А вот кстати реальный случай, записей данных из запроса в лог файл.

Я ни ко му не скажу, что это логи одного из поддомена госуслуг. 😃

Logic Flaw или Type Juggling 🎁

Это не уязвимость, а подарок.
Не знаешь пароль, хеш или какой нибудь другой ключ доступа, а инъекции в бд не работают? Это говорит о том, что пора тестить логику. 🤪

Разработчики могут это сделать как угодно и не все методы хороши. Можно приводить тучу примеров, но мы как всегда пройдем по базе.

🎣 К примеру если отправим запрос на сайт, то возможно увидеть тело запроса по типу:

{"username": "testuser", "hashcode": "0e51217526859264863"}

Можем подменить testuser на admin, но хеш для админа неизвестный. Поэтому нас не пустят... Кто этот ваш хеш такой?... 👀
Мы можем его убрать. Такой вариант тоже может помочь.
Для ясности закрепил таблицу, можете обратить внимание что {} == 1, следовательно если сравнение выдаст 1, то и для пустого места вернёт истину.

🐑 А можем попробовать найти скрытый параметр, например

{"username": "testuser", "hashcode": "", "nohash": true}

или закинуть истину вместо хеша 🤔

{"username": "testuser", "hashcode": true}

🔔 В случае с числовыми значениями, примерно так же.

var_dump((int) "1abc" === (int) "1xyz");
>>> True

Или такой пример:

$pA = "3"; //ожидаемая сумма
$pB = "388"; //сумма из запроса
var_dump((int)$pA);
var_dump((int)$pB);
if((int)$pA == (int)$pB){
    echo "Баланс пополнен на $pB";
}else{
    echo "что то пошло не так";
}

Так, мы получим false.
Но если после 3 в переменной $pB добавим какое нибудь значение, то в логике будет учитывать значение до этого значения, а не целиком.
Например:

$pB = "3.888";

Результат:
int(3)
int(3)
Баланс пополнен на 3.888

Как видим, код вывел значение лишь до точки, остальное сравнивать он не стал, так как остальное, не является типом integer. 🧃
Можно попробовать отправить:

3.+899

В таком случае, код прочитает его до 3, пропустит, закинет в sql запрос сложит 3+899.

Вернёмся к нашему хешу. И так мы поняли, что типы данных могут немного удивительно работать между собой. Следовательно чтобы обойти хеш, пользуясь таблицей, можно отправить такой запрос:

{"username": "testuser", "hashcode": "0e7"}

Следовательно сравнение выдаст истину:

var_dump("0e7" == "0e51217526859264863");

Результат сравнения:
True


Такая вот логическая каша.
#hackday (012)

@jpubl 📸

😕Как ответить человеку, который называет себя осинтером?

Осинт это дисциплина, а не профессия. Это как навык читать, любой может читать, но не каждый становится писателем.

"Осинтер" это выдуманное словечко. Нет такой профессии. Нет такого звания. Это как назвать себя ходильщиком только потому, что умеешь ходить.

Собирать инфу может каждый. Вопрос не в том, может ли, а в том, "для чего" и на каком уровне.
Осинт используют журналисты, аналитики, специалисты ИБ, следователи.  потому что у них есть цель, ответственность и результат.

Если ты просто ищешь айпишник чела в телеге с помощью бота. ты не осинтер. Ты просто пользователь, максимум любопытный.

Так что не путай гугл с профессией, а себя со специалистом.
Иди сначала разберись, потом называйся.

@jpubl

😫 Взломал я значит однажды один израильский сайт маркетингового агентства и вижу в бд, в таблице админов ЭТО.

Совсем совесть потеряли.

Запомните:

- мальчики хотят ратники, мужчины ставят reverse shell

@jpubl 😈

Вопросы? 🚬

🐑

- ыыыыы я исползую proxy+VPN+proxy+Tor+VPN+чота та там
и так далее 1000 раз в связке

Да хоть через инопланетян. Существует огромное количество различных данных, которые могут тебя заполнить. (Хранилищи браузера, куки, сессии, параметры браузера и машины через API браузера и т.д, включая твой локальный ip)
Не анонимус... Скорее анонимуса видел в кино и подумал, что это инструкция.

🤪

- Фишинг? Я ниппведусь. Наниго толка лохи ведутса

Чтожжж. Если кто так говорит, можете его поздравить. Он уже лох. Ведь фишинг это не просто копия какой то страницы авторизации или чего либо ещё - это может быть абсолютно чем угодно. Это скорее не недоибшник, а в целом "недо".

👮

- я сифрую файли сваи, аряя у миня там шизфрование на диске ыыы я безапаснасти

При этом с тучей приложений в автозагрузках и браузером с включенным авто сохранение паролей. А в телефоне тик ток, сбербанк, ВК, Макс мессенджер и на одной локальной сети. А скомпрометированные приложения так и стучатся.

🤙

- Уминя зато ест tails, и типерь миня точна не найти у миня всо терез торрр

Ну есть он у тебя... но заходишь на почту, в телегу, логинишься по паролю, отправляешь фотку, общаешься везде однотипно, тайминги, соц паттерны.
Ещё устаревшее ПО с тучей серьезных cve. А представь если rce, а в ПК семейные фотографии...
То, что ты с флешки, не значит что диск машины не доступен.
В целом ты уже дома
не физически, но логически. А это уже всё. Умняк...

👊

- ну и чо, выщю флешкю сразу и данних нета

Нета скорее мозгов. Так как абсолютно любой дистрибутив замирает если просто вытянуть флешку. Как и данные в раме. И кстати если выключить ПК, они чистятся не сразу. Нужно время. Что уж говорить если словишь троян, он, например проскарирует сети вокруг тебя.


🛌 В общем, меньше берите в голову из фильмов и недоспециалистов.

@jpubl 😪

- Аэрофлот был взломан.
- Понес ущерб до 50$млн.
- Резервные хранилища и хранилища в целом были уничтожены(около 20тб данных)
- Компания полностью парализована.
- Сроки восстановления займут от полугода до года или больше.

Итог: платите ибшникам больше, чтобы работали в удовольствие. Скупой платит дважды 🤪

😵 Шизнет готовит атаки на запад. По словам этих клоунов, они создали революционное сетевое оружие, которое способно изолировать любую страну на долгие месяцы до полного восстановления.

🥁 Дай угадаю. Они приехали из детского санатория и смогли накопить на подписку ботнет mirai.