#PHP_Shell #Obfuscation
یکی از راه حل های همیشگی این مسائل مبهم سازی #Shell هستش, یکی از راه های بسیار جالب مبهم سازی بر بستر زبان #PHP استفاده از پیوست کاراکتری هستش که البته بصورت مستیم نباید انجام بشه, قبل از توضیح کامل دو نکته را به یاد داشته باشید مقدار [] معادل Array میباشد میتوید با دستور زیر خودتان تست کنید,

root@unk9vvn:~# php -r "echo ''.[];"
PHP Notice: Array to string conversion in Command line code on line 1
Arrayroot@unk9vvn:~#

نکته دوم, در تصویر پست به این گونه عمل شده که اول رشته Array را درون متغییرهای پویا ریخته و سپس مقدار 0 رو با استفاده از تکنیک '@'=='!' که چون شرط صحیح درخواهد آمد بدست آوردیم, در مراحل بعدی شروع به پیمایش کاراکتر اول Array که خانه 0 هستش کردیم که معادل حرف A هستش این پیمایش به قدری انجام میشود که به کاراکتر مورد نظر ما برسد, و بدین ترتیب همانطور که در انتهای کد میبینید رشته ()ASSERT و [_]POST_$ را ساخته تا از ویژگی تابع ()ASSERT به عنوان شل استفاده کنیم.

https://gist.github.com/unk9vvn/4d6da81db718e0c9dc65f202480da9f1
@Unk9vvN

#Json_RCE on #NC_Shell
در برخی آسیب پذیری هایی که بر بستر application/json گاها دیده شده که پارامترهایی در خصوص خط فرمان هم تعریف شده که خب اگر درست فیلتر نشده باشه آسیب پذیری RCE رخ خواهد داد, اما نکته جذاب این پست کجاست؟ آنجا که ما با استفاده از این سبک RCE ها نشان میدیم که چگونه میشود دسترسی NC را حتی در سرورهایی که بسیار محدود شدن حاصل کرد,

قدم اول دریافت BackConnect پایتونی است که من در تصویر پست آدرش رو مشخص کردم دوم تعریف java.lang.Runtime در فایلی به نام r.vm که در Request تعریف شده, قراره از روی پورت 2121 خوانده بشه, و به واسطه خواندن exec فعال برای خواندن پارامتر آسیب پذیر command میشه,که دستور bash از روی TCP فایل back.py را از پورت Ngrok دانلود و در ادامه به اجرا در میاره, اسکریپت back.py به ما دسترسی bin/sh/ رو به پورت دوم NC ما ارسال خواهد کرد که روی 4444 قرار داره, اما یک نکته پارامتر _template مقدار r.vm مارو دریافت و cache میکته, نکته بعدی برای لیست کردن سرویس FTP آز کتابخونه pyftpdlib که استفاده شده, نکته آخر بجای wget از خود TCP برای دریافت فایل back.py استفاده شده...

@Unk9vvN

#RCE on #SSRF
نمونه ای از پیاده سازی Remote Code Execution بر بستر آسیب پذیری #SSRF که منجر به دسترسی Shell بر پایه ابزار #NC شده است,

از نکات جالب این پایلود میشود به اولین نکته یعنی اشاره پارامتر import_url به پورت درحال گوش دادن هکر اشاره کرد که به واسطه سرویس git انجام میگیره, این پارامتر import_url در برنامه Gitlab دارای آسیب پذیری #SSRF بوده و اولین قدم سوءاستفاده رو هکر برداشته,

اما مورد دوم که اصل قضیه هستش اینه که هکر با استفاده از resque و queue خود برنامه Gitlab اقدام به تعریف یک class کرده و در ساختار Json Base اون پارامتر args رو معادل class_eval برای اجرای مستقیم کد خودش قرار داده , و باز در ادامه مقدار setsid python... خودش رو در ورودی تابع open قرار داده که اول تابع مقداری بصورت پیشفرض برای Pars شده تعریف نشده در نتیجه هکر با یه Pipe اشاره به کد خودش میکنه, و بعد از اجرای nc.py با آی پی و پورت هکر تابع رو read میکنه و با استفاده از system_hook_push تعریف شده در gitlab پروسس خودش رو به اجرا در میاره ,

لازم به ذکر که بگم استفاده از تعریف queues و resque در URI آسیب پذیر محیا بوده...

@Unk9vvN

#Fodhelper for #UAC_Bypass
در سیستم عامل ویندوز ۱۰ امکان داره مکانیزم UACجلوی پیاده سازی برخی کارهای شمارو در فریمورک Metasploit بگیره, که مثلا شما قادر به انجام Migrate Process نباشید, که یکی از رایج ترین روش ها برای باز کردن Privilege سطح ادمین برای Thread دسترسی هستش,

برای دور زدن مکانیزم UAC همیشه راه هایی در سطح اینترنت ارائه میشه, که %90 اونها با استفاده از فعال کردن یک Service در خود سیستم عامل هستش که سطح دسترسی Administator رو از سیستم میگیره, خب اینبار این سرویس ما فایلی با نام fodhelper هستش که به گفته محقق مربوطه دارای سطح ادمین در مواقعی هستش که کاربر فعال ادمین هستش و مکانیزم UAC هم فعاله, اینجا محقق اشاره داره که این سرویس در آنالیزی که روی عملکردش شده با استفاده از ابزار ProcMon متوجه ReqQuery هایی شده که با Value که در تصویر میبینