📞   #заметки #инструменты #mobile

Бывает приятно держать под рукой базовую информацию на случай отшиба памяти, потому оставляю здесь пункты подготовки к анализу защищённости мобильного приложения;


1️⃣ Режим разработчика + Режим отладки по USB
2️⃣ Подключить телефон к машине и VM
3️⃣ Достать apk без root'а: ctrl-freak/android-adb-pull-apk.md
4️⃣ SSL Unpinning:
➖ ‟SSL Unpinning для приложений Android” (@a1teran)
➖ ‟Откручивание SSL пиннинга в Android приложениях” (@USSCLTD)
5️⃣ *Если Flutter: Impact-I/reFlutter
6️⃣ *Если несколько файлов: Подписать + adb install-multiple
7️⃣ Wi-Fi в телефоне через прокси-сервер: IP машины с Burp Suite + порт, прослушиваемый в Burp Suite


@HaHacking  🐇

🔌   #заметки #devsecops #defense

Вопросы и упражнения для самоподготовки в области DevOps / DevSecOps!

➡️Включает в себя темы, которые необходимо впитать в себя не только DevOps инженеру, но и любому IT специалисту; 🐇


➕Абстракции:
Сети / Железо / ОС / Скриптинг / Разработка ПО / Тестирование / Мониторинг / БД / Виртуализация / Контейнеризация / Облако / Безопасность / Дизайн систем / Soft Skills / ...

➕Технологический стек:
Git / Kubernetes / AWS / Azure / Google Cloud Platform / OpenStack / MongoDB / Terraform / Ansible / Puppet / Grafana / Prometheus / Argo / Elastic / Kafka ...

➕Языки: 🐍 / 💻 / 💻


🧩 bregman-arie/devops-exercises


@HaHacking  🐇

🖥 #инструменты #ad #enumeration

Любопытный инструмент — adPEAS, скрипт, подобный проектам PEAS, предназначенный для энумерации AD и включающий в себя приличное число модулей;


Модули-сборщики собирают информацию о:
➕Домене (DS, Trusts, политики, ...)
➕Правах и привилегиях (LAPS, DCSync, ...)
➕Групповой политике (GPO)
➕Службе сертификатов (AD CS)
➕Кредах (Netlogon скрипты, LAPS, ...)
➕Небезопасном делегировании
➕Потенциально интересных пользователях
➕...

➕Встроенный SharpHound 🐇


🧩 61106960/adPEAS [💻]


@HaHacking  🐇

✍️ #мероприятия #наработки #web

Весной Университет ИТМО + Газпром Нефть провели индивидуальный онлайн-хакатон "РИБА ТЕХ" для студентов магистратуры и старших курсов бакалавриата IT специальностей

➡️Я, хоть и ни то, и ни другое, but rather a secret third thing но, как победитель трека "Информационная безопасность: Application Security", делюсь своими отчётами по решению конкурсных задач:

🧩 qwqoro/GPN-Hackathon

😰 HaHacking_GPN-Task-1.pdf ⬇️
   😰  HaHacking_GPN-Task-2.pdf ⬇️


Задача состояла в анализе защищённости 9 + 1 миниатюрных веб-приложений с предоставлением участникам исходного кода; Уязвимости не из сложных, но их разбор может быть полезен начинающим специалистам для ознакомления

Исходный код веб-приложений:
➖ gpn-intern/vuln-code
➖ gpn-intern/vuln-app


@HaHacking  🐇

📄 #заметки #web #mobile

[ Сборники публичных отчётов об уязвимостях! ]

Пополняющиеся списки отчётов топового уровня, с разбиением по компаниям и типам уязвимостей, с тегами и фильтрами — всё, что нужно для повышения качества собственных отчётов и раскручивания импакта; 🐇


🧩 reddelexc/hackerone-reports [😇]
🧩 xdavidhu/awesome-google-vrp-writeups [🌐]
🧩 B3nac/Android-Reports-and-Resources [🤖]
🧩 ngalongc/bug-bounty-reference
🧩 juliocesarfort/public-pentesting-reports
🧩 pentester.land/writeups


@HaHacking  🐇

🅰️ #заметки #web #offense

[ Крайне годный материал по типовым уязвимостям, встречающимся в CMS Bitrix, созданный @llcrlf! ]

🧩 cr1f/writeups


➕Особенности реализации
➕Обнаруженные уязвимости
➕Наглядные примеры эксплуатации


Несмотря на современные патчи, имеет смысл продолжать опираться на него в ходе анализа защищённости веб-приложений: если не как на райтап для идентичной эксплуатации, то как на пищу для размышления для развития собственных векторов;

➡️Гораздо удобнее однажды засстарить репозиторий, чем каждый раз искать PDF!


@HaHacking 🐇

🙃 #наработки #htb #web #infrastructure #offense

Было интересно решать, а потому
➡️Подробный отчёт на сложную машину Snoopy ⬇️

[Path Traversal] [DNS] [sudo] [Git] [CVE] [Arbitrary File Write] [ClamAV] [Arbitrary File Read] [XXE]

💻 HTB: Snoopy (Hard)
➡️ Часть 1: Энумерация & cbrown
➡️ Часть 2: sbrown & root


@HaHacking

💼 #события #offense

➡️Сегодня прошёл финал соревнований Google CTF — он же мероприятие под названием Hackceler8 — и произошло историческое событие:

[ 1 место заняла российская команда C4T BuT S4D ‼️ ]


Они стали первой российской командой, достигнувшей таких высот, и это достижение – серьезный показатель не только для нашего, но и для мирового CTF комьюнити;

➡️В общем, супер достойно, а главное – заслуженно!


А всем интересующимся темой CTF рекомендую ознакомиться с записями трансляций финала, ведь в данном случае формат соревнований отличался от привычных Jeopardy / Attack & Defense – участникам предлагалось проанализировать игру, найти уязвимости и проэксплуатировать их для упрощения прохождения игры (+ писать читы :) )

Кто быстрее и качественнее наломал — тот и выиграл; 🐇


🧩 Полуфинал 1: C4T BuT S4D / organizers
🧩 Полуфинал 2: Maple Mallard Magistrates / DiceGang
🧩 Финал: C4T BuT S4D / DiceGang


➡️Поздравляю! Впечатляющие результаты! ⚡️

@HaHacking  🐇

thanks to @qwqoro

Привет 👋.

Искал я на ру пространстве доклады по атакам на ии. Мне оч сильно приглянулись доклады Лизы. Советую ознакомится с выступлениями

https://youtu.be/jaFgRhPaWqI?si=rdsXvr7K9WMgN3re

https://youtu.be/bbspgr8klHs

В докладах мы можем найти для себя информацию о моделировании угроз, методиках и тулзах для атак на ии..

🔮  #наработки #ai #web #infrastructure #offense

Вспоминая мои самые первые попытки выступать – доклады на конференции OFFZONE ➕ на мероприятии от сообщества Open Data Science, когда я постаралась простым языком рассказать про:

➖Виды атак на модели машинного обучения:
   ▪️Evasion attacks
   ▪️Model inversion attacks
   ▪️Model extraction attacks

➖Способы защиты от каждого вида атак*
➖Инструменты для автоматизации атак и анализа защищённости моделей МО


   🧩   qwqoro/ML-Talk

   🧩   ‟Атаки на ИИ, но проще”  (®️ / OFFZONE)

   🧩   *‟ИИ глазами хакера”  (👍 / Open Data Science)



🔮  #заметки

[ Захотелось упомянуть здесь репозитории, которые могут заинтересовать тех, кому тоже близки как тема ИБ, так и ИИ ]

⭐️ Компиляция материала о применении ИИ в сфере нападательной безопасности:

   🧩   jiep/offensive-ai-compilation
   🧩   Offensive AI Compilation


⭐️ Список ресурсов об обучении с подкреплением для решения задач кибербезопасности:

   🧩   Limmen/awesome-rl-for-cybersecurity


⭐️ Исходный код уникальных проектов, таких как, например:
▪️DeepExploit — автоматический пентест с использованием Metasploit;
▪️Recommender — автоматический подбор полезной нагрузки для эксплуатации Reflected XSS;

   🧩   13o-bbr-bbq/machine_learning_security


   @HaHacking  🐇

💳 #заметки #web #offense

[ Ёмкий материал по аудиту приложений, в работе которых задействуется механизм онлайн-платежей➡️протокол 3-D Secure ]

➕Про протокол 3-D Secure
➕Про то, где его искать
➕Про потенциальные уязвимости
➕Примеры эксплуатации
➕Дополнительные инструменты
// XSS; XXE➡️DoS, SSRF, File Read

   🧩   ‟3D Secure, или что скрывают механизмы безопасности онлайн-платежей” (@web_rock)

   🧩   webr0ck/3D-Secure-audit-cheatsheet



😈 #инструменты

➡️Github репозиторий также содержит пару плагинов для Burp Suite, один из которых представляет из себя расширение Hackvector, дополненное функциями для кодирования/декодирования параметра PaReq;

