Status-Update

foulenzer

Hello friends,

ich hatte vergangene Woche Urlaub und habe diesen auch so gut es geht genossen. Eigentlich wollten wir nach Belgien fahren, haben diesen Plan aber (zum Glück) kurzfristig verwerfen können. Stattdessen sind wir spazieren gegangen (Mindestabstand eingehalten), haben Brettspiele gespielt und ich bin unter die Gärtner gegangen (Kohlrabi, Spinat, Rote Beete, Paprika, Zuckermais, Salat Mix, Zwiebeln und Kartoffeln).

Nächste Woche geht's wieder ins Büro für zwei Wochen, danach voraussichtlich vier Wochen Home-Office. Finde die Idee des Rollens dabei top! Mein Arbeitgeber hatt mir auch eine Art "Passierschein" ausgestellt, dass wir für eine kritische Infrastruktur zuständig sind und weiterhin der Weg zur Arbeit gesichert ist.

Dabei habe ich mir parallel auch Gedanken um den Blog hier gemacht. Also: Wie sieht die Zukunft hier im Blog aus? Welche Dinge stehen noch an?

- Umstieg auf WordPress? Ich bin mir da noch nicht so sicher, arbeite aber im Hintergrund daran.
- CTFs: Ich habe noch zwei weitere CTFs auf Hacker101 absolviert, diese müssen noch noch in Textform gebracht werden (+Screenshots).
- HowTo: Ein kleines kurzes HowTo ist in der Pipeline.
- Da mich die WordPress-Infektionen (haha!) bei der Arbeit sehr faszinieren, will ich irgendwie eine Art WordPressHoneyPot bauen. Wie genau weiß ich noch nicht, möchte meine Fortschritte aber gerne bloggen. Wenn möglich möchte ich dabei auf bereits bestehende Tools verzichten und den ganzen Bumms selbst irgendwie bauen. Ideen dazu habe ich schon im Kopf. ;-)

Schaut also ab und zu mal wieder rein! :-)
Ben

Hacker101 CTF - Micro-CMS v1

foulenzer

Titel: Micro-CMS v1
Schwierigkeit: Easy (fand ich nicht direkt sooo easy :-D )

Seid gewarnt, heute wird es deutlich länger als gestern! ;-) (Und es wird ein wenig... ähh.. komisch!)

Um den ganzen Vorgang besser darzustellen, habe ich den Eintrag chronologisch dargestellt, nicht in der Reihenfolge der Flags. Wenn ich das beim nächsten Eintrag ändern soll, sagt Bescheid.

FLAG0:
Beim Aufrufen der Seite findet man zunächst nicht sonderlich viel vor:

Ein Klick auf "Testing" bringt folgenden Bildschirm zur Erscheinung:

Was natürlich direkt ins Auge springt: /page/1 in der URL. Was passiert also, wenn man andere PageIDs eingibt?
Page 2 bringt einen Eintrag mit adorable Kitten, Page 3 und 4 wurden nicht gefunden, Page 5 bringt einen "Forbidden"-Error. Das klingt auf jeden Fall verführerisch. Welche Optionen könnte es geben, die Seite aufzurufen? Mir fällt die "Edit this page"-Funktion auf, also wird schnell die ID für den Aufruf geändert und siehe da:


FLAG3:
Okay, erste Flag gefunden. Weiter geht die Erkundungstour! Als nächstes habe ich mir die Seite 2 noch einmal angeschaut.

Also gut, lass uns die Seite mal editieren. Ein simples Einfügen von script-alert brachte keinen Erfolg, unten stand schließlich auch: "Markdown is supported, but scripts are not".
Ein Blick in den Source-Code verriet mir, der Button hat keine Funktion:

Ich habe dann einfach mal dem bereits bestehenden Button eine "OnClick"-Funktion gegeben ("onclick=alert(1)") und wider Erwarten wurde die Alertbox ausgegeben. Und nun? Hat das jetzt nichts gebracht? Doch, ich bin nur nicht direkt darauf gekommen: Als ich auf der Suche nach weiteren Flags noch ab und an mal in den Quellcode geschaut hab, entdeckte ich das hier:

Na prima, da wäre ich so direkt nicht drauf gekommen. :-D Also gut, zweite Flag auch gefunden.

