📦 ⁤Готовая инфраструктура для пентеста.

• По ссылке ниже ты найдешь 1 атакующую ВМ на #Linux и 4 ВМ на Win Server 2019 с уязвимыми службами, развернутой Active Directory, уязвимыми MSSQL, Apache Tomcat, Jenkins и т.д.

• После установки можешь использовать полученную инфраструктуру для обучения в области пентеста. Крутая и полезная штука для тех, кому нужен практический опыт.

➡️ https://github.com/R3dy/capsulecorp-pentest

#Пентест #hack

👨‍💻 Файловая система Linux. Описание на русском

#doc #cheatsheet #linux

🐾 По следам Puma: как обнаружить руткит через его же интерфейс

Сегодня в нашем обзоре технически интересный и многофункциональный руткит для Linux — Puma, недавно исследованный коллегами из Elastic Security Labs и Solar 4RAYS.

Puma представляет собой комплексный руткит уровня ядра (LKM), нацеленный на длительное скрытное пребывание в системе и кражу учетных данных для перемещения в инфраструктуре жертвы. Закрепляется в системе путем подмены штатного cron на модифицированный вредоносный аналог, состоящий из нескольких компонентов:

1️⃣ Загрузчик (wpn.bin) — отвечает за корректную установку модуля ядра.

2️⃣ Легитимный cron (tgt.bin) — обеспечивает исправную работу cron, чтобы жертва не заметила подмены.

3️⃣ LKM-модуль (audit) — основной компонент для перехвата системных вызовов и функций ядра Linux. Благодаря ему модуль эффективно скрывает процессы, файлы, директории и сетевые соединения, а также перехватывает чувствительную информацию, такую как учетные данные и криптографические ключи.

4️⃣ Бэкдор (libs.so) — обеспечивает связь с C2-сервером, получение команд от злоумышленников и передачу результатов.

🎯 Любопытная деталь

Помимо стандартного удаленного управления через C2-сервер в Puma используется и локальное, реализованное через переопределенный системный вызов rmdir: при наличии определенных аргументов руткит интерпретирует вызов как команду и возвращает инициировавшему процессу результат выполнения. Так, бэкдор использует этот механизм, чтобы запросить у модуля конфигурацию удаленного сервера или отобразить перехваченные конфиденциальные данные.

🔎 Что нам удалось обнаружить

Анализируя Puma, мы выявили в LKM-модуле важную уязвимость: он не проверяет, какой именно процесс вызывает переопределенный rmdir для выполнения команд. Таким образом, вызвав rmdir с определенными аргументами, можно однозначно определить присутствие руткита в системе.

📌 Почему это важно

Уязвимость трудноустранима: злоумышленники, используя возможности бэкдора, могут обновлять лишь его код, но не код загруженного в систему модуля ядра. Для этого потребуется значительно больше усилий. Таким образом, уязвимость можно использовать для быстрого детекта Puma в инфраструктуре.

🐍 Для удобства мы написали небольшой Python-скрипт, который поможет вам определить руткит в системе:

import ctypes
import subprocess
import os

SYS_rmdir = 84  

buffer_size = 16
path_buf = ctypes.create_string_buffer(buffer_size)
ctypes.memmove(path_buf, b"zarya.u\0", 7)

libc = ctypes.CDLL("libc.so.6", use_errno=True)
ret = libc.syscall(SYS_rmdir, path_buf)

try:
    proc = subprocess.Popen(
        "lsmod | grep audit",
        shell=True,
        stdout=subprocess.PIPE,
        stderr=subprocess.PIPE,
        universal_newlines=True
)
    output, _ = proc.communicate()

    if output.strip():
        path_buf2 = ctypes.create_string_buffer(buffer_size)
        ctypes.memmove(path_buf2, b"zarya.t.0\0", 9)
        ret2 = libc.syscall(SYS_rmdir, path_buf2)
        
        if ret2 == 0:
            print(f"Pumakit detected on this machine, module info:\n{output.strip()}")
        else:
            print("Pumakit wasn't detected at this machine")
    else:
        print("Pumakit wasn't detected at this machine")

except Exception as e:
    print("Error:", e)

Не самый типичный случай — когда уязвимость играет не против защитника, а ему на руку. Такое бывает нечасто, но именно это дает возможность для точного детекта.

⚠️ Если вы обнаружили Puma, то в инфраструктуре почти наверняка есть и другое ВПО. Обязательно обратитесь за помощью к специалистам по реагированию на инциденты информационной безопасности.

#TI #detect #malware #linux
@ptescalator

💻 💻 ZSH + Oh My Zsh + powerlevel10k

📌Увеличиваем эффективность работы в консолe.
‼️ Внимание! После установки omz и p10k возвращаться обратно в bash будет невероятно сложно 😃

💻 В Kali Linux zsh используется по умолчанию, можно начинать установку сразу с omz. Проверяем командой

echo $SHELL



⚙️ Установка:

sudo apt install zsh -y && sh -c "$(curl -fsSL https://raw.githubusercontent.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

git clone https://github.com/zsh-users/zsh-syntax-highlighting.git ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

git clone https://github.com/zsh-users/zsh-autosuggestions ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

sed -i 's/plugins=(git)/plugins=(git zsh-syntax-highlighting zsh-autosuggestions)/g' ~/.zshrc

🎩 Здесь ставим 2 очень полезных плагина, подсветки синтаксиса и автозавершения команд на основе вашей истории.
Sed'ом добавляем их в ~/.zshrc и включаем.

Шелл меняется командой:

chsh -s /usr/bin/zsh

Теперь ставим p10k:

git clone --depth=1 https://github.com/romkatv/powerlevel10k.git ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/themes/powerlevel10k



Меняем ZSH_THEME="powerlevel10k/powerlevel10k" в ~/.zshrc
Дефолтную комментируем

Заканчиваем настройку:

exec zsh
p10k configure


Для полного погружения ставим дополнительные шрифты
Включится wizard, настраиваете по вкусу. У меня на скриншоте Lean Style (минимализм)

💻 Oh my Zsh
💻 Powerlevel10k

#zsh #omz #ohmyzsh #p10k #linux #manual

✈️Whitehat Lab

💻 explainshell

Интерактивная памятка по 🐧Linux утилитам

🔗 Web
💻 Repo

#linux #shell

✈️ Whitehat Lab 💬Chat

🐧 Red-Team Linux kernel rootkit

KoviD is an open-source Loadable Kernel Module (LKM) security research tool
designed to help security professionals understand and defend against rootkit
techniques in Linux Kernel version 5 and later

💻 Repo

#rootkit #linux #redteam

✈️ Whitehat Lab 💬Chat

📔 ruDocs (ранее PS-Commands)

Нашел крайне полезный, так еще и русскоязычный репозиторий

Большая база заметок по синтаксису PowerShell, командам Linux и инструментам DevOps на русском языке, собранная на пути от системного администратора Windows систем до DevOps инженера
Репозиторий содержит набор PowerShell и Bash скриптов, а также коллекцию стеков Docker Compose и манифестов Kubernetes, которые поддерживаются в актуальном состояние и эксплуатируется в домашней лаборатории

😹 Repo
😹 PowerShell
😹 Linux
😹 DevOps
🔗 Web

#linux #powershell #devops #docker #k8s

✈️ Whitehat Lab 💬Chat