-beginners - тут и теория, и практика для самых маленьких.

#learn

ХО-ХО-ХОООО

Summary вчерашнего занятия

1. Поговорили про слабые варианты защиты от Path Traversal
2. Разобрали сложное задание с прошлого года CybHack CTF. Само задание все еще доступно на нашей платформе. (Для решения вам может понадобиться интересная статейка про flask-unsign)
3. Поговорили про самую распространенную Client-Side уязвимость XSS (Cross-Site-Scripting)
4. Познакомились с платформой PortSwigger и решили несколько лабораторных работ оттуда - разобрали SSRF и логические уязвимости приложений. (Данная платформа считается самой лучшей для вкатывания в информационную безопасность веб-приложений, так что дерзайте, там очень много лаб.-. p.s. если будут вопросы по лабам, можете смело писать нам)

#summary #learn

Лекция

Также хотим напомнить, что сегодня в 17.00 Леша проведет для вас лекцию в нашем дискорде. В ней он немножко отойдет от CTF и интересно расскажет вам, как работают сети и каким образом компьютеры взаимодействуют друг с другом. Обязательно приходите, Леша очень крутой рассказчик!

#event

Курс

Совершенно забыл вам рассказать про курс ugractf, где вкратце рассказано про все категории тасков, которые вы можете встретить на реальных ctf. В нем присутствуют и практические задания, так что сможете сразу и попрактиковаться, начав с простого

P.S. Сам с него начинал когда-то оч давно, так что действительно советую для старта в мире флагов

#learn