Доброго дня коллеги. Сегодня я хотел бы поделиться своим опытом взлома современных сайтов в финансовом секторе, созданных современными разработчиками в реалиях 2023 года, того стека что используется и актуальных технологий. Пишу данную статью после захвата 2 корпоративных сайтов написанных на современных фреймворках, в которых удалось провести инъекции типа Command and Code Injection.

Видео на тему как провести атаку LFI или RFI в PHP или как просто найти секреты открыв исходный код страницы или поглядев robots.txt к сожалению не работают. Не работают и топорные методы просто натравить общеизвестные сканеры типа Acunetix или Burp Scanner и ждать пока мы что‑то насобираем в таком ключе.

Я бы хотел подсветить именно те методы которые нам в этом помогут:

  1. Recon это наше все. Необходимо потратить достаточное количество времени для того чтобы определить технологический стек наших сайтов. И пойти немного дальше чем установку плагинов в Chrome Wappalyzer или BuildWith или запуск nikto. Нам нужно приложить все усилия чтобы понять на чем действительно написан бэкенд того модуля сайта с которым мы работает. Мы должны приложить максимум усилий чтобы выяснить версии тех фреймворков и языков с которыми мы работаем.

  2. Определить тот стек который мы ломаем и работать именно с ним. Создавать свои пейлод листы. Что я имею ввиду. Не нужно натравливать сканеры на Ruby если payload в них php или java. Максимально отслеживайте ту нагрузку что выдают сканеры. Не нужно натравливать seclists мохнатых годов если вы не уверены что это поможет. Не надо натравливать брутфорс листы нацеленные на зарубежную аудиторию, а попробовать собрать свои.

  3. Подготовить список инъекций для нужного нам стека и языка. Сделать максимальный ресерч методами github и google на тему тех инъекций и пейлодов которые мы можем использовать конкретно на данный стек.

  4. Попытаться развернуть локально ту технологию которую мы ломаем. Изучить внимательно все misconfigurations которые могут допустить админы и программисты поднимая данные сервисы.

  5. Троянский конь. Обязательно поднимите списки все поддоменов цели. Определи те точки входа где по вашим ощущениям они вас не ждут. Не бейте в лоб. Ищите места которые созданы не хорошо защищенным фреймворком, с жестко заданными полями которые проходят отличную очистку, а именно созданные ручным трудом кодеров.

  6. Автоматизируйте то что уже сделали. Простой пример автоматизации рекона в bash написанный за 5 минут:
    httpx -fc '403,401,400,404,503' -l subdomains.txt > subdomains_cleared_$vuln.txt && gowitness file -f ./subdomains_cleared_$vuln.txt -P ./screenshots__$vuln_$(date +%F) && subzy run --targets ./subdomains.txt && nuclei -l ./subdomains_cleared_$vuln.txt

  7. Документируйте ваш тулинг чтобы вернуться к нему в быстрые сроки и быстро поднять нужный синтаксис команд не ресерчя каждый раз одну и ту же тему. Юзайте Notion, Xmind, CherryTree, Evernote кто что больше любит.

На сегодня я хотел бы закончить и поблагодарить вас за внимание. Чтобы не перегружать материал а дать именно то что действительно работает.

Комментарии (11)


  1. mi_ch_ae_l
    21.07.2023 09:35
    +4

    А где собственно статья? Это больше похоже на план статьи


    1. Sub-ZeroMKX Автор
      21.07.2023 09:35
      -6

      Да вы правы нужно все детальнее здесь объяснить, подготовлю это во 2 части.


  1. vilgeforce
    21.07.2023 09:35

    Это все уже было описано десятки раз, ничего нового, вот совсем...


    1. alexeyk500
      21.07.2023 09:35

      Нет, нет. Пусть автор продолжает. Хабр это трибуна открытая для всех. Не хотите читать, пройдите мимо.


      1. vilgeforce
        21.07.2023 09:35

        Я ж не говорю "пусть не продолжает"


  1. NightAdmin
    21.07.2023 09:35

    хотелось бы в упомянутой второй части увидеть корреляцию с общепринятой cyber kill chain. автору спасибо за разбор!


  1. mamontovss
    21.07.2023 09:35
    +2

    А мне понравилось, Было бы здорово если бы вы в следующей статье рассказали как "пойти немного дальше чем установку плагинов в Chrome Wappalyzer или BuildWith или запуск nikto.", чем пользоваться если сканеры не помогают в сборе информации, вообще всегда ли они могут помочь и может ли быть такая ситуация что сайт мы взломать всё таки не сможем?


    1. Sub-ZeroMKX Автор
      21.07.2023 09:35

      Конечно может быть что МЫ в конкретный момент времени обладая текущими компетенциями и текущими временными ресурсами взломать не можем. Но те же МЫ через год обладая новыми компетенциями можем это сделать. Лично я всегда подразумеваю не отличную защиту сайта а собственную некомпетентность если не получается ничего найтию Как пойти дальше чем вышеупомянутые инструменты - это поиск конкретных путей, файлов, следов, ответов сервера и т.д. включая даже социальную инженерию.


      1. NightAdmin
        21.07.2023 09:35

        @Sub-ZeroMKX, чтобы лучше понимать ситуацию - речь идет про слепой взлом ради Bug Bounty или же заказанный пентест? Входит ли в это социальная инженерия с массовой рассылкой фишинговых мэйлов?


        1. Sub-ZeroMKX Автор
          21.07.2023 09:35

          Конкретно здесь мы говорим про законный пентест, но конечно фишинг не входит в скоуп баг баунти как и СИ. Поэтому в случае с Баг Баунти все тоже самое только исключаем коммуникацию с людьми.


  1. leto2015
    21.07.2023 09:35

    "... Пишу данную статью после захвата 2 корпоративных сайтов написанных на современных фреймворках, в которых удалось провести инъекции типа Command and Code Injection. ..." -расскажите о них в следующей части. Было бы интересно прочитать. И еще. Как вы используете Acunetix или Burp Scanner?