FLAG1:
Hier hatte ich mir den ersten Hinweis geholt: Make sure you tamper with every input
Und den zweiten: Have you tested for the usual culprits? XSS, SQL injection, path injection
Hm... XSS und Path Injection? Warum nicht? Den Klassiker (script-alert) in die Adresszeile geballert: Not Found. Schade! Das wäre ja auch zu einfach gewesen. Bei der ersten Flag hat ja auch nicht direkt funktioniert, also vielleicht über die edit-Funktion? Leider hat dies auch nicht zum Erfolg geführt. Ich habe hier in meiner Unwissenheit noch weitere Payloads ausprobiert, doch keiner konnte die Flag entlocken. Umso überraschter und auch irgendwie enttäuschter war ich, als ich mir im Internet die Lösung dazu anschaute: Ein einfaches ' hätte gereicht. Okay, da muss man auch erstmal drauf kommen:

Ich redete mir ein, dass ich immerhin "nah" dran war. ;-)

FLAG2:
Die letzte Flag war wieder etwas einfacher. Da ich bisher hauptsächlich mit XSS zu tun hatte, habe ich also weiterhin alle Eingabe-Möglichkeiten durchprobiert. Mir ist natürlich beim Erstellen einer neuen Seite aufgefallen, dass der Titel 1:1 auf der Home-Seite reflektiert wird. Nach der kleinen Enttäuschung ging dieser Versuch dann runter wie Butter: Einfach wieder den "guten, alten" Klassiker eingefügt und tatsächlich wurde die Alert-Box auf der Home-Seite ausgegeben. Da war jetzt auch direkt die Flag drin. ;-)


Uff, die Challenge war schon ein bisschen heikler, aber hat auf jeden Fall Spaß gemacht! Das war jetzt schon näher an der Realität und ich musste echt viel überlegen. Bei einer Flag musste ich auch schon kapitulieren! :-D Als nächste Episode schreibe ich dann über die Challenge: Postbook (Easy).

Hacker101 CTF - A little something to get you started

foulenzer

Titel: A little something to get you started
Schwierigkeit: Trivial (stimmt)

Nun gut, auf gehts zur ersten "Mission". Beim Starten der Aufgabe erscheint folgendes im Browser:



Okay, nichts zum Anklicken, kein Bild, nichts. Was ist das Erste, was man tun sollte? Richtig, ich habe mir direkt den Quellcode der Seite angeschaut. Dort konnte ich dann folgendes entdecken:



Alles klar, der einzige Hinweis ist also ein Verweis auf eine mutmaßliche Background-Bild-Datei. Nächster Schritt lautet also: Das "Bild" untersuchen. Ich rufe die URL also im Browser des Vertrauens auf:



Na, sieh mal einer an! Das war wirklich trivial, oder? ;-)

OK.gut.tschüss

Hacker101 CTF-Erfahrungen

foulenzer

Tach,

ich werde hier im Blog mal eine "Reihe" an Einträgen verfassen, in denen ich meine CaptureTheFlag-Erfahrungen von Hacker101 (Übungsplattform von hackerone) mit Euch teile. Vielleicht ist für den ein oder anderen etwas Interessantes dabei. Für jedes "Level" wird es einen eigenen Eintrag geben und über die neue Kategorie können die Beiträge direkt gefiltert werden.

OK.gut.tschüss

Thalia...

foulenzer

Warum zum Teufel will thalia.de wissen, welche Grafikkarte ich in meinem PC habe? Cookie-Einstellungen waren von mir auf "nur essentielle Cookies" gestellt und ich war nicht eingeloggt (der Login schlug fehl).


