😑 GraphSpy
#AD #Windows #O365

Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе браузера.

Написана на python + html/css/js

Установка:

# Установка pipx (пропустите, если уже установлен)
apt install pipx
pipx ensurepath

# Установка GraphSpy
pipx install graphspy

После установки приложение можно запустить с помощью команды graphspy.

Запуск GraphSpy без каких-либо аргументов приведет к запуску по умолчанию по адресу http://127.0.0.1:5000.

У GraphSpy множество функций, так давайте разберемся в них:

Токены доступа и обновления — храните токены доступа и обновления для нескольких пользователей и диапазонов в одном месте. Легко переключайтесь между ними или запрашивайте новые маркеры доступа с любой страницы.

Девайс коды — легко создавайте и опрашивайте сразу несколько кодов устройств. Если пользователь использовал код устройства для аутентификации, GraphSpy автоматически сохранит токен доступа и обновления в своей базе данных.

Файлы и SharePoint — просмотр файлов и папок в OneDrive пользователя или на любом доступном SharePoint с помощью user-friendly интерфейса проводника файлов. Конечно, файлы можно загружать и напрямую. Кроме того, в списке отображаются недавно открытые файлы пользователя или файлы, к которым он имеет общий доступ.

Outlook — можно одним нажатием открывать Outlook использовав только Outlook access token

Графовый поиск — поиск по ключевым словам во всех приложениях Microsoft 365 с помощью Microsoft Search API. Например, поиск любых файлов или электронных писем, содержащих ключевые слова, как "пароль", "конфиденциально" и т.д.

Кастомные запросы — можно выполнять собственные API-запросы к любому endpoint'у, используя токены доступа, хранящиеся в GraphSpy.

Поддержки нескольких БД — GraphSpy поддерживает несколько баз данных. Это удобно при одновременной работе над несколькими проектами, чтобы хранить токены и коды устройств в порядке.

Ну и куда же без нашей любимой тёмной темы)) 🌚

💻 Github

🌚 @poxek

Принёс вам маленькую удобную плюшку
#red_team #fileupload

При проведении пентестов, часто сталкиваемся с тем, что можно попробовать загрузить для проверки функции загрузки файлов или для content spoofing'а. Так вот один юзер тоже задался таким вопросом и таки написал тулзу, которая генерирует картинки без какого специфичного содержания.
А то заказчик может неправильно понять и обидеться на какую-то картинку

А ещё из недавно, нужно было проверить какой максимальный размер может поглотить загрузка файлов. Был архив с NvidiaRTX Chat на 35 гб. Такой большой объем не ел, а допустим на 5 или 15 гб не смог у себя файлы найти, чтобы это были не какие-то важные архивы. Так вот эта утилита может ещё и картинки любого размера генерировать)

Возможно вы и не сделаете file upload bypass, но переполнить хранилище сервера с лёгкостью, если конечно предыдущие картинки не удаляются.

Установка:

pip install git+ssh://git@github.com/sterrasec/dummy.git

лично у меня не получилось её поставить таким способом. Только через гитклон и ручную установку зависимостей забейте, я разобрался))

Использование:

# Самый простой вариант. Текст по умолчанию "dummy file"
dummy test1.jpeg

# Далее можно поиграться с текстом, чтобы заказчик точно понял, что это оставили мы
dummy -t poxek test2.png

# Далее можем поиграться с размером. Но генерация произвольного размера возможна только для png
dummy -t poxek -b 10MB test3.png

Как я писал выше, только при png мы можем свободно менять размер. Тогда какие форматы ещё поддерживаются? jpeg и pdf.

Если получится, то на досуге перепишу эту тулзу, чтобы она точно у всех работала и собиралась. Но идея проекта не безосновательная.

🧩 Github

🌚 @poxek

Пентестеры / хакеры - пчелки, то ловушки - это....
#k8s #kubernetes #honeypot #идеи

Недавно с другом обсуждали идеи и одна из идей была создание своего honeypot'а. Я на них смотрю с точки зрения ресерчей и TI (threat intelligence), как пример получение сплойтов и PoC трендовых вулн. Знакомый заинтересован в этом с точки зрения thread deception. Провёл для поста маленький ресерч. В РФ такую услугу (публично) оказывает только 1 вендор. Вне РФ из популярных Checkpoint и Fortinet. Но он добавил, что Threat Deception лучше комбинировать с SOC. Потому что ловушки нужно ставить не только на внешнем периметре, но и на внутреннем контуре. И данный класс решений, даже если сделанный на коленки может превентивно оповестить вас о таргетированной атаке или поможет обнаружить 0day.

Сейчас в определенном смысле подрастя и общаясь с вендорами напрямую на конференциях, чётче и в масштабе виден рынок ИБ. И насколько хватает мировоззрения, я и не только вижу то, что почему-то honeypot'ы пропали. Раньше их можно было встретить гораздо чаще. Сейчас даг бог у крупной компании найдется сервер с port spoofing'ом (это такая настройка firewall'а, при которой при сканировании или по дефолту, сервис port spoof будет эмулировать состояние порта. Показывая к примеру, что открыты все 65535 портов и при этом отдавая сканеру каждый раз новые сервисы). Использование последнего кстати сильно подпортит жизнь атакующим. Т.к. использование общедоступных сканеров станет невозможным и придётся искать малопопулярные решения или писать своё с низкими рейтами. Этот кейс мы кстати обсуждали на безопасной среде от КОД ИБ, там вместе с Лукой, Вадимом Шелестом и Сергеем Рысиным обсуждали такие моменты ИБэшные. Всё жду, когда выпустят и прикреплю ссылку сюда)

Так я подвёл разговор на тему Threat Deception. Не как к одной штучке, которую вы развернули где-то на внем сервере в докере. А как полноценное решение для крупных компаний. Тут могла быть реклама, но её нет) Говоря про ханипоты важно уточнить, что есть два вида. Первый - это так скажем тупой, простой, легко детектируемый. Т.е. когда просто эмулируете ответ от сервера, где отдаёте к примеру старую версию ProFTPD и баннер от него. И ждать по принципу, что боты схавают такое. А есть умнные, глубокие ханипоты. Когда вы разворачиваете полноценно уязвимый сервис и вставляете к примеру в него canary, тем самым дойди до определенного эндпоинта хакер сам себя спалит.

Но что можно предложить компаниям с уже хорошей ИБ? Давайте представим образ компании с продвинутый ИБ. Наверняка у них есть SOC, вероятно инхаус пентестеры/red team и возможно они уже пересели на k8s с AD. Тогда им нужно предложить решение, которое удобно будет интегрировать с k8s.

Думаю контекста вам уже достаточно, поэтому предлагаю всем заинтересовавшимся почитать статьи Building honeypots with vcluster and Falco, первую и вторую части)

P.S. надеюсь такое направление постов вам тоже зайдет, оно занимает довольно много времени. А также если вы заинтересованы в написании таких штук, то вероятно вы найдете единомышленников в чате или у меня в ЛС)

А ещё ради интереса напишите в чат, кто какой мёд любит :)

🌚 @poxek

Интересная история про Bypassing Cloudflare WAF: XSS via SQL Injection
#cloudflare #WAF #XSS #SQLi #bypass

Дабы этот пост не стал очередным, что вы отправите себе в ЛС, кратко выдели в начале главные мысли:

1. При работе по анализу защищенности, будь то пентест, ред тим или бб, обязательно делайте скрины и записывайте ключевые находки сразу, пока вы сами не забыли, как поломали это.
2. Гуглить, а точнее использовать оператор after:YYYY-MM-DD. От себя добавлю, что не просто там мы, админы, делаем для вас контент. Если у вас много телеграм каналов в подписках и чатов, то обязательно используйте поиск по самой телеге. Я постоянно этим пользуюсь и порой это сильно сокращает время нахождения сплойтов или инфы о багах.
3. Комбинируйте атаки. Самый простой пример, что user enum вам поможет с Account Takeover'ом. Если у вас python стек и вы нашли XSS, то ищите SSTI и так далее.
4. Не ожидайте, что сервер всегда вам будет отвечать ошибкой или alert()'ом. Возможно вы пропустите слепые SQLi или XSS или какую-нибудь SSRF.
5. Самый главный совет от автора статьи, не блечьте. Вы ещё молодые и шутливые, а потом боком встанет ваши необдуманные и тем более если обдуманные действия. В РФ и в мире есть очень много багбаунти программ, на которых вы можете искать уязвимости)

А в целом статья про обход CF (ничего не обычного), затем раскрутка скули и xss. Как-то так)
➡️ Читать статью

🌚 @poxek

Разбор RCE в Telegram
#telegram #RCE

Особо говорить не чего, разраб не так две буквы написал и получилась RCE ¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯

➡️ Читать далее

🌚 @poxek

Secure Coding Cheatsheets
#appsec #dev #devsecops #red_team #blue_team #SSDLC

Статья на тему безопасной разработки. В статье автор разобрал примеры уязвимостей в коде и как их избегать.

Кому полезен материал: appsec'арям, пентестерам, devsecops'ам и разрабам естественно

Также он показывает примеры не на одном языке, а на:
➡️ C#(.Net)
➡️ PHP
➡️ Go
➡️ Python
➡️ Java
➡️ Android Java
➡️ iOS Swift

Полезно почитать всем, по факту он выбрал самые популярные технологически стеки.
Автор разобрал следующие уязвимости:
➡️ Broken Access Control (Небезопасная управление доступом)
➡️ Cryptographic Failures (Криптографические недостатки)
➡️ Injection (Инъекции)
➡️ Insecure Design (Небезопасный дизайн проектирования)
➡️ Security Misconfiguration (Небезопасная настройка чего либо)
➡️ Vulnerable and Outdated Components (Уязвимые и/или не обновленные компоненты)
➡️ Inadequate Supply Chain Security (Уязвимость в цепочке поставок)
➡️ Insecure Authentication/Authorization (Небезопасная аутентификация/авторизация)
➡️ Insufficient Input/Output Validation (Недостаточная фильтрация ввода/вывода)
➡️ Insecure Communication (Небезопасная передача информации)
➡️ Improper Credential Usage (Неправильное хранение учетных данных)
➡️ Inadequate Privacy Controls (Неправильный контроль конфиденциальности)

Каждый найдет для себя что-то)

➡️ Статеечка

🌚 @poxek

Standoff 13 Changelog
#standoff13

➡️ Новая инфра, в виде виртуального государства S
➡️ Система кланов для Red Team
➡️ Расширены возможности для Blue team (я от себя лоббировал эту идею)

🌚 @poxek

Что случилось с Codeby? Они сделали ренейминг в DreamTeam. Так что не теряйтесь)

Codeby = DreamTeam

p.s. почему? зачем? не знаю

🌚 @poxek