📝 Свежие доклады с ежегодной Лондонской конференции 44CON по кибербезопасности.

— Justin Wynn - Red Team Tales: 7 Years of Physical Penetration Testing
— Luke Jennings - The new SaaS cyber kill chain
— Robert Sell - The Art of the Breach
— David Rogers - A Security Research Journey: how the mobile industry met hackers in the middle
— Khang Nguyen - Lessons Learned from a Red Teamer's Journey into the Kernel
— Phil Huggins - Cyber Security in Health & Care
— Tony Gee - Getting In: Initial Access - 2023 and beyond
— Elliot Ward - Realtime Communications, Realtime Risks
— Stiv Kupchik - Lifting the Fog of War
— Peter Allwright - Snookered in the Pool Room
— Gerald Benischke - Precision Munitions for Denial of Service
— James Forshaw - Missed Opportunities
— Shaun Peapell - Global Threat Services
— Kev Sheldrake - Detection and Blocking with BPF via YAML
— Emanuele Cozzi - Uncursing the ncurses
— John McIntosh - ghidriff
— Jen Ellis - A Celebration of Cyber Community Action!
— Lee Christensen and Max Harley - Nemesis
— Marta Janus and Eoin Wickens - Sleeping with one AI open
— Dave Lewis - Don't You Know Who I Think I Am?

https://sites.google.com/site/zhiniangpeng/blogs/Jumpserver

В доке random есть плашка, выделенная красным, — "The pseudo-random generators of this module should not be used for security purposes". Не смотря на это, все продолжают использовать его, вместо безопасного secrets.

Одноименная функция реализует алгоритм "Вихря Мерсенна", для которого начальное состояние RNG довольно просто восстановить. Используется PID процесса или текущее время сервера — как, например, в Python для нашего модуля. Зная его, мы можем предугадать все предыдущие и последующие значения генератора.

Разработчики Jumpserver для генерации капчи решили использовать популярную библиотеку django-simple-captcha. Она генерирует сид (служащий RNG) на основе 32-битного целочисленного значения, которое легко перебирается, — это 4.2 миллиарда значений.

Но все оказалось проще и перебирать ничего не пришлось. Чтобы решить капчу, клиент должен отправить этот сид (он пришел ему от сервера) вместе с решением, которое, как мы выяснили, он может сгенерировать сам.

Помимо капчи, Jumpserver генерирует код для восстановления аккаунта тоже с помощью random, но уже без передачи сида. Если сид не передать, используется таймштамп или уже инициализированное значение из текущего контекста треда — это тот же самый сид, который использовался и для создания капчи.

Знае его, мы можем решить и саму капчу, и взломать любой аккаунт, предугадав код. Нужно запросить капчу, тут же запросить код и восстановить его, имея ликнутый сид от капчи.

🔎 Vulnerable Code Snippets — коллекция уязвимых сниппетов кода, собранных со всего интернета, — из блогов, книг, отдельных статей и раскрытых репортов из Bug Bounty.

Примеры с разными уровнями сложности на Python, Golang, Java и других языках программирования, чтобы потренироваться в анализе исходников.

Пополняется каждую пятницу командой YesWeHack.

I analyzed stackoverflow

Новая (прошлая с "денежными" токенами Stripe тут) история успеха с поиском секретов, на этот раз в дампе StackOverflow из Wayback Machine.

Удалось найти 1 147 JWT-токенов, 1569 приватных ключей и почти 3 тысячи AWS-токенов.

Как самому майнить секреты:
— TruffleHog — самая известная утилита, для которой написано 700+ детекторов.
— Rusty Hog — брат-близнец, переписанный на rust. Работает быстрее
— Gitleaks — работает на основе регулярок, умеет сканировать историю коммитов
— gittyleaks — больше ложных результатов, но находит не только секреты, но и емейлы, юзернеймы и логины
— detect-secrets — создает базу секретов для исправления разработчиками и встраивания в CI/CD
— git-secrets — превентивный сканер для пре-коммитных хуков, чтобы не допустить попадание токенов в историю
— GitHound — работает исключительно с репозиториями, создан багхантером для багхантеров
— Secretlint — прямой конкурент TruffleHog, обладает почти всеми возможностями перечисленных сканеров

Расширения для браузера, которые ищут токены в JS-файлах: Secretlint WebExtension и Trufflehog Chrome.

Anti-Debug Tricks

Каждый раз, когда нужно изучить поведение вредоноса, восстановить методы шифрования или исследовать протоколы общения, аналитики используют отладчики.

Отладчики вмешиваются в процесс таким образом, что это приводит к побочным эффектам. Знание антиотладочных техник помогает понять, когда вредонос пытается помешать отлаживаться, и устранить помехи.

Anti-Debug Tricks — это сборник большинства известных антиотладочных техник. Они сгруппированы в отдельные категории и включают в себя код на C/C++, вместе с ассемберным листингом.

https://github.com/akto-api-security/akto

1. Ставим расширение для Burp, чтобы собрать все запросы в Akto, ходим по сайту.
2. Выбираем нужные проверки на поиск IDOR, Parameter Pollution, SQLi и других багов.
3. Выгружаем готовые отчеты c находками. Сдаем на H1, получаем профит.

Интересный опенсорсный сканер, который вместо вас вставляет кавычки в запросы к API и ищет многие уязвимости, включая OWASP Top 10 и HackerOne Top 10.

Можно описывать свои тесты в YAML, есть уже готовые модули для эксплуатации. Например, просканить все порты с помощью SSRF, как в демке https://www.youtube.com/watch?v=WjNNh6asAD0

Это весьма ярко.
Группа хакеров PRANA Network взломала почтовый сервак компании IRGC Sahara Thunder, которую рф использовала для прикрытия сделок с Ираном на поставку "Шахедов". И вытащили корреспонденцию со всеми потрохами. Ее анализ позволяет пролить свет на многие интересные вещи.
https://irancybernews.org/irgc-front-company-sahara-thunder-hacked-by-prana-network/

DVAs (Deliberately Vulnerable APIs) — намеренно уязвимые API, на которых можно проверить сканер Akto из прошлого поста, или отточить собственные навыки.

— APISandbox — взламываемые песочницы, которые можно поднять локально в Docker Compose
— crAPI (completely ridiculous API) — современное приложение на основе микросервисной архитектуры с одним изъяном — нелепым API
— Damn Vulnerable GraphQL App — плохая реализация GraphQL API от Facebook
— DVMS (Damn Vulnerable Microservices) — "чертовски-уязвимый" микросервис на нескольких языках программирования для демонстрации OWASP Top 10.
— DVWS-Node — NoSQL Injection, уязвимые JWT-токены, Path Traversal, и другие баги в этом приложении.
— Generic University — журнал успеваемости на php-фреймворке Laravel от ютубера InsiderPhD, который нужно взломать
— VAmPI — это уязвимый API на Flask, который подробно описан в блоге автора
— vulnerable-graphql-api — еще одна "очень уязвимая" реализация GraphQL API, если не хватило DVGA
— WebSheep — ReSTful API с говорящим названием

Cloud-челленджи я публиковал тут.

Detecting Uncommon Headers in an API using Burp Bambda Filters

Разработчики часто опираются на "секретные" заголовки, которые они придумывают, чтобы спрятать некоторые функции приложения от рядового пользователя.

Если их найдет хакер, он сможет обойти ограничения, найти типовые уязвимости или даже повысить привилегии. Например, с помощью заголовка, который включает режим отладки.

Такие заголовки можно искать фаззингом, а некоторые порой можно найти в ответе. Статья о том, как это сделать, используя новые возможности Burp с помощью Bambda-фильтров, кода на Java и обращению к Montoya API.

https://github.com/narfindustries/http-garden/

HTTP Garden — композитная система, которая сравнивает, как разные HTTP-серверы интерпретируют одинаковые запросы.

Удобно использовать, чтобы искать коллизии при обработке запросов, и возникающие из-за них атаки, вроде HTTP Request Smuggling.

Определяем пейлоад:

garden> payload 'GET / HTTP/1.1\r\nHost: whatever\r\n\r\n'

Пропускаем его через HAProxy и Nginx

garden> transduce haproxy nginx_proxy

Получаем наглядный результат

[1]: 'GET / HTTP/1.1\r\nHost: whatever\r\n\r\n'
    ⬇️ haproxy
[2]: 'GET / HTTP/1.1\r\nhost: whatever\r\n\r\n'
    ⬇️ nginx_proxy
[3]: 'GET / HTTP/1.1\r\nHost: echo\r\nConnection: close\r\n\r\n'

В системе около 20 известных веб серверов и 10 прокси-серверов. Есть также дополнительные утилиты, вроде собственного фаззера, который помог найти уже больше 80 артефактов в разных комбинациях серверов.

https://grroxy.com/

GRROXY combines powers of best tools to work together and became a powerful cyber toolkit

Proxify proxy traffic, FFUF is Intruder, Cook is Payload generator etc.

