FAQ
t.me/api_0Обещал статью по вашим вопросам, но что-то быстро реализовать ее не получилось. Много воды лить не буду. Сразу к делу.
Вопросы, которые я постараюсь раскрыть:
- Топ 5 тулз, которыми пользуюсь
- Топ багов, которые я находил и чаще всего мне встречаются
- Что больше всего бесит в багбаунти и на hackerone
- Хороший и плохой scope в программах багбаунти
- Как выбираю цель? Конкретная программа или наобум?
- Как определиться куда копать? Работа с доменами в скопе
- Разбор работы с х1
- Список групп и каналов с инфой
- !!! Почему багбаунти это плохо !!!
Топ 5 тулз, которыми я пользуюсь для поиска багов
Я пользую в работе и поиске багов всего несколько тулз, потому что в большом их количестве просто нет необходимости. Расставлю их по приоритету:
1) BurpSuite. Его я ставлю на первую строчку, так как я в большинстве случаев смотрю проходящие пакеты запросов и ответов не зависимо от того, играет ли он какую-то роль в найденной уязвимости или нет. Порой их чтение дает мне дополнительные шансы на выявление уязвимостей и недочетов какого-либо сервиса. Да и к тому же в бурпе полно дополнительных модулей, которые помогают в работе. Разберитесь с ним. Не пожалейте времени на обучение или задолбайте товарища, который его знает и разберитесь. Он очень удобен. (ничего не имею против аналогов)
2) Dirsearch. Дирсерч пользую так же по дефолту чаще для сбора информации о том, что я имею и где могу развернуться. Но использую его со словарем товарища b00om-a, потому что его словарик более исчерпывающий, нежели дефолтный словарь дирсерча. Заменить его можно в папке dirsearch/db/dicc.txt
3) nmap. Данная штука мне помогает на тачках в hackthebox. Думаю все и так знают что это и для чего. Останавливаться не стану.
И по факту, жизненно необходимых утилит больше в этом списке нет.
Дополнительно я использую еще:
4) sqlmap, когда не уверен реально ли есть скуля или мне показалось и это фолз, или же акунетикс мне сказал, что там скуля, а проверить вручную не удается.
5) Acunetix. Он мне нужен по большей части чтоб в фоне проработать и профаззить те дыры, которые возможно мой мозг не заметит. Потому что я стараюсь не искать классические дыры, а ориентироваться на логику.
Это все утилиты, которые я использую на постоянной основе. Все остальные тулзы используются пару раз и забываются на века. Потом заново искать приходится)
Топ 5 багов, которые я находил и чаще всего мне встречаются
Самая, наверное, встречающаяся мне бага это конечно xss, потому что, наверное, ее довольно таки часто оставляют. И не смотря на то, что овасп по сей день утверждает что скули это самые распространенные дыры, в багбаунти, во всяком случае у меня лично, рейтинг малость другой.
Следом идет path и directory traversal. После них в топе csrf и ssrf.
Что больше всего бесит в багбаунти и на hackerone
На самом деле нереально бесит, и вы с этим столкнетесь, если будете репортить баги на hackerone (далее и везде — х1), да и не только на х1, то, что мне, как человеку, который хотя бы косвенно обеспечивает безопасность каких либо сервисов в программах багбаунти, приходится доказывать уязвимости, найденные мною. Вы могли неправильно подумать, прочитав предложение выше, и скажете «ну а как по твоему тебе выплатят деньги то?», но я не про стандартное объяснение уязвимости staff-у программы (человек, который рассматривает твой отчет/репорт) с предоставлением РОС-а, а про то, когда наитупейшие стафы рассказывают про то, что та или иная уязвимость не имеет impact-а или они вообще ее не могут воспроизвести. А происходит это либо из-за некомпетентности работников, либо из-а жадности компании. Почему-то такие конторы как gitlab, github, paypal и тд и тп и в тч, прекрасно принимают уязвимости и порой могут даже помочь в раскрутке их. Мне известны случаи, когда стафы программы говорили багхантеру, что возможно там-то и там-то будет что-то большее.. поковыряйся еще бро! мы пока не будем исправлять в течении такого-то срока. если вдруг найдешь что-то, то пиши!