К слову про то, что такое Hackvector:
▪️Инструмент из BApp Store
▪️Если кратко: навороченный Decoder⬆️
▪️Многообразие функций; Есть даже криптографические и математические!
▪️Вызов функций через оборачивание [под]строк в XML-подобные теги💻с возможностью вложения одного тега в другой
▪️(На скриншоте изображён справа😊)

@HaHacking  🐇

📄 #наработки #web #offense

➡️Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr! 👈

1️⃣ Основы работы почты
2️⃣ Потенциальные уязвимости
3️⃣ Демонстрация эксплуатации

🧩 Habr: E-mail Injection

✨ DeteAct Blog: E-mail Injection

   😰   HaHacking_Mail-Injection.pdf ⬇️


❓) Откуда?

Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.

На первый взгляд – обычная ситуация, а на второй – вывалившийся лог SMTP сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;

➡️ Результаты – оформила в виде статьи ⚡️


❓) Что?

[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]

🧩 qwqoro/Mail-Injection [ 💻 / 💻 / 🐍 ]

➖CRLF (SMTP / IMAP) Injection
➖Arbitrary Command Flag Injection
➖Improper Input Validation


// Время чтения: ~20 минут
➡️Enjoy! 📝

@HaHacking  🐇

👤 #заметки #enumeration #web #infrastructure

Иногда в ходе аудитов приходится перебирать имена пользователей для сбора списка тех, что существуют в исследуемой системе;

➡️Неоспоримо чаще используются имена пользователей, основанные на реальных данных сотрудников: Фамилии, Имени и Отчестве (при наличии)

[ Потому рекомендую следующие словари: ]

🧩 sorokinpf/russian_names (🇷🇺 / RU)

🧩 curiv/russian_names (🇷🇺 / RU)

🧩 attackdebris/kerberos_enum_userlists (🇺🇸 / EN)

Все репозитории содержат списки распространённых имён, для удобства представленные в нескольких форматах ⬆️


А иногда, в попытке забраться в секции, которые просят пройти аутентификацию, перебираются и пароли; ⬇️

❗️ В таких случаях стоит полагаться как на обобщённые словари популярных паролей, так и на словари, содержание которых основано на региональной статистике; Примеры таких словарей для России:

🧩 sharsi1/russkiwlst

   🧩   WeakPass: 1, 2, 3, 4, 5, 6


➡️Успехов! 🐇

@HaHacking  🐇

🔍 #инструменты #заметки #web #enumeration

[ Репозитории, которые усовершенствуют процесс доркинга ]

0️⃣ Автоматизация доркинга – скрипт с преднастроенными запросами:

🧩 IvanGlinkin/Fast-Google-Dorks-Scan [🖥: 🔎]

⬆️ Административные, логин и тестовые страницы, файлы гита, документы, презентации, конфигурационные файлы, ...


1️⃣ Списки запросов для разных ситуаций:

🧩 Proviesec/google-dorks

⬆️ Логи, бекапы, багбаунти, конфигурационные файлы, базы данных, документы, бакеты, файлы гита, графана, страницы логина, мониторинга, статистики, ...


2️⃣ Для поиска запроса в нескольких поисковых системах сразу:

🧩 Zarcolio/sitedorks [🐍: 🧩 🧩 🧩 🧩 ...]


3️⃣ Два скрипта: сбор свежих дорков с Exploit DB➕автоматизация доркинга с использованием произвольных запросов / списков запросов:

🧩 opsdisk/pagodo [🐍: 🔎]


   @HaHacking  🐇

🔗 #мероприятия #заметки #web #mobile #infrastructure #malware #reverse #offense #defense

⚡️ MOSCOW HACKING WEEK; Ретроспектива (ч.1)

Мне посчастливилось принять участие сразу в двух мероприятиях Moscow Hacking Week; Умудрилась, среди прочих энтузиастов сферы ИБ:

#️⃣ Насладиться докладами на первых рядах Talks
#️⃣ Пережить 2 недели➕финал priv8-ивента Hacks


🔗 Если не присутствовали очно, обязательно просмотрите записи докладов!😊:

   🧩   ‟Standoff Talks #4”

▪️ Продвинутые Client-Side атаки 🐘
▪️ Pivoting 🌚
▪️ Purple Teaming и обход СЗИ
▪️ Прошивки и CVE
▪️ WASM и защита облака
▪️ Малвари и криптография
▪️ Безопаснки VS юристы
▪️ BugBounty: Мобилки
▪️ BugBounty: Систематизация с помощью аномалий
▪️ Кибербитва: Алгоритм мониторинга инцидентов
▪️ Кибербитва: Инфраструктура команды Cult


   @HaHacking  🐇

💀 #мероприятия #наработки #web

⚡️ STANDOFF HACKS 3; Ретроспектива (ч.2)

// Обеспечила себе трёхразовое питание на ближайшие пару лет, можно и текст родить 😤

➡️Участие в Standoff Hacks подарило мне возможность попробовать себя в багхантинге в рамках программ багбаунти. Я не в первый раз берусь за анализ защищённости веб-приложений, но практически впервые занимаюсь этим как независимый исследователь: без команды и чёткого плана, так ещё и впопыхах. Скоуп – сюрприз, и, встретившись с ним, легко растеряться;

Выделила для себя некоторые пункты, которые помогали мне находить баги, не впадая в отчаяние и не особо посыпая голову пеплом, и описала их в небольшой статье; ⬇️

Содержание:
🪲 Помните про инструменты
🪲 Изучайте структуру
🪲 Отмечайте функциональность
🪲 Оставляйте заметки
🪲 Делайте шаг назад
🪲 Продолжайте жить


🧩 BugBounty: Пережить сезон охоты 🔎


//   Время чтения: ~7 минут
➡️Enjoy!

   @HaHacking  🐇

🎄 #события #заметки #web #infrastructure #mobile #offense #defense #devsecops #malware #reverse #forensics #iot

➡️От лица HaHacking хочу поздравить каждого с наступившим Новым годом (дракона, кстати 💻)! 🔔⭐️

⭐️ Желаю срабатывания своих кавычек и несрабатывания чужих WAF'ов, побольше ивентов и инвайтов на ивенты, а также моральных сил, чтобы стойко переносить любой инцидент или статус отчёта! И, конечно, всего общечеловеческого: родных и близких рядом, искристой улыбки на лице и тепла на душе;


🎁 В честь праздника – символический подарок:


🧩 Бот @HaHacking2023bot


Собрала 150 статей 2023 года выпуска, которые оставили наиболее яркий след в моей памяти; Благо спектр любопытных для меня тем довольно широкий, так что каждый сможет найти на созданной мною карте уголок, соответствующий его интересам и уровню погружения 🚗

⬆️ Организовала для них небольшой город, распределила по категориям и кратко описала каждую статью в карточках внутри зданий ‼️

Читайте, вдоволь наевшись салатов, тепло вспоминайте уходящий год и радушно встречайте следующий. С Новым годом!


➡️Enjoy! 🐇

   @HaHacking  🐇🎄

🆘 #литература #malware #mobile #reverse

Добрый день! Давно не виделись :)

➡️Делюсь своим конспектом о анализе мобильного [вредоносного] ПО для Android по мотивам книг:

📖 ‟The Android Malware Handbook” (Nov, 2023)
📖 ‟Intelligent Mobile Malware Detection” (Dec, 2022)
➕и не только!


🧩 qwqoro/Android-Malware-Analysis

⬇️ HaHacking_Android-Malware-Analysis.pdf ⬇️

Бывает тяжело ориентироваться в информации, когда негде взять структурированную выжимку. Для таких, как я, – этот конспект, разбитый по главам;

И он мне уже пригодился на практике, stay tuned! ❗️

Книги служили основными источниками знаний➕ориентирами по темам / подтемам, которые стоит включить; информация была обработана и дополнена некоторыми деталями и ссылками на связанные источники из разряда "See also" для более увлекательного погружения, в частности на:
➖ видео от известных создателей
➖ официальную документацию
➖ связанные статьи / блоги
➖ научные работы
➖ репозитории / инструменты, которые могут пригодиться

▪️Основы ОС Android➕Модель безопасности
▪️Песочницы, эмуляторы, инструменты, ...
▪️Семейства мобильного вредоносного ПО

▪️Статический анализ вредоносного ПО
▪️Инструменты, обратная разработка, анализ вызовов, прав, кода, ...

▪️Динамический анализ вредоносного ПО
▪️Инструменты, анализ системных метрик, сетевого трафика, вызовов, ...

// #ai: Не вошло в конспект, но в книгах / упомянутых научных работах также подробно разбирается использование машинного обучения для гибридного анализа мобильного вредоносного ПО; Интересно, есть смысл взглянуть! 👏


➡️Enjoy!

@HaHacking  🐇