Взлом казино bc.game

[xak333r]

Всем привет, вообщем такая тема народ, знаю backend от казика bc.game,есть ваидные логины с паролями, но на двух сайтах просит 2фа, на третьем okta, при этом если через burp proxy зайти на сайты где 2fa,с определенными настройками, то вроде как попадаешь внутрь админки, даже данные какие то тащаться, но мало, пишет нехватает permissions, но некотлрая инфа всеже льется,.

я так понял, сайт уязвим к json injects, подмена значений в burp, к примеру userId, дает вытащить еще больше данных.

Загвоздка в том, что там в скриптах очень все запутано, и не могу понять как правильно прописать эти значения для подмены.

Плюс после того, как подменишь данные на сайтах с 2фа, эти же куки подходят и к сайту где okta.

Нужны профи народ, давайте нагнем этих уродов, там бабла немеренно.
Жду в tox.

Посмотреть не дам, только для профи.

EAC608E13804B3526167F4A33AE83175E48F7CCF307E72B747D781A16294C54D0A31A2BCE483

Вот пример инфы что тащитсч

Вот пример инфы что тащитсч

Ах да, еще забыл, есть валидный акк от okta, пасс подходит, но требует либо смс либо 2фа код.... (
Получается заливать файлы с любым расширением, но по итогу они скриптами заливаются на хостинг с амазон s3 на субдомене,в виде картинок.
Сам сайт я так понимаю гхна nodejs, nginx 1.16.1 помоему, плюс wasm.

 

[celty]

а не байт ли случаям? Просто в открытую так говорить что вот я взломал казино и еще указал какое.

 

[dunkel]

а не байт ли случаям? Просто в открытую так говорить что вот я взломал казино и еще указал какое.

Да не там просто мусор на тестовых зеркалах и поддоменах казино. Креды от них гуляют по интернету много лет, и в логах куча. Эти поддомены и зеркала на отдельном хостинге и никак не связанны с основным сайтом

Хотя может и получиться у кого то что то, просто уже несколько лет вижу много таких тем что есть креды от какого то тестового гемблинг поддомена и никто не может раскрутить эту точку входа

 

[Бокша]

Клиническим идиотом нужно, что бы писать это публично, прилагая скрины с инфой, которая через 10 секунд после публикации будет уже в руках саппорта уязвимой площадки. Сорри.

 

[xak333r]

Клиническим идиотом нужно, что бы писать это публично, прилагая скрины с инфой, которая через 10 секунд после публикации будет уже в руках саппорта уязвимой площадки. Сорри.

Дружище, да похрену, там саппорт деревянный, пытался я сними контакт поиметь. До кремля проще достучаться, чем до них.

 

[xak333r]

Да не там просто мусор на тестовых зеркалах и поддоменах казино. Креды от них гуляют по интернету много лет, и в логах куча. Эти поддомены и зеркала на отдельном хостинге и никак не связанны с основным сайтом

Хотя может и получиться у кого то что то, просто уже несколько лет вижу много таких тем что есть креды от какого то тестового гемблинг поддомена и никто не может раскрутить эту точку входа

А вот в этом ты ошибаешься бро 100%, хостинг может и другой, но инфа тащиться с bc.game в реальном времени, проверял. Жаль что малая часть лишь.

 

[GetterSetter]

Сейчас кто-нибудь тебе отпишет, подробности разузнает и подлетит к поддержке с подробностями, чтобы бонус получить на всякие спины, рулетки

 

[zdestuta]

Хм... вижу kyc и pfile поддомены через crt.sh (сканить subl1st3r'ом каким-нибудь - некогда пока) , вижу блог на WP 6.4.2 (правда интереснее какие там плагины) и вижу форум на IPB движке, и даже интересный сайтик на WP вижу в Индийском домене... это так бессистемно и на вскидку пока что.
Я конечно понимаю что топикстартером найден вроде бы "короткий путь" и "вот-вот уже!...", но расширить "площадь атаки" (дверей для входа может быть >1, иногда сильно >>1 ;-) ) всё же порекомендовал бы, хоть это и утомительно конечно спору нет.

