Привет^3

Сегодня обсудим довольно интересную уязвимость: Web Cache Deception.

💡Что это такое?

Это атака, при которой злоумышленник может заставить закэшировать приватные данные как будто это статический файл. В итоге любой человек, перейдя по такой же ссылке, сможет получить эти данные.

🧩 В чем суть?

Веб-приложения часто кэшируют файлы с определёнными расширениями, например:
➖.js
➖.css
➖.ico
➖.exe

Если сервер не различает настоящие и поддельные статические ресурсы, он может случайно закэшировать динамический и чувствительный ответ.

📎 Пример

Допустим, у нас есть банковское приложение по адресу:

https://purple.bank.ru

У каждого пользователя есть личная страница:

https://purple.bank.ru/profile/1234

Где 1234 - это ID клиента.

В обычных условиях другой пользователь не может получить доступ к этой странице.
Но если кэш настроен неправильно и смотрит только на расширение URL, можно сделать следующее:

1️⃣Сформировать ссылку с кэшируемым расширением:

https://purple.bank.ru/profile/1234.js

2️⃣Отправить её владельцу профиля с ID 1234;

3️⃣Он переходит по ссылке, сервер отдает содержимое и кэширует его;

4️⃣Мы переходим по той же ссылке и получаем его данные из кэша;

✍️Посмотреть разные варианты эксплуатации можно в следующих лабах:
✏️Exploiting cache server normalization for web cache deception
✏️Exploiting origin server normalization for web cache deception
✏️Exploiting path delimiters for web cache deception
✏️Exploiting path mapping for web cache deception

➥ ☕️ тг • 🤬чатик • ✍️посты

#web #writeup

Привет^3

Вы не просили и не ждали, а я всё равно сделал. Ловите пост про 🧙Reverse Engineering💫

❓ С чего начать?

Для того, чтобы заниматься реверсом, не плохо было бы понимать синтаксис языка C. Так как читать вам прийдется его... Много читать... В очень плохом качестве... Будто бы код писал какой-то сумасшедший...

Так вот, я буду иногда писать про C, но это будут посты о его особенностях или применении в малварных техниках.

Для знакомства с языком очень рекомендую книгу 🤓 "Язык программирования C" - Брайан Керниган и Деннис Ритчи.

⛏ Инструменты

Понадобится дизассемблер. Вот популярные:
➖IDA Pro
➖Ghidra
➖Binary Ninja
➖Cutter

Ghidra и Cutter - бесплатны. Остальные требуют лицензию.

Так что не вздумай искать их с припиской + кряк или скачать бесплатно. Это пиратство, а ещё потенциальный путь к вирусам. Я предупредил)

📕 О чём будут посты?

Хочу писать про реверс и вирусную аналитику, но понимаю, что для многих это пока тёмный лес. Будемс исправлять.

Планирую делать райтапы на задачи с SPbCTF по реверсу: 🔗 Лабки по реверсу

Когда-то сам на них учился, пока искал свою первую работу. Не видел по ним хороших разборов - так что сделаю их сам.

🐙Да начнётся же путь в бездну:
✏️Nostr 1
✏️Nostr 2
✏️task3

Жду ваши вопросы и замечания в комментах🐈‍⬛️


➥ ☕️ тг • 🤬чатик • ✍️посты

#reverse #writeup

Привет^3 ☕️

Загрузка файлов... Вроде как здорово, но есть нюанс. Через них можно запустить скрипты и скомуниздить информацию с сервера. Заинтриговал? Давайте разбираться.

❓ Что? Где? Когда?

Данная уязвимость возникает в случаях, когда веб-сервер позволяет загрузить файл без валидации имени, типа, содержания или размера.

Если говорить проще: мы пытаемся найти такое расширение файла, которое сервер пропускает, а сам файл может помочь нам получить информацию или запустить скрипт.

Вот туть можно найти кучу примеров разных расширений, которые можно отправлять другу использовать для тестирования)

✍️ Пример

Давайте разберемся на примере. На сервере есть ендпоинт /images, который позволяет загрузить картинку на сервер. Запрос может выглядеть вот так:

POST /images HTTP/1.1
Host: normal-website.com
Content-Length: 12345
Content-Type: multipart/form-data; boundary=---------------------------012345678901234567890123456

---------------------------012345678901234567890123456
Content-Disposition: form-data; name="image"; filename="my_nudes.jpg"
Content-Type: image/jpeg

[...my_nudes.jpg...]

