Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Доброго дня коллеги. Сегодня я хотел бы поделиться своим опытом взлома современных сайтов в финансовом секторе, созданных современными разработчиками в реалиях 2023 года, того стека что используется и актуальных технологий. Пишу данную статью после захвата 2 корпоративных сайтов написанных на современных фреймворках, в которых удалось провести инъекции типа Command and Code Injection
Видео на тему как провести атаку LFI или RFI в PHP или как просто найти секреты открыв исходный код страницы или поглядев robots.txt к сожалению не работают. Не работают и топорные методы просто натравить общеизвестные сканеры типа Acunetix или Burp Scanner и ждать пока мы что-то насобираем в таком ключе.
Я бы хотел подсветить именно те методы которые нам в этом помогут
Recon это наше все. Необходимо потратить достаточное количество времени для того чтобы определить технологический стек наших сайтов. И пойти немного дальше чем установку плагинов в Chrome Wappalyzer или BuildWith или запуск nikto. Нам нужно приложить все усилия чтобы понять на чем действительно написан бэкенд того модуля сайта с которым мы работает. Мы должны приложить максимум усилий чтобы выяснить версии тех фреймворков и языков с которыми мы работаем.
Определить тот стек который мы ломаем и работать именно с ним. Создавать свои пейлод листы. Что я имею ввиду. Не нужно натравливать сканеры на Ruby если payload в них php или java. Максимально отслеживайте ту нагрузку что выдают сканеры. Не нужно натравливать seclists мохнатых годов если вы не уверены что это поможет. Не надо натравливать брутфорс листы нацеленные на зарубежную аудиторию, а попробовать собрать свои.
Подготовить список инъекций для нужного нам стека и языка. Сделать максимальный ресерч методами github и google на тему тех инъекций и пейлодов которые мы можем использовать конкретно на данный стек.
Попытаться развернуть локально ту технологию которую мы ломаем. Изучить внимательно все misconfigurations которые могут допустить админы и программисты поднимая данные сервисы.
Троянский конь. Обязательно поднимите списки все поддоменов цели. Определи те точки входа где по вашим ощущениям они вас не ждут. Не бейте в лоб. Ищите места которые созданы не хорошо защищенным фреймворком, с жестко заданными полями которые проходят отличную очистку, а именно созданные ручным трудом кодеров.
Автоматизируйте то что уже сделали. Простой пример автоматизации рекона в bash написанный за 5 минут:
httpx -fc '403,401,400,404,503' -l subdomains.txt > subdomains_cleared_$vuln.txt && gowitness file -f ./subdomains_cleared_$vuln.txt -P ./screenshots__$vuln_$(date +%F) && subzy run --targets ./subdomains.txt && nuclei -l ./subdomains_cleared_$vuln.txt
Документируйте ваш тулинг чтобы вернуться к нему в быстрые сроки и быстро поднять нужный синтаксис команд не ресерчя каждый раз одну и ту же тему. Юзайте Notion, Xmind, CherryTree, Evernote кто что больше любит.
На сегодня я хотел бы закончить и поблагодарить вас за внимание. Чтобы не перегружать материал а дать именно то что действительно работает.