test_path_is_missing "$tell_tale_path" &&
test_must_fail git clone --recursive captain hooked 2>err &&
grep "directory not empty" err &&
test_path_is_missing "$tell_tale_path"
Проверяет, что
tell_tale_path изначально не существует.Пытается рекурсивно клонировать репозиторий
captain, ожидая, что операция завершится неудачей.Проверяет сообщение об ошибке
directory not empty, подтверждая предотвращение уязвимости.Убеждается, что
tell_tale_path по-прежнему не существует, что указывает на то, что hook после проверки не был запущен. Моей целью было сделать все наоборот!Корень проблемы кроется в том, что файловые системы с учетом регистра воспринимают такие пути, как
A/modules/x и a/modules/x, как идентичные. Это позволяет создать вредоносную симлинку внутри подмодуля. Эта символическая ссылка называется с учетом регистра пути подмодуля (например, A/modules/x), но скрытно указывает на скрытый каталог .git/ подмодуля.Эксплойт работает на Windows & MacOS
Вы можете забрать скрипт для билда репозиториев ТЫК
git clone --recursive [email protected]:szybnev/git_rce.git
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11🐳3
CVE-2024-32002
Сложность эксплуатации: простая
#RCE #CVE #git
Please open Telegram to view this post
VIEW IN TELEGRAM
Teletype
RCE через git clone
CVE-2024-32002 Сложность эксплуатации: простая\n#RCE #CVE #git
This media is not supported in your browser
VIEW IN TELEGRAM
🔥 Вся программа киберфестиваля Positive Hack Days 2 — на нашем сайте
В течение четырех дней вас ждут более 20 крутейших треков о кибербезопасности, разработке, бизнесе, а также увлекательная научно-популярная программа.
🛰 Напомним, что научпоп-сцену «Спутник» смогут посетить бесплатно все желающие. Больше про открытую зону киберфестиваля вы можете узнать в канале @PHDays.
🎫 Для посещения других треков необходимо приобрести билет на нашем сайте, сделав взнос в фонд «Подари жизнь» (минимальная сумма — 1000 рублей).
👀 Посмотреть программу (спойлер: еще будут дополнения, но основная часть уже опубликована)
До встречи с 23 по 26 мая в «Лужниках»!
P. S. Смотреть трансляции почти со всех треков можно будет и онлайн без регистрации и смс, но рекомендуем увидеть весь масштаб вживую 😉
@Positive_Technologies
#PHD2
В течение четырех дней вас ждут более 20 крутейших треков о кибербезопасности, разработке, бизнесе, а также увлекательная научно-популярная программа.
🛰 Напомним, что научпоп-сцену «Спутник» смогут посетить бесплатно все желающие. Больше про открытую зону киберфестиваля вы можете узнать в канале @PHDays.
🎫 Для посещения других треков необходимо приобрести билет на нашем сайте, сделав взнос в фонд «Подари жизнь» (минимальная сумма — 1000 рублей).
До встречи с 23 по 26 мая в «Лужниках»!
P. S. Смотреть трансляции почти со всех треков можно будет и онлайн без регистрации и смс, но рекомендуем увидеть весь масштаб вживую 😉
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6🔥4🐳4
Сходка Похек
Всем привет, меня давно просили и вижу другие админы это анонсят. Так что давайте всё таки сделаем нашу сходку)
Предлагаю следующие даты:
23 в час пик, когда все придут и 25 после кибербитвы, т.к. многие из вас играют в кибербитве. Так же после 25 есть предложение сходить в грузинский ресторан (там на 12 человек бронь максимум), остальные приходят в порядке живой очереди. Если нас будет сильно больше, то пойдем в кальн-ресторан. Мы там уже проводили Xakep Meetup и до этого был там раза 3. Локация вместит около 30 человек точно. Надо просто заранее будет.
Что думаете? Голосовалка ниже
🌚 @poxek
Всем привет, меня давно просили и вижу другие админы это анонсят. Так что давайте всё таки сделаем нашу сходку)
Предлагаю следующие даты:
23 в час пик, когда все придут и 25 после кибербитвы, т.к. многие из вас играют в кибербитве. Так же после 25 есть предложение сходить в грузинский ресторан (там на 12 человек бронь максимум), остальные приходят в порядке живой очереди. Если нас будет сильно больше, то пойдем в кальн-ресторан. Мы там уже проводили Xakep Meetup и до этого был там раза 3. Локация вместит около 30 человек точно. Надо просто заранее будет.
