• XSS.stack #1 – первый литературный журнал от юзеров форума

Как я нашел критичный XSS и потерял около 100к рублей. История.

Отслеживать
Ratom1

Ratom1

RAID-массив
Забанен
Регистрация
14.11.2020
Сообщения
52
Реакции
58
Пожалуйста, обратите внимание, что пользователь заблокирован
Всех сердечно приветствую, дорогие читатели!

Расскажу, как я прошел свой небольшой путь до этого форума и собственно к изучению Теневого и ИБ.

Я только начинаю свой путь в изучении ИБ и прошу не осуждать глупость моих действий. События описанные в статье произошли буквально день назад.

Так же, прошу простить за отсутствие оформления статьи, я пишу с телефона. Спойлер, тестировал тоже с мобильного, что и подвело меня.

Все началось в далёком 2012 году. Будучи несовершеннолетним я заработал летом тяжким трудом на компьютер! Это было потрясающе. До того момента, я и не ведал, как прекрасно быть обладателем этой железяки. Что? Да, я убил свой винт буквально за недельку. По звонку мастеру я понял, что не потяну ремонт в 5.000. Я просто взял, и сам починил свой пк. Ощущения незабываемые и понял - я Хякер! С того момента я неустанно читал форумы и писал вредоносные bat. Время шло, я освоил python, веб-автоматизацию и всякого рода поверхности.

С появлением андроида, я решил что как настоящий хакер я должен уметь в взлом с мобильного. Какая девочка вообще пойдёт со мной гулять, коли я фай фай не ломал? Зелёный! Уровень тестостерона и желание стать нереальным гуру взлома давал о себе знать и я пришел к termux. Там, спустя понимание как хорошо все же в консоль, я установил на основу в пк Parrot OS и поехало...

Меж этим прошло много лет и вот я на xss.pro, с установленным пупеком, изучаю взлом. Дорки. SQLMAP. Первая слитая база. Не сплю ночь, вторую, XSS.

Выбор пал на тестирование небезысвестной, хоть и печально, площадку хостинг онлайн магазинов цифровых товаров. Рекламы не будет.

Чекаю sql. Ноль.

Пробую XSS в логин. Не работает.

Тогда, используя шпаргалку XSS с этого форума я протягиваю JS код в почту. Ноль результата.

Изучая сайт, вижу возможность подключить телеграм аккаунт. Бинго! Ставлю имя в телеге - код JS alert, открываю чат-претензию и... всплывает окно-предупреждение... То что нужно! Это ведь диспут, тут я могу утащить куки владельца Шопа, всех магазинов, утащить даже куки админа! Это победа!

Встал вопрос. Что дальше? Я могу сейчас прикинуть приёмник куков, открыть диспуты с всеми магазинами, вытащить куки и войти в них. Выкачать все товары... Да там минимум на тысяч 500 дерева! Я закурил. Как мне быть? Спустя 2 сигареты и кружку кофе, я решил ждать. Открыл еще несколько чатов с магазинами, везде сунул XSs и мониторил админа.

Он не заставил себя ждать. Уязвимость закрыли, не сказав ни слова. Я очень расстроился! Верно ли я поступил? Но все же, администратор, на заражённом диспуте написал мне свой телеграм, чтобы я связался с ним. Быть может, они решили отблагодарить меня?

Я поспешил написать им, попутно рассказав все результаты тестирования и прочие уязвимости, которые я смог обнаружить. Оценив это, меня направили на общение с еще более вышестоящим админом... быть может даже владельцем! Я был несказанно рад, говорить лично с ним...

Я обязательно допишу историю...
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну так выложи имена этих админов, кто не заплатил за найденную уязвимость. В будущем просто все будут знать, что если наломают их, то им лучше не сообщать.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Для меня это было бы в ущерб им моим часам времени в днях парится над поиском оплаты за уязвимость оставив себе на память что не хочется терять данные мне самим собой денежки, а даже если к сути то для меня любая уязвимость для себя ущерб минимум так же 199к и больше, нечего добавить просто элементарные вещи вкладываться и трепаться на ветру пустой писаниной и болтовнёй вплоть до бесконечностей з бесконечностей.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Дело в том, что администрация атакованного ресурса вышла на связь и я решил удалить упоминания об уязвимости, рассчитывая на вознаграждение. Его нет. Я продолжу историю.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Жаль, я не могу редактировать основную статью, потому напишу комментарием вторую часть.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Итак, меня попросили связаться с человеком и дали его Линк. Я не знал, с кем говорю, насколько он подкован. Я понимал, что если это владелец ресурса то скорее он ничерта не смыслит и я смогу рассказать ему ужасы уязвимостей и получить вознаграждение. Я отыгрывал в д'артаньяна. Ему я напомнил, что данная уязвимость позволяла мне получить доступ к админке сайта. Та крутятся крупные, серые деньги и я смог бы с лёгкостью их вывести. Переобувшись, я начал вести речь от поклонника ресурса, утверждая что я желаю лишь мира. Впечатление на администратора я смог произвести, он был удивлён, что я удержался и не атаковал ресурс, находясь в шаге от открытой двери. В качестве пруфов проведения атаки я предоставлял ему скриншоты и он был очень удивлён, что тестирование я проводил с мобильного устройства. Он принял меня за профессионала, благо " П*здеть, не мешки ворочать". Началось интервью. Я был шокирован. Меня опрашивали о навыках, просили мое резюме, уточняли по времени актива и всячески пытались получить от меня информацию о том, как я смог провернуть атаку. Расскажу вам немного о ней, я не сказал этого админам, но вы должны знать. Вам это пригодится.

