Так как это канал с моими заметками для меня же, то просто хочу оставить тут свои пейлоады, чтобы было проще искать их
EXE - https://github.com/ZemlyakovDmitry/EXE-Planting-MessageBox
DLL - https://github.com/ZemlyakovDmitry/DLL-Hijack-Calculator
#Уязвимости #Hijack #SelfMade
EXE - https://github.com/ZemlyakovDmitry/EXE-Planting-MessageBox
DLL - https://github.com/ZemlyakovDmitry/DLL-Hijack-Calculator
#Уязвимости #Hijack #SelfMade
🔥1
Увидел в январе-феврале пост в одном из телеграм каналов про Blind XSS в живой природе.
Сейчас стали писать различные боты, при чём довольно активно раз в пару дней точно. Было интересно сколько аккаунтов у человека в ферме, и вообще откуда взяли мой профиль.
Закинул в ответ сообщение с самым обычным script src, почти сразу же на почту приходит заветное письмо "[XSSHunter] XSS Payload Fired"...
Увы, не увидел откуда этот чертила взял мой аккаунт(
В поддержке на abuse репорт ответили только "Благодарим за вашу гражданскую позицию". Видимо, они сами понимают кто пользуется их софтом и только рады этому.
Идут месяца, а разработчики так и не фиксят баги...
#Уязвимости #wild
Сейчас стали писать различные боты, при чём довольно активно раз в пару дней точно. Было интересно сколько аккаунтов у человека в ферме, и вообще откуда взяли мой профиль.
Закинул в ответ сообщение с самым обычным script src, почти сразу же на почту приходит заветное письмо "[XSSHunter] XSS Payload Fired"...
Увы, не увидел откуда этот чертила взял мой аккаунт(
В поддержке на abuse репорт ответили только "Благодарим за вашу гражданскую позицию". Видимо, они сами понимают кто пользуется их софтом и только рады этому.
Идут месяца, а разработчики так и не фиксят баги...
#Уязвимости #wild
Оказывается, расширение встроенного браузера Burp Suite научилось в Prototype Pollution.
Звучит интересно, надо опробовать в деле, может быть это действительно годная фича.
https://portswigger.net/blog/finding-client-side-prototype-pollution-with-dom-invader
#Уязвимости #Web #BurpSuite
Звучит интересно, надо опробовать в деле, может быть это действительно годная фича.
https://portswigger.net/blog/finding-client-side-prototype-pollution-with-dom-invader
#Уязвимости #Web #BurpSuite
PortSwigger Blog
Finding client-side prototype pollution with DOM Invader
Last year we made it significantly easier to find DOM XSS, when we introduced a brand new tool called DOM Invader. This year, we've improved DOM Invader to make finding CSPP (client-side prototype pol
Немного "устаревшая" уязвимость Grafana от 8.0.0 до 8.3.0 (включительно), но иногда попадается.
Grafana directory travesal (CVE-2021-43798).
Нагрузку можно найти везде, однако, если "жертва" использует NGINX, нам будет выдаваться 400 ошибка.
Вот как это решается: [host]/public/plugins/welcome/#/../../../../../../../../../etc/passwd
#Уязвимости #Web #CVE #selfmade
Grafana directory travesal (CVE-2021-43798).
Нагрузку можно найти везде, однако, если "жертва" использует NGINX, нам будет выдаваться 400 ошибка.
Вот как это решается: [host]/public/plugins/welcome/#/../../../../../../../../../etc/passwd
#Уязвимости #Web #CVE #selfmade
👍1
Довольно интересная история со мной приключилась недавно в ходе багхантинга.
Как обычно хантил программы. В ходе поиска среди кучи поддоменов, куда доступ был запрещён, наткнулся на доступный сабдомен, на котором торчала уязвимая Jira.
Версия была далеко не самой актуальной, посмотрел на наличие уязвимостей - есть уязвимости с публичными эксплойтами.
Зарепортил через форму, ответ пришёл через пару часов, но.....
