YAH

2022-01-08 08:03:38 #PHP #Nginx #procFS

Зачем я прошу стажеров разобраться в procFS и рассказать мне о ней?

Link: https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/

Кратко:
У вас есть Nginx + PHP с одной строкой кода:


Доп. условие:

chown -R root:root /tmp /var/tmp /var/lib/php/sessions && \
chmod -R 000 /tmp /var/tmp /var/lib/php/sessions

ln -sf /dev/stdout /var/log/nginx/access.log && \
ln -sf /dev/stderr /var/log/nginx/error.log

Как получить исполнение произвольного кода через include_once?

Ответ:
1. Найти в Nginx момент в котором создаётся и удаляется временный файл, создающийся в случае если тело запроса больше размера буфера (8KB или 16KB).

ngx_open_tempfile(u_char *name, ngx_uint_t persistent, ngx_uint_t access)
{
ngx_fd_t fd;

fd = open((const char *) name, O_CREAT|O_EXCL|O_RDWR, # Открываем файл
access ? access : 0600);

if (fd != -1 && !persistent) {
(void) unlink((const char *) name); # в тот же момент удаляем файл
}

return fd;
}

2. Найти PID'ы Nginx воркеров
3. Успеть найти созданный временный файл среди открытых Nginx'ом файловых дескрипторов, пока он не был закрыт.
4. Учесть еще пригоршню мелочей.

Вы прекрасны! Открыть/Комментировать

2022-01-07 15:53:31 Nominations are now open for the top 10 new web hacking techniques of 2021!

https://portswigger.net/research/top-10-web-hacking-techniques-of-2021-nominations-open

Открыта номинация десяти лучших техник атак на веб-приложения 2021-го года. Уже представлены десятки интересных техник атак. Для всех увлечённых уязвимостями веб-приложений, крайне рекомендую изучать примеры из этих списков и следить за этим проектом. Публикуемые в нем техники становятся трендами на ближайшие несколько лет!

Web power! ;) Открыть/Комментировать

2022-01-04 15:10:38 Что делать в праздничные дни? Просто отдыхать и смотреть сериалы — скучно Другое дело — совместить приятное с полезным и посвятить свободное время любимой сфере.

Именно поэтому наш эксперт Ярослав Бабин, руководитель отдела анализа защищенности приложений PT SWARM, подготовил для вас подборку материалов о практической безопасности, уязвимостях и атаках на веб-приложения.

В Positive Technologies Ярослав занимается аудитом финансовых и веб-приложений, а также АТМ (анализом защищенности банкоматов) и OSINT (разведкой по открытым источникам). Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь. Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.

Читайте, слушайте, развивайтесь!

Форумы и блоги: The SQL Injection Knowledge Base, RDot, ANTICHAT, CTF.Antichat, WebSec, Reverse Engineering

Полезные подкасты про OSINT и практическую безопасность: The Privacy, Security, and OSINT Show, Hack me, если сможешь, Мимокрокодил

Книга месяца: Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook

Курсы и лабы по веб-безопасности: Hacker101, WebSecurityAcademy, PEN-200, Hack The Box, Root Me

Руководства по тестированию: OWASP Mobile Security Testing Guide, OWASP Web Security Testing Guide

Полезные Telegram-каналы: Кавычка, YAH

За кем следить в Twitter: Timur Yunusov, James Kettle, PT SWARM, Nicolas Grégoire, Orange Tsai, LiveOverflow, wvu, Sergey Bobrov, James Forshaw, Frans Rosén, rvrsh3ll, Ben Hawkes, Maxim Goryachy, Michael Stepankin

Встречи с единомышленниками: 2600, группы по DEFCON в Москве и других городах Открыть/Комментировать

2022-01-04 15:10:38 А тут про толковые каналы не забыли ;) Открыть/Комментировать

2022-01-03 00:01:45 Праздничные дни — это время не только отдохнуть, но и прокачать свои знания и скилы Поэтому мы подготовили для вас несколько подборок интересных и полезных материалов от наших экспертов.

Первая подборка — от Николая Анисени, руководителя группы исследований безопасности мобильных приложений PT SWARM. В Positive Technologies он занимается аудитом мобильных приложений для Android и iOS, а также анализом защищенности веб-приложений, в том числе банковских, и систем дистанционного банковского обслуживания. Николай — опытный исследователь, отмеченный в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays, в прошлом — участник CTF в составе команды SiBears.

Читайте и практикуйтесь!

Форум месяца:

CTF TIME — Открытые соревнования по практической безопасности с разборами.

Базы знаний:

HowToHunt — Рекомендации по поиску уязвимостей.
Pentest Book — Пентест и сценарии проникновения.
HackTricks — Хакерские приемы и техники.

Telegram-каналы и чаты:

Android Guards — Безопасность Android-устройств и приложений.
Hack3rScr0lls — Красивые схемы по тестированию.
The Bug Bounty Hunter — Все о Bug Bounty.
Android Security & Malware — Новости ИБ с уклоном в мобилки.
Mobile AppSec World — Безопасность мобильных приложений.

Вселенная GitHub:

All About Bug Bounty — Все о Bug Bounty.
Payloads All The Things — Пейлоады и байпасы для веб-приложений.
31 Days of API Security Tips — Советы по тестированию API.
MindAPI — Бесплатный Mindmap по тестированию API.