Что думаете? Голосовалка ниже
Please open Telegram to view this post
VIEW IN TELEGRAM
25 число после КиберБитвы, 2 ресторана в зависимости от кол-ва людей 🕺
Anonymous Poll
50%
Буду
50%
Буду удаленно
Похек
25 число после КиберБитвы, 2 ресторана в зависимости от кол-ва людей 🕺
Ещё раз. Если будет <=12, то идём в грузинский ресторан. Если больше 12, то кальян-ресторан
P.S. я ещё раз сделаю голосовалку 25 числа по поводу ресторана, чтобы было понятно, кто точно будет
P.S. я ещё раз сделаю голосовалку 25 числа по поводу ресторана, чтобы было понятно, кто точно будет
Также я буду стримить, фоткать, вкидывать сторисы и расшарю гео на канал. Так что кто хочет, всегда будет знать где меня найти)
🔥5
Forwarded from Cyber Media
Юрий Шабалин, генеральный директор компании «Стингрей Технолоджиз» и автор телеграм-канала «Mobile AppSec World», рассказал порталу Cyber Media о ситуации с мобильными приложениями в России. Поговорили о модерации в сторах, обходе блокировок, мошеннических уловках для загрузки вредоносных приложений, снижении общего уровня защищенности и бдительности пользователей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Cyber Media
Очень приятно видеть так часто хороших людей))
🔥1
Forwarded from Positive Hack Days Media
This media is not supported in your browser
VIEW IN TELEGRAM
На киберфестивале Positive Hack Days 2 мы предложим вам взломать нас 😏
Да, это не шутка. Мы проведем SEQuest — конкурс, в котором любой желающий сможет без последствий попробовать себя в роли хакера и проверить свои скилы в социальной инженерии. Ну а за успешное выполнение заданий мы щедро наградим участников.
😏 Что нужно будет сделать
Если коротко — выполнить семь заданий с разным уровнем сложности незаметно для организаторов, то есть нас. Вот они:
1. Изготовить копию бейджа организатора на свое имя.
2. На стойке регистрации получить настоящий бейдж организатора на свое имя.
3. Сделать футболку организатора или принести оригинальную.
4. Получить доступ к громкой связи мероприятия.
5. Получить уникальный стикер из штаба конференции.
6. Пройти в штаб организаторов и узнать пароль от Wi-Fi.
7. Получить доступ к прилавку с мерчем фестиваля.
Безусловно, есть базовые запреты: нельзя физически воздействовать на организаторов и входить с ними в умышленный сговор.
Безусловно, есть базовые разрешения: вы можете манипулятивно воздействовать на организаторов и вводить их в заблуждение, но исключительно для выполнения заданий конкурса.
😮 Как принять участие
Расписаться на стенде конкурса и получить полные правила (подробности — на сайте). Перед началом конкурса его организатор Антон Бочкарев, основатель «Третьей стороны», проведет базовый экскурс в социальную инженерию, который поможет участникам. Ну а дальше — дело за вами.
За решения заданий вы будете получать баллы, а те, кто займут призовые места, — получат мерч профи социальной инженерии. Ждем вас и не желаем удачи🤓
@PHDays
Да, это не шутка. Мы проведем SEQuest — конкурс, в котором любой желающий сможет без последствий попробовать себя в роли хакера и проверить свои скилы в социальной инженерии. Ну а за успешное выполнение заданий мы щедро наградим участников.
Если коротко — выполнить семь заданий с разным уровнем сложности незаметно для организаторов, то есть нас. Вот они:
1. Изготовить копию бейджа организатора на свое имя.
2. На стойке регистрации получить настоящий бейдж организатора на свое имя.
3. Сделать футболку организатора или принести оригинальную.
4. Получить доступ к громкой связи мероприятия.
5. Получить уникальный стикер из штаба конференции.
6. Пройти в штаб организаторов и узнать пароль от Wi-Fi.
7. Получить доступ к прилавку с мерчем фестиваля.