Они не собирались патчить её, т.к. они переезжали с джиры.
Казалось бы, что платить они не будут, но.... в следующем абзаце они сообщили, что баг-трекер не должен был быть доступен из вне. Они выплатили баунти (которое, правда, я вывести не смогу), чему я оказался рад.
Итог прост: нужно проверять правила доступа, и, если что-то торчит, хотя не должно, стоит сообщить*.
* Но так не стоит делать всегда, возможно, это будет N/A или Informative. А также стоит проверять что программа классифицирует как Out-of-scope.
#истории #bugbounty
Как обычно хантил программы. В ходе поиска среди кучи поддоменов, куда доступ был запрещён, наткнулся на доступный сабдомен, на котором торчала уязвимая Jira.
Версия была далеко не самой актуальной, посмотрел на наличие уязвимостей - есть уязвимости с публичными эксплойтами.
Зарепортил через форму, ответ пришёл через пару часов, но.....
Они не собирались патчить её, т.к. они переезжали с джиры.
Казалось бы, что платить они не будут, но.... в следующем абзаце они сообщили, что баг-трекер не должен был быть доступен из вне. Они выплатили баунти (которое, правда, я вывести не смогу), чему я оказался рад.
Итог прост: нужно проверять правила доступа, и, если что-то торчит, хотя не должно, стоит сообщить*.
* Но так не стоит делать всегда, возможно, это будет N/A или Informative. А также стоит проверять что программа классифицирует как Out-of-scope.
#истории #bugbounty
👍1
@ptswarm пошерили читшит с хоткеями для Burp Suite.
Чтобы не потерять, сохраню для себя тут
#BurpSuite
Чтобы не потерять, сохраню для себя тут
#BurpSuite
Начну делиться тулзами, которые использую для Recon'а:
https://github.com/six2dez/reconftw
Инструмент, который сочетает в себе множество других, используемых для поиска сабдоменов и сканированния на уязвимости.
Нуждается в API ключах (Shodan, WhoisXML и других).
Большинство можно получить бесплатно.
#Уязвимости #Recon #Web #Tools
https://github.com/six2dez/reconftw
Инструмент, который сочетает в себе множество других, используемых для поиска сабдоменов и сканированния на уязвимости.
Нуждается в API ключах (Shodan, WhoisXML и других).
Большинство можно получить бесплатно.
#Уязвимости #Recon #Web #Tools
GitHub
GitHub - six2dez/reconftw: reconFTW is a tool designed to perform automated recon on a target domain by running the best set of…
reconFTW is a tool designed to perform automated recon on a target domain by running the best set of tools to perform scanning and finding out vulnerabilities - six2dez/reconftw
Нагрузки для XSS и SQLi, которые использую при исследовании:
SQLi (time sleep) - 'XOR(if(now()=sysdate(),sleep(5*5),0))OR'
XSS - '),alert()//"><img src=x onerror=alert()>
SSTI - {{7 * 7}} (obviously, right?)
#Уязвимости #Web #BugBounty
SQLi (time sleep) - 'XOR(if(now()=sysdate(),sleep(5*5),0))OR'
XSS - '),alert()//"><img src=x onerror=alert()>
SSTI - {{7 * 7}} (obviously, right?)
#Уязвимости #Web #BugBounty
Чаще всего, чтобы сбросить пароль, нужно отправить одноразовую ссылку для смены пароля на почту, что может пойти не так, вроде бы безопасная реализация?
И да, и нет. Недавно обнаружил багу, позволяющую получить ссылку любого пользовался, воспользовавшисьсодой массивом.
Для получения ссылки было необходимо указать почты в запросе массивом. Т.е. первая почта была "жертвы", а вторая - наша. Примерно так выглядел запрос на сервер:
{
"email":
[
"victim@example.com",
"attacker@example.com"
],
"captcha_response": "много ненужных букаф"
}
После отправки запроса на почты одна и та же ссылка приходила на обе почты, что позволяло совершить Account Takeover.
