\[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг MAX.RU / ONEME.RU скачать в хорошем качестве

\[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг MAX.RU / ONEME.RU

В этом видео — реальный кейс критической уязвимости уровня CVSS 9.0, найденной в рамках багханта. Я покажу, как LFI (Local File Inclusion) на поддоменах `.max.ru` привёл к скачиванию конфигурационных файлов, утечке чувствительных данных и полной компрометации API через токены. https://disk.yandex.ru/i/DCJNNgCwX39bMw https://disk.yandex.ru/i/0luXxt3Ttovflg Отчет - https://disk.yandex.ru/d/TVwFseRPnOP8FA --- 🚀 Что вы узнаете из этого видео Как искать LFI на реальных проектах Почему `.env` и `config.php` — золотая жила для багхантера Как использовать JWT\_SECRET для обхода авторизации Чем опасна утечка Git-токенов Как один баг превращается в целую цепочку атак --- 📌 Суть найденной уязвимости На поддоменах `business.max.ru` и `help.max.ru` параметр `file` позволял подгружать локальные файлы сервера. Запросы вроде: ``` https://business.max.ru/?file=/config... https://help.max.ru/?file=/.env ``` возвращали содержимое конфигурационных файлов. Это LFI в чистом виде, но с последствиями, которые выходят за рамки обычного чтения файлов. --- 🔓 Что удалось извлечь Из файлов были получены: JWT\_SECRET — ключ для подписи токенов DB\_USER / DB\_PASSWORD — доступ к базе данных Git remote tokens — ключи для приватных репозиториев --- 🎯 Эксплуатация: обход токен-базированной авторизации С помощью JWT\_SECRET можно было подделать токены или использовать уже действующие (token replay). Пример PoC-запроса: ```bash curl -H "Authorization: Bearer leaked_token" \ https://api.oneme.ru/api/user ``` Результат — доступ к приватным эндпоинтам API без прохождения логина и пароля. --- ⚠️ Риски Полная компрометация API Утечка секретов для внутренних сервисов Возможность атак на БД Доступ к исходному коду через Git-токены --- 🗂 Доказательства В архиве `maxru_final_report.zip` есть: Конфигурационные файлы Список утёкших секретов PoC-запросы и скрипты Логи работы API с поддельными токенами --- 📊 Критичность CVSS: 9.0 / Critical — уязвимость даёт полный контроль над API и доступ к инфраструктуре. --- 💡 Уроки для багхантеров 1. Проверяйте доступность `.env`, `config.php` и других конфигов. 2. LFI может быть началом цепочки атак. 3. Никогда не храните продакшн-секреты в публично доступных файлах. --- 🎥 В ролике: Поиск LFI на боевых проектах Извлечение секретов Создание токенов для обхода авторизации Анализ рисков Рекомендации по защите --- 🔎 Ключевые слова для поиска: `LFI`, `Local File Inclusion`, `JWT Bypass`, `Auth Bypass`, `Token Replay`, `API Hack`, `Bug Bounty`, `Багхантинг`, `Взлом API`, `Pentest`, `Exploit`, `Security`, `Web Security`, `PoC`, `CVSS 9.0`, `MAX`, `Security Research`, `Хакерские атаки`, `Infosec`. --- 💬 Напишите в комментариях: Приходилось ли вам находить LFI? Какие секреты вы находили в `.env` и `config.php`? 📢 Подписывайтесь на канал, если хотите видеть больше реальных историй багханта, PoC, взломов API и кейсов с высокой критичностью. On English: In this video, there is a real case of a critical vulnerability of the CVSS 9.0 level, found within the framework of a bughunt. I will show how LFI (Local File Inclusion) on `.max.ru` subdomains led to downloading of configuration files, leakage of sensitive data and complete compromise of the API via tokens. https://disk.yandex.ru/i/DCJNNgCwX39bMw https://disk.yandex.ru/i/0luXxt3Ttovflg Report - https://disk.yandex.ru/d/TVwFseRPnOP8FA --- 🚀 What you will learn from this video How to search for LFI on real projects Why `.env` and `config.php` are a gold mine for a bug hunter How to use JWT\_SECRET to bypass authorization Why Git token leaks are dangerous How one bug turns into a whole chain of attacks --- 📌 The essence of the vulnerability found On the subdomains `business.max.ru` and `help.max.ru`, the `file` parameter allowed local server files to be loaded. Requests like: ``` https://business.max.ru/?file=/config... https://help.max.ru/?file=/.env ``` returned the contents of the configuration files. This is pure LFI, but with consequences that go beyond the usual file reading. --- 🔓 What we managed to extract The following were obtained from the files: JWT\_SECRET — key for signing tokens DB\_USER / DB\_PASSWORD — access to the database Git remote tokens — keys for private repositories --- 🎯 Exploitation: bypassing token-based authorization With the help of JWT\_SECRET, it was possible to forge tokens or use existing ones (token replay). Example of PoC request: ```bash curl -H "Authorization: Bearer leaked_token" \ https://api.oneme.ru/api/user ``` Result — access to private API endpoints without passing login and password. --- ⚠️ Risks Complete compromise of API Leak of secrets for internal services Possibility of attacks on the DB Access to source code via Git tokens --- 🗂 Evidence The archive `maxru_final_report.zip` contains: Configuration files List of leaked secrets PoC requests and scripts API logs with fake tokens --- 📊 Criticality CVSS: 9.0 / Critical