\[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг MAX.RU / ONEME.RU
Автор: Dmitry's Space 🤳
Загружено: 2025-08-14
Просмотров: 268
Описание:
В этом видео — реальный кейс критической уязвимости уровня CVSS 9.0, найденной в рамках багханта. Я покажу, как LFI (Local File Inclusion) на поддоменах `.max.ru` привёл к скачиванию конфигурационных файлов, утечке чувствительных данных и полной компрометации API через токены.
https://disk.yandex.ru/i/DCJNNgCwX39bMw
https://disk.yandex.ru/i/0luXxt3Ttovflg
Отчет - https://disk.yandex.ru/d/TVwFseRPnOP8FA
---
🚀 Что вы узнаете из этого видео
Как искать LFI на реальных проектах
Почему `.env` и `config.php` — золотая жила для багхантера
Как использовать JWT\_SECRET для обхода авторизации
Чем опасна утечка Git-токенов
Как один баг превращается в целую цепочку атак
---
📌 Суть найденной уязвимости
На поддоменах `business.max.ru` и `help.max.ru` параметр `file` позволял подгружать локальные файлы сервера. Запросы вроде:
```
https://business.max.ru/?file=/config...
https://help.max.ru/?file=/.env
```
возвращали содержимое конфигурационных файлов.
Это LFI в чистом виде, но с последствиями, которые выходят за рамки обычного чтения файлов.
---
🔓 Что удалось извлечь
Из файлов были получены:
JWT\_SECRET — ключ для подписи токенов
DB\_USER / DB\_PASSWORD — доступ к базе данных
Git remote tokens — ключи для приватных репозиториев
---
🎯 Эксплуатация: обход токен-базированной авторизации
С помощью JWT\_SECRET можно было подделать токены или использовать уже действующие (token replay).
Пример PoC-запроса:
```bash
curl -H "Authorization: Bearer leaked_token" \
https://api.oneme.ru/api/user
```
Результат — доступ к приватным эндпоинтам API без прохождения логина и пароля.
---
⚠️ Риски
Полная компрометация API
Утечка секретов для внутренних сервисов
Возможность атак на БД
Доступ к исходному коду через Git-токены
---
🗂 Доказательства
В архиве `maxru_final_report.zip` есть:
Конфигурационные файлы
Список утёкших секретов
PoC-запросы и скрипты
Логи работы API с поддельными токенами
---
📊 Критичность
CVSS: 9.0 / Critical — уязвимость даёт полный контроль над API и доступ к инфраструктуре.
---
💡 Уроки для багхантеров
1. Проверяйте доступность `.env`, `config.php` и других конфигов.
2. LFI может быть началом цепочки атак.
3. Никогда не храните продакшн-секреты в публично доступных файлах.
---
🎥 В ролике:
Поиск LFI на боевых проектах
Извлечение секретов
Создание токенов для обхода авторизации
Анализ рисков
Рекомендации по защите
---
🔎 Ключевые слова для поиска:
`LFI`, `Local File Inclusion`, `JWT Bypass`, `Auth Bypass`, `Token Replay`, `API Hack`, `Bug Bounty`, `Багхантинг`, `Взлом API`, `Pentest`, `Exploit`, `Security`, `Web Security`, `PoC`, `CVSS 9.0`, `MAX`, `Security Research`, `Хакерские атаки`, `Infosec`.
---
💬 Напишите в комментариях:
Приходилось ли вам находить LFI?
Какие секреты вы находили в `.env` и `config.php`?
📢 Подписывайтесь на канал, если хотите видеть больше реальных историй багханта, PoC, взломов API и кейсов с высокой критичностью.
On English:
In this video, there is a real case of a critical vulnerability of the CVSS 9.0 level, found within the framework of a bughunt. I will show how LFI (Local File Inclusion) on `.max.ru` subdomains led to downloading of configuration files, leakage of sensitive data and complete compromise of the API via tokens.
https://disk.yandex.ru/i/DCJNNgCwX39bMw
https://disk.yandex.ru/i/0luXxt3Ttovflg
Report - https://disk.yandex.ru/d/TVwFseRPnOP8FA
---
🚀 What you will learn from this video
How to search for LFI on real projects
Why `.env` and `config.php` are a gold mine for a bug hunter
How to use JWT\_SECRET to bypass authorization
Why Git token leaks are dangerous
How one bug turns into a whole chain of attacks
---
📌 The essence of the vulnerability found
On the subdomains `business.max.ru` and `help.max.ru`, the `file` parameter allowed local server files to be loaded. Requests like:
```
https://business.max.ru/?file=/config...
https://help.max.ru/?file=/.env
```
returned the contents of the configuration files.
This is pure LFI, but with consequences that go beyond the usual file reading.
---
🔓 What we managed to extract
The following were obtained from the files:
JWT\_SECRET — key for signing tokens
DB\_USER / DB\_PASSWORD — access to the database
Git remote tokens — keys for private repositories
---
🎯 Exploitation: bypassing token-based authorization
With the help of JWT\_SECRET, it was possible to forge tokens or use existing ones (token replay).
Example of PoC request:
```bash
curl -H "Authorization: Bearer leaked_token" \
https://api.oneme.ru/api/user
```
Result — access to private API endpoints without passing login and password.
---
⚠️ Risks
Complete compromise of API
Leak of secrets for internal services
Possibility of attacks on the DB
Access to source code via Git tokens
---
🗂 Evidence
The archive `maxru_final_report.zip` contains:
Configuration files
List of leaked secrets
PoC requests and scripts
API logs with fake tokens
---
📊 Criticality
CVSS: 9.0 / Critical
Повторяем попытку...
![\[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг MAX.RU / ONEME.RU](https://ricktube.ru/thumbnail/ASeSyP0PTxg/hq720.jpg)
Доступные форматы для скачивания:
Скачать видео
-
Информация по загрузке:
![Цепи Маркова — математика предсказаний [Veritasium]](https://ricktube.ru/thumbnail/QI7oUwNrQ34/mqdefault.jpg)
