Скачать или смотреть \[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг MAX.RU / ONEME.RU

В этом видео — реальный кейс критической уязвимости уровня CVSS 9.0, найденной в рамках багханта. Я покажу, как LFI (Local File Inclusion) на поддоменах `.max.ru` привёл к скачиванию конфигурационных файлов, утечке чувствительных данных и полной компрометации API через токены.

https://disk.yandex.ru/i/DCJNNgCwX39bMw

https://disk.yandex.ru/i/0luXxt3Ttovflg

Отчет - https://disk.yandex.ru/d/TVwFseRPnOP8FA

---

🚀 Что вы узнаете из этого видео

Как искать LFI на реальных проектах
Почему `.env` и `config.php` — золотая жила для багхантера
Как использовать JWT\_SECRET для обхода авторизации
Чем опасна утечка Git-токенов
Как один баг превращается в целую цепочку атак

---

📌 Суть найденной уязвимости

На поддоменах `business.max.ru` и `help.max.ru` параметр `file` позволял подгружать локальные файлы сервера. Запросы вроде:

```
https://business.max.ru/?file=/config...
https://help.max.ru/?file=/.env
```

возвращали содержимое конфигурационных файлов.
Это LFI в чистом виде, но с последствиями, которые выходят за рамки обычного чтения файлов.

---

🔓 Что удалось извлечь

Из файлов были получены:

JWT\_SECRET — ключ для подписи токенов
DB\_USER / DB\_PASSWORD — доступ к базе данных
Git remote tokens — ключи для приватных репозиториев

---

🎯 Эксплуатация: обход токен-базированной авторизации

С помощью JWT\_SECRET можно было подделать токены или использовать уже действующие (token replay).
Пример PoC-запроса:

```bash
curl -H "Authorization: Bearer leaked_token" \
https://api.oneme.ru/api/user
```

Результат — доступ к приватным эндпоинтам API без прохождения логина и пароля.

---

⚠️ Риски

Полная компрометация API
Утечка секретов для внутренних сервисов
Возможность атак на БД
Доступ к исходному коду через Git-токены

---

🗂 Доказательства

В архиве `maxru_final_report.zip` есть:

Конфигурационные файлы
Список утёкших секретов
PoC-запросы и скрипты
Логи работы API с поддельными токенами

---

📊 Критичность

CVSS: 9.0 / Critical — уязвимость даёт полный контроль над API и доступ к инфраструктуре.

---

💡 Уроки для багхантеров

1. Проверяйте доступность `.env`, `config.php` и других конфигов.
2. LFI может быть началом цепочки атак.
3. Никогда не храните продакшн-секреты в публично доступных файлах.

---

🎥 В ролике:

Поиск LFI на боевых проектах
Извлечение секретов
Создание токенов для обхода авторизации
Анализ рисков
Рекомендации по защите

---

🔎 Ключевые слова для поиска:
`LFI`, `Local File Inclusion`, `JWT Bypass`, `Auth Bypass`, `Token Replay`, `API Hack`, `Bug Bounty`, `Багхантинг`, `Взлом API`, `Pentest`, `Exploit`, `Security`, `Web Security`, `PoC`, `CVSS 9.0`, `MAX`, `Security Research`, `Хакерские атаки`, `Infosec`.

---

💬 Напишите в комментариях:

Приходилось ли вам находить LFI?
Какие секреты вы находили в `.env` и `config.php`?

📢 Подписывайтесь на канал, если хотите видеть больше реальных историй багханта, PoC, взломов API и кейсов с высокой критичностью.

On English:

In this video, there is a real case of a critical vulnerability of the CVSS 9.0 level, found within the framework of a bughunt. I will show how LFI (Local File Inclusion) on `.max.ru` subdomains led to downloading of configuration files, leakage of sensitive data and complete compromise of the API via tokens.

https://disk.yandex.ru/i/DCJNNgCwX39bMw

https://disk.yandex.ru/i/0luXxt3Ttovflg

Report - https://disk.yandex.ru/d/TVwFseRPnOP8FA

---

🚀 What you will learn from this video

How to search for LFI on real projects
Why `.env` and `config.php` are a gold mine for a bug hunter
How to use JWT\_SECRET to bypass authorization
Why Git token leaks are dangerous
How one bug turns into a whole chain of attacks

---

📌 The essence of the vulnerability found

On the subdomains `business.max.ru` and `help.max.ru`, the `file` parameter allowed local server files to be loaded. Requests like:

```
https://business.max.ru/?file=/config...
https://help.max.ru/?file=/.env
```

returned the contents of the configuration files.
This is pure LFI, but with consequences that go beyond the usual file reading.

---

🔓 What we managed to extract

The following were obtained from the files:

JWT\_SECRET — key for signing tokens
DB\_USER / DB\_PASSWORD — access to the database
Git remote tokens — keys for private repositories

---

🎯 Exploitation: bypassing token-based authorization

With the help of JWT\_SECRET, it was possible to forge tokens or use existing ones (token replay).
Example of PoC request:

```bash
curl -H "Authorization: Bearer leaked_token" \
https://api.oneme.ru/api/user
```

Result — access to private API endpoints without passing login and password.

---

⚠️ Risks

Complete compromise of API
Leak of secrets for internal services
Possibility of attacks on the DB
Access to source code via Git tokens

---

🗂 Evidence

The archive `maxru_final_report.zip` contains:

Configuration files
List of leaked secrets
PoC requests and scripts
API logs with fake tokens

---

📊 Criticality

CVSS: 9.0 / Critical