Forwarded from Detection is easy
Всем привет! 💻 ✌️
Атакующие загружали вредоносные расширения в браузер для кражи данных
👨💻 Как это работает?
В Chromium-based браузерах ранее поддерживался аргумент командной строки
Позднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:
Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин
В актуальных версиях Chromium данный способ уже не работает
🔭 Обнаружение:
🔤 Хантим аргументы командной строки
#detection@detectioneasy
#ttp@detectioneasy
Атакующие загружали вредоносные расширения в браузер для кражи данных
В Chromium-based браузерах ранее поддерживался аргумент командной строки
--load-extension, который позволял запускать браузер с указанием пути к расширениюПозднее данный аргумент был скрыт, однако его всё ещё можно было использовать, если отключить соответствующее ограничение с помощью флага:
--disable-features=DisableLoadExtensionCommandLineSwitch
Таким образом, атакующие могли перезапускать Chrome или Edge с уже загруженным вредоносным расширением без необходимости установки через официальный магазин
В актуальных версиях Chromium данный способ уже не работает
ProviderName="Microsoft-Windows-Sysmon" and EventId=1 and Image endswith "chrome.exe" and CommandLine contains "--load-extension"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Gdatasoftware
Browser Hijacking: Three Technique Studies
If you are searching for technical information on how browser hijacking works, there does not seem to be much out there apart from generic removal instructions. This might be an educational gap we should try and close.
1🤯1
Forwarded from 1N73LL1G3NC3
GitHubDeviceCodePhishing
A tool that provides a web interface to easily perform GitHub Device Code phishing on red team engagements.
Blog: Introducing: GitHub Device Code Phishing
A tool that provides a web interface to easily perform GitHub Device Code phishing on red team engagements.
Blog: Introducing: GitHub Device Code Phishing
Forwarded from Whitehat Lab
UPD. Большой апдейт
Комбайн для эксплуатации Command Injection уязвимостей, написан на python
В
Установка:
git clone https://github.com/commixproject/commix.git commix
python commix.py -h
"Детский" режим:
python commix --wizard
Обычный запуск:
python commix -u http://62.173.140.174:16016/ --data 'action='
Поддержка тамперов:
python commix -u http://62.173.140.174:16016/ --data 'action=' --tamper=space2ifs
Список тамперов:
python commix --list-tampers#commix #python #pentest #soft #web
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
boflink
Boflink is a tool designed to act as a sort of fill-in for the missing linking stage that comes with the BOF development process. It is a linker that takes unmodified object files generated by a compiler and links them together into a Beacon Object File capable of being loaded by a BOF loader.
Its main goal is to act as a bridge between the BOF development and the BOF loading process to help simplify them.
Blog: Boflink: A Linker For Beacon Object Files
Boflink is a tool designed to act as a sort of fill-in for the missing linking stage that comes with the BOF development process. It is a linker that takes unmodified object files generated by a compiler and links them together into a Beacon Object File capable of being loaded by a BOF loader.
Its main goal is to act as a bridge between the BOF development and the BOF loading process to help simplify them.
Blog: Boflink: A Linker For Beacon Object Files
Forwarded from SecuriXy.kz
🚨 RCE в n8n: критическая уязвимость в движке выражений CVE-2025-68613 - «Автоматизация автоматизировала сама себя»
💡 В версиях n8n начиная с 0.211.0 выражения обрабатываются в небезопасном контексте. Механизм
Если злоумышленник имеет доступ к редактированию workflow, он может выполнить произвольный код с правами процесса n8n.
⚠️ Уязвимы версии до 1.120.4, 1.121.1 и 1.122.0
🔍 Что получает атакующий
RCE, доступ к секретам и данным workflow, подмена автоматизаций и внедрение вредоносных цепочек, развитие атаки внутри сети через захваченный инстанс
🛡 Защита
• Обновление до 1.120.4, 1.121.1 или 1.122.0
• Ограничение прав на создание и редактирование workflow
• Сегментация и минимизация привилегий процесса n8n
• Контроль изменений workflow и мониторинг подозрительных выражений
🔗 Описание и Nuclei темплейт: https://github.com/rxerium/CVE-2025-68613/tree/main
💡 В версиях n8n начиная с 0.211.0 выражения обрабатываются в небезопасном контексте. Механизм
expression evaluation позволяет подставлять пользовательский ввод в рантайм без должной изоляции. Если злоумышленник имеет доступ к редактированию workflow, он может выполнить произвольный код с правами процесса n8n.
⚠️ Уязвимы версии до 1.120.4, 1.121.1 и 1.122.0
🔍 Что получает атакующий
RCE, доступ к секретам и данным workflow, подмена автоматизаций и внедрение вредоносных цепочек, развитие атаки внутри сети через захваченный инстанс
🛡 Защита
• Обновление до 1.120.4, 1.121.1 или 1.122.0
• Ограничение прав на создание и редактирование workflow
• Сегментация и минимизация привилегий процесса n8n
• Контроль изменений workflow и мониторинг подозрительных выражений
🔗 Описание и Nuclei темплейт: https://github.com/rxerium/CVE-2025-68613/tree/main