---------------------------012345678901234567890123456
Content-Disposition: form-data; name="description"

Can't touch this

---------------------------012345678901234567890123456
Content-Disposition: form-data; name="username"
cu63
---------------------------012345678901234567890123456--

Тело запроса разделено на части. У каждой есть заголовок Content-Disposition, который содержит информацию о передаваемых данных. Каждая часть так-же может содержать собственное поле Content-Type, описывающее MIME переданных данных.

При валидации сервер может ожидать только конкретные значения поля Content-Type. Например, при работе только с картинками ожидаемо получить image/jpeg и image/png. Проблемы могут возникнуть, если сервер неявно доверяет значению этого заголовка. Если дальше нет проверки на то, что данные действительно относятся к указанному типу, то мы можем загрузить что угодно, например php-скрпит, который отобразит нужный нам файл:

<?php echo file_get_contents('/path/to/target/file'); ?>

📌Можете пощупать эту уязвимость в данных лабах:
✏️ Remote code execution via web shell upload
✏️ Web shell upload via Content-Type restriction bypass
✏️ Web shell upload via path traversal


➥ ☕️ тг • 🤬чатик • ✍️посты

#web #writeup

Привет^3☕️

Недавно в чате меня спросили про взлом архивов. Задача то не сложная. Но отличный повод, чтобы познакомиться с утилитой hashcat.🐈‍⬛

hashcat используется для восстановления паролей. Если говорить точнее, то можно подбирать пароль с помощью вордлистов или брутфорсом зная хеш пароля.

Все подробности описал в небольшой статейке.

Ссылки из статьи:
➖Архив их статьи
➖Примеры хешей
➖Словари
➖Rockoyou

Кстати, первый, кто пришлет флаг из архива мне в лс, может расчитывать на приз:3 🎆 А все, а раньше думать надо было, приз забрала @Yuki_S_03

П.С: Это рандомное видое из интернета, я бы таким заниматься не стал)

➥ ☕️ тг • 🤬чатик • ✍️посты

#crypto #crackme

Привет^3☕️

Было бы глупо предположить, что разработчики не задумывались о способах защиты от уязвимостей при загрузке файлов ( ну пожалуйста ).

Сегодня поговорим об обходах различных методов защиты.

👎Блеклист

Звучит здорово. Если мы не хотим получить какой-то файл, то просто запретим его. 🎆ГЕНИАЛЬНО!🎆
Но есть нюанс: вы запретили .html, а вот к вам уже летит .xhtml. Здорово...

Обойти блеклист вполне реально - нужно лишь попробовать достаточное количество расширений.
Лучше использовать вайтлисты: Надо - разрешил. Вот и все.

🗿Покажите на что вы способны

Окей, вы используете вайтлист. Молодцы. Защищены ли вы теперь? Нуууу нет. Как так вышло?

При обработке файла может выполняться нормализация пути.
Если валидация происходит до нормализации, то может случиться магия - и вы потеряете часть имени файла.

📌Например:

символ \0 можно закодировать в URL как %00.
Во многих языках программирования он означает конец строки.

Файл с именем file.py%00.png может пройти вайтлистинг, а при нормализации превратиться в file.py.

Защита: проверяйте подозрительные символы в передаваемых путях.

💃Вы хотите веселья? Их есть у меня

Есть такие интересные файлы — полиглоты.
Они изменяют свое поведение в зависимости от того, кто и как их открывает.

Это может сработать, если проверяется не только расширение, но и содержимое (меджик, хедер или футер).
Тема интересная, думаю, стоит поговорить о таких файлах в отдельном посте.

🛡Рекомендуемые способы защиты
➖Проверять расширение по вайтлисту, а не по блеклисту. Проще выбрать допустимые расширения, чем запрещать всё потенциально опасное.
➖Проверять имя файла на наличие подозрительных подстрок.
➖Переименовывать загруженные файлы, чтобы избежать коллизий.
➖Не загружать файлы в постоянную файловую систему, пока они не будут проверены.
➖Использовать встроенные функции проверки файлов, а не писать кастомные.


