Полезные плагины для Chrome

Vulners Web Scanner
Сканер уязвимостей на основе версий используемого софта на сайте
https://chrome.google.com/webstore/detail/vulners-web-scanner/dgdelbjijbkahooafjfnonijppnffhmd

HTML5 Storage Manager All in One
Позволяет редактировать Cookie, Local Storage и indexedDB сайтов
https://chrome.google.com/webstore/detail/html5-storage-manager-all/giompennnhheakjcnobejbnjgbbkmdnd

Chrome HTTP Monitor
Показывает заголовки и время загрузки сайта
https://chrome.google.com/webstore/detail/chrome-http-monitor/maceikgnmfpfbciilpapjdogebnanahg

Wappalyzer
Определяет используемые на сайте CMS, JS библиотеки. Не забудь отключить анонимную стучалку в настройках
https://chrome.google.com/webstore/detail/wappalyzer/gppongmhjkpfnbhagpmjfkannfbllamg

Shodan
Удобен тем, что позволяет посмотреть не только открытые порты, но и страну и организацию ip домена
https://chrome.google.com/webstore/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

Clickjacking Test
Ничего сложного, просто открывает сайт в фрейме и позволяет сгенерить простой PoC для сайтов без X-Frame-Options
https://chrome.google.com/webstore/detail/clickjacking-test/bjhigladkmnpmglhcnpeiplekpanekpi

FoxyProxy Basic
Создаешь профили с различными настройками прокси и быстро переключаешься между ними
https://chrome.google.com/webstore/detail/foxyproxy-basic/dookpfaalaaappcdneeahomimbllocnb

Забавная смесь логических ошибок превращается в обход SOP браузера. Заходишь по ссылке - данные любых сайтов улетают злоумышленнику (UXSS). Обновляйтесь!

https://github.com/Bo0oM/CVE-2017-7089

Многие тулзы, например nmap, требуют рута для нормальной работы. Но если тебе надоело писать каждый раз sudo и не хочется раскидываться suid'ами, то можно воспользоваться linux capabilities и выдать только определённые привилегии.

Для Nmap надо выставить следующие :
sudo setcap cap_net_raw,cap_net_admin,cap_net_bind_service+eip /usr/bin/nmap
и добавить в переменные окружения (в ~/.bashrc, например):
export NMAP_PRIVILEGED=""

Для ncat требуется:
sudo setcap cap_net_bind_service+eip /usr/bin/ncat

Для Wireshark:
setcap cap_net_raw,cap_net_admin+eip /usr/bin/dumpcap
Плюс возможно добавить прав на исполнение:
sudo chmod o+x /usr/bin/dumpcap

После этого тулзы можно запускать без sudo, под обычным юзером

Помните, как мы пробовали читать локальные файлы в Safari?
Оказывается, есть еще одна особенность этого замечательного браузера! Если файл скачан из интернета - читать файлы напрямую нельзя. Но не совсем. Ведь скачанным файлом можно создать еще один html файл (который появится рядом с оригинальным) и открыть на него фрейм!
Вот демонстрация эксплойта, в котором пользователю отдается html файл, если открыть его в Safari, будет попытка слить всякие логины/пароли на локальные сервер (в консоле будут соответствующие ошибки, а если запустить оригинальный python сервер, файлы появятся в соответствующей папке).

Демонстрация:
https://bo0om.ru/safari_poc/

Любую функцию javascript можно выполнить без использования каких-либо букв.

1) https://utf-8.jp/public/jjencode.html
Позволяет генерировать функции из спецсимволов.

2) https://www.jsfuck.com/
Если количество используемых символов ограничено (например не пускает \ ) jsfuck позволяет создать пэйлоад с использованием только символов ()+[]!.

3) https://syllab.fr/projets/experiments/xcharsjs/5chars.pipeline.html
А когда запрещено использовать скобки, поможет этот ресурс. Он может преобразовать js в последовательность сиволов [+|>].

Единственный минус - вектор становится большим. Если в jjencode alert() - 524 символа, в jsfuck становится размером в 1219 символов, то в 5chars он становится просто огромным - 61827 символов.

Дали две CVE через... Twitter
https://nvd.nist.gov/vuln/detail/CVE-2017-5246
https://nvd.nist.gov/vuln/detail/CVE-2017-5247

А что, так можно было?

