Forwarded from hx0110
Authentication Bypass to RCE in Versa Concerto
На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:
Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку:
1. Auth bypass за счет TOCTOU
2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа)
3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена.
4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере).
❗️ Также упоминается уязвимость hop-by-hop headers, которая позволяет получить административный доступ и, например, выполнить п.3 и п.4 без необходимости попадания в race window.
5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине.
Красиво!🔥
Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce
#web #vulns
На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:
Versa Concerto is a widely used network security and SD-WAN orchestration platform
Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку:
1. Auth bypass за счет TOCTOU
2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа)
3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена.
4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере).
5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине.
Красиво!
Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce
#web #vulns
Please open Telegram to view this post
VIEW IN TELEGRAM
ProjectDiscovery
Authentication Bypass to RCE in Versa Concerto — ProjectDiscovery Blog
Introduction
Versa Concerto is a widely used network security and SD-WAN orchestration platform, designed to provide seamless policy management, analytics, and automation for enterprises. With a growing customer base that includes large enterprises, service…
Versa Concerto is a widely used network security and SD-WAN orchestration platform, designed to provide seamless policy management, analytics, and automation for enterprises. With a growing customer base that includes large enterprises, service…
👏1
PortSwigger Research
Stealing HttpOnly cookies with the cookie sandwich technique
In this post, I will introduce the "cookie sandwich" technique which lets you bypass the HttpOnly flag on certain servers. This research follows on from Bypassing WAFs with the phantom $Version cookie
Forwarded from Whitehat Lab
Инструмент для аудита разрешений в
доступом (ACL – Access Control List)
UPD
Added info for Windows 2022 and Windows 2025
Added Exchange Schema version 'Exchange Server 2019 CU10
Написан на
SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.
Разрешения, которые нам интересны
GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу
Работает в GUI или консольном режимах:
Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1
.\ADACLScan.ps1
.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}
Экспорт в xls, csv, html
Большое количество возможностей
#adaclscanner #powershell #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
Unauthenticated RCE module for vBulletin 5.1.0-6.0.3
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
ZoomEye: app="vBulletin"
Shodan: http.html:"content=\"vBulletin"
FOFA: app="vBulletin"
www.opennet.ru
Релиз ядра Linux 6.15
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.15. Среди наиболее заметных изменений: механизм аудита в Landlock, режим закрепления маппинга памяти, подсистема fwctl, драйвер Nova для GPU NVIDIA, реализация хост-системы для гипервизора…
🔗Ссылка:
https://opennet.ru/63305/
https://opennet.ru/63305/