Uhm probabilmente l’hack piu’ importante e piu’ difficile per me e’ stato con un centro di ricerca. Ci impiegai 2 mesi (!) in totale per escalare da una blind SQLi iniziale ad accesso a molti hosts di vario tipo e con vari ruoli. Per questo ci fu bisogno di fare chain di diverse vulnerabilita’ di diverso tipo. Non posso fare nomi ma forse puoi indovinare se ti dico che si tratta di uno dei piu’ grandi centri di ricerca sulla fisica In questo caso non ebbi nessuna reward perche’ non era una bug bounty. Non avevo permesso ufficiale in quel caso cosi’ li contattai anonimamente per fornire dettagli sulle vulnerabilita’ e suggerimenti su come risolverle.
Il secondo credo sia stato quello su un servizio di poste nazionale di un paese qui in Europa. Ottenni accesso alla gestione della logistica della posta assieme alla gestione del voto per posta. Praticamente avrei potuto condizionare le elezioni Scherzi a parte questo pure ci impiegai diverse settimane. Reward: 10K
Encoding e’ sempre stato un problema dal punto di vista della difesa. Ci sono moltissimi metodi per bypassare una marea di protezioni con un semplice double-encoding or simili. Con queste tecniche sono riuscito a bypassare WAF di Cloudflare, Akamai e altri diverse volte, riuscendo a fare exploit di XSS, SQLi, command injection etc. Molte protezioni si basano su allowlists, regular expressions etc e spesso giocando con encoding si bypassano facilmente.
In Italia la mentalita’ da questo punto di vista e’ ridicola. Spero che sia migliorata negli anni, ma diversi anni fa ebbi un episodio con un problema con una banca italiana quando il 3DS fu introdotto. Trovai il modo per bypassarlo perche’ la loro implementation era altrettanto ridicola. Il mio errore fu di contattarli col mio vero nome e mi minacciarono di proseguire legalmente quei deficienti. Alla fine non e’ successo nulla perche’ diedi i dettagli ad un tizio che era un po’ meno scemo di quelli che risposero all’inizio, risolsero il problema e la vicenda fu chiusa. E’ stata una lezione di non fornire mai il mio vero nome in casi come questo dove non c’e’ una bug bounty ufficiale. Gia’ con le BB devi stare attento a non andare out of scope, immagina quando non c’e’ una BB ufficiale…
ti prego continua
ste cose sono sempre figherrime. è una cosa che ho pensato di provare molte volte ma mi schianto sempre sull’acquisire e mantenere la praticità coi tool di base, perchè i concetti e le skill ce le avrei pure ma se non hai costanza ogni volta ti perdi i pezzi e ci vuole 20 volte il tempo per fare la minima stronzata…
ma invece a livello di altri tipi di vulnerability research/roba tipo reversing hai esperienza? anche indiretta eh
quello mi intriga molto di più che paciugare infinitamente con le webapp, ma mi sembra ancora più difficile/inconsistente, e complessa da monetizzare
Per qualche giorno devo fare un break da normali web apps per analizzare un nuovo Kubernetes cluster on prem. Iniziato alle circa 10, adesso sono le 15:02 quindi entro 5 ore bucato accesso a namespaces id altri tenants a causa di RBAC misconfiguration Adesso sto vedendo se riesco ad accedere ad etcd direttamente.
Comunque, puoi fare tutto il “path trasversal” , XSS, SQL Injection, CRSF attack, MITM, l’inganno della cadrega, che alla fine tanto questo è quello che insegnano dalle elementari:
(Si scontornata con paint veramente come nei migliori contest di agorà)
Ok capisco l’ironia ma vi sfido a trovare un’altra soluzione che permetta a un insegnante di far loggare più di 20 studenti delle elementari a colpo sicuro senza perdere tutta la giornata.
Non sono ancora riuscito a penetrare etcd perche’ hanno un etcd cluster separato con varie restrizioni etc.
Cmq provero’ a fare qualcosa altro (domani perche’ ho mail di testa e sono stanco…).
Come dicevo prima a causa di RBAC misconfig posso vedere il contenuto di altri namespaces, e dunque ingress resources, e i domini di alcune applicazioni che girano nel cluster e sono dietro Cloudflare.
Ma con amass (e’ un tool per enumeration di subdomains, ASN etc) ho trovato alcuni subdomains col CF proxy disattivato, e dunque posso vedere l’origin IP di alcuni host che sono fuori dal cluster.
Quindi come prossimo step faro’ della recon e enumeration su questi host per vedere se trovo qualcosa di vulnerabile, perche’ spesso le aziende si curano di proteggere bene gli assets principali ma non dedicano molta attenzione a quelli secondari.
La cosa che spero di trovare e’ qualche vuln che mi consente ti aprire una shell su uno di questi host, perche’ forse questi host hanno accesso diretto all’etcd cluster o qualcosa che posso provare se sono nella stessa LAN etc. Per esempio l’ultimo cluster su cui ho lavorato ho guadagnato accesso ad un host esterno al cluster ma nella stessa private network e da li’ potevo accedere alla porta 10250 di Kubelet che non era protetta dall’interno della network :D Quindi spero di trovare qualcosa di simile.
In questo caso non ebbi nessuna reward perche’ non era una bug bounty. Non avevo permesso ufficiale in quel caso cosi’ li contattai anonimamente per fornire dettagli sulle vulnerabilita’ e suggerimenti su come risolverle.
Scherzi a parte questo pure ci impiegai diverse settimane. Reward: 10K