Безусловно, есть базовые запреты: нельзя физически воздействовать на организаторов и входить с ними в умышленный сговор.
Безусловно, есть базовые разрешения: вы можете манипулятивно воздействовать на организаторов и вводить их в заблуждение, но исключительно для выполнения заданий конкурса.
Расписаться на стенде конкурса и получить полные правила (подробности — на сайте). Перед началом конкурса его организатор Антон Бочкарев, основатель «Третьей стороны», проведет базовый экскурс в социальную инженерию, который поможет участникам. Ну а дальше — дело за вами.
За решения заданий вы будете получать баллы, а те, кто займут призовые места, — получат мерч профи социальной инженерии. Ждем вас и не желаем удачи
@PHDays
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰8
Грустная новость :(
Производство не успеет сделать мерч к PHD :(
Производство факапит по срокам сильно.
Как приедет ко мне мерч, то те, кто живёт далеко от Москвы, вам отправлю доставкой. Кто живёт в Москве или около, может сделаю сходку, может просто лично отдам.
Но выдам всё всем, гарантирую. Сроки на начало июня. Ещё раз приношу свои извинения.
🤩 @poxek
Производство не успеет сделать мерч к PHD :(
Производство факапит по срокам сильно.
Как приедет ко мне мерч, то те, кто живёт далеко от Москвы, вам отправлю доставкой. Кто живёт в Москве или около, может сделаю сходку, может просто лично отдам.
Но выдам всё всем, гарантирую. Сроки на начало июня. Ещё раз приношу свои извинения.
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳24
Forwarded from OFFZONE
Пятый OFFZONE пройдет 22–23 августа в Москве в Культурном центре ЗИЛ. Сообщаем сразу две хорошие новости.
Есть скидки на билеты. До 1 июля действуют цены early bird:
Проходка для студентов стоит 6500 ₽.
Speaker party, как всегда, на месте. Вас ждут бирпонг, коктейли, кальяны и тусовка с лучшими хакерами до победного! Количество участников ограничено, а за проходку нужно будет доплатить в зависимости от тарифа:
Купить билет
Please open Telegram to view this post
VIEW IN TELEGRAM
В последнее время в современных веб-приложениях с микросервисной архитектурой всё чаще в качестве API используется фреймворк удалённого вызова процедур gRPC. Данный фреймворк чаще всего использует protocol buffers(protobuf) в качестве языка определения интерфейсов и в качестве основного формата обмена сообщениями. Однако, в отличие от более привычных форматов обмена сообщениями (JSON,XML и тд), которые являются текстовыми, в protobuf фигурируют бинарные данные. Помимо этого, gRPC в качестве транспорта использует исключительно HTTP/2. Чаще всего эти обстоятельства вызывают затруденения при тестировании безопасности веб-приложений, которые используют данный фреймворк.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cybred
ChatGPT помог заработать $28 000 на 0-day.
Базовый XXE-пейлоад выглядит как-то так
Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
2. Импортируем полученное содержимое как внешнюю сущность в
3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
Google (CVE-2023-4357):
Базовый XXE-пейлоад выглядит как-то так
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
/etc/passwd.Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
external entities отключены по дефолту.Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
<xsl:copy-of select="document('file:///etc/passwd')"/>которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
document()2. Импортируем полученное содержимое как внешнюю сущность в
XML3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
$25 000Google (CVE-2023-4357):
$3 000Поделись с друзьями на PHDays 2
#phd2
Карта киберфестиваля
➡️ PDF-версия
➡️ Интерактивная версия для открытой части
➡️ Интерактивная версия для закрытой части
😮 Где найти программу
➡️ Научпоп-трек
➡️ Технические и бизнес-треки
💻 Где смотреть трансляции онлайн
➡️ Научпоп-трек
➡️ Технические и бизнес-треки
P.S. этот пост будет в закрепе и обязательно делитесь со всеми, чтобы не теряться :)
🌚 @poxek
#phd2
Карта киберфестиваля
P.S. этот пост будет в закрепе и обязательно делитесь со всеми, чтобы не теряться :)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
С многими увиделся, но с бо́льшей частью не увиделся, пока что. Сейчас решаю активность на PHD, поэтому пока что я бегаю туда сюда и меня достаточно сложно поймать
🔥9😁3