Google Dorks

foulenzer

Habe gestern einmal Google Dorks zum Finden von potenziellen XSS-Lücken ausprobiert. Zuvor habe ich einfach nur wild "drauf los" gesucht. Ergebnis: 35 neue Reports auf OBB. Das kann sich sehen lassen für einen Tag. ;-)
Allerdings waren viele "alte", mutmaßlich nicht mehr gepflegte Seiten dabei. Ich denke daher, dass die Antwort-Quote gering bleib.

Meine benutzten Dorks waren:

inurl:".php?cat="
inurl:".php?keyword="
inurl:".php?q="
inurl:".php?query="
inurl:".php?search="
inurl:".php?s="

Da ich mich eigentlich nur im deutschen Raum bewege, habe ich noch site:.de hinzugefügt.
Kategorien: XSS

Long time no see..

foulenzer

Moin Moin,

ich war leider lange nicht mehr im Blog aktiv. Meine Interessen haben sich ein bisschen verschoben und ich finde aktuell nicht immer die Zeit dazu, neue XSS-Lücken zu finden. Dazu pflege ich parallel zu OBB ein Excel-Dokument mit den Webseiten und den entsprechenden verschickten Benachrichtigungen. Das ist mir ab und an zu viel Aufwand nebendran, das Suchen selbst macht mir weiterhin Spaß. Ich gucke mal, dass ich einmal die Woche die Liste aktualisiere... ;-)

Hatte in der vergangenen Zeit echt liebe und nette Admin/Programmierer-Kontakte, das hebt die Motivation immer wieder hoch. :-)

Endlich fertig!

foulenzer

Habe mit dem Ablegen und Bestehen der mündlichen Prüfung heute meine Ausbildung beendet! :-) Bin mit dem Ergebnis mehr als zufrieden und es ist besser, als ich gedacht habe! Vielen Dank an Alle, die mich auf dem Weg unterstützt haben! :-* Besonderer Dank gilt meiner Freundin, meinen Eltern, meinem Chef und R., der mich getreu seinem Motto "Fordern und Fördern" unter seine Fittiche genommen hat. Ohne Euch hätte ich das niemals so gut geschafft. DANKE!

New approach?

foulenzer

Ich hatte gestern und heute Kontakt zu einer netten Frau von der Bundesagentur für Arbeit. Ich hatte auf einer Beratungswebseite eine XSS-Lücke gefunden, allerdings zunächst keine Antwort bekommen. Sie hatte meine erste Mail zunächst als Spam abgetan und ignoriert, dann aber auf meine zweite Mail geantwortet. Wir konnten uns dabei über einige Aspekte meiner Erinnerungsmail austauschen, sodass ich zu dem Schluss gekommen bin, meine Meldungen / Reminder anders anzugehen.

Ich werde in den folgenden Fällen ohne groß Details zu nennen einfach nur nach einem Sicherheitskontakt oder Ansprechpartner fragen. Natürlich werde ich auf eine Sicherheitslücke verweisen, aber wie gesagt ohne Details. Ist bestimmt interessant, ob und wie sich die Statistiken ändern werden... :-)

P.S.: Fairerweise muss man sagen, dass meine ersten ca.50 Funde auf vielen inaktiven / nicht mehr gewarteten Webseiten waren. Das muss ich irgendwie dabei berücksichtigen.
Kategorien: XSS

Für die Statistik!

foulenzer

Um den Überblick über verschickte Benachrichtigungen, versendete Mails, Antworten, Belohnungen, etc. zu behalten, habe ich mir ganz altmodisch eine Excel-Tabelle angelegt. Ich fand dabei folgende Zahlen interessant:

Summe Antworten 37
Summe Patched 69
Summe Rewards 10
Summe Bounties 295 € (ausgenommen Gutscheine, Rabatte, Freikarten, etc.)

