вольтаж

whatis @hackthishit

Меня бесит мерцающий курсор, но больше всего меня бесят статьи и отчеты формата

я впервые вижу это, но знаю точно, что если отправить 0xYAA на предпоследний порт, то получу шелл

Это неидеальный, и порой даже грубый, канал про offense / defense / dev веба, инфры и головы. Здесь будут повторяться недочеты, нестабильные скрипты, объяснения базы, шутки и явные screwups.

Хочу передавать знания, нежели показывать "step-by-step гайд по взлому тостера". хотя, взлом тостера звучит как неплохая статья

Маппинг хэштегов:
#guide = гайды
#tricks = техники
#invite = приглашаю тебя к соучастию в Х

#recon = разведка
#bypass = обходы СЗИ (WAF, AV, etc.)

#web = веб-приложения
#client_side
#server_side

#infra = инфраструктура
#mobile = мобилки, включая #android и #ios

#machineops = оптимизация работы за компом
#lifeops = как я упрощаю / усложняю себе жизнь
#aiops = как пользуюсь ИИ
#mindops = мысли и перестройка мыслительных процессов

#ctf = про захват флага на проде
#tool = занимательные инструменты (мои и чужие)
#ai = контент про ИИ
#teach = как обучать других

#me = инфа обо мне (привет осинтер)

579 viewsedited 09:01

вольтаж

👁 Таблица для определения веб-серверов / бэкенда по странице с 404 кодом ответа

https://0xdf.gitlab.io/cheatsheets/404

Помимо скриншотов, приведены примеры кода, триггерящие ошибку

#web #server_side #tricks

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥18❤‍🔥3

4.1K views16:29

вольтаж

это мы читаем, применяем и собираем слёзы вендоров с битриксом

#web #server_side #guide

💅6❤‍🔥2

926 viewsedited 17:01

вольтаж

0:03

This media is not supported in your browser

VIEW IN TELEGRAM

file://localhost/etc/passwd
что вернёт?

Да, вернётся /etc/passwd.

В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path>

Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS.

питон пок


from urllib.request import urlopen

content = urlopen(
  "file://yoogle.com/etc/passwd", timeout=2,
  ).read().decode('utf-8')

print(content)

Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня.

В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $
Что делать?

Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}.

Пример обхода фильтра

\N{dollar sign}{7*7} == ${7*7} == 49

Уже на стену лезешь? Погоди, я с тобой ещё не закончил.

Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename?

В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты 😱


# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png

RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через %

То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется.

. . .

FOMO карусель закрыта.
Как восстановишь силы, пробегись по статье автора ради:

⚀ разбор CVE из-за проблем синтаксиса [^]

⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^]

⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]

Затем разнеси CTF по ресерчу

1. обход фильтров SSTI [^]

2. иной подход к протоколу file:// [^]

3. пролом parse_url в PHP [^]

#web #bypass #server_side #guide

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

32248

9.07K views08:32

About

Blog

Apps

Platform