Arkiix's Blog

🪲 Выложили доклады с BUGS ZONE 1️⃣Да кто такой этот ваш триаж? Независимый исследователь Артем Бельченко провел несколько интервью с вендорами и поделился с нами тем, как проводят триаж в разных компаниях. 2️⃣Сила Python в руках багхантера Независимый исследователь Аркадий Тен рассказал, что делать, если привычных инструментов Burp Suite не хватает для эксплуатации нужной уязвимости, и как эффективно использовать Python для поиска багов. Смотрите записи, делитесь с друзьями, ждем вас на следующих ивентах :)

12 апреля в Москве проходил BUGZ.ZONE Вместе с @bughunter_omsk посетили тусовку и выступили с докладами про триаж и использование питона в поиске и эксплуатации уязвимостей. Записей докладов пока нет, держите фоточки)

BUG BOUNTY. С ЧЕГО НАЧАТЬ НОВИЧКУ Багхантинг - одно из наиболее перспективных и быстрорастущих направлений инфобеза с довольно низким порогом вхождения для новичков. Очень часто мне пишут в личку сообщения с просьбой посоветовать литературу и интересные ресурсы для старта в ББ. В своей статье собрал небольшой список материалов, которые в свое время использовал и до сих пор использую для изучения.

Сейчас зафорсилась уязвимость в aiohttp (CVE-2024-23334) Если при добавлении обработчика возврата статических файлов флаг Follow_symlinks выставлен на True (Он служит для того чтобы обработчик следовал символическим ссылкам на файлы вне корневого каталога), то из-за недостаточной проверки это может привести к атаке обхода каталога (directory traversal, aka path traversal). Что позволяет хакерам получить доступ к любым файлам на уязвимых серверах. Данная уязвимость затрагивает все версии aiohttp, начиная с 3.9.1 и старше (Исправлено в 3.9.2). Простой пример уязвимого кода:

app = web.Application()
app.router.add_static('/static/', path='static/', follow_symlinks=True)

PoC прост до безобразия, пример:

curl --path-as-is http://localhost:3000/static/../../../../../etc/passwd

Недавно выложил в паблик свою ферму для CTF в формате Attack-Defense, которую около года обкатывали командой 89cr3w 👻 https://github.com/arkiix/CulhwchFarm Из интересного: • API позволяет оптимизировать работу с фермой. Например, можете написать парсер команд, который добавит их в ферму (В репе есть примеры client/team_parsers) • Валидаторы, с помощью них вы можете валидировать поступающие флаги в ферму (откидывать невалидные) • Удобная настройка основных параметров фермы и параметров протоколов/валидаторов на фронте • Генератор команд на фронте, Вы можете сгенерировать список команд в одно нажатие (Поддерживает IPv6) • Скачивание уже настроенного скрипта-клиента на фронте (Автоматически установит URL и пароль фермы, attack-period) • Удобные графики и метрики на основной странице • Переделать протокол из DestructiveFarm или S4DFarm не составит труда, а основные протоколы мы уже завезли Как поднять: • Клоним репозиторий

git clone https://github.com/arkiix/CulhwchFarm

• Меняем SERVER_PASSWORD в compose.yml • Выполняем

docker compose up --build -d

• После билда ферма будет доступна на http://127.0.0.1:8893

Думал над интересным форматом контента, решил, что сделаю серию коротких видеороликов, пока что ориентированных на студентов. Обсудим типичные уязвимости, интересные подходы и фишки. А пилотный видеоролик будет про IDOR (Следующий пост)

Результаты года, последнюю половину которого принимаю участие в багбаунти программах (Через площадку BI.ZONE и напрямую): - Нашёл 41 уязвимость в сервисах вендоров - Попал в топ-10 хакеров площадки BI.ZONE - Заработал в багбаунти около полутора миллиона рублей Большая часть аудитории этого канала является студентами, подготовлю материал о методах развития в сфере ИБ и участии в багбаунти программах

🏆 No more tears, good vibes only: подводим итоги года Мы думали-думали, что же такое особенное подарить нашей десятке лучших... А потом как придумали! На двух загадочных фото в посте — подсказка ;) А это список самых крутых багхантеров на нашей платформе в 2023 году: 1️⃣r0hack 2️⃣al88nsk 3️⃣artebels 4️⃣kwel 5️⃣ub1k 6️⃣BlackFan 7️⃣hodiebee 8️⃣freeman 9️⃣sergeym 1️⃣0️⃣zero-0x00  1️⃣1️⃣arkiix Хотим сказать спасибо всем, кто упорно багхантил на платформе весь год и поддерживал нас.  А всех из десятки от души поздравляем, в ближайшее время свяжемся и отправим подарки. Stay tuned! UPD arkiix влетел в рейтинг уже после подведения итогов, так что наш топ-10 магией Деда Мороза превратился в топ-11. Так держать!

Попал в топ-10 багхантеров по результатам этого года на площадке BI.ZONE