Ethical hacking instruction notes [2] @api

Ethical hacking instruction notes [2]

05 Oct, 19:10

Пицца достигла стола победителя, который своим усердием помог достать контакты жертв!
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.

P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻‍♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻

445

Ethical hacking instruction notes [2]

04 Oct, 17:11

🔥У нас тут необычный пятничный конкурс нарисовался 🔥
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.


185.239.50.190
Domain: TGSTAT.RU.COM 
Registered: 20th September 2024 
https://t.me/blacktgbot_bot
https://tgstat.ru.com/durov.html
https://tgstat.ru.com/auth/oauth/telegram/auth.php?ref=durov

467

Ethical hacking instruction notes [2]

03 Oct, 15:35

Довольно неплохой гайд по Subdomain Takeover. Перечислены методы поиска захвата поддоменов, эксплуатации и максимального импакта и воздействия:

https://www.hackerone.com/community/guide-subdomain-takeovers

662

Ethical hacking instruction notes [2]

04 Sep, 18:37

X-Correlation инъекция: новый вектор атаки

Frans Rosen обнаружил, что заголовки X-Request-ID и X-Correlation-ID, изначально предназначенные для отладки, могут стать мощным инструментом для атак. Эти заголовки взаимодействуют с различными частями приложения, от CI-пайплайнов до систем логирования, что расширяет поверхность атаки.

Для поиска уязвимых заголовков Франс рекомендует изучать ответы сервера, обращая внимание на заголовки access-control-* и любые заголовки с "-id" или "id" в названии. Особенно интересны случаи, когда значение заголовка отражается в ответе.

Франс предлагает два подхода к фаззингу. Первый - вызов ошибок с помощью символов, нарушающих контекст, например: x-request-id: ' " % & > [ $. Второй - слепой фаззинг с использованием out-of-band триггеров, таких как слепой XSS, OOB/RCE, SQL-инъекции с DNS или log4shell.

В ходе исследования были обнаружены различные типы атак. Простая инъекция заголовков x-request-id: 1%0d%0ax-account:456 позволила добавить новый заголовок в запрос к внутреннему API. Java-специфичная инъекция x-request-id: 1%c4%8d%c4%8anew-header: f00 обошла некоторые механизмы защиты. В некоторых случаях, команда x-request-id: $(id) приводила к выполнению команд на сервере. Уязвимость log4shell все еще встречается во внутренних системах.

Особое внимание Frans уделил JSON-инъекциям. Он предлагает определять контекст, используя разницу между " и \\", проверять возможность преждевременного завершения JSON-объекта, искать множественные точки инъекции и возможности дублирования свойств. Важно создавать контекстно-зависимые словари на основе документации API и анализа трафика.

Так же были выявлены неожиданные векторы атак: S3 Bucket Injection, позволяющую внедрять собственные условия в политики загрузки S3, и манипуляции с JWT-токенами путем инъекции дополнительных свойств.

Статья

Презентация на YouTube

1,830

Ethical hacking instruction notes [2]

22 Aug, 10:37

Ребята, всем спасибо за участие в нашем конкурсе🔥
Мы определили 3 победителей, которые завтра заберут у нас свои призы🔥

🔥

🚀1 место @scan87
🚀2 место @Casuaq
🚀3 место @mr4nd3r5on

Все участники поразили нас скоростью и профессионализмом. Благодарим всех! В следующий раз сделаем конкурс посложнее. Нам подсветили наши недочеты, а мы заметили как легко и играючи вы со всем справились☠️

Всем еще раз спасибо за участие! 🔥🔥🔥

1,445