And everything connects seemlessly using command-line or extention approach as mentioned.

1. Burp
2. ZAP
3. Caido

GRROXY 🧐

BEE·bot

BEE·bot — рекурсивный интернет-сканер для хакеров, вдохновленный Spiderfoot.

По утверждению автора, BEE·bot использовать проще (как пентестерам, так и разработчикам), а работает он надежнее и быстрее.

Возможности:
— сканирование нескольких целей одновременно
— скриншоты найденных урлов
— набор offensive-модулей
— пермутации поддоменов на основе AI
— Нативный вывод в Neo4j
— Python API + документация для разработчиков

На гифке сканирование в реальном времени с визуализацией через VivaGraphJS.

Доклады с конференции по кибербезопасности ShmooCon 2024, которая ежегодно проводится в Вашингтоне.

— Fuzzing at Mach Speed: Uncovering IPC Vulnerabilities on MacOS - Dillon Franke
— Network Layer Confusion: Fun at the boundaries - Joshua DeWald
— Groovy X-Ray Reverse Engineering like it's the 70s - Aleksandar Nikolic and Travis Goodspeed
— FuzzLLM: Fuzzing Large Language Models to Discover Jailbreak Vulnerabilities - Ian G. Harris and Marcel Carlsson
— Ewe Cant Trusst Yore Eers: An Overview of Homophone Attacks - Aaron Brown
— More Money, Fewer FOSS Security Problems? The Data, Such As It Is - John Speed Meyers, Sara Ann Brackett, and Stewart Scott
— Bad Romance: The TTPs of "pig butchering" scammers - Sean Gallagher
— Unlocking Enterprise-scale Security Visibility - Eknath Venkataramani and Frank Olbricht
— Summiting the Pyramid (of Pain) - Michaela Adams, Roman Daszczyszak, and Steve Luke
— FedRAMP is Broken (And Here's How to Fix It) - Shea Nangle and Wendy Knox Everette
— Hack the Planet Gently With a Code of Practice - Leonard Bailey, Harley Geiger, Katie Moussouris, Casey Ellis, and Jen Ellis (moderator)
— The Cosmic Turtle of Code: It's graphs all the way down - Mark Griffin
— Tracking the World's Dumbest Cyber-Mercenaries - Eva Galperin
— Improving Red Team Maturity Through Red Team as Code (RTaC) - Jack (Hulto)
— 14 Questions Are All You Need - Carson Zimmerman
— Going Meta–Pulling Info from Encrypted Radios - Luke Berndt
— Intel is a Fallacy, But I May Be Biased - Andy (klrgrz) Piazza
— No, SBOM Will Not Solve All Your Software Supply Chain Problems - Andrew Hendela
— Building Canaries with ELK and ElastAlert - Andrew Januszak
— Lean, Developer-Friendly Threat Modeling - Falcon Darkstar Momot
— Hacking the Planet (Under Glass) - Rich Wickersham
— You Wouldn't Scrape the Internet to Make an LLM: Law and Policy of Scraping the Ago of AI - Kurt Opsahl
— Sobriety Hacks! Unleashing the Power of Incremental Change - Jennifer VanAntwerp
— Exploitable Security Architecture Mistakes We Just Keep Making - William
— Blue2thprinting (blue-[tooth)-printing]: Answering the question of 'WTF am I even looking at?!' - Xeno Kovah
— Inter-App Collusion: Exploiting the Improper Export of Android Application Components for Privilege Elevation & Credential Theft - Edward Warren
— Why I Run an Internal Conference (And Why You Might Want To Too) - Joe Schottman
— Metabolism Hacking for Fun and Longevity - Ray
— The Cookie Dough Model of Cybersecurity - Amanda Draeger
— Why We Need to Stop Panicking About Zero-Days - Katie Nickels
— Tobacco 2.0: When Money Buys the Truth & the Outcome - Libby Liu and Joan Donovan
— DNS is Still Lame: Why it's a problem and what we can do about it - Ian Foster
— A Legal Defense Fund for Hackers - Harley Geiger and Charley Snyder
— AI Enhanced Hacks: Model in the Middle - Ryan Ashley and Ari Chadda
— Backtrace in Time: Revealing Attackers' Sleep Patterns and Days Off in RDP Brute-Force Attacks with Calendar Heatmaps - Andréanne Bergeron
— Back (45 Years?) in the USSR: Exploring the Russian Elbrus Architecture (With a 25-year-old Exploit!) - evm
— Driving Forward in Android Drivers: Exploring the future of Android kernel hacking - Seth Jenkins
— Hacking Network APIs - Dan Nagle
— NTLMv1-SSP DES Mechanics Explained - EvilMog (Dustin (EvilMog) Heywood)
— Cache Crashers: Exploiting and Detecting Vulnerabilities in Memcached - Bryan Alexander

