Прохождение задания UNDER CONSTRUCTION на Google CTF 2023 | КАК ПРОЙТИ UNDER CONSTRUCTION GOOGLE CTF
Вставка
- Опубліковано 3 січ 2024
- КАК РЕШИТЬ задание UNDER CONSTRUCTION на Google CTF 2023?
Привет! На связи Mekan aка MrCyberSec.
В этом видео я демонстрирую подход к решению задания UNDER CONSTRUCTION представленном на Google CTF 2023. В этом задании мы будем эксплуатировать разницу в парсинге параметров запроса у двух разных стеков: PHP и Python (Flask).
HTTP Parameter Pollution:
portswigger.net/web-security/...
Надеюсь, видео окажется вам полезным!
Если остались вопросы, задавайте их в комментариях - с радостью помогу!
------------------------------------------------------------------------------------------------------
Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
Заказать услуги: maddevs.io/cybersecurity/
Telegram: t.me/MrCyberSec_channel
Boosty.to: boosty.to/mrcybersec
X/Twitter: / _mrcybersec
HackTheBox: app.hackthebox.com/profile/70...
LinkedIn: / mekan-bairyev
Друзья, ютуб после загрузки усветлил мое видео почему-то. Не знаю с чем это связано..
Надеюсь, это не сильно скажется на удовольствии от просмотра.
Возможно из-за HDR, но я не уверен
на маке в темноте смотреть невыносимо, глаза просто выжигает насколько ярко светит белый... и проблема только с твоими видео (не только с этим но и с последующими) и только на маке с oled экраном
UPD: да, проблема в hdr
@@factorealrusПроблему исправил в последнем видео.
Попугай зарешал 😁 👍👍👍
Офигеть, такая вещь как "с какого конца считывать параметры запроса", может привести к уязвимости... Как-то даже страшно теперь писать бекэнды)
А те то что. Пизды то девопс или безопасник, если имеется
Хвала рекомендациям! Спасибо за подробные объяснения, пока мало чего понимаю, но безумно интересно; сразу подписался)
Спасибо! Наткнулся недавно на канал. Один из самых интересных, что я видел.
Спасибо огромное за видео! Мне иногда не хватает терпения сидеть и разбирать код, но после просмотра таких вот разборов становится понятно, что это не так сложно, как выглядит
Спасибо за понятные объяснения!
Пожалуйста:)
Здорово!
Контентище на высоте. Продолжай - буду смотреть
Спасибо большое, очень познавательно.
Отсылка к мортал комбату зашла 😂
Контент кайф, картинка космос! @MrCyberSec всегда приятно смотреть на твои размышления
Шикарно. Спасибо
очень годный контент, давай еще ! с:
контент огонь, подписка лайки
Спасибо. Подписался)))
Отличный канал, продолжайте
Крутое видео!
Всё прослушал и просмотрел. Весь видос смотрел на прекрасного попугайчика)))
:)))
Крайне интересно было смотреть
с праздниками, отличный канал! но хотелось бы еще телегу, потому как ютуб ненадежен.
С попугаем хорошо!
Есть еще похожая история с X-Forwarded-For хедером, в котором передаются айпи всех прокси/гейтвеев/лоад балансеров и тд, через которые прошел реквест. Какие то веб-серверы считывают айпи из значения хедера начиная с начала, какие то с конца.
Хм, не знал об этом, спасибо!
А сделай, пжл дорожную карту. Было бы отлично, подтянуться по правильному вектору
Рекомендую ознакомиться с академией веб-безопасности от портсвиггер:
portswigger.net/web-security
Пернатый подсказывал! Так не честно 😂
😂😂
Не совсем понятен ход рассуждений 11:13. Это была угадайка? Можете пояснить как был сделан вывод, что raw_request будет по разному прочитан фласком и php?
@MaxZhukovVrn не совсем, ведь как я сказал дальше в видео, python возьмет первый параметр, а php второй и это был известный факт для меня. Поэтому когда я увидел что фласк в PHP передает все тело запроса, а не формирует его сам из тех параметров, которые получил через request.get, все стало понятно.
Мы валидировали (ввод пользователя), валидировали, да не вывалидировали... Это ж надо - пробросить raw-ввод (необработанный препроцессором текущего app!) ещё куда-то. Лень было сбилдить _новое тело_ запроса?) - ну то есть где значение параметра уже имеет значение, которое текущий обработчик посчитал валидным. jk jk это же все just 4 fun.
Ситуация в челленже утрирована для наглядности. В реальности подобное поведение встречается, но не настолько очевидно:)
Вдвойне приятно смотреть- попугай 🔥
Доброго времени суток! Некоторые видео удаляются, или мне показалось? Зашел пересмотреть видео прохождения Linux-машины (минут 30 было), но не нашел(
Доброго! К сожалению, пришлось видео с прохождением HTB машин на время скрыть, так как они нарушают некоторые правила платформы. Сейчас нахожусь в разъездах, но на следующей неделе обязательно продолжу выпускать новые прохождения.
@@MrCyberSec , приветствую!
Не хотите куда-то перезалить видео, которые скрыли?
Например, телеграм, или быть может бусти. Что-то в таком роде.
@@artemmarenko8555 Приветствую, возможно так и сделаю..
Поддерживаю! За такой контент, готов оформить платную подписочку 😉
Попугайчик ❤️🔥
а что для того что бы быть специалистом БП нужно знать языки программирования?
Неплохо бы
я вот только не понял откуда взялись исходники
Перед началом задания предлагалось скачать.
Куда делся ролик про Surveillance? Только вчера его лайкал, сегодня уже не могу его найти.
Ютуб удалил из-за нарушения авторских прав HackTheBox. Разбираюсь с этим..
@@MrCyberSec Еще кучу роликов удалено. Где посмотреть можно ?
@@eeak я их скрыл по запросу HTB, и буду возвращать назад по мере того, как машины будут переходить в статус "retired". Не беспокойтесь, следующее видео будет не менее интересным!
Сделай винду, а то только линукс решаешь.
В винде не силен, но как закончу курс подготовку к OSCP, обязательно сделаю. Ожидайте в ближайшие месяцы.
Какая порода попугая?) и как отучил его гадить на плече?)
Пиррура! А чтобы не гадила, смотрел на нее как Ленин на буржуазию, она и не рисковала:)) А если без шуток, то как-то не было прицидентов.
Жесть. А почему пхп с конца читает, че за бред... зачем они это так сделали?
Да и не только PHP так делает. Довольно обычное явление - читать последнее дублированное значение.
За попуга отдельный респект!