Timeweb багбаунти

TS_nightmare · 06.08.2024

Всем привет дорогие форумчане!
Решил произвести исследование timeweb где нашел на "мой взгляд" странные недочеты, но на что мне сказали что это не входит в их бл#ть скоуп
Прошу изучите файл и скажите, это правда даже не подходит под Low?
---
При изучении работы регистрации на сервисах gw.timeweb.com/timeweb.com
Было замечено, что при отправке POST запроса по эндпоинту (gw.timeweb.com/gw/portal/v2/registration/hosting) выдается нам
retry_key (который и заинтересовал меня где он используется)

После чего было замечено использование данного retry_key, который выступает в роли hash в проверке OTP кода, который приходит на почту.

Но самое интересное, что нету проверки сколько раз ввел OTP code пользователь. После чего я поставил подбор OTP code до 9999

Т.е можно создавать учетные записи на почты(вымышленные), которых у нас нету доступа.

Но это пол пути к беде
Самое странное и интересное действие это то, что можно перерегистрировать зарегистрированные аккаунты 0_0

У нас есть зарегистрированный аккаунт на почту best.sell@internet.ru
Делаем заново регистрацию по эндпоинту и брутим OTP code
Получаем новый логин и пароль от аккаунта зарегистрированного на почту best.sell@internet.ru

После регистрации нового аккаунта отправляем снова запрос на регистрацию

Получаем наш retry_key и идем брутить OTP code

Вот и наш OTP code = 1523

Соединяем OTP code + hash и получаем новый логин и пароль зарегистрированный на почту best.sell@internet.ru(т.е перерегистрировали)

И получаем Лог и Пасс от аккаунта

Их ответ

MLeak · 06.08.2024

Наивные белые шляпки, которые ждет выплаты)
Там уже получили выплату. а тебе написали что нихуя не подходит) Все просто)
P.s. ну и можешь убедиться , странички не существует - значит ведутся тех. работы) или вовсе удалил уязвимую страницу, чтобы такие как ты бабки не получали)

TS_nightmare · 06.08.2024

MLeak сказал(а):

Наивные белые шляпки, которые ждет выплаты)
Там уже получили выплату. а тебе написали что нихуя не подходит) Все просто)

Та уже который раз утверждаюсь что либо ловишь RCE и бл#ть насильно заставляешь выплатить, либо кидают

MLeak · 06.08.2024

TS_nightmare сказал(а):

Та уже который раз утверждаюсь что либо ловишь RCE и бл#ть насильно заставляешь выплатить, либо кидают

Вообще ты выбрал форум нужной тематики ) это форум людей, которых уже кинули на программе баг баунти) Тут все багбаунти занимаются)

dunkel · 06.08.2024

Четырехзначные otp еще через race condition часто обходятся. Отправляешь в одну микросекунду через turbo intruder коды от 0000 до 9999, часть из них (1-10%) сервер корректно принимает в обработку, не успев накинуть таймаут, и с небольшим шансом с нескольких попыток можешь угадать код

Undergrowth · 06.08.2024

Интересная ситуация, но жаль, что так вышло. Всегда есть время надеть другую шляпу

dunkel · 06.08.2024

TS_nightmare сказал(а):

Та уже который раз утверждаюсь что либо ловишь RCE и бл#ть насильно заставляешь выплатить, либо кидают

Баг баунти оно такое. Кому то 10к$ за найденный gitignore, а кому то угрозы судом за найденную на энтузиазме rce. Обычно если у ресурса нет официальной баг баунти программы - они уязвимость тайно пофиксят, но ничего не заплатят

Dread Pirate Roberts · 06.08.2024

пару лет назад на мейллисты начали сыпаться письма от индусов "у вас не настроен DMARC, пожалуйста заплатите мне баг баунти за responsible disclosure", и тогда я понял, что сфера баг баунти - ВСЁ.
потому что любая сфера ВСЁ когда в неё приходят индусы

k0priz · 07.08.2024

Не ту шляпу ты выбрал друг)

woof · 07.08.2024

Dread Pirate Roberts сказал(а):

пару лет назад на мейллисты начали сыпаться письма от индусов "у вас не настроен DMARC, пожалуйста заплатите мне баг баунти за responsible disclosure", и тогда я понял, что сфера баг баунти - ВСЁ.
потому что любая сфера ВСЁ когда в неё приходят индусы

Лично у меня было примерно так: "Уважаемый мистер, я нашел дырку на вашем сайте, свяжитесь со мной." пишешь ему что ты нашел?