✍️Самостоятельно попробовать разные обходы можно в данных лабах:
✏️Web shell upload via extension blacklist bypass
✏️Web shell upload via obfuscated file extension
✏️Remote code execution via polyglot web shell upload


➥ ☕️ тг • 🤬чатик • ✍️посты

#web #writeup

Привет^3✨

Вторая часть гайда по обмену души на навыки реверса.😵 В данной лабе мы вспомним, что алгоритмы очень важно знать. Вернемся к истокам и реализуем всемогущий Bubble sort.🧙

❓Можно подсказку?❓

Конечно можно, но не про лабу) Настоятельно рекомендую переименовывать переменные, функции и оставлять комментарии прямо в дизассемблере. Так же удобно пользоваться закладками и метками.

А зачем? Нада...😳 Каждая названная функция и переменная может помочь с пониманием контекста и алгоритма.

🤌На что стоит обратить внимание:
➖строки в коде;
➖вызовы printf и scanf (по форматированной строке можно понять тип переменной и даже имя);
➖сообщения об ошибках, которые могут содержать имена функций для отладки.

✍️Примеры

printf("Login %s, passwd %s\n", some_var, another_var);

или

fprintf(stderr, "payload_dec error: ...\n");

Лаба не очень сложная, но все же рекомендую потыкать ее ручкам ну или лапками(такое тоже было). В путь: spbctf_4_x86_64


➥ ☕️ тг • 🤬чатик • ✍️посты

#reverse #writeup

Привет^3☕️

❓SSRF — кто ты такой?❓

Server-Side Request Forgery или подделка запроса на стороне сервера — это уязвимость веб-приложения, которая заставляет сервер отправлять запросы в несанкционированные места. В типичной атаке сервер вынуждают подключаться к сервисам, доступным только внутри инфраструктуры организации. В других случаях можно достучаться и до внешних систем. Итог — утечка чувствительных данных.

👊Чем это грозит?

С помощью данной уязвимости можно:
➖Прочитать локальные файлы
➖Получить доступ к внутренним системам
➖Обойти ограничения
➖Просканировать внутреннюю сеть

Куда мы без примера-то

В атаке SSRF сервер можно заставить выполнить HTTP-запрос на свой же loopback-интерфейс: 127.0.0.1 или localhost.

Предположим, сайт магазина позволяет просматривать товары. Для этого фронтенд дергает API, передавая URL на соответствующий endpoint бекенда через HTTP-запрос .

POST /product/stock
HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=https://stock.weliketoshop.net:8080/product/stock/check%3FproductId%3D6%26storeId%3D1

Можно модифицировать этот запрос и направить его на другой URL:

POST /product/stock
HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=https://localhost/admin

Теперь сервер запросит содержимое /admin и вернёт его нам. Пусть напрямую мы и так можем попасть на /admin, но вот функции администратора обычно доступны только после авторизации. Так как запрос уходит изнутри, обычный обойти проще простого. Внутренние машины ведь доверяют приложению по умолчанию.

🍪Печеньки Практика

Потрогать руками этот тип уязвимости можно в следующих лабах:
✏️Basic SSRF against another back-end system
✏️Basic SSRF against the local server
✏️Blind SSRF with out-of-band detection
✏️SSRF with blacklist-based input filter
✏️SSRF with filter bypass via open redirection vulnerability


➥ ☕️ тг • 🤬чатик • ✍️посты

#web #writeup

Привет^3☕️

Сегодня поговорим о вечном)🤓

При реверсе одним из первых шагов является вызов утилиты strings или чего-то подобного. По строкам в бинарном файле можно составить общую картину поведения: найти ссылки на github, отладочные сообщения, пути до файлов и многое другое.

Что могло пойти не так?

Малварщики хоть и конченные плохие, но тем не менее не совсем глупые😒. Поэтому золотым граалем обфускации является ✨XOR✨. Цель у злоумышленников не надежно зашифровать данные, а лишь усложнить статический анализ.