За кем следить в Twitter:

Sergey Toshin — Хакер #1 в Google Play Security Rewards Program. Открыть/Комментировать

2022-01-03 00:01:45 Забыли самый интересный канал про хакинг добавить...

Но подборочка норм. Открыть/Комментировать

2021-12-31 23:59:24 С новым годом, всех увлечённых хакингом и не только!

Это был блестящий год, следующий будет ещё лучше;)
Главное: не теряйте огня в глазах, делайте то, что любите, знайте чего хотите и будь что будет!

Всех коллег по цеху поздравляю особенно! Под конец года нам надарили классных подарков;) желаю, чтобы они вам пригодились!

С началом нового года! Открыть/Комментировать

2021-12-31 15:00:38 Burp Suite Certified Practitioner

Ссылка на курс:
https://portswigger.net/web-security/certification
Минимальная стоимость:
99$
Для кого сертификат:
Для специалистов по безопасности веб-приложений и любых приложений работающих с HTTP протоколами
Сложность (субъективно):
Средняя
Proctoring:
Есть (Первые 15 минут для идентификации личности)
Формат экзамена:
Экзамен длится 4 часа. Вам дается два веб-приложения с 3-мя этапами эксплуатации в каждом.

1. Получение низкопривилегированной учетной записи.
2. Повышение привилегий до уровня администратора.
3. Получение доступа к файловой системе или исполнению команд ОС.

Задачи в курсе достаточно “задротские”, не все даже топовые специалисты могут решить с первого раза, т.к. весьма высоко влияние того какие приложения в какой конфигурации выпадут. Основные проблемы возникают при невнимательном изучении приложения, где все может зависит от одного символа или слова появляющегося в ответе.

В задачах могут выпасть любые уязвимости из списка уязвимостей в PortSwigger Academy, в том числе изощренные Request Smuggling, CSTI (DOM-based XSS), OOB в XXE и пр. Если на них не набита рука, придется потратить время чтобы нахватать ошибок при реализации векторов атак.

Ключевая отличительная особенность заданий в экзамене от тех задач, что вы проходили при подготовке - это правила фильтрации (WAF) и изощренные случаи реализации приложений, которые могут сбить с толку и быть основной сложностью.
Необходимость продления и условия:
5 лет действует, продлевается при пересдаче.
Подготовка и материалы:
Все подготовительные материалы есть в открытом доступе и до покупки курса в Академии PortSwigger (https://portswigger.net/web-security). Также авторы сертификации предоставляют возможность попрактиковаться в сдаче экзамена на одном примере приложения: https://portswigger.net/web-security/certification/practice-exam. Оно достаточно хорошо служит примером того, что вы встретите на экзамене. Также обязательно прочесть гайд перед сдачей экзамена: https://portswigger.net/web-security/certification/how-it-works#what-the-exam-involves
Комментарий сдавшего:
Сдавал в 2021 году. Вошел в первую сотню сдавших по миру. Довелось сдавать еще трех часовую версию экзамена. Экзамен действительно непростой. Если человек сдал его вообще без подсказок со стороны - это означает что он очень хорошо понимает типовые уязвимости веба в различных кейсах и у него набита рука на эксплуатацию, а самое важное он умеет замечать мельчайшие детали.
Более подробно описываю свои комментарии в сообщениях: https://t.me/YAH_Channel/451
https://t.me/YAH_Channel/454
Автор рецензии и владелец сертификата:
Егор Богомолов (@empty_jack)
#certificate Открыть/Комментировать

2021-12-29 16:31:23 Открыть/Комментировать

2021-12-27 11:20:38 XSignal

Мои знакомы создали интересный продукт. Продукт XSignal - это облачный сканер уязвимостей внешнего периметра сетевой инфраструктуры.

Но что в нем особенного?

Пользователь лицензии сразу после скана, может внутри личного кабинета выбрать Эксперта по ИБ/Пентестера, с которым может связаться для работы над найденной уязвимостью. Специалист может помочь проверить ее, дать детальные рекомендации и объяснить суть уязвимости, выполнить работу по перепроверке или вообще провести работы по анализу защищенности за вознаграждение.

Т.е. внутри находится маркетплейс со специалистами, где вы видите их рейтинг, отзывы, цены на время специалиста, его опыт, сертификации и пр.

Как мне кажется, это очень интересная особенность продукта, особенно для компаний среднего и малого бизнеса, которые могут проверить самое критичное место в свой ИТ-инфраструктуре (ее внешний периметр) и сразу же найти проверенного исполнителя заплатив ему всего за несколько часов работы, что будет стоить несоразмерно меньше, чем любой из возможных пентестов от аудиторов.

Но сюда я пишу не только для того, чтобы рассказать о нем потенциальным клиентам, но для того, чтобы рассказать о возможностях партнерства моим коллегам пентестерам.

Пентестеры могут присоединить к этой платформе, где будут размещены их профили для взаимодействия с ними, получат сканер в бесплатное использование и смогут получать вознаграждения за пополнение базы сканера полезностями.

Если у вас есть вопросы по сотрудничеству как со стороны использования сканера, так и со стороны партнерства, пишите: @gorbunov_me

До 31 января 2022 года действует спец. предложение (первым 50 клиентам, оплатившим годовую подписку):
1) Сделают бесплатно под ключ интеграцию в CI/CD (битбакет, гитхаб, гитлаб)
2) Дадут скидку в 50% от стоимости. Открыть/Комментировать