Gebutcher

2022-06-16 14:22:11 #ffuf Открыть/Комментировать

2022-06-16 14:20:46 ​Немного про ручное тестирование при поиске страниц регистрации

Страницы регистрации к админ-панелям всегда лакомый кусок, который стараются найти багхантеры и спрятать разработчики.

Например, для Wordpress, это популярный эндпоинт /wp-login.php?action=register, для которого есть даже соответствующий шаблон в nuclei.

Однако, не всегда стоит слепо полагаться на подобные инструменты. На скринах ниже эндпоинт, для которого этот шаблон не отработал. Дело в том, что nuclei в этом шаблоне пытается отправить GET запрос и найти в ответе ключевые слова. Но при отправке GET запроса на данный эндпоинт сервер возвращает таймаут (смотри первый скрин ниже).

Мы можем попробовать изменить GET запрос на POST, однако это снова приведёт к тайм-ауту (смотри второй скрин)

Однако, если мы попробуем отправить POST запрос с параметром, то сможем успешно получить доступ к странице регистрации и соответственно к админ-панеле в Wordpress (третий скрин).

Для списка хостов можно попробовать автоматизировать этот процесс, например так:

ffuf -X POST -w web.list -u "FUZZ/wp-login.php?action=register" -d "user_login=bugbountytest" -mr "Please type your email address"

#web #wp #recon #soft #infosec Открыть/Комментировать

2022-06-16 14:19:37 ​Анализируем доступный access.log

Если вы нашли доступный журнал access.log, то можно проанализировать его содержимое и просмотреть адреса с кодом ответа 200, так как это может привести к интересным находкам и утечкам.

Для этого можно использовать ffuf и выполнить:

cat access.log | grep " 200 " | cut -d'"' -f2 | cut -d' ' -f2 | sort -u | ffuf -mc 200 -w - -u "https://example.comFUZZ

Ну а если не хочется просматривать все вручную, то можно запустить Burp Suite с любым расширением для пассивного поиска секретов (например, SecretFinder или Burp Bounty) и пустить полученные результаты через Burp, указав параметр -replay-proxy:

cat access.log | grep " 200 " | cut -d'"' -f2 | cut -d' ' -f2 | sort -u | ffuf -mc 200 -w - -u "https://example.comFUZZ" -replay-proxy http://127.0.0.1:8080

#web #leak #soft #infosec Открыть/Комментировать

2022-06-16 14:18:03 ​Поиск скрытых сервисов через виртуальные хосты

Виртуальный хостинг — вид хостинга, при котором множество веб-сайтов расположено на одном веб-сервере.

Во время фазы разведки, поиск виртуальных хостов может помочь расширить цель, обнаружив старый или устаревший код, а также выявить скрытые сервисы и/или админ панели.

Используйте Burp Intruder или ffuf для каждого найденного вами домена и выполните фаззинг виртуальных хостов с помощью команд:

ffuf -c -u https://target.com -H "Host: FUZZ" -w vhost_wordlist.txt

или

ffuf -c -u https://target.com -H "Host: FUZZ.target.com" -w vhost_wordlist.txt

#web #vhost #recon #soft #infosec Открыть/Комментировать

2022-06-16 14:16:45 ​Фаззинг множества хостов с помощью FFUF

Допустим, вы собрали несколько «живых» поддоменов с помощью httpx и хотите провести фаззинг каждого из них с помощью вашего любимого списка слов. Для этих целей можно использовать ffuf и выполнить команду:

ffuf -w fuzz.txt:FUZZ -w httpx.txt:URL -u URL/FUZZ -mc 200 -of csv -o ffuf-result.txt

Чтобы посмотреть результат, пропишите:

cat ffuf-result.txt | awk -F ',' '{print $3}'

#web #fuzz #recon #soft #infosec Открыть/Комментировать

2022-06-16 14:13:49 ​ffuf

Часто вижу на веб серверах, с которыми приходится работать, остатки всевозможных директорий и php файлов, которые оставляют разработчики. Особенно это актуально, если нанимают каких-нибудь фрилансеров для решения разовых задач. Они без проблем кладут учётные данные для подключения к БД прямо в корне сайта в txt файл, скрипты для сброса пароля админа, какой-нибудь временный скрипт для отладки с прямым доступом к базе и т.д. Иногда могут в директорию на сайте положить что-то (логи отладки или обмена), к чему не должен быть посторонний доступ, но потом забывают про это.