Так что я считаю, что побаловаться с XOR должен каждый. Вы еще не раз встретите его в моих разборах. Вперед, поксорьтесь со всеми🥺:

• Bytes and Big Integers
• XOR-1. Starter
• XOR-2. Properties

↖️ 📕тг • 🤬чатик • ✏️посты

#crypto #writeup

Привет^3☕️

API можно не только писать, но еще и эксплуатировать в своих целях. Об этом и поговорим)

Чаво😼

Application Programming Interface - это интерфейс общения между клиентом и сервером. Современные приложения почти полностью завязаны на API:
• фронтенд подгружает данные через API;
• мобильные приложения общаются с сервером тоже через API;
• микросервисы внутри крупных систем связываются через... API;
• интеграции (платежи, карты, рассылки) строятся на внешних что? Правильно - API;

Именно поэтому безопасность API важна безопасность всего приложения.

С чего начинается атака?

Чтобы API тестировать - нужно найти хоть какие-то ендпонты)
➖какие есть эндпоинты;
➖ какие параметры они принимают;
➖какие методы поддерживают (GET, POST, PATCH, OPTIONS и т.д.);
➖есть ли ограничения по частоте запросов и как работает авторизация.

В этом может помочь документация, которая бывает в открытом доступе. Даже если ее нет - эндпоинты можно найти с помощью фаззинга, например через ffuf, или же поискать в JavaScript файлах.

🧙Пример атаки

Многие фреймворки автоматически связывают параметры из запроса с полями в базе. Если разработчик не ограничил список полей, можно «подбросить» лишние:

PATCH /api/users/123
{
  "username": "wiener",
  "email": "[email protected]",
  "isAdmin": true
}

Если сервер примет isAdmin и сохранит - вжух, и админка у нас в кармане.

😼Как защищаться

• Делать allowlist допустимых параметров и методов;
• Проверять типы входящих данных;
• Прятать документацию, если API не публичное;
• Унифицировать обработку ошибок, чтобы не сливать лишнюю информацию;
• Не забывать про старые версии API.

Вперед к приключениям тестированию💃

Попробовать поискать и проэксплуатировать ендпоинты API, а не писать их можно в следующих лабах:

• Exploiting a mass assignment vulnerability
• Exploiting an API endpoint using documentation
• Exploiting server-side parameter pollution in a query string
• Finding and exploiting an unused API endpoint


↖️ 📕тг • 🤬чатик • ✏️посты

#web #writeup

Привет^3☕️

Сегодня на очереди достаточно интересная лаба по реверсу. В ней я привёл несколько примеров решений, которые используют разные подходы.😱

Рассмотрим пример коллизионной атаки на хэши, патчинг и динамический анализ. Настоятельно рекомендую сначала попробовать решить самостоятельно, а затем изучить другие решения 😮

📎Ссылка на лабу

↖️ 📕тг • 🤬чатик • ✏️посты

#reverse #writeup

Привет^3☕️

Чтож... Поговорим про уязвимости в процессе аутентификации.

Что это такое?❓

Аутентификация — это проверка подлинности лица, которое хочет получить доступ к системе. Если говорить проще, то система задаёт нам вопрос: «А ты точно продюсер?» Если система совсем глупая, то можно ответить «Да» и ни о чём не переживать. Но чаще всего это нужно будет подтвердить.😍

Самый базовый способ — проверка пароля. Не буду напоминать, что хранить пароль в БД в открытом виде нельзя. Так же не стоит скидывать его мне в личку @ju57_4_cu63 вместе с логином.😎

А в чём подвох?🤔

Даже не зная пароля, на этом этапе можно получить полезную информацию. Картинка к посту, конечно, мемная, но со смыслом.

Информативно описывать ошибки - это хорошо, но есть нюанс... Если явно указывать, что именно неверно - логин или пароль, то логины можно перебрать по словарю. Если приходит ошибка «неверный пароль», значит, пользователь существует. А это уже пригодится для дальнейшей атаки.

И это всё?😏 Конечно нет. Для выявления существующих пользователей может помочь задержка по времени при проверке пароля, различия в ответах сервера для существующего и несуществующего пользователя, даже блокировка аккаунта при вводе некорректного пароля.

Чё ж делать, чё ж делать🔥

Вот небольшой список рекомендаций:

➖Не стоит сливать действующие пароли: если пароль известен - мало что поможет. Все попытки аутентификации по HTTP нужно перенаправлять на HTTPS;
➖При некорректной попытке входа не сообщайте пользователю, какое именно поле неверно. Лучше использовать универсальную ошибку;
➖Валидируйте пароли, запрещая слишком простые и слишком длинные.