Атака посредством "Перетаскивания" имени.

В моем случае был доступен чат с администратором. Я решил проверить его на уязвимость и попробовал использовать код в имени. Не пропускало. Отправить прямо в чат код - слишком агрессивно. Изучая сайт, я увидел вариант авторизации через телеграм. Гениальная дыра безопасности. Я установил ник-код и авторизовался на сайте. XSS работала везде. Если вы видите возможность авторизации при помощи стороннего сервиса - это успех :)

Администрация проводила интервью, спрашивала о навыках и предлагала работу. Они планируют большое обновление и им нужно быть уверенными, что уязвимостей не имеется. Я пошел в атаку и сообщил, что готов к сотрудничеству, упомянул что это стоит денег и упомянул что они уже должны мне на данный момент. Пауза общения продлилась неделю. Администратор прочел мои письма и не ответил. Я решил, что на этом все, ребята слишком жадные и игра не стоит свеч. Я ошибался. Спустя 6 дней от просьбы вознаграждения, мне вновь написали. На этот раз, я не ожидал такого от них. Они готовы были предоставить оплату и интересовались, сколько я желаю получить. Я был в замешательстве. Ничего умнее, чем "Думаю, вы должны оценить сами, какую опасность я обнаружил. Решение за вами" я не смог сказать. Пауза продлилась около пяти часов. Я ждал ответ.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я был на работе. Пил кофе, смотрел в монитор и судорожно пытался выяснить, откуда взялась эта глупая цифра несходения в 10к. Отчет не сходился, день шёл медленно а на улице снег. Изредка я посматривал в телефон, ожидая ответ. Его не было. Я начинал терять терпение. Когда ответ поступил, я уже собирался домой. Был поздний вечер, на улице холодно и шёл снег, но я остановился посреди тротуара, замерзшими пальцами я писал ответ. Мне предлагали вознаграждение в размере 20.000р. Это были первые деньги с данного вида деятельности и я был несказанно рад! Смутило лишь то, что были некоторые условия, которые я должен соблюсти для получения средств. Я был насторожен. Оплату предлагали на Сбер. Этого нельзя делать. Нельзя принимать такие средства на свои счета. Я требовал биткоин. Собеседник вновь замолчал а я еще раз ознакомился с его предложением. Что ж, не так и сложно! Оплату я могу получить уже сейчас, я обязан не раскрывать информацию о сотрудничестве, я должен работать на удалённом сервере, который мне предоставят. Отчасти, смешно. В другом, я понимаю их. А если этот кто-то из сети сольёт их обновление? Это ведь крах! Скан паспорта они не простили))) Но оплата на Сбер... таким образом они хотели узнать, с кем имеют дело и кто несёт ответственность. Нет, в начале моей карьеры я не планирую стать рабом какой-то конторы магазинов. Биткоин либо расход. Ответ не заставил себя долго ждать. Мне предлагали компромисс, перевод на биткоин но только полного вознаграждения. Это значит, что я месяц буду работать с ними а потом они оплатят. В какие это ворота? Они специально создают мне такие условия? Я не готов к такому. Я не буду работать бесплатно за обещания. Я не приму средства на свои счета и не выдам себя.

Высказал все это админу. Он вновь прочел и затих. На этот раз на сутки.
 