Я покажу на простом примере, почему так делать не надо. С помощью утилиты
ffuf и словарей можно довольно быстро найти какие-то файлы или директории на сайте, даже если с самого сайта на них нигде нет ссылок. Многим кажется, что этого достаточно для защиты информации. Типа никто о ней не узнает.

Для запуска ffuf достаточно скачать бинарник из репозитория. Так же нам понадобится словарь. Я не вникал никогда в тему поиска актуальных словарей, так как сам не занимаюсь подобными подборами. Для примера можно взять словари SecLists. Конкретно для нашей задачи - dirsearch.txt.

# ./ffuf -u https://ya.ru/FUZZ -t 5 \
-w dirsearch.txt

Сканирование запустил в 5 потоков. Если у вас на веб сервере нет никакой защиты на количество подключений, то по словарю вас просканят очень быстро и найдут папочку test или backup. Примерно то же самое можно сделать и для поиска поддоменов, которые тоже часто забывают, оставляя незакрытыми после тестирования или отладки.

# ./ffuf -u https://ya.ru -t \
-H 'Host: FUZZ.ya.ru' \
-w subdomains-top1million-110000.txt

Тут подойдёт словарь subdomains-top1million-110000.txt. Обращаю внимание, что конкретно ya.ru даёт 302 редирект на все подобные переборы. У него то ли защита такая, то ли просто настройки веб сервера. Если просканите свои сайты, результат скорее всего будет другой.

Я к чему всё это рассказал. Не кладите ничего лишнего в веб директории. А уж если положили, то хотя бы закройте через basic auth. Это не долго, но гарантированно защитит вас от доступа к закрытой информации.

Помню очень давно, когда только набирала популярность система контроля версий git, кто-то догадался просканить весь рунет на возможность доступа к директории .git. Были добыты исходники сотен сайтов, в том числе достаточно крупных.

https://github.com/ffuf/ffuf
https://github.com/danielmiessler/SecLists

#security #webserver #soft #infosec Открыть/Комментировать

2022-06-16 14:04:02 Статистика от Сбера. С начала СВО в результате кибератак:

украдены данные 65 млн россиян
скомпрометировано 13 млн банковских карт
ущерб от их перевыпуска 4,5 млрд рубл. Об этом сообщил заместитель председателя правления Сбербанка Станислав Кузнецов.
в кибер-атаках на Россию участвуют около 330 тысяч человек
количество кибер-атак на бизнес выросло в 15 раз.

#video #cybersecurity #news Открыть/Комментировать

2022-06-16 13:50:29 Смотрим на технологическую сеть глазами злоумышленников

https://habr.com/ru/company/pt/blog/671656/

#habr #cybersecurity Открыть/Комментировать

2022-06-16 12:14:46 OpenID Connect (OIDC): Как получить токен?

https://habr.com/ru/company/flant/blog/670628/

#habr #cybersecurity Открыть/Комментировать

2022-06-16 11:15:24 ​EvilCrow-RF

Радиочастотное хакерское устройство для пентеста и операций RedTeam, на базе радиомодулей CC1101 и ESP32-PICO

Evil Crow RF допускает атаки:
Приема сигнала
Передачи сигнала
Replay attack
Брутфорс

https://bit.ly/39soNdW

Полностью открытая спецификация:
https://github.com/joelsernamoreno/EvilCrow-RF

#hacking #evilcrow #rf #raw Открыть/Комментировать