Bug hunters *

Эксплойты ядра iOS всегда вызывали у меня огромный интерес. За последние годы эксплуатация ядра стала значительно сложнее, и традиционные уязвимости (например, связанные с повреждением виртуальной памяти) стали встречаться реже.

Тем не менее, летом 2023 года felix-pb выпустил три эксплойта под названием kfd. Это были первые опубликованные эксплойты ядра, работавшие на iOS 15.6 и выше. 

Разрабатывая джейлбрейк для iOS 14 (Apex), я реализовал собственный эксплойт для уязвимости Physpuppet. В этой статье объясню, как эксплуатировать уязвимость типа physical use-after-free на современных версиях iOS.

Проверка электронной почты — это важная мера безопасности, позволяющая подтвердить личность пользователя и предотвратить несанкционированный доступ. Однако, обнаруженная мной уязвимость в процессе проверки электронной почты на сайте app.target.com, позволяет злоумышленникам обойти эту меру безопасности. В этой статье рассматриваются детали уязвимости, ее влияние и необходимые действия по устранению.

Каждый год мы проводим масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей.

В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным.

Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам.

Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Привет, охотники! Это мой новый разбор, и он посвящён очень интересной находке — нарушению контроля доступа в платёжной платформе, благодаря которому у меня получилось создавать и подделывать счета.

Давайте начнём…

Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём!

Я не имею права раскрывать информацию о цели, поэтому давайте назовём её example.com. Это был обычный сайт. Ничего особенного: можно создать аккаунт, войти, поменять пароль и так далее.

Как обычно, я создал два аккаунта. Сначала зарегистрировался и вошёл в аккаунт жертвы, после чего проверил все запросы и ответы через Burp Suite. Я обнаружил, что сайт использует какой-то CSRF-токен для защиты от CSRF-атак. В исходном коде страницы я заметил, что сайтом каждому пользователю присваивается userID. Это шестизначный идентификатор, поэтому его можно легко угадать.

Далее я перешёл в настройки аккаунта, изменил часть своей информации (я всё ещё нахожусь в аккаунте жертвы) и зафиксировал этот запрос.

Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск уязвимостей в профессию. Они рассказали, как начинали свой путь, поделились личными историями и профессиональными секретами. В этой статье вас ждет рассказ иностранных исследователей о самых запоминающихся репортах в их практике, уязвимостях, которые всегда в топе у исследователей, must-have инструментах для поиска багов и о роли ИИ в багхантинге.

Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти  программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне в общей сложности $6000. Для лучшего понимания я поделюсь техническими деталями, включая пример HTTP-запроса, а также расскажу о результатах повторного тестирования.

Всем привет! Меня зовут Дмитрий Неверов, я руковожу направлением анализа защищенности внутренней инфраструктуры в Бастионе. Сегодня представлю метод локального повышения привилегий на Windows 10.

Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто похожее, но с использованием C2 и стороннего хоста. В моем случае есть только один хост.

Покупка подержанного автомобиля кажется простой — платишь деньги, получаешь ключи, включаешь любимый плейлист и уезжаешь. Однако в эпоху, когда всё связано с интернетом, «владение» машиной выходит далеко за пределы водительского кресла.

В 2024 году я купил подержанный автомобиль. Будучи техно-энтузиастом, я с нетерпением ждал возможности по достоинству оценить его функции. Как только я припарковал свой автомобиль, я установил на телефон приложение My Volkswagen (ŠKODA Auto Volkswagen India Pvt Ltd). Во время настройки приложение попросило ввести VIN-номер машины — легко, он был прямо на лобовом стекле. Затем приложение потребовало четырёхзначный OTP-код — я подумал, что получить этот код будет просто. Оказалось, что нет.

Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.

Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.

Система входа Microsoft обладет защищенной и сложной архитектурой, построенной с использованием нескольких уровней защиты. Это в значительной мере усложняете процесс анализа.

В этой статье я подробно опишу, как обнаружил и использовал уязвимость полного захвата учетной записи с помощью Cross-Site Scripting (XSS) в процессе входа. Эта уязвимость, скрытая в механизме аутентификации Microsoft, помогла получить полный контроль над учетной записью пользователя.

Кроме того, я разберу ключевые компоненты механизма входа Microsoft для лучшего понимания обсуждаемой проблемы. Это поможет вам лучше разобраться в системе и окажет поддержку в ваших собственных исследованиях инфраструктуры Microsoft.

Механизм входа Microsoft и Azure Active Directory (Azure AD)
Аутентификация Microsoft основана на Azure Active Directory (Azure AD) — облачной системе управления идентификацией и доступом, используемой в таких сервисах, как Microsoft 365. Один из ключевых элементов в Azure AD — это арендаторы (tenants), которые устанавливают организационные границы внутри экосистемы Microsoft.

Что такое арендаторы в Azure AD?
Арендатор в Azure AD — это выделенный экземпляр службы, принадлежащий конкретной организации. Его можно представить как защищенный контейнер для пользователей, групп, приложений и политик. Ключевые характеристики арендаторов:

AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий.

Мы выступали как организаторы и отвечали за определенные зоны. С нашей стороны мы подготовили несколько различных активностей в виде квизов, шахмат и конкурсов где вы могли зарабатывать коины для приобретения лимитированного мерча в торговой лавке AppSecFest.

Но также нами была организована CTF зона, где каждый мог почувствовать себя в роли кибербезопасника и испытать свои силы в более чем 30 подготовленных заданиях по различным разделам.(Web, Crypto, Revers Engeneering, Osint, Mobile Security)

Для разворачивания полноценной инфраструктуры, мы решили выбрать облачную платформу Ps Cloud Services. По итогу не пожалев о выборе, стабильность работы нашей инфраструктуры была хороша :-)

Далее хотелось бы также поделиться, тем как мы настраивали и что использовали для полноценной работы сервисов, начиная от настройки VPN заканчивая система защиты.

Практическое руководство по изучению и тестированию техник обхода WAF с помощью продвинутых настроек SQLMap и proxychains.

Введение

В современном быстро меняющемся мире кибербезопасности веб-фаерволы (WAF) играют важнейшую роль в защите сайтов от вредоносных воздействий, таких как SQL-инъекции. Однако и злоумышленники, и этичные хакеры постоянно ищут новые методы для тестирования и обхода таких мер защиты.

В этом руководстве я покажу, как использовать SQLMap, ProxyChains и tamper-скрипты для проверки и оценки эффективности WAF. Вы узнаете, как настроить эти инструменты и проводить сканирование, соблюдая этические стандарты и лучшие практики.

При тестировании на проникновение крайне важно обращать внимание на наличие Apache Tomcat — одного из самых популярных веб-серверов. Изначально Apache Software Foundation разработала Tomcat как платформу для демонстрации технологий Java Servlet и JavaServer Pages (JSP), которые служат основой для Java веб-приложений. Со временем, Tomcat расширил свои возможности, чтобы поддерживать дополнительные Java веб-технологии.

Кроме того, одной из заметных особенностей Tomcat является поддержка развертывания веб-приложений с помощью файлов WAR (Web Application Archive). Эти файлы содержат в себе все компоненты веб-приложения — код, страницы и другие файлы, что значительно упрощает процесс развертывания. Tomcat позволяет пользователям загружать и запускать эти WAR-файлы, предоставляя возможность размещать свои приложения в интернете.

Помимо WAR-файлов, Tomcat также поддерживает развертывание JSP-страниц. JSP — это технология, позволяющая разработчикам создавать динамические веб-страницы с использованием Java. Tomcat способен выполнять эти JSP-страницы, что делает его универсальной платформой для хостинга самых разных веб-приложений.

По умолчанию Tomcat поддерживает использование WAR-файлов и JSP-страниц. Однако администраторы могут настраивать параметры для обеспечения безопасности и контроля над загрузками файлов, тем самым повышая общую защищённость сервера.

Оглавление

- Настройка лаборатории

- Установка

- Конфигурация

- Enumeration

- Эксплуатация с использованием Metasploit Framework

- Ручная эксплуатация (Reverse shell)

Сегодня мы увидим, как параметры могут привести к большим финансовым потерям для компании.

Давайте начнем с аккаунтом обычного пользователя на сайте, который представляет собой платформу электронной коммерции, где происходит покупка и продажа товаров. Допустим, сайт называется Example.com.

Когда вы переходите в раздел покупки товаров и добавляете несколько позиций в корзину, вы видете примерно следующее...

Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности —  CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность.

Содержание

- Подготовка лаборатории  

- Установка  

- Конфигурация  

- Перебор  

- Эксплуатация с помощью Metasploit Framework  

- Ручная эксплуатация (Reverse Shell)  

- Выполнение команд напрямую  

- Заключение  

Подготовка лаборатории

В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами:

Целевая машина: Ubuntu (192.168.1.4)  

Машина атакующего: Kali Linux (192.168.1.7)

Привет, сегодня я расскажу о другой находке в Gcash VDP и дам советы по методологии разведки, такие как: перечисление поддоменов, анализ технологий с помощью Wappalyzer, массовая разведка и определение области с помощью автоматизированных инструментов.

Что такое определение области разведки?

Определение области разведки является начальной фазой оценки защищенности и тестирования на проникновение. Оно включает в себя идентификацию и сбор информации о целевых системах, сетях и инфраструктуре. Основная цель состоит в том, чтобы понять масштабы инфраструктуры для тестирования и собрать данные, которые могут быть полезны в последующих фазах оценки.

Начало:

Мои методы разведки, как правило, разделены по категориям, поэтому я создал несколько директорий на своей локальной машине, выполнив:

mkdir -p gcash.com ~/recon/targets/gcash.com/subdomains/

mkdir -p gcash.com ~/recon/targets/gcash.com/endpoints/

mkdir -p gcash.com ~/recon/targets/gcash.com/aws/

mkdir -p gcash.com ~/recon/targets/gcash.com/dns/

Процесс разведки

- Перечисление поддоменов

- Сбор информации (сеть, DNS, технологии, порты)

- Автоматическое тестирование

Перечисление поддоменов

Сбор поддоменов очень важен в контексте поиска уязвимостей/тестирования на проникновение. Необходимо собрать как можно больше поддоменов, и я покажу вам, как их находить с помощью различных методов и инструментов.

Примечание: некоторые методы не всегда работают, но я покажу те, которые сам часто использую для сбора поддоменов.

Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются!

В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.

Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных.

Методология

Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы, чтобы создать новый аккаунт и завершить процесс регистрации.  

Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период.  

После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу. Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.