Ethical hacking instruction notes [2]

Concealing payloads in URL credentials

1. Несоответствие между document.URL и location:

// При URL https://foo:[email protected]
console.log(location);        // выведет: https://portswigger-labs.net/
console.log(document.URL);    // выведет: https://foo:[email protected]/

Это создаёт ситуацию когда разработчики часто считают эти значения идентичными и могут использовать неправильное свойство в коде

2. DOM XSS через credentials:

// Уязвимый код на сайте
function getBase(url) {
   return url.split(/[?#]/)[0];  // Удаляет query параметры и hash
}
document.write(`<script>const url='${getBase(document.URL)}';</script>`);

// Эксплуатация (в Firefox):
// https://'-alert(1)-'@example.com

Даже если сайт очищает URL от query-параметров и hash части, можно внедрить JavaScript код через credentials часть.

3. DOM Clobbering через credentials:

// URL: https://user:[email protected]
<a href id=x>test</a>
<script>
eval(x.username) // выполнит код 'user'
eval(x.password) // выполнит код 'pass'
</script>

Это приводит к возможности контролировать свойства username/password у HTML элементов, что может привести к DOM Clobbering атакам.

Где применимо:

1. Обход фильтрации:
- Многие WAF и защитные механизмы не проверяют credentials часть URL
- Payload можно "спрятать" так, что он не будет виден в адресной строке
- В Firefox одинарные кавычки не кодируются в credentials части

2. Persistent XSS:
- Если сайт сохраняет document.URL в базу данных
- Если значение позже отображается другим пользователям
- Если значение используется в JavaScript коде

3. DOM Clobbering:
- Возможность влиять на свойства HTML элементов
- Потенциальное влияние на работу JavaScript библиотек
- Возможность обхода некоторых CSP правил

Но:
- Работает только в Chrome и Firefox
- Safari полностью отбрасывает credentials
- Chrome блокирует использование credentials для суб-ресурсов

Пицца достигла стола победителя, который своим усердием помог достать контакты жертв!
Жертвы, в свою очередь, были уведомлены о необходимости сброса сессий.
Сам скам был нацелен на владельцев различных каналов, предлагая покупку рекламы под видом крупного бренда(ТБанк,МТС). Из-за того, что бренды обычно покупают рекламу через агентства, бывает невозможно провести проверку через рабочую почту.

P.S. По счастливой случайности база перестала работать 😁
Виной тому — работа от root 💁🏻‍♂️
Спасибо всем кто не остался равнодушным к этой истории 🫶🏻

🔥У нас тут необычный пятничный конкурс нарисовался 🔥
Одна маленькая девочка пыталась закупить рекламу в канале для банка. Ну и она, видимо, не знала, что это за канал такой. Да и скорее всего, это была не девочка 😁
В итоге у нас появился CTF, где флагом будет root на сервере 🥷
А призом будет вполне реальная вкусная пицца с доставкой !!!
Полагаю, что после старта конкурса времени будет немного, но на то это и CTF.

185.239.50.190
Domain: TGSTAT.RU.COM 
Registered: 20th September 2024 
https://t.me/blacktgbot_bot
https://tgstat.ru.com/durov.html
https://tgstat.ru.com/auth/oauth/telegram/auth.php?ref=durov

Довольно неплохой гайд по Subdomain Takeover. Перечислены методы поиска захвата поддоменов, эксплуатации и максимального импакта и воздействия:

https://www.hackerone.com/community/guide-subdomain-takeovers

X-Correlation инъекция: новый вектор атаки

Frans Rosen обнаружил, что заголовки X-Request-ID и X-Correlation-ID, изначально предназначенные для отладки, могут стать мощным инструментом для атак. Эти заголовки взаимодействуют с различными частями приложения, от CI-пайплайнов до систем логирования, что расширяет поверхность атаки.

Для поиска уязвимых заголовков Франс рекомендует изучать ответы сервера, обращая внимание на заголовки access-control-* и любые заголовки с "-id" или "id" в названии. Особенно интересны случаи, когда значение заголовка отражается в ответе.

Франс предлагает два подхода к фаззингу. Первый - вызов ошибок с помощью символов, нарушающих контекст, например: x-request-id: ' " % & > [ $. Второй - слепой фаззинг с использованием out-of-band триггеров, таких как слепой XSS, OOB/RCE, SQL-инъекции с DNS или log4shell.

В ходе исследования были обнаружены различные типы атак. Простая инъекция заголовков x-request-id: 1%0d%0ax-account:456 позволила добавить новый заголовок в запрос к внутреннему API. Java-специфичная инъекция x-request-id: 1%c4%8d%c4%8anew-header: f00 обошла некоторые механизмы защиты. В некоторых случаях, команда x-request-id: $(id) приводила к выполнению команд на сервере. Уязвимость log4shell все еще встречается во внутренних системах.

Особое внимание Frans уделил JSON-инъекциям. Он предлагает определять контекст, используя разницу между " и \\", проверять возможность преждевременного завершения JSON-объекта, искать множественные точки инъекции и возможности дублирования свойств. Важно создавать контекстно-зависимые словари на основе документации API и анализа трафика.

Так же были выявлены неожиданные векторы атак: S3 Bucket Injection, позволяющую внедрять собственные условия в политики загрузки S3, и манипуляции с JWT-токенами путем инъекции дополнительных свойств.

Статья

Презентация на YouTube

Ребята, всем спасибо за участие в нашем конкурсе🔥
Мы определили 3 победителей, которые завтра заберут у нас свои призы🔥🔥🔥

🚀1 место @scan87
🚀2 место @Casuaq
🚀3 место @mr4nd3r5on

Все участники поразили нас скоростью и профессионализмом. Благодарим всех! В следующий раз сделаем конкурс посложнее. Нам подсветили наши недочеты, а мы заметили как легко и играючи вы со всем справились☠️

Всем еще раз спасибо за участие! 🔥🔥🔥

Ребята очень быстро побеждают замки🔥🔥🔥

Большая просьба сдать застилленые пропуски, чтобы другие ребята смогли поучаствовать в конкурсе 😎🔥

Подходите за локпиком и бэдюсб челленджом :)

Выдвинулись пешком в сторону мероприятия от автозаводской. Следите за геопозицией

Если несколько человек стоит рядом, а ваша цель с пропуском уязвима, можете действовать смело, мы наблюдатели :)

Одна из целей через 5 минут будет проезжать станцию Павелецкая середина вагона