ScriptKiddieNotes

2022-12-27 08:22:44 Открыть/Комментировать

2022-12-22 07:36:24 Открыть/Комментировать

2022-12-21 22:14:26 Продолжаю публикацию некоторых моих репортов по ББ от мелкомягких, чтобы напомнить как дорогим читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.

Предыдущие ->

https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170

Кейс №3

Один из тех репортов, которыми горжусь лично для себя. Когда сидишь, втыкаешь в экран и нет плана, нет идей, а потом возникает какой-то миг озарения, и ты такой "А давай ебанём вот так, и посмотрим, что выйдет!". В данном случае даже не потребовались какие-то инструменты типа бурпа, только интернет и прокладка между креслом и клавиатурой. Не претендую на какое-то авторство, но за 6 лет лет просматривания открытых репортов с h1, не видел подобного в раскрытых. Не уверен, как можно классифицировать данный инцидент по OWASP, возможно CWE-840: Business Logic Errors. Сам я, как видно из скринов к посту, обозвал это как повышение привилегий, но уверен, что это в корне не верно. Если у вас другие мысли по этому поводу, дайте знать в личку, или комментариях. Спасибо.

Суть такова. Набравшись смелости(да и вообще набравшись, чего уж там греха таить) поковырять dev.azure.com - cервис для бородатых мужчин, любящих попердолиться с консолькой и прочими умными вещами(если сравнить с чем-то, то ближайшие аналоги mcs.mail.ru и cloud.google.com), я решил взглянуть, что там и как. После череды неудач, в голову стрельнула мысль, что будет, если наградить нашего условного атакующего правами и разрешениями, равными владельцу проекта, потом удалить его вовсе, потом восстановить, и посмотреть, что получиться.

Вышло неплохо, так как-как после удаления такого пользователя - он восстанавливался с прежними правами и разрешениями, поскольку по какой-то причине, система помечала его как принадлежащего к группе Администраторов, и не сбрасывала этот флаг. Вдохновившись этими фактом, отображавшимся на мониторе, я зарепортил. Посоны из Редмонда по достоинству оценили искру вдохновения.

С тех пор, когда я вижу какую-то админку/кабинет разработчика, я задаюсь простым вопросом - как закрепиться условному атакующему, зная, что его пидорнут. Что будет с ключами/токенами, которые были сгенерированы от его имени? Какие-то вебхуки? Пароли к базам данным? Сбрасывается ли все это добро? Как получить какой-то условный бэкдор?

Fun fact: Буквально сегодня за подобный баг, от VK/OK мне прилетела выплата 9000 рублей. Причем в довольно критичном функционале, на котором, собственно и строится весь этот проект, учитывая что сама система/групп/страничек пропускает через себя большой поток денег, и является предметом купли/продажи. Какие времена - такие и нравы. Щито поделать, десу-ка. Спасибо, хоть нахуй не послали.

Подводя итог:

скрипткидди vs кулхацкеры 3:0

Баунти - 5k$

Поскольку скрины не влезли, ибо я слишком распизделся, то они в комментариях.

Добра :3

#bb Открыть/Комментировать

2022-12-19 19:41:42 Меня тут потыкали веточкой и напомнили, что повыходила куча новых программ, а я совсем и забыл. Действительно. Исправляюсь. Держите раритеного слоупока.

Анонс программы oт BI.ZONE -> https://t.me/bizone_bb/25

Озон, в представлении не нуждается. Судя по статистике, https://app.bugbounty.bi.zone/companies/9/main, отчетов не так чтобы много, так что дерзайте.

Анонс сразу нескольких программ от bugbounty.standoff365.com -> https://t.me/standoff_365_chat/2562

VKшечка и немного ptsecurity.
_______________

Алсо, еще одна хорошая новость для тех, кто после смерти xsshunter'а - сервиса, для поиска слепых XSSсок - не озаботился альтернативой. Предлагаю такой вариант https://xss.report/ Мельком глянул, вроде свои функции выполняет. Можно смело добавлять свои нагрузки в какой-нибудь плагин для бурпа, например Burp Bounty Free, и вперед.

#bb Открыть/Комментировать

2022-12-15 20:52:50 Спешу поделиться подборкой каналов, которые будут полезны как начинающим, так и опытным багхантерам.

https://t.me/shadow_group_tg

Новости, статьи, интересные/полезные идеи.

https://t.me/yafcab

Канал ведет чувак, которого вы могли знать по h1, сейчас вроде топ1 на багбаунти площадке стендофф365. Nuff said.

https://t.me/BountyOnCoffee

Любит ломать логику. TeamLead и Пентестер в Deteact.

https://t.me/postImpact

Крутой чувак со светлой головой

https://t.me/BugBountyPLZ

Еще один яркий представитель отечественных хантеров с h1 - skavans. Антоха, респект :3

Не забудьте подписаться на чатики к каналам. Знания - сила.
____________________

Конечно же, в текущих реалиях стоит подписаться на каналы/чатики крупнейших отечественных площадок-агрегаторов - bugbounty.ru bugbounty.standoff365.com app.bugbounty.bi.zone

https://t.me/standoff_365_chat
https://t.me/TheStandoff
https://t.me/bugbountyru_chat
https://t.me/bizone_bb

Новости о новых программах, обмен опытом/знаниями, смехуёчки - все, как мы любим.
______________________

Плюс из интересного недавно вышла статья на хабре https://habr.com/ru/company/vk/blog/705222/

Чем интересна? Во-первых, вы поймете как стоит и не стоит писать свои репорты. Cамое главное что стоит вынести для себя - грубиянов и быдло никто не любит, и уважайте труд и время аналитиков, которые сидят и разбирают все, что вы им прислали :3

Cтатья написана руководителем направления Bug Bounty VK Алексеем Гришиным. Недавно имел честь провести с ним содержательную беседу по поводу скорости начисления баунти после репорта. Поговорили продуктивно. Он вообще крутой, радеет за прозрачность и открытость общения между багбаунти программой и рядовыми хантерами. Очень уважаю и ценю такое. Спасибо за твою работу.

В общем, если у вас есть какие-то вопросы по программе VK, вы всегда можете кастануть спелл призыва - @mokando - и получить ответы на свои вопросы.

Добра :3

#bb Открыть/Комментировать

2022-12-10 21:42:48 Открыть/Комментировать

2022-12-09 21:50:15 Спасибо за ивент, и ребятам, которые выступили с докладами.

Prototype Pollution на гитлабе - заебись. Жаль, вопросов не последовало.

WP - кажется я понял, что можно не просто wpscan запустить.

Шаринг знаний это заебись.

#bb Открыть/Комментировать

2022-12-09 21:19:12 :)

#bb Открыть/Комментировать

2022-12-07 22:42:45 Открыть/Комментировать

2022-12-06 01:33:36


3. В продолжение JS Miner. Часто, даже на отечественных проектах, можно встретить что-то подобное, как на скрине. Значит, мы имеем дело с облачной БД Firebase, и если в результате человеческой ошибки, криво выставлен доступ, можем в теории что-то прочитать/записать.

Алгоритм:

- Из результатов JS Miner'а дергаем урл с БД и и проверяем -> https://ololo.firebaseio.com/.json Если видим в ответе любой 200 OK, то идем дальше
- Оттуда же дергаем ключ, чекаем, рабочий ли, примерно так:

curl -v -X POST "https://firebaseremoteconfig.googleapis.com/v1/projects/612345678909/namespaces/firebase:fetch?key=AIzaSyAs1[...]" -H "Content-Type: application/json" --data '{"appId": "1:612345678909:ios:c212345678909876", "appInstanceId": "PROD"}'

- Если и тут все ок, в принципе, уже достойно репорта
- Далее можно попробовать что-то туда записать, в качестве POC -> https://blog.securitybreached.org/2020/02/04/exploiting-insecure-firebase-database-bugbounty/ -> https://hackerone.com/reports/736283

Добра :3

#bb Открыть/Комментировать