Такое случается крайне редко, но никогда не стоит исключать подобные кейсы.
#Уязвимости #Web #BugBounty
И да, и нет. Недавно обнаружил багу, позволяющую получить ссылку любого пользовался, воспользовавшись
Для получения ссылки было необходимо указать почты в запросе массивом. Т.е. первая почта была "жертвы", а вторая - наша. Примерно так выглядел запрос на сервер:
{
"email":
[
"victim@example.com",
"attacker@example.com"
],
"captcha_response": "много ненужных букаф"
}
После отправки запроса на почты одна и та же ссылка приходила на обе почты, что позволяло совершить Account Takeover.
Такое случается крайне редко, но никогда не стоит исключать подобные кейсы.
#Уязвимости #Web #BugBounty
👍6💩2❤🔥1🥰1🌚1
Человек, поставивший 💩, Вы этим что хотели сказать? Просто интересно.
___
А вообще поправил ошибку в посте выше, спасибо. Где-то массивы упоминались листом, оттуда и запомнил.
Ну и хотел бы напомнить, что канал ведёт скрипткидди, который не имеет профильного образования. Тут могут быть факапы. Пишу о том, что может быть интересным мне. Ожидать мегакрутых постов, imo, не стоит. Просто заметки от себя для себя же.
___
А вообще поправил ошибку в посте выше, спасибо. Где-то массивы упоминались листом, оттуда и запомнил.
Ну и хотел бы напомнить, что канал ведёт скрипткидди, который не имеет профильного образования. Тут могут быть факапы. Пишу о том, что может быть интересным мне. Ожидать мегакрутых постов, imo, не стоит. Просто заметки от себя для себя же.
💩10👍2🌭1
Написал небольшой скрипт для поиска токенов, параметров, ссылок и различных "похожих на токен" буков в коде VK Mini Apps.
Зачем - не знаю. Возможно просто ради опыта.
Как всегда shitcoded + много false positives, но зато сам + специализированное решение для VK Mini Apps.
Парочке подписчикам будет интересно (да-да, привет Эльчин и Влад).
https://github.com/ZemlyakovDmitry/VK-Miniapp-Scanner
#selfmade
Зачем - не знаю. Возможно просто ради опыта.
Как всегда shitcoded + много false positives, но зато сам + специализированное решение для VK Mini Apps.
Парочке подписчикам будет интересно (да-да, привет Эльчин и Влад).
https://github.com/ZemlyakovDmitry/VK-Miniapp-Scanner
#selfmade
👍2🥰2
Нашёл довольно полезный Github с кучей репозиториев для поиска уязвимостей.
Один из них помог продемонстрировать импакт одной из багулин.
А именно - список дефолтных картинок для разных дистрибутивов линукс.
https://github.com/cujanovic/Linux-default-files-images-location
Сам юзер - https://github.com/cujanovic/
#Уязвимости #Web #BugBounty
Один из них помог продемонстрировать импакт одной из багулин.
А именно - список дефолтных картинок для разных дистрибутивов линукс.
https://github.com/cujanovic/Linux-default-files-images-location
Сам юзер - https://github.com/cujanovic/
#Уязвимости #Web #BugBounty
👍2
Пока откисаю в больнице, bi.zone запустили свою bugbounty.
На подходе уже есть несколько компаний, ждём-с.
UI выглядит неплохо, получше конкурентов. Надеюсь станет достойной заменой h1 с большим количеством организаций.
А ещё у них сейчас есть несколько конкурсов.
Ссылка - bugbounty.bi.zone
На подходе уже есть несколько компаний, ждём-с.
UI выглядит неплохо, получше конкурентов. Надеюсь станет достойной заменой h1 с большим количеством организаций.
А ещё у них сейчас есть несколько конкурсов.
Ссылка - bugbounty.bi.zone
👍3
Этот канал был не только про то, что только работать и учиться, но иногда тут и делюсь своими достижениями/успехами.
У VK есть программа бета-тестирования VK Testers. Каждый год они награждают тестировщиков по самым разным направлениям. Одним из них является "Most Vulnerability Reporter".
Ну, собсана, шо я тут хотел написать. Я занял там 1ое место уже во второй раз (прошлый раз был в 2021) 🥳🥳🥳
Конечно, там оплата за уязвимости не такая, как на Bug Bounty, но тем не менее различных приколюх отсыпают.
#Достижения
У VK есть программа бета-тестирования VK Testers. Каждый год они награждают тестировщиков по самым разным направлениям. Одним из них является "Most Vulnerability Reporter".
Ну, собсана, шо я тут хотел написать. Я занял там 1ое место уже во второй раз (прошлый раз был в 2021) 🥳🥳🥳
Конечно, там оплата за уязвимости не такая, как на Bug Bounty, но тем не менее различных приколюх отсыпают.
#Достижения
🔥13🎉3❤1
Многие уже видели посты о мероприятии Hackconf, которое будет проходить завтра.
Вход бесплатный, но есть и билеты с "пожертвованием". Ссылка - https://hackconf.ru/
Решил пойти на мероприятие и выделил несколько докладов, которые показались мне интересными:
10:00 — Попов Дмитрий "Кибербезопасность это не стыдно"
12:00 — Канибор Сергей "Pentesting Kubernetes: From Zero to Hero"
13:00 — Станислав Богатырев "Практически полезный Web3"
15:00 — Александр (larchik) Ларин "И на GraphQL есть свой injection"
Вход бесплатный, но есть и билеты с "пожертвованием". Ссылка - https://hackconf.ru/
Решил пойти на мероприятие и выделил несколько докладов, которые показались мне интересными:
10:00 — Попов Дмитрий "Кибербезопасность это не стыдно"
12:00 — Канибор Сергей "Pentesting Kubernetes: From Zero to Hero"
13:00 — Станислав Богатырев "Практически полезный Web3"
15:00 — Александр (larchik) Ларин "И на GraphQL есть свой injection"
⚡2
Интересных идей для постов нет, поэтому просто публикую то, что есть.
На днях получил свою первую CVE. 7.5 по CVSS 3.0. Неплохо.
Жаль не какой-нибудь веб сервис + уязвимость довольно-таки смешная. Но всё же факт есть факт.
CVE-2022-40978
Мерча зажали :(
P.S.: перезалив, ибо фотка прикреплялась файлом :(
#Достижения #CVE
На днях получил свою первую CVE. 7.5 по CVSS 3.0. Неплохо.
Жаль не какой-нибудь веб сервис + уязвимость довольно-таки смешная. Но всё же факт есть факт.
CVE-2022-40978
Мерча зажали :(
P.S.: перезалив, ибо фотка прикреплялась файлом :(
#Достижения #CVE
🔥9💩3🍓2👍1🎉1
Что ломать?
Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.
Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.
Для дееспособных совершеннолетних граждан РФ:
bugbounty.ru;
bb.standoff365.com.
Также можно рассмотреть bugbounty.bi.zone, но у них там нет ничего, кроме собственной программы.
Для несовершеннолетних граждан РФ:
bugbounty.ru (был дан ответ, что выплаты возможны при наличии согласия от родителей);
Различные selfhosted программы, которые платят по SWIFT* и в криптовалюте.
В этот список я не стал включать hackenproof.com, которые платят в USDT, из-за сомнительных высказываний CEO. Были вбросы, что "Russians are allowed to pass the verification but not to be rewarded".
Мои фавориты - selfhosted bug bounty программы, платящие в криптовалюте.
Как их искать?:
Дорки, дорки и ещё раз дорки.
Вот пример простой дорки:
(intext:"bug bounty" | intext:"responsible disclosure") & (intext:"USDT" | intext:"BTC")
Конечно, она не найдёт все 100% программ. Можно поиграться со словами (по типу "btc" => "Bitcoin", "Bug bounty" => "bounty for bugs" и т.д.).
Этот процесс можно автоматизировать, но я предпочитаю ручками.
У многих selfhosted программ существуют некоторые проблемы с общением, иногда они могут проигнорировать сообщение.
Именно поэтому делаю так:
1. Ищу программу;
2. Нахожу какую-нибудь багу;
3. Сообщаю о ней и жду ответа;
3.1. Если ответа нет в течение 2ух недель, если не указано иного, - повторяю письмо;
4. Если был получен ответ, а лучше выплата - записываю в док и продолжаю дальше ломать цель.
Надеюсь мой опыт поможет кому-нибудь.
Всем мира, багов и выплат за них.
*Но некоторые программы всё же отказываются платить и этот момент стоит уточнить перед сдачей.
@zema_notes
#Уязвимости #BugBounty #SelfMade
Именно этот вопрос у меня появился после кражи денег запрета вывода гражданам РФ со стороны HackerOne и некоторых других площадок.
Уже прошло пол года с того момента, и я готов поделиться тем, к чему пришёл за это время.
Для дееспособных совершеннолетних граждан РФ:
bugbounty.ru;
bb.standoff365.com.
Также можно рассмотреть bugbounty.bi.zone, но у них там нет ничего, кроме собственной программы.
Для несовершеннолетних граждан РФ:
bugbounty.ru (был дан ответ, что выплаты возможны при наличии согласия от родителей);
Различные selfhosted программы, которые платят по SWIFT* и в криптовалюте.
В этот список я не стал включать hackenproof.com, которые платят в USDT, из-за сомнительных высказываний CEO. Были вбросы, что "Russians are allowed to pass the verification but not to be rewarded".
Мои фавориты - selfhosted bug bounty программы, платящие в криптовалюте.
Как их искать?:
Дорки, дорки и ещё раз дорки.
Вот пример простой дорки:
(intext:"bug bounty" | intext:"responsible disclosure") & (intext:"USDT" | intext:"BTC")
Конечно, она не найдёт все 100% программ. Можно поиграться со словами (по типу "btc" => "Bitcoin", "Bug bounty" => "bounty for bugs" и т.д.).
Этот процесс можно автоматизировать, но я предпочитаю ручками.
У многих selfhosted программ существуют некоторые проблемы с общением, иногда они могут проигнорировать сообщение.
Именно поэтому делаю так:
1. Ищу программу;
2. Нахожу какую-нибудь багу;
3. Сообщаю о ней и жду ответа;
3.1. Если ответа нет в течение 2ух недель, если не указано иного, - повторяю письмо;
4. Если был получен ответ, а лучше выплата - записываю в док и продолжаю дальше ломать цель.
Надеюсь мой опыт поможет кому-нибудь.
Всем мира, багов и выплат за них.
*Но некоторые программы всё же отказываются платить и этот момент стоит уточнить перед сдачей.
@zema_notes
#Уязвимости #BugBounty #SelfMade
🔥4👍2💯1
Иногда WAF может являться серьёзной проблемой при эксплуатации уязвимости.
Что делать?А фиг его знает! Обходить.
Сложный, но самый надёжный и, вероятно, самый профитный путь: Попытаться обфуцировать пейлоад. Это сложно и долго, не факт что получится, поэтому не буду останавливаться на этом.
Лёгкий путь, срабатывающий время от времени: Найти реальный IP адрес ресурса. Рассмотрим поподробнее что да как делать.
В своей практике я применяю 2 сервиса: censys.io и shodan.io. Моим фаворитом является shodan.io.
Как искать?
1) По сертификату
Для Shodan запрос выглядит так: ssl.cert.subject.cn:[target]
А для Censys иначе: services.tls.certificates.chain.subject_dn:[target]
В обоих случаях [target] необходимо заменить на нашу цель, чтобы получилось что-то вроде ssl.cert.subject.cn:example.com. Если у сервера был установлен SSL сертификат, то вам выдаст все сервера, имеющие сертификат вида *.[target]*
2) По заголовку страницы
Если сервер не имеет SSL сертификата, а HTTPS идёт между cdn и пользователем, то иногда может помочь следующие запросы:
Shodan: http.title:[Page title]
Censys: services.http.response.html_title:[Page title]
[Page title] необходимо заменить на заголовок страницы /
Вроде это всё, что хотел написать. Всем вкусных багов и приятного времяпрепровождения 🙂
@zema_notes
#Уязвимости #Web #BugBounty
Что делать?
Сложный, но самый надёжный и, вероятно, самый профитный путь: Попытаться обфуцировать пейлоад. Это сложно и долго, не факт что получится, поэтому не буду останавливаться на этом.
Лёгкий путь, срабатывающий время от времени: Найти реальный IP адрес ресурса. Рассмотрим поподробнее что да как делать.
В своей практике я применяю 2 сервиса: censys.io и shodan.io. Моим фаворитом является shodan.io.
Как искать?
1) По сертификату
Для Shodan запрос выглядит так: ssl.cert.subject.cn:[target]
А для Censys иначе: services.tls.certificates.chain.subject_dn:[target]
В обоих случаях [target] необходимо заменить на нашу цель, чтобы получилось что-то вроде ssl.cert.subject.cn:example.com. Если у сервера был установлен SSL сертификат, то вам выдаст все сервера, имеющие сертификат вида *.[target]*
2) По заголовку страницы
Если сервер не имеет SSL сертификата, а HTTPS идёт между cdn и пользователем, то иногда может помочь следующие запросы:
Shodan: http.title:[Page title]
Censys: services.http.response.html_title:[Page title]
[Page title] необходимо заменить на заголовок страницы /
Вроде это всё, что хотел написать. Всем вкусных багов и приятного времяпрепровождения 🙂
@zema_notes
#Уязвимости #Web #BugBounty
👍7
Упрощение работы с прокси (Burp, Charles, etc).
На стриме @spbctf во время разбора тасков была трансляция экрана @sh1y0. Там заметил, что Александр каким-то образом направляет запросы в прокси с определённой вкладки. В ходе небольших исследований (сообщения в личку тг 🙂) выяснилось, что это расширение Container proxy для Firefox.
Ссылка на расширение для Firefox - https://addons.mozilla.org/ru/firefox/addon/container-proxy/
Пользуюсь уже больше месяца и очень сильно полюбил его, поэтому шерю тут. ❤️
@zema_notes
#Tools
На стриме @spbctf во время разбора тасков была трансляция экрана @sh1y0. Там заметил, что Александр каким-то образом направляет запросы в прокси с определённой вкладки. В ходе небольших исследований (сообщения в личку тг 🙂) выяснилось, что это расширение Container proxy для Firefox.
Ссылка на расширение для Firefox - https://addons.mozilla.org/ru/firefox/addon/container-proxy/
Пользуюсь уже больше месяца и очень сильно полюбил его, поэтому шерю тут. ❤️
@zema_notes
#Tools
addons.mozilla.org
Container proxy – скачайте это расширение для 🦊 Firefox (ru)
Скачать «Container proxy» для Firefox. Allows Firefox user assign different proxies to be used in different containers
👍7❤3😁1🤩1
Прошёл ОлимпПГУТИ.
4-5/22 место. Обидно? Немного.
Задания вроде были лёгкие, а вроде и нет. Набрал 22 балла. У 1 места 25.
Впервые почитал литературу про переполнение буфера. Ничего не понял (да и что можно было понять за 40 минут, что у меня остались).
Теперь, похоже, стоит учиться в пывн.
4-5/22 место. Обидно? Немного.
Задания вроде были лёгкие, а вроде и нет. Набрал 22 балла. У 1 места 25.
Впервые почитал литературу про переполнение буфера. Ничего не понял (да и что можно было понять за 40 минут, что у меня остались).
Теперь, похоже, стоит учиться в пывн.
🕊5💩2