Смотреть тут https://archive.org/details/shmoocon2024/

https://www.hackergpt.chat/

Оригинальный репозиторий "ChatGPT для хакеров" или WhiteRabbitNeo, о котором я писал здесь, снесли. Сайт https://www.whiterabbitneo.com/ продолжает работать, но с ограничениями — 10 запросов/день.

Поэтому переходим на опенсорсный HackerGPT.

Unlock the power of HackerGPT, your AI ethical hacking assistant, trained extensively on hacking knowledge.
Swiftly identify, exploit, and mitigate vulnerabilities using cutting-edge AI expertise in cybersecurity.

Обучен на базе сайтов c гайдами, вроде hackingarticles.in, отдельных ресерчах и отчетах об уязвимостях на Bug Bounty площадках.

Российские APT чекают свои логи прямо сейчас на эксплуатацию самих себя, — вышел PoC для RCE в Empire C2.

Прикинувшись агентом, можно отправить задание на скачивание файла с машины "жертвы", и сохранить его по произвольному пути на сервере хакера.

safe_path = download_dir.absolute()
if not str(save_file.absolute()).startswith(str(safe_path)):

В коде Empire патч на старый Path Traversal под названием Skywalker из 2016 года обходится — перепутали метод abspath() с методом absolute(), который приводит путь к абсолютному, вместо того, чтобы его нормализовать.

Статья: https://aceresponder.com/blog/exploiting-empire-c2-framework
PoC: https://github.com/ACE-Responder/Empire-C2-RCE-PoC

Большая корпорация зла рассказывает о корпорациях зла поменьше — компания Google выпустила отчет про Commercial Surveillance Vendors (CSV) или компании которые продают Spyware, вроде Pegasus.

Из 72 известных зиродеев, затрагивающих продукты Google с 2014 года, 35 (почти половина) принадлежит CSV. Внутри отчета можно ознакомиться c "инсайдами" c зеленой ватемаркой XSS, — кто и по чем толкает такой софт госухе.

Все видели ролик, как за 42.9 секунды можно вытащить ключи из TPM и расшифровать диск — собрал ссылки на все статьи с разными техниками и протоколами.

— TPM Hate Him! TPM Attacks
— Microsoft bitLocker bypasses are practical
— A Deep Dive into TPM-based BitLocker Drive Encryption
— Extracting BitLocker keys from a TPM
— Bypassing Bitlocker using a cheap logic analyzer on a Lenovo laptop
— From Stolen Laptop to Inside the Company Network
— Sniffing Bitlocker Keys on the SPI Bus
— TPM 2.0: Extracting Bitlocker keys through SPI
— Understanding TPM Sniffing Attacks
— Breaking Bitlocker: Bypassing the Windows Disk Encryption
— TPM Sniffing Attacks Against Non-Bitlocker Targets
— Sniff, there leaks my BitLocker key
— Bitlocker Attacks
— BitCracker: BitLocker meets GPUs
— TPM Sniffing
— TPM Fail
— TPM Vulnerabilties
— AMD TPM Exploit

Утилиты
— bitlocker-spi-toolkit
— Pico-TPMSniffer
— LPCClocklessAnalyzer
— libsigrokdecoder_spi-tpm
— IceStick LPC TPM Snigger

https://whiteknightlabs.com/2024/02/09/a-technical-deep-dive-comparing-anti-cheat-bypass-and-edr-bypass/

Под разным неймингом скрывается почти одно и то же — современные античиты стали иметь много общего с EDR, как и их обходы, — но есть нюанс(ы), — в статье техники и их сравнение.