 

[xak333r]

Хм... вижу kyc и pfile поддомены через crt.sh (сканить subl1st3r'ом каким-нибудь - некогда пока) , вижу блог на WP 6.4.2 (правда интереснее какие там плагины) и вижу форум на IPB движке, и даже интересный сайтик на WP вижу в Индийском домене... это так бессистемно и на вскидку пока что.
Я конечно понимаю что топикстартером найден вроде бы "короткий путь" и "вот-вот уже!...", но расширить "площадь атаки" (дверей для входа может быть >1, иногда сильно >>1 ;-) ) всё же порекомендовал бы, хоть это и утомительно конечно спору нет.

Вектор атаки расширен по максимуму сколько смог, есть тестовые домены казино с крупными балансами, там вывод не работает. Есть js.map файл от немного другого казино, идеинтичного, куки даже пожходят друг к другу. Есть возможность файлы заливать, а еще могу в партнерской программе добавлять какой то баланс, в любом количестве $, только не могу догнать куда он падает.

 

[LIGUL]

Вектор атаки расширен по максимуму сколько смог, есть тестовые домены казино с крупными балансами, там вывод не работает. Есть js.map файл от немного другого казино, идеинтичного, куки даже пожходят друг к другу. Есть возможность файлы заливать, а еще могу в партнерской программе добавлять какой то баланс, в любом количестве $, только не могу догнать куда он падает.

Очень хороший результат. Могу подсказать одну цель для атаки. Программист который там писал апи - рукожоп. Был баг с реквестами, позволяющий себе на аккаунт добавлять сколько угодно фриспинов в казино. Пофиксили его только через 3 недели, когда я уже совсем оборзел. В сумме получилось 20000$ профита. Сейчас вроде всё пофиксили, cloudflare поставили. У меня в веб уязвимостях особо опыта нет, дальше пытаться не стал, может быть у тебя что-то получится

 

[zdestuta]

Очень хороший результат. Могу подсказать одну цель для атаки. Программист который там писал апи - рукожоп. Был баг с реквестами, позволяющий себе на аккаунт добавлять сколько угодно фриспинов в казино. Пофиксили его только через 3 недели, когда я уже совсем оборзел. В сумме получилось 20000$ профита. Сейчас вроде всё пофиксили, cloudflare поставили. У меня в веб уязвимостях особо опыта нет, дальше пытаться не стал, может быть у тебя что-то получится

прикольно. баг случайно не race condition? (по описанию похоже очень)
таргет можно не говорить даже, интересен сам баг как был найден и как эксплуатировался.

 

[LIGUL]

прикольно. баг случайно не race condition? (по описанию похоже очень)
таргет можно не говорить даже, интересен сам баг как был найден и как эксплуатировался.

Нет, не race. Если честно, баг был именно в коде самого апи, от меня требовалось лишь кидать валидные пост/пут реквесты на сервер. Дай свою телегу, я покажу что там было

 

[LIGUL]

Нет, не race. Если честно, баг был именно в коде самого апи, от меня требовалось лишь кидать валидные пост/пут реквесты на сервер. Дай свою телегу, я покажу что там было

возможно там есть ещё какие-то другие баги. Я про веб уязвимости начал читать только после этого случая с казино, люди опытнее меня по-любому что-то да найдут

 

[zdestuta]

Нет, не race. Если честно, баг был именно в коде самого апи, от меня требовалось лишь кидать валидные пост/пут реквесты на сервер. Дай свою телегу, я покажу что там было

телеги нет, да и в свете последних событий не рекомендуется телегу пользовать, однако есть jabber и ЛС тут.
хотя если там просто в параметрах дело то это банально, согласен.
пример можно смело приводить без указания таргета и например переименовав API , ну чтобы таргет не нашли - получается и пример есть и таргет не засвечен ;-)

 

[zdestuta]

возможно там есть ещё какие-то другие баги. Я про веб уязвимости начал читать только после этого случая с казино, люди опытнее меня по-любому что-то да найдут

преимущество black hat в том что ему достаточно найти одну годную уязвимость, в то время как "белый хакер" по идее должен найти как можно больше разных с целью устранить.
ну и математика (логика) тут увы не на стороне white hat, так как то что уязвимость есть можно сказать 100% если она естьи привести пруфы, а вот то что "там больше ничего уязвимого нет" - так сказать с гарантией не может никто и врядли что-то поменяется (особенно вряд ли поменяется в "бессердечной науке" - математической логике )