Ratom1 сказал(а):
Я был на работе. Пил кофе, смотрел в монитор и судорожно пытался выяснить, откуда взялась эта глупая цифра несходения в 10к. Отчет не сходился, день шёл медленно а на улице снег. Изредка я посматривал в телефон, ожидая ответ. Его не было. Я начинал терять терпение. Когда ответ поступил, я уже собирался домой. Был поздний вечер, на улице холодно и шёл снег, но я остановился посреди тротуара, замерзшими пальцами я писал ответ. Мне предлагали вознаграждение в размере 20.000р. Это были первые деньги с данного вида деятельности и я был несказанно рад! Смутило лишь то, что были некоторые условия, которые я должен соблюсти для получения средств. Я был насторожен. Оплату предлагали на Сбер. Этого нельзя делать. Нельзя принимать такие средства на свои счета. Я требовал биткоин. Собеседник вновь замолчал а я еще раз ознакомился с его предложением. Что ж, не так и сложно! Оплату я могу получить уже сейчас, я обязан не раскрывать информацию о сотрудничестве, я должен работать на удалённом сервере, который мне предоставят. Отчасти, смешно. В другом, я понимаю их. А если этот кто-то из сети сольёт их обновление? Это ведь крах! Скан паспорта они не простили))) Но оплата на Сбер... таким образом они хотели узнать, с кем имеют дело и кто несёт ответственность. Нет, в начале моей карьеры я не планирую стать рабом какой-то конторы магазинов. Биткоин либо расход. Ответ не заставил себя долго ждать. Мне предлагали компромисс, перевод на биткоин но только полного вознаграждения. Это значит, что я месяц буду работать с ними а потом они оплатят. В какие это ворота? Они специально создают мне такие условия? Я не готов к такому. Я не буду работать бесплатно за обещания. Я не приму средства на свои счета и не выдам себя.

Высказал все это админу. Он вновь прочел и затих. На этот раз на сутки.
Классно пишешь) Жду продолжения.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Время шло. Я терял терпение и находился в смуте о своём решении. Верно ли я поступаю? Так ли должно происходить? Какой был бы исход, если бы я не попался как ребёнок? Эти мысли не давали мне покоя. Меня злило молчание собеседника. Я решил атаковать ресурс и забрать свое. Деньги? Нет. Они не манят, когда ты получаешь доступы. Ты думаешь о другом. Это величие, эта власть - она затуманивает разум. Ты не хочешь забрать все. Ты уже забрал.

На нашем прекрасном форуме XSS я прочел о методе атаки путем подбора базы логинов. Я решил, что пора пробовать и закреплять этот метод.

Ранее утро. Молчание администратора и я преисполнен неутолимым желанием к атакам. Анализируя сайт я понимаю, что обычные пользователи не регистрируются на ресурсе, для них это не обязательно. Регистрацию имеют только владельцы магазинов и администрация ресурса. При таком раскладе, имея базу хотя бы в пару десятков аккаунтов мы уже имеем высокий шанс захвата админки.

Суть атаки довольно проста. Если ресурс при попытке "восстановить" забытый пароль просит у вас почту, а на неверно указанный ящик отвечает явным отказом "Такой адрес отсутствует в базе", но при верном ящике отвечает "Письмо с инструкциями отправлено на почту", то это брешь. При довольно больших объёмах почт, перебором мы можем выискивать зарегистрированные адреса на сервисе.

Все, что требуется, это взять список почт, отсеять адреса, и поочерёдно их проверять. Не в ручную, соотвественно. Тут нам требуется код.

Нужно расширять арсенал. Я судорожно возводил результаты взвешивания, на чем писать чекер.

Python достаточно хорош. Особого ума не надо, чаще всего ты берёшь готовый скрипт (свой или github) и правишь под свою задачу. Иногда я пишу и на BAS, когда мне нужна открытая работа с web. Но не сегодня. BAS был в другой атаке и я обязательно расскажу. Все же питон. Скрипт, весом в 40 строк готов, его задача -

Взять почту из базы.
Проверить ее на регистрацию.
В зависимости от результата принять решение.

Это простая логика скрипта, но именно так ты должен мыслить, когда планируешь что-либо.

Я запустил скрипт и уехал по делам. В дороге я сожалел, что не прикрутил скрипту ответчик в телеграм и меня терзали мысли, нашлось ли что? Была важная встреча, я говорил с своим руководством, но не способен был доносиит мысли - я думал лишь о атаке. Это иногда тяжело, не видеть процесс. Я не выдержал, позвонил супруге и попросил фотографию того, что видно на ноутбуке. Радостного мало. Ноль совпадений.

Администрация молчит. И я решаю подойти иначе, попросить их лично выдать мне условия для атаки. Конечно же, из благих намерений! Я вновь пишу им большое письмо, меняя некоторые условия договорённости, предалагаю новые этапы развития партнёрства. Отправив письмо, я закурил. Что я хочу от этого? Я не хочу их ободрать до нитки. Я не хочу уничтожить их ресурс. Хочу лишь, забрать свое. Морально. Добиться большего чем есть. Я вызвал такси и расстроенный, поехал домой. Нужно предпринимать что-то еще. Идей для атак не было. Собеседник молчал.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх