❤8
Скрываясь на виду у всех. №1
В этом блоге представлен высокоуровневый обзор трассировки стека, того, как EDR/AV используют ее для обнаружения, использования телеметрии ETWTI и того, что можно сделать, чтобы обойти ее. Итак, прежде чем мы обсудим уклонение, давайте сначала поймем, почему трассировка стека важна для EDR.
В этом блоге представлен высокоуровневый обзор трассировки стека, того, как EDR/AV используют ее для обнаружения, использования телеметрии ETWTI и того, что можно сделать, чтобы обойти ее. Итак, прежде чем мы обсудим уклонение, давайте сначала поймем, почему трассировка стека важна для EDR.
Sergey Zybnev | Pentester
Proxying DLL Loads. Bypass all EDRs
Hiding In PlainSight - Proxying DLL Loads To Hide From ETWTI Stack Tracing
❤8
Если вам понравится данная статья, то выложу вторую часть. Приятным фидбеком будут комментарии и репосты)
Linux Kernel ksmbd Use-After-Free RCE
CVE-2022-47939
CVSS SCORE: 10.0
Эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых версиях Linux Kernel. Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
KSMBD - это сервер ядра linux, который реализует протокол SMB3 в пространстве ядра (ksmbd) для обмена файлами по сети. При запуске серверный демон запускает поток forker (ksmbd/interface name) во время инициализации и открывает выделенный порт 445 для прослушивания SMB-запросов.
Специфический недостаток существует в обработке команд SMB2_TREE_DISCONNECT. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.
#CVE
CVE-2022-47939
CVSS SCORE: 10.0
Эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых версиях Linux Kernel. Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
KSMBD - это сервер ядра linux, который реализует протокол SMB3 в пространстве ядра (ksmbd) для обмена файлами по сети. При запуске серверный демон запускает поток forker (ksmbd/interface name) во время инициализации и открывает выделенный порт 445 для прослушивания SMB-запросов.
Специфический недостаток существует в обработке команд SMB2_TREE_DISCONNECT. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.
#CVE
Похек
Блямбда. Эксплуатируем AWS Lamda.pdf
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilitieshttps://gist.github.com/ustayready/c29e9f9dca0a0b8170fbdfec11afc349
Gist
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilities
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilities - gpt.py
CVE-2022-21587
Oracle E-Business Suite (EBS)
Status: Exploited in the Wild
CVE-2022-21587 может привести к неавторизованному удаленному выполнению кода. 16 января 2023 года компания Viettel Security опубликовала анализ этой проблемы, подробно описав первопричину и метод использования уязвимости для получения возможности выполнения кода через полезную нагрузку Perl. Эксплойт, основанный на методе анализа Viettel Security, был опубликован на GitHub "HMs" 6 февраля 2023 года. Oracle приписала "l1k3beef" в качестве первооткрывателя уязвимости.
Анализ показал, что во время эксплуатации также возможно использование полезной нагрузки на основе Java Server Page (JSP) для RCE.
P.S. POC
#CVE #POC
Oracle E-Business Suite (EBS)
Status: Exploited in the Wild
CVE-2022-21587 может привести к неавторизованному удаленному выполнению кода. 16 января 2023 года компания Viettel Security опубликовала анализ этой проблемы, подробно описав первопричину и метод использования уязвимости для получения возможности выполнения кода через полезную нагрузку Perl. Эксплойт, основанный на методе анализа Viettel Security, был опубликован на GitHub "HMs" 6 февраля 2023 года. Oracle приписала "l1k3beef" в качестве первооткрывателя уязвимости.
Анализ показал, что во время эксплуатации также возможно использование полезной нагрузки на основе Java Server Page (JSP) для RCE.
P.S. POC
#CVE #POC
😱2
А PT добавили новые программы на свою багбаунти площадку:
1. ЕСИА - выплаты до 1.000.000 рублей
2. Госуслуги - выплаты до 1.000.000 рублей
https://bugbounty.standoff365.com/programs
1. ЕСИА - выплаты до 1.000.000 рублей
2. Госуслуги - выплаты до 1.000.000 рублей
https://bugbounty.standoff365.com/programs
Standoff365
Программы
Standoff 365 Bug Bounty — платформа для поиска уязвимостей за вознаграждение и самый быстрый способ убедиться в надежности своей IT-инфраструктуры с помощью тысяч сильнейших хакеров.
😱2
Forwarded from Standoff 365
🫡 Легальный шанс взломать Госуслуги
Добавили на платформу две багбаунти программы для тех, кто неравнодушен к государственным сервисам и хочет сделать их безопаснее, ну, или всегда мечтал взломать :)
Госуслуги — сервис с информацией о государственных и муниципальных учреждениях и возможностью воспользоваться их электронными услугами онлайн.
🔸 смотрите полный скоуп на bb.standoff365.com/vendors/digital-gov
🔸💰 до 1 000 000 ₽
Также лучших ждут специально придуманные по такому случаю подарки и инвайты на PHDays 12.
🔮 Сделать безопаснее системы электронного правительства → bb.standoff365.com/vendors/digital-gov
Добавили на платформу две багбаунти программы для тех, кто неравнодушен к государственным сервисам и хочет сделать их безопаснее, ну, или всегда мечтал взломать :)
Госуслуги — сервис с информацией о государственных и муниципальных учреждениях и возможностью воспользоваться их электронными услугами онлайн.
🔸
gosuslugi.ru, freeinternet.gosuslugi.ru, payment.gosuslugi.ru,🔸
esia.gosuslugi.ru, 109.207.2.205, 213.59.254.8
Также лучших ждут специально придуманные по такому случаю подарки и инвайты на PHDays 12.
🔮 Сделать безопаснее системы электронного правительства → bb.standoff365.com/vendors/digital-gov
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Похек
Скрываясь на виду у всех. №1 В этом блоге представлен высокоуровневый обзор трассировки стека, того, как EDR/AV используют ее для обнаружения, использования телеметрии ETWTI и того, что можно сделать, чтобы обойти ее. Итак, прежде чем мы обсудим уклонение…
Скрываясь на виду у всех. №2
Судя по реакции и просмотрам на статье. Она вам понравилась, поэтому выкладываю вторую часть статьи!
Это вторая часть блога о проксировании загрузки DLL для скрытия подозрительных следов стека, ведущих к выделенной пользователем области RX. Я не буду углубляться в то, как работает стек, потому что я уже рассказал об этом в предыдущем блоге, который доступен по вышеуказанной ссылке.
#RedTeam #Bypass
Судя по реакции и просмотрам на статье. Она вам понравилась, поэтому выкладываю вторую часть статьи!
Это вторая часть блога о проксировании загрузки DLL для скрытия подозрительных следов стека, ведущих к выделенной пользователем области RX. Я не буду углубляться в то, как работает стек, потому что я уже рассказал об этом в предыдущем блоге, который доступен по вышеуказанной ссылке.
#RedTeam #Bypass
Sergey Zybnev | Pentester
Indirect Syscall is Dead! Bypass all EDRs
Hiding In PlainSight - Indirect Syscall is Dead! Long Live Custom Call Stacks
🔥5
Похек
Скрываясь на виду у всех. №2 Судя по реакции и просмотрам на статье. Она вам понравилась, поэтому выкладываю вторую часть статьи! Это вторая часть блога о проксировании загрузки DLL для скрытия подозрительных следов стека, ведущих к выделенной пользователем…
Как вы заметили. Я сделал для своего сайта специальный шаблон Telegram IV (Instant View). Теперь статьи можно читать не покидая телеграм. Но если вы хотите глубже погрузиться в разбор кода в моих статьях, то читайте на сайте. Там есть подсветка синтаксиса для всех ЯПов. Удобнее и приятнее читать будет
LocalPotato CVE-2023-21746 Windows LPE
Еще одно повышение привилегий локальной Windows с помощью новой техники Potato ;)
Атака LocalPotato - это тип атаки отражения NTLM, направленной на локальную аутентификацию. Эта атака позволяет произвольно читать/записывать файлы и повышать привилегии.
#CVE #POC
Еще одно повышение привилегий локальной Windows с помощью новой техники Potato ;)
Атака LocalPotato - это тип атаки отражения NTLM, направленной на локальную аутентификацию. Эта атака позволяет произвольно читать/записывать файлы и повышать привилегии.
#CVE #POC
❤7
Похек
LocalPotato CVE-2023-21746 Windows LPE Еще одно повышение привилегий локальной Windows с помощью новой техники Potato ;) Атака LocalPotato - это тип атаки отражения NTLM, направленной на локальную аутентификацию. Эта атака позволяет произвольно читать/записывать…
Разбор уязвимости LocalPotato CVE-2023-21746 на русском языке!
LocalPotato CVE-2023-21746 Windows LPE
После обширного исследования мы пришли к "LocalPotato", не очень распространенной атаке отражения NTLM в локальной аутентификации, позволяющей произвольное чтение/запись файлов. Сочетание возможности произвольной записи в файл с выполнением кода позволило нам добиться повышения привилегий по всей цепочке от пользователя до SYSTEM.
В этой статье есть разбор эксплойта и то, как он был пропатчен. Данная статья представляет большой интерес для Red&Blue Team!
LocalPotato CVE-2023-21746 Windows LPE
После обширного исследования мы пришли к "LocalPotato", не очень распространенной атаке отражения NTLM в локальной аутентификации, позволяющей произвольное чтение/запись файлов. Сочетание возможности произвольной записи в файл с выполнением кода позволило нам добиться повышения привилегий по всей цепочке от пользователя до SYSTEM.
В этой статье есть разбор эксплойта и то, как он был пропатчен. Данная статья представляет большой интерес для Red&Blue Team!
Sergey Zybnev | Pentester
LocalPotato Windows LPE CVE-2023-21746
The LocalPotato attack is a type of NTLM reflection attack that targets local authentication. This attack allows for arbitrary file read/write and elevation
❤3
MicroBurst: A PowerShell Toolkit for Attacking Azure
MicroBurst включает функции и сценарии, поддерживающие обнаружение служб Azure, проверка на misconfiguration и post exploitation, такие как сброс учетных данных. Инструмент предназначен для использования во время тестов на проникновение, где используется Azure.
Импорт модуля:
Используйте следующую команду "Unblock-File" для рекурсивной проверки:
A Beginners Guide to Gathering Azure Passwords
Anonymously Enumerating Azure Services
Anonymously Enumerating Azure File Resources
Get-AzurePasswords: Exporting Azure RunAs Certificates for Persistence
Using Azure Automation Accounts to Access Key Vaults
Get-AzPasswords: Encrypting Automation Password Data
Azure Privilege Escalation Using Managed Identities
MicroBurst включает функции и сценарии, поддерживающие обнаружение служб Azure, проверка на misconfiguration и post exploitation, такие как сброс учетных данных. Инструмент предназначен для использования во время тестов на проникновение, где используется Azure.
Импорт модуля:
Import-Module .\MicroBurst.psm1Это позволит импортировать все применимые функции на основе установленных в настоящее время модулей в вашем окружении.
Используйте следующую команду "Unblock-File" для рекурсивной проверки:
dir -Recurse .\MicroBurst-master | Unblock-File
Дополнительный материал по пентесту Azure:A Beginners Guide to Gathering Azure Passwords
Anonymously Enumerating Azure Services
Anonymously Enumerating Azure File Resources
Get-AzurePasswords: Exporting Azure RunAs Certificates for Persistence
Using Azure Automation Accounts to Access Key Vaults
Get-AzPasswords: Encrypting Automation Password Data
Azure Privilege Escalation Using Managed Identities
🔥4👍1