Эксплоиты для веб-движков!

[snezhinka_letom]

Всем доброго времени суток, очень сильно нравится изучать веб пентестинг. На днях задался вопросом, а как часто шляпники находят Експлоиты и сливают их в сеть? На сколько тяжело самому начать добывать эти эксплоиты? Старичкам этого нелёгкого дела буду очень сильно благодарен! Всем хорошего настроения.

 

[p1r0man]

Да тут секретов нет, это тебе не бинарники ковырять, берешь какой-нить плагин для интересующей тебя CMS и смотришь код, ищешь места входа (для xss и sql inj в частности), ищешь опасные функции для выполнения кода, смотришь как инклудятся файлы (L/RFI) ну и ищешь serialize...

 

[dunkel]

Никто не сливает, эксплоит можно монетизировать в мильон $
0day - Если ксакеп находит уязвимость в последней версии ПО (самый жир)
1-n day - Если разрабы узнают об уязвимости и фиксят в обновлении, но не раскрывают деталей (можно найти через сравнение файлов предыдущей версии ПО и обновой которая ее фиксит, чтобы понять где там была уязвимость)
CVE - когда уязвимость уже пофиксили в автообновлении и она не представляет опасности для большинства, и разрабы или исследователи раскрывают технические детали (обычно через несколько месяцев после патча)

Чтобы самому 0day искать надо хорошо понимать computer science и язык на котором написано ПО которое изучаешь, чтобы читать и понимать исходники или выход декомпилятора. Смотреть куда можно передать свои данные и что с ними происходит в коде и памяти. Грамотно настроить фаззер для автоматического тестирования инпутов которые могут привести к rce или нарушить логику ПО. В общем творческое и непростое ремесло, но если найдешь 0day rce какую нибудь и сможешь монетизировать (сканишь весь интернет на уязвимый компонент, получаешь доступы и успевай только отрабатывать) - будешь в шоколаде

 

[zdestuta]

находят Експлоиты

находят - уязвимости, а эксплоиты - пишут (по найденой новой уязвимости)

На сколько тяжело самому начать добывать эти эксплоиты?

exploit-db.com или в Kali консольная утилита searchsploit

на практике же умные "шляпники" если и выкладывают эксплоит в паблик, то это PoC (подтверждение концепции, оно не ломает а просто подтверждает что уязвимость есть или нет, ну или ломает но "неюзабельно" как-то) и/или с намеренно внесёнными небольшими ошибками - чтобы кто попало не мог пользоваться бездумно - и лично я считаю такой подход правильным.

с нуля уязвимости (как подмножество возможных багов) ищут смотря результаты от передачи разных параметров (вручную либо фаззером, посмотеть можно AFL++ для прог ну или ffuf/wfuzz для вебки), задаваясь вопросом "как же оно себя поведёт если я передам вместо обычного ввода вот это неожиданного ебобо на вход?" - просто "падает" прога - это уже хорошо, это баг, но не каждый баг увы является уязвимостью (см. про подмножества) , также можно смотреть читать код и при некотором опыте догадаться (например простая конкатенация SQL строк с передаваемыми параметрами при формировании SQL запроса на сервере - это практически 99% SQL инъекуция - её прям видно, прям "в глаза бросается" такой безобразный код) , также никто не отменял дополнительно дебаг и/или логирование если в opensource ищется уязвимость.

 

[FantasticExploits]

мне нарвятся https://github.com/projectdiscovery/cvemap и https://sploitus.com/

 

[xargs]

На Гитхабе можно очень много чего найти но там на свой страх и риск. Нужно читать код, часто даже приходиться пайлоды расшифровывать если ето например шелл-код в байтах, иначе можно попасться на троля который в шелкоде "rm -rf /" делает а потом в описании эксплойта пишет мол нужны права рута бо у нас тут сырые сокеты которые иначе не будут работать) Буквально пол года назад был такой эксп для ССХ в твиттере разрекламирован.

 

[zdestuta]

На Гитхабе можно очень много чего найти но там на свой страх и риск. Нужно читать код, часто даже приходиться пайлоды расшифровывать если ето например шелл-код в байтах, иначе можно попасться на троля который в шелкоде "rm -rf /" делает а потом в описании эксплойта пишет мол нужны права рута бо у нас тут сырые сокеты которые иначе не будут работать) Буквально пол года назад был такой эксп для ССХ в твиттере разрекламирован.

бгг, раньше не так кровожадно делали конечно впрочем киддис делятся на тех кто уже знает про "сперва запусти в песочнице" и тех кто с основной системы бездумно захерачит что попало, ну и поделом.
в жизни вообще главная ошибка это "не тестировать" (максимально безопасно, перед применением) - это много чего касается причём и IRL вещей.
но вообще издавна так сложилось, что почти у всех сплоитов в паблике как правимло присутствовала "ашипка" , это ну как "предохранитель", чтобы кто попало бездумно не заюзал, а кто думать умеет тот чтобы разобраться всё-таки смог чего там не работает.

 

[xargs]

что почти у всех сплоитов в паблике как правимло присутствовала "ашипка"

Ну оно даже не намерено, зачастую в "хардкоде" банально может быть прописана путь к папке по дэфольту а на таргете другой, или же другая архитектура или ваф мешает. Прям что бы намерено было "испорчено" очень очень редко. Сама природа пентеста не бывает однозначной. Даже бывали случаи когда в msf приходилось фиксить эксплойты, хотя по их политике в базе только сверх стабильные сборки.

 

[dkromero]

Подскажите, есть ли прога пакетной проверки публичных эксплойтов, чтобы на вход файл со списком номеров CVE, на выходе для каких из них есть эксплойты.

 

[killcripta]

Подскажите, есть ли прога пакетной проверки публичных эксплойтов, чтобы на вход файл со списком номеров CVE, на выходе для каких из них есть эксплойты.

в кали линуксе все есть) юзай