Омский багхантер

🪲 Выложили доклады с BUGS ZONE 1️⃣Да кто такой этот ваш триаж? Независимый исследователь Артем Бельченко провел несколько интервью с вендорами и поделился с нами тем, как проводят триаж в разных компаниях. 2️⃣Сила Python в руках багхантера Независимый исследователь Аркадий Тен рассказал, что делать, если привычных инструментов Burp Suite не хватает для эксплуатации нужной уязвимости, и как эффективно использовать Python для поиска багов. Смотрите записи, делитесь с друзьями, ждем вас на следующих ивентах :)

Очень годная шпаргалка по AD, которая может пригодиться новичкам и не только. Такое мы одобряем 👍

Как вы уже могли понять, я очень люблю всякие красочные схемки. Вот, например, если у вас лаба на HTB не решается, можно посмотреть шпаргалку по Active Directory. SVG source: https://raw.githubusercontent.com/esidate/pentesting-active-directory/a8e37705542720cb1f9b65ec9039f67b70b61ca6/v2/pentesting_active_directory.svg (Нашел @bughunter_omsk)

Вчера сходил на BUGZ.ZONE Вместе с CyberR3bel добавили омского вайба этой багхантерской тусовке и выступили с докладами про триаж и автоматизацию багхантинга при помощи питона. Чуть позже появится запись докладов, а пока предлагаю оценить андеграундный стиль прошедшего вечера 😎 ps. Слайд с багхантерской забивкой для кальяна я считаю просто бомбическим

BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. В своей статье собрал небольшой список материалов, которые в свое время использовал и до сих пор использую для изучения.

Сейчас зафорсилась уязвимость в aiohttp (CVE-2024-23334) Если при добавлении обработчика возврата статических файлов флаг Follow_symlinks выставлен на True (Он служит для того чтобы обработчик следовал символическим ссылкам на файлы вне корневого каталога), то из-за недостаточной проверки это может привести к атаке обхода каталога (directory traversal, aka path traversal). Что позволяет хакерам получить доступ к любым файлам на уязвимых серверах. Данная уязвимость затрагивает все версии aiohttp, начиная с 3.9.1 и старше (Исправлено в 3.9.2). Простой пример уязвимого кода:

app = web.Application()
app.router.add_static('/static/', path='static/', follow_symlinks=True)

PoC прост до безобразия, пример:

curl --path-as-is http://localhost:3000/static/../../../../../etc/passwd

На днях решил пощупать аналог постмана бурпа Caido и прикупил лицензию. В целом, это перспективный проект, так как бурп давно не радует своей стабильностью. Однако, я нашел ряд недостатков, которые пока что отталкивают от перехода на данный продукт: 1. Непонятное ценообразование для продукта, который находится в бете. Разработчики требуют $200 в год за продукт, который находится в разработке, у которого объективно мало фич и он не дотягивает до бурпа. 2. Отсутствие расширений. 3. Нет открытого API. 4. Прокся работает намного медленнее бурпа. 5. Лаги, баги и фризы. При этом, я нашел один плюс - приложение действительно кушает намного меньше оперативной памяти, чем бурп. Это конечно радует пользователей со старым железом.

НЕ ВСЕГДА стоит использовать стандартный BURP COLLABORATOR Иногда, во время подтверждения уязвимостей, необходимо получить трафик на внешний сервер. Очень часто компании блокируют исходящий трафик на стандартный домен коллаборатора oastify.com. Вместо стандартного коллаборатора, можно использовать следующие решения: 1. webhook.site 2. https://github.com/projectdiscovery/interactsh 3. https://github.com/putsi/privatecollaborator

Самый быстрый способ получить список всех путей веб-приложения на Next.js:

console.log(__BUILD_MANIFEST.sortedPages)

МНЕ ИСПОЛНИЛОСЬ 27 Вот и прошел очередной год моей жизни и начался новый. Прошедший год был очень богатым на различные события, поэтому хотелось бы подвести небольшой итог того, что со мной случилось. ✅ Получил второе высшее образование и поступил на третье. Теперь будет возможность получить преподавательские навыки, ведь аспиранту обязательно нужно подготовить программу для обучения студентов и вести предметы. ✅ Уволился с работы и попал в топы российского Bug Bounty. Одним из самых волнительных моментов в прошедшем году было увольнение с работы. Работа в качестве Red Team эксперта была интересной и увлекательной, это очень ценный опыт, который мне очень часто помогает находить массу интересных уязвимостей и за это я очень благодарен команде. Весной прошлого года было решено сделать шаг вперед и пойти развиваться в том увлечении, которое заставляет меня не замечать время и проводить сутки в исследованиях - Bug Bounty. Только за 2023 год мне удалось подняться на платформе BI.ZONE с 50 места до 3, что считаю абсолютной победой для себя самого и мотивацией для дальнейшего развития. ✅ Принял участие в Standoff 11 и Standoff 12 в составе команды ДРТ & Cult. Для того, чтобы быстрее прокачивать свои навыки, специалисту желательно находится в тусовке, которая это может поддержать. Так, попав в состав команды ДРТ & Cult, я оказался в кругу настоящих профессионалов в области информационной безопасности, готовых всегда поддержать твои идеи и обсудить с тобой любые проблемы. Одним из самых веселых моментов было скоростное прорешивание Хакербурга на Standoff, благодаря которому смогли решить все СКАДы. ✅ Поучаствовал во множестве CTF в составе команды 89cr3w. Даже спустя несколько лет, я считаю, что специалисту нужно участвовать в CTF для получения нового опыта и уменьшения "замыленности" глаза. К тому же, оффлайн CTF-ы очень часто бывают максимально безумными и веселыми. Одной из самых запоминающихся поездок была поездка в Самару на VolgaCTF - это были максимально безумные несколько дней, полные историй с арендодателями квартир, алкотрипами (я не знал, что я могу в 2 ночи стоять за барной и пить потрясающую медовуху в литровом фужере) и игре на гитаре. Наверное, это мероприятие было для меня перезагрузкой и сбросом эмоций. ✅ Поучаствовал в летней сессии Standoff Hacks. Честно говоря, я впервые увидел столько живых багхантеров, кроме самого себя конечно же. Это было очень живое мероприятие с небольшой ноткой здорового андеграунда, в котором можно было нескучно и бутылочкой светлого обсудить прикольные баги и интересные подходы. ✅ Посетил конференции OFFZONE 2023 и Standoff Talks. Я считаю, что посещать профильные конференции - очень важная задача любого специалиста. На этих мероприятиях всегда очень приятный вайб, благодаря которому можно одновременно отвлечься от рутинных задач и пообщаться с интересными людьми. Уверен, что мой 27-й год пройдет намного продуктивнее и позитивнее чем прошлый год 🙂