Присылает ответ мол в HTML редакторе можно вставить XSS .

Я в шоке.

petrinh1988 · 07.08.2024

Забавно, но после прочтения этой темы наткнулся на "пример работы белой шляпы"

О дивный мир продажи воздуха

P.S. Простите это был перпостинг. Тот кто рерайтил попытался хоть как-то исправить ущербность диалога, сильно его сократив. Под спойлером полная версия. Очень понравилось, как почтовик показывает разные тексты в открытом письме и в цепочке писем, сохраняя при этом смысл.

TS_nightmare · 07.08.2024

petrinh1988 сказал(а):

Забавно, но после прочтения этой темы наткнулся на "пример работы белой шляпы"

Посмотреть вложение 92051

О дивный мир продажи воздуха

P.S. Простите это был перпостинг. Тот кто рерайтил попытался хоть как-то исправить ущербность диалога, сильно его сократив. Под спойлером полная версия. Очень понравилось, как почтовик показывает разные тексты в открытом письме и в цепочке писем, сохраняя при этом смысл.

Ххаах прикольный пример, ну поцаненок видишь нашел xss-ку и получил монетку(хоть нах#й не послали)

petrinh1988 · 07.08.2024

TS_nightmare сказал(а):

Ххаах прикольный пример, ну поцаненок видишь нашел xss-ку и получил монетку(хоть нах#й не послали)

Да меня как-то смутило пару моментов.... если точнее, то все моменты. Во-первых, платеж указан 1 января 2024 года в 22:56... очень ответственный сотрудник сайта и крайне приветливое начальство, у которого сотрудник попросил произвести оплату. Программисты, которые в Новый год чинили тоже молодцы, очень ответственные.

Письма, как и писал раньше, тоже очень интересные. В цепочке написано "Расскажите пожалуйста" (второе снизу, а в развернутом письме "Здравствуйте, давайте". Даты в цепочке 26 декабря, потом январь. В развернутых письмах 27-28 ноября, а потом декабрь....

kiber · 07.08.2024

а рейтлимит на перебор OTP кода есть?

TS_nightmare · 07.08.2024

Нет им вообще пох#й видимо :zns6:

kiber сказал(а):

а рейтлимит на перебор OTP кода есть?

kiber · 07.08.2024

TS_nightmare сказал(а):

Нет им вообще пох#й видимо

ну вообще это вроде как даже не дыра, потому что перебрать в теории можно все что угодно. А то что тут это сделать можно перебрав всего 9999 значений - минус

TS_nightmare · 07.08.2024

kiber сказал(а):

ну вообще это вроде как даже не дыра, потому что перебрать в теории можно все что угодно. А то что тут это сделать можно перебрав всего 9999 значений - минус

Согласен это просто low недочет, то что мы можем не использовать почту для создания аккаунта.
А вот что регистрация на зарегистрированного пользователя(почту) было очень круто слышать что это "упрощенная авторизация" бл#ть пхавпхвахпвхапхвахп

Xstage · 07.08.2024

petrinh1988 сказал(а):

Да меня как-то смутило пару моментов.... если точнее, то все моменты. Во-первых, платеж указан 1 января 2024 года в 22:56... очень ответственный сотрудник сайта и крайне приветливое начальство, у которого сотрудник попросил произвести оплату. Программисты, которые в Новый год чинили тоже молодцы, очень ответственные.

Письма, как и писал раньше, тоже очень интересные. В цепочке написано "Расскажите пожалуйста" (второе снизу, а в развернутом письме "Здравствуйте, давайте". Даты в цепочке 26 декабря, потом январь. В развернутых письмах 27-28 ноября, а потом декабрь....

Вроде с зеленки статья. Если кратко то нах6й послали и предложили мерч

c0d3x · 20.08.2024

Xstage · 22.08.2024

c0d3x сказал(а):

Посмотреть вложение 93011
Посмотреть вложение 93014

щедро

Timeweb багбаунти

CD-диск

Вложения

RAM

CD-диск

RAM

(L1) cache

(L3) cache

(L1) cache

Премиум

(L3) cache

floppy-диск

X-pert

CD-диск

X-pert

CD-диск

CD-диск

CD-диск

CD-диск

HDD-drive

Мафиозник

HDD-drive