@GeoPhotoBot
Поиск фотографий из соцсетей по геопозиции или по ссылке на Яндекс (Google) карте.

Вжух - стартует ZeroNights HackQuest 2017!
Ссылка как обычно - hackquest.zeronights.org

Первый день начнется с легкого и логически понятного веба (не зря таск называется webpwn), я уверен, что ты справишься %username%.

В операционных системах существуют символический ссылки. Это специальные файлы, в которых вместо собственных данных ссылка на содержимое другого файла.
Чтобы создать такую ссылку в unix - достаточно ввести команду

ln -s /etc/passwd myfile

Теперь, обращаясь к файлу myfile - мы будем обращаться к файлу passwd.

Такую ссылку можно запаковать (например утилитой zip с аргументом --symlinks) и если веб-приложение будет работать с архивами, есть вероятность, что обрабатывать она будет собственные файлы, ссылки на которые были в архиве. Тем самым возможно читать локальные файлы или добиться отказа в обслуживании.

Интересно, а кто-то уже догадался добавлять симлинки в docx 🤔?

Для примера - архив с твоим /etc/passwd ;)

Вдогонку: в архив можно всунуть не только симлинк, но и файл с вектором path traversal в имени.
Некоторые библиотеки для работы с архивами были уязвимы к такой атаке и при распаковке читали произвольные файлы.
Скрипт для создания таких архивов: https://github.com/ptoomey3/evilarc

В PHP-приложениях есть куча разных уязвимостей, техник эксплуатации и атак. Тему активно ковыряют лет 10 и вроде бы всё уже расковыряли, и постепенно многие техники сходят на нет.

Но всё равно находятся неожиданные вещи в очевидных местах. Например, на HITCON CTF автор дал задачу по мотивам своих находок, в которой, как выяснилось, нужно было довести чтение произвольных файлов до исполнения кода.
Подробности тут: https://rdot.org/forum/showthread.php?t=4379

Если коротко, то любой вызов PHP-функции чтения файлов (поддерживающей обёртки) с контролируемым префиксом может привести к произвольной десериализации.
В частности, можно использовать аналог техники LFI via phpinfo, чтобы загрузить боевой PHAR-вектор и одновременно прочитать его, причём даже не обязательно, чтоб был вывод ответа, достаточно самого вызова функции чтения.

Комикс о UXSS в Safari и Chrome
https://bo0om.ru/chrome-and-safari-uxss

Green Dog:
Я на WebVillage буду рассказывать про баги связанные с десериализаций. Выложил пучок мини-вебприложух в докер контейнерах, чтобы можно было потыкать желающим. https://github.com/GrrrDog/ZeroNights-WebVillage-2017

Синтаксис регулярных выражений в js выглядит как /pattern/flags.
Но помимо флагов, можно вернуть текст шаблона (исходный) с помощью свойства source.

Вжух, скрываем javascript:alert() от злых защит:

location=/jav/.source+/ascript/.source+/:/.source+/alert/.source+/``/.source

#XSS

А вот и презентации, в том числе с Web Village
https://2017.zeronights.ru/materials/

Особенности Safari в client-side атаках.
https://bo0om.ru/safari-client-side

Safari все больше напоминает IE 🤔

Вы ведь все пользуетесь nmap? А команда Vulners сделала плагин, которого всем не хватало!
Теперь вы не просто можете просканировать удаленный хост, но и найти на нем уязвимости!
И все это используя Nmap с плагином Vulners - https://github.com/vulnersCom/nmap-vulners

Здравствуйте!
На серверах Вашей компании найдена уязвимость чтения произвольного участка памяти в обход имеющихся привилегий.
Злоумышленник может получить доступ к исходным кодам, паролям, данным пользователей, как следствие, скомпрометировать сервера компании не оставив при этом следов.
Для исправления уязвимости необходимо обновить все процессоры до модели, которые выпускаются начиная с 2018 года. Рекомендуем рассмотреть процессор «Эльбрус».
*trollface*

DOM XSS, вектор которых был через location.hash, похоже, умрет в Chrome начиная с 65 версии

Ну мы тут трем за кавычки, а все что касается безопасности браузеров - на канале @br0wsec, подключайтесь :)