Идите и пробуйте сами😉

Описанные методы можно потрогать в следующих лабах) Удачки😮

• Username enumeration via different responses
• Username enumeration via subtly different responses
• Username enumeration via response timing
• Username enumeration via account lock


↖️ 📕тг • 🤬чатик • ✏️посты

#web #writeup

Привет^3☕️

Наконец то это свершилось. 17-го сентября в 10:00 (мск) состоится мой стендап 😃мое выступление про бесфайловые атаки на Linux на конференции VolgaCTF. Запасайтесь попкорном🍿 - будет трансляция! Ссылку обязательно скину, как только она появится.

В своём докладе я расскажу про тренды в малваре, связаные с запуском файлов прямо в оперативной памяти👻. Приведу пару примеров, которые встречал в процессе работы, а также покажу PoC 👨‍💻 для этих техник.

Готовьтесь смеяться, кринжевать и узнавать что-то новое)🧚


↖️ 📕тг • 🤬чатик • ✏️посты

#анонс

Привет^3☕️

Это служба безопасности Сбербанка. На вашем счёте замечена подозрительная активность. Назовите код из SMS... Ну пожалуйста... Вечер в хату...😐

Как вы могли догадаться, речь пойдёт про двухфакторную аутентификацию. Чтобы не ломать себе мозг и язык - просто 2FA.

Что такое 2FA и с чем его едят? 🤌

Это дополнительный уровень защиты: помимо пароля, система требует ещё что-то — код из SMS, push-уведомление, токен или приложение (Google Authenticator, Authy, Multifactor и т.д.).
Идея в том, что даже если пароль украдут, вход будет затруднён.

Я Конор, и я проверю, как это работает на самом деле😼

➖email-коды - это вообще не 2FA, а та же однофакторка, только с костылями;
➖у некоторых сервисов 2FA проверяется только при логине в веб, но не в мобильном приложении или через API;
➖"обязательная" 2FA может отключаться, если угадать резервные коды или сбросить пароль;
➖ну а иногда разница в том, есть она или нет, нулевая.

Как атакуют😇

➖Фишинг: создаётся фейковая страница, куда жертва вводит и пароль, и одноразовый код;
➖Вишинг: ребята из службы безопасности Сбербанка лично звонят вам за кодом;
➖Пробелы в логике: например, вход через "забыли пароль" обходит весь процесс 2FA.

Лабки🐈‍⬛️

Очевидно, что фишить никого я не предлагаю. Но попробовать обойти 2FA всё ещё можно вот в этих лабах:

•2FA simple bypass
•2FA broken logic


↖️ 📕тг • 🤬чатик • ✏️посты

#web #writeup

Привет^3 ☕️

Продолжаем постигать дзен криптографии🙏. AES — пффф, конечно нет. RSA — рано. Постквантовая криптография — банально🗿. Сегодня опять XOR. Да, мой ваш любимый XOR.

В лабах попытаемся подобрать ключик для наших флагов. Это вполне себе реально. И довольно часто может пригодиться в реверсе. Поэтому стоит попробовать:3 🙌

• Favourite byte
• You either know, XOR you don’t

↖️ 📕тг • 🤬чатик • ✏️посты

#crypto #writeup

Привет^3

Надеюсь, что попкор и прохладительные напитки у вас под рукой, так как через час вы будете созерцать мое выступелние. Трансляцию можно найти вот на этой странице. Я выступаю на треке B. Жду вас там в 10:00 по мск🥹

Привет^3☕️

Некоторые уже сдались и просили им отдать ответ, чтобы они могли спать спокойно.🗿

Пасхалка связана с моей работой, а именно с вирусной аналитикой. Стоит всегда обращать внимание на подобное, так как оно помогает разобраться в работе малварая.

И так, подсказка: все скрины делал я, в том числе скрины вредоносов. В декомпиляторах есть замечательная возможность их патчить. Поэтому ищите пасхалку в скринах декомпилированного кода:3

↖️ 📕тг • 🤬чатик • ✏️посты

#оффтоп