Dazu folgende Daten von OpenBugBounty.org:

Total reports: 193
Total reports on VIP sites: 8
Kategorien: XSS

Winterpause adé!

foulenzer

Die Winterpause neigt sich dem Ende, die Feiertage klingen noch langsam aus. Alles geht langsam aber sicher wieder in die alte Routine über, was ich persönlich nicht schlimm finde. Ich mag Routine, gewohnte Sachen... In der Zwischenzeit habe ich andere Hobbies weiter ausgeprägt, z.B. Brettspiele (Detective, Villen des Wahnsinns,...) und ich habe es wirklich genossen und genieße es weiterhin! :-) Habe mir auf jeden Fall vorgenommen, hier und auf OBB wieder aktiver zu werden, wahrscheinlich aber richtig erst wieder nach meiner mündlichen Prüfung am 20.1.20. Ich pflege parallel eine Excel-Tabelle um einen Überblick zu behalten, wem ich wann welche Mail geschrieben habe. Darin gleiche ich auch die Daten mit OBB über erfolgreiche Disclosures ab. Allerdings habe ich nur 58 gefixte Seiten, OBB zeigt mir 59 an. Irgendwo hat sich eine Domain versteckt...

Edit: Hab sie gefunden, war eine der ersten 50. ;-)

OpenBugBounty Zertifikat!


Yeah! Habe heute mein erstes Zertifikat für 50 erfolgreich gesicherte Webseiten von OBB erhalten! On to the next...
Kategorien: XSS

Ich bin enttäuscht...

Wie bereits berichtet, hatte ich ja eine "größere" Lücke gefunden, von der alle betreuten Webseiten eines Medienhauses betroffen waren. Davon, dass sich um die Schwachstelle gekümmert wird, habe ich nur von einem der Webseitenbetreiber erfahren. Auch jetzt, nachdem die Lücke mutmaßlich geschlossen wurde (ich kann das Problem nicht mehr nachstellen) habe ich keine Antwort, kein Danke, kein Nichts von dem Medienhaus erhalten. Das hat mich doch sehr enttäuscht! Ich lege immer Wert darauf, dass ich NIE etwas für meine Arbeit verlange, aber ein "Vielen Dank für's Melden!" wäre doch nicht zu viel gewesen? Vielleicht kommt ja noch eine Reaktion, ich rechne allerdings aber nicht mehr damit...
Kategorien: XSS

HoHoHo!

foulenzer

Ich wünsche allen Lesern eine frohe Vor-Weihnachtszeit! Langsam wird es ernst, nächste Woche ist Heiligabend! Vom großen Medienhaus gibt es weiterhin keine Nachricht. Werde dort heute nochmal meine Hilfe anbieten. In der Zwischenzeit war ich nicht ganz untätig und habe weitere Lücken auf bekannten Webseiten gefunden. Mehr dazu in den kommenden Tagen. Auch mein Amazon-Konto hat sich gefreut: Ich habe weitere 20 € als Gutschein geschenkt bekommen! Vielen Dank!
Kategorien: XSS

13 Webseiten mit identischer Lücke?

foulenzer

Ich habe vor etwa einer Woche eine XSS-Lücke bei einer Nachrichtenseite gefunden. Anfangs hatte ich noch die Webseitenbetreiber selbst kontaktiert. Als ich allerdings feststellte, dass bei vielen Nachrichtenseiten immer die identische Lücke auftrat, dachte ich an ein allgemein eingesetztes CMS. Tatsächlich scheint es aber wohl eine halbwegs eigene Konstruktion eines größeren Medienhauses zu sein.

Habe bisher keine Antwort von dem Unternehmen bekommen, ein betroffener Webseitenbetreiber verriet mir aber, dass man dort bereits an einer Lösung arbeitet. Ich bin mal gespannt und stehe für Infos und Hilfe natürlich gerne zur Verfügung!
Kategorien: XSS

Seite 3 von 3, insgesamt 31 Einträge