Бесят h1 staff. Это архитупые ребята, которые бракуют валидные отчеты просто пачками ежедневно. Через них проходят все репорты в программах, радом с которыми есть надпись Managed. Компании платят большие деньги чтоб эти ребята отсеивали мусор, по типу «я изменил html код и теперь у меня на странице в paypal миллиард долларов. исправьте уязвимость. правда при обновлении они почему-то исчезают». Но эти люди настолько некомпетентны, что не отличают годный отчет от отчетов скрипткиди.
Хороший и плохой scope в программах багбаунти
Хороший скоп = большой скоп)
То есть если вы заходите на программу и видите:
*.domain.com
*.lol.kz
*.pay.pl
kakoi-to_domain.do
…
и тд и тп
То это годный скоп. В нем можно забуриться и искать. Если вы думаете, что там все изрыли до вас, то не забывайте, что все обновляется чуь ли не ежедневно и большие компании, котрые кладут программу на х1, стараются (именно стараются) следить за тем, чтоб их сервисы не устаревали. Ну типа появляются новые баги, новые cve и тд и тп и этому всему нужно следовать (как будто следят за модой), ибо хакеры тоже не спят. А чем больше скоп — тем сложнее абсолютно везде качественно обновляться. И не забывайте, что разрабы — это не багхантеры. Они конечно знают довольно неплохо как работают уязвимости и как от них защититься, но они в большинстве своем не думают как хантеры.
Соответственно плохой скоп — это маленький скоп, где следить за всем гораздо легче. Если я выложу в багбаунти сайт визитку, на котором все прикрыто, то, соответственно, баунти платить и не придется, потому что там не найдут ничего.
Как выбираю цель? Конкретная программа или наобум?
Листаю такой
https://hackerone.com/directory?offers_bounties=true&asset_type=URL&order_direction=DESC&order_field=started_accepting_at
и смотрю каждую программу, со скопом и ценами по нраву) Тут, лично у меня нет никакой методологии. Единственное, когда выходит новая версия акунетикса, с новыми cve, я стараюсь искать огромные скопы, чтоб запихнуть на скан по 3-4 тысячи поддоменов. А так — никакой стратегии тут нет.
Как определиться куда копать? Работа с доменами в скопе
Изначально я смотрю как работает сервис и смотрю какой у него функционал. На этом этапе я вспоминаю дисклоуз отчеты на х1, которые могли затрагивать такой же функционал. Тут же можно найти логические уязвимости. Далее опробовав то, что вспомню, я собираю информацию полностью по сайту. Типа какая cms, прогоняю nmap-ом, в shodan чекаю что есть интересного. Если все чисто и не придраться, то залажу в голову за классическими уязвимостями и стараюсь каждую по очереди найти. Но, по правде говоря, не удается практически никогда сконцентрироваться на одной дыре и стараться искать только ее, потому что в голове всплывают новые векторы атаки и тут же хочется их опробовать, пока не забыл)
Всегда начинайте с изучения объекта ресерча, потому что вслепую никто ничего не делает. Только в акунетикс можно вслепую запихнуть поддомены и ждать результат
Разбор работы с х1
Как бы тривиально не звучало, но.. зарегистрируйтесь. Это поможет вам писать репорты)
Залазьте в for hackers → directory. Шлёпните слева в фильтре на нужные вам условия и просматривайте список предложенных программ.
Выбрали программ? Щёлкните на нее и посмотрите какие предоставляет она условия.
Все устроило? Вперед по доменам которые помечены in scope
Итак, вы нашли баг. На странице с условиями программы в самом верху справа от аватарки программы есть кнопочка submit report. Жми на нее как можно скорее, иначе возможно кто-то найдет этот баг и отправит его раньше тебя. В таком случае вместо выплаты тебя ждет надпись Duplicate и минус в репутации.
Итак добрались до отправки отчета
Asset — здесь мы выбираем тот домен, на котором найден баг
Weakness -вид и тип уязвимости которая была найдена
Severity (optional) — здесь уязвимости можно дать оценку. То есть как ты оцениваешь ее. Либо же воспользоваться калькулятором оценки. Но зачем заморачиваться если можно прямо сразу ее оценить)
Proof of Concept — здесь вам придется дать название своему отчету, а после этого - описать уязвимость. Лично я придерживаюсь формата обычного общения со стафами и пока никто не выразил свое недовольство по поводу оформления отчета. То есть я рассказываю небольшую историю как пришел к дыре (для того, чтоб в случае дисклоуза моего отчета, все могли понять как и почему я попал именно туда, где нашел уязвимость. делайте так всегда, чтоб дисклоузы были информативны для всех), после чего описываю домен, где уязвимость найдена и как нашел домен. Потом оставляю реквест и респонс, если этого требует уязвимость. Далее расписываю максимально подробно степсы (шаги). И конечно оставляю скрины с пруфом дыры. И возьмите за правило всегда скринить и записывать скринкаст своей уязвимости, для того чтоб лишний раз пруфнуть стафу.
Список групп и каналов с инфой
На самом деле я читаю информацию и новости онли в твиттере и в тех же чатах, где сидите все вы (webpwnchat, info sec | chat, канал Кавычка, чаты различных ctf и тд и тп) и новую информацию я черпаю в основном когда прктикуюсь. Дам вам ссылочку на свой твиттер, дабы посмотрели, кого я читаю и взяли на вооружение! twitter.com/area_fishing. Так как я по большей части практикуюсь, то решил вставить вам списочек мест где можно потренить.
HackTheBox
https://www.hackthebox.eu
Vulnhub
https://www.vulnhub.com
Practical Pentest Labs
https://practicalpentestlabs.com
Labs Wizard Security
https://labs.wizard-security.net
Pentestlab
https://pentesterlab.com/
Hackthis
https://www.hackthis.co.uk
Shellter
https://shellterlabs.com/pt/
Root-Me
https://www.root-me.org/
Zenk-Security
https://www.zenk-security.com/epreuves.php
W3Challs
https://w3challs.com/
NewbieContest
https://www.newbiecontest.org/
The Cryptopals Crypto Challenges
https://cryptopals.com/
Penetration Testing Practice Labs
http://www.amanhardikar.com/mindmaps/Practice.html
alert(1) to win
https://alf.nu/alert1
Hacksplaining
https://www.hacksplaining.com/exercises
Hacker101
https://ctf.hacker101.com
Academy Hackaflag
https://academy.hackaflag.com.br/
PentestIT LAB
https://lab.pentestit.ru
Hacker Security
https://capturetheflag.com.br/
PicoCTF
https://picoctf.com
Explotation Education
https://exploit.education/
Root in Jail
http://ctf.rootinjail.com
CMD Challenge
https://cmdchallenge.com
Try Hack Me
https://tryhackme.com/
Hacking-Lab
https://www.hacking-lab.com/index.html
PWNABLE
https://pwnable.kr/play.php
WHO4REYOU
https://34.73.111.210
Google CTF
https://capturetheflag.withgoogle.com/
ImmersiveLabs
https://immersivelabs.com/
Attack-Defense
https://attackdefense.com/
OverTheWire
http://overthewire.org
SANS Challenger
https://www.holidayhackchallenge.com/
SmashTheStack
http://smashthestack.org/wargames.html
!!! Почему багбаунти это плохо !!!
Это мое личное мнение к которому я пришел, начав решать тачки на hackthebox. Багбаунти учит вас только до определенного момента и лишь искать уязвимости, а не эксплуатировать их. А учит багбаунти вас до того момента, пока вы не наберете в голове определенную базу знаний с последовательностями действий, которые будете проверять на множестве доменов, для того, чтоб просто найти баг, сдать его и получить вознаграждение. Процентов 70-80 из подписчиков канала залезут на хтб (hackthebox) и не смогут решить ни одной тачки. Много кто даже подключиться или зарегистрироваться не сможет. Это говорит не о том, что люди тупые, а о том, что разные цели, пусть и в одном и том же деле, дают разный результат в твоем развитии.
Это лично мое мнение и прошу за него сильно не бить)
Если что-то интересует, то добро пожаловать в личку, в чат.. если найдете еще способы связи со мной, то используйте и их) И, пожалуйста, не стесняйтесь писать в чат и в лс в частности, потому что канал создан для развития. В чате сидят такие же незнающие люди как и вы и никто никого ни за что унижать и высмеивать не собирается. Вся токсичность в чате пресекается для создания максимальной лояльности к новичкам для поднятия уровня знаний всех и каждого. В лс так же пишите по любым вопросам. Порой мне самому интересно разобраться в чем-то)
Канал: t.me/api_0
Чат: t.me/api_00
Я: t.me/areafishing