SHADOW:Group
11.5K subscribers
110 photos
47 videos
19 files
827 links
Чат: @shadow_chat_tg

Рекламу не размещаю.

Админ - @shdwpwn
Download Telegram
Forwarded from вольтаж
file://localhost/etc/passwd
что вернёт?

Да, вернётся /etc/passwd.

В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path>

Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS.

питон пок

from urllib.request import urlopen

content = urlopen(
"file://yoogle.com/etc/passwd", timeout=2,
).read().decode('utf-8')

print(content)


Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня.

В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $
Что делать?


Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}.

Пример обхода фильтра
\N{dollar sign}{7*7} == ${7*7} == 49


Уже на стену лезешь? Погоди, я с тобой ещё не закончил.

Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename?

В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты 😱


# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png


RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через %

То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется.

. . .

FOMO карусель закрыта.
Как восстановишь силы, пробегись по статье автора ради:
⚀ разбор CVE из-за проблем синтаксиса [^]

⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^]

⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]


Затем разнеси CTF по ресерчу
1. обход фильтров SSTI [^]

2. иной подход к протоколу file:// [^]

3. пролом parse_url в PHP [^]


#web #waf_bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥29👍4
Forwarded from Заметки Слонсера (Slonser)
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.

Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.

Придумал обход используя dollar-quoting синтаксис PostgreSQL:

$$0$$OR-0-$$0$$NOTNULL


Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)

Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).

Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
🔥24
Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно.

https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
https://github.com/msanft/CVE-2025-55182

#web #rce #react
5🤯15🔥13👍3
Недавно занял 2 место в приватном ивенте от ТБанка. Ребята порадовали интересным скоупом и достойными выплатами за что им большой респект 😎
Please open Telegram to view this post
VIEW IN TELEGRAM
33🔥59👍7😁2
Вот с таким интересным принтом получил футболку от ребят из BI.ZONE Bug Bounty. Говорят, если присмотреться, то можно увидеть на нем множество знакомых лиц из багбаунти сообщества. Я узнал примерно половину)
5🔥21👍3
кстати, это я) узнали? согласны?
😁31👍8🤔2
Друзья, поздравляю вас с наступающим Новым годом 🎄

Пусть он принесёт больше спокойствия, уверенности в себе и своих идеях, новых положительных эмоций и ощущения, что вы идёте в правильном направлении.

Желаю интересных и результативных находок, роста там, где вам действительно важно, и достижения новых высот.

Постарайтесь отдохнуть в эти праздники и набраться сил. Пусть в новом году всё станет хотя бы немного лучше, чем в прошлом.

Спасибо, что вы здесь. Увидимся в 2026 ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
42🎄249
Захват аккаунта через telegram-бот: от своего номера к чужому профилю

Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.

Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
10🔥14😁4
Forwarded from Очерк
Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵‍💫

Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/

Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.

Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.

В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.

Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Please open Telegram to view this post
VIEW IN TELEGRAM
26🔥56👍5
У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без <style>.

Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить:

@import url(https://attacker.com/test?.css)

и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы.

Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках.

#web #ssrf #pdf
🔥23👍12😁5
Forwarded from BI.ZONE Bug Bounty
🪲 Топовый мерч, две недели закрытого скоупа, ламповая афтепати-вечеринка…

Все это ждет вас на нашем любимом приватном ивенте — BUGS ZONE 7.0.

Приглашения, как обычно, отправим багхантерам с лучшими результатами за сезон.

🔵Старт хантинга — 15 апреля.
🔵Церемония и афтепати — 22 мая в Москве.

Попасть на ивент может каждый. Сдавайте отчеты на нашей платформе и качайте рейтинг — мы обязательно заметим самых активных.

Скоро поделимся подробностями. Следите за апдейтами!
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10
Стартовал прием заявок на Pentest Award 2026 и в этом году появилась новая номинация - AI. Думаю, за последний год у многих есть что сказать по этой теме.

Остальные номинации также на месте: Kill Chain, Системный взлом (Web & Logic), Device и Out of Scope. Среди призов стандартно респект от комьюнити и техника Apple.

Заявки принимают до 12 июля, а церемония награждения пройдет 14 августа в мск.

https://xn--r1a.website/justsecurity/441
🔥14👍4😁1
Race Condition одна из тех уязвимостей, которая порой позволяет находить баги там, где их совсем не ждешь. И иногда, чтобы получить какой-нибудь IDOR, достаточно очень много раз попросить об этом приложение.

В кейсе на скрине, как раз такой случай. При указании чужого id получаем ошибку, однако, если запустить intruder и подождать несколько тысяч запросов, сервер внезапно начинает отдавать нам чужие ПД.

#web #race #idor
53🔥40😁9🤯5