ККСики решили всех на место поставить под конец...

Итоговая борда выглядит примерно так (p.s. амничики почти на нее попали...😭)

#event

Недавно нашел обход фильтрации тегов в golang.
Для строки <a/href/='https://google.com/#><img src=x onerror=alert()>slon</img></h1>'>google</a>, golang net/html увидит следующий DOM:

  html
    head
    body
      a
        ->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1>

То есть он будет думать что у нас есть только ссылка на google.com
В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert
Баг существует в предпоследней версии golang и был исправлен в последнем релизе.
P.S. Если что исправлено 5 дней назад https://github.com/golang/net/commit/643fd162e36ae58085b92ff4c0fec0bafe5a46a7

Так, обстановочку в канале поняли, поэтому потихоничку начнем вас готовить😉

Статья о том, что такое AD, и с чем его едят. Написана она самыми опытными CTF-ерами в России для самых маленьких в этой сфере (две трети канала емае)

#learn #ctf #attackdefence

Великий реверсер, ведущий исследователь безопасности каждый раз, когда приходил в офис, начинал свой день с ритуала: открывал файл в блокноте и смотрел туда минуту, закрывал и начинал работать. Однажды он уволился и его коллеги решили посмотреть что это за файл, открыли его в блокноте, а там надпись: пролог в начале, эпилог в конце.

#QUIZ62
#OSINT #GEOINT

https://www.youtube.com/watch?v=D8YBhEs2mLo

Тренировка.
Найти место, где находился дирижёр в видео (координаты или отметка на карте).


*//*

Training.
Find the place where the conductor was in the video (coordinates or mark on the map).

Сегодня в 15.00 начнется bi0sCTF, всем советуем порешать, будут хорошие таски!

как вам тасочки?)

Есть такая штука nextjs, несколько месяцев назад они добавили новую "фишку" распределение нагрузки - под капотом поднимается несколько микросервисов. Каждый из которых занимается своей частью обработки запроса. Работает все примерно так-же как и обычный прокси сервер, запрос приходит, обрабатывается, и через стороннюю библиотеку проксируется на другой порт.
Собственно именно это место нас и интересует.

В HTTP есть такой метод PRI (используются, если мне не изменяет память, чтобы проверить возможность HTTP/2 подключения). Нас интересует что запросы этого метода имеют cимвол * в пути, вместо привычного /.

PRI * HTTP/1.1.

Далее, все http-парcеры работают по разному, у nodejs он немного особенный, и url вида http://example.com:3456*@127.0.0.1:8080 будет разобран как:
hostname: 127.0.0.1,
port: 8080,
auth: example.com:3456*,
А самое важное тут то, что http-парсер nodejs считает валидными запросы вида:

GET *@127.0.0.1/ HTTP/1.1
Host: somehost

А знаете кто еще так делает - haproxy!

Ну и последнее: код который формирует url для проксирования внутрь nextjs выглядит так:

const targetUrl = `http://${
  targetHost === 'localhost' ? '127.0.0.1' : targetHost
}:${routerPort}${pathname}`

Собственно, т.к. мы контролируем pathname - мы можем отправить запрос вида:

GET *@127.0.0.1:11211 HTTP/1.1
Host: some

и запрос уйдет напрямую в memcached, получаем SSRF.
Но что более важное - это SSRF с возможностью чтения ответа: если внутри, в инфре, есть приватная веб-морда, мы можем спокойно обращаться к ней, как будь то бы она торчит наружу.

Уязвимые версии:
>= 13.3.0 | <=13.4.12
фича проксирования включена по умолчанию, она так же включается если установлен флаг appDir: true в конфигурации experimental.


Из интересного: vercel отказал в CVE, так как не считает что это уязвимость (на момент репорта уязвимость воспроизводилась в последних версиях). Однако с версии 13.4.13 изменили код. Теперь в части внутренних запросов используется fetch. Что дает некоторую защиту, т.к. fetch не принимает запросы содержащие авторизацию.

>

Статья, посвященная цтф тулзятинам. А еще мне очень понравился раздел с райтапами за последние много-много лет
В общем, интересно, гляньте

Мы знаем толк в закрытых-открытых дверях! Поэтому

открываем регистрацию на VolgaCTF Qualifier 2024.

Соревнования пройдут 30-31 марта 2024 года. Топ команд получит возможность попасть в финал VolgaCTF 2024, который состоится в Самаре в сентябре.

Правила участия и регистрация доступны тут.

Джойн и энжой!

Пора тренироваться!

Друзья, мы подняли для вас платформу для тренировок, на ней переодически будут появляться как задачки с прошлых годов, так и новые таски 🚩
Например, сейчас мы выложили первые задания для самых маленьких в рамках обучения в КибХак Школе CTF. Скорее беги смотреть!

Тык.

Огромное спасибо всем, кто пришел сегодня на занятие! Вы классная публика!❤️

К следующему занятию постараемся получше подстроиться под ваш уровень навыков, для этого, пожалуйста, дайте небольшой фидбек по сложности и вашей вовлеченности.

P.S. Таски поднимем в ближайшее время, все смогут еще раз попробовать их решить и сдать флаги) Также добавим несколько заданий с прошлых лет CybHack CTF

Переподняли тасочки

Если опять отвалятся, пингуйте!

Ну и совет вам - на питоне не пишите, развалится...

Всем доброго вечера!

Хотелось бы сказать несколько моментов:

1) Пишите тут в чатик по любому возникшему вопросу (даже если вам кажется, что он совсем глупый и простой), комунити у нас доброе: поможем, расскажем, покажем.

2) Если у кого-то есть то, что он хотел бы узнать на следующем занятии по ВЭБУ (или что-то не понял с предыдущего занятия и хочет, чтобы мы повторили это еще разок), опять же вэлкам либо в чатик либо в коменты к этому посту. Сильно постраемся включить ваши пожелания в нашу программу :)

P.S
Следующее занятие по web'чику пройдет в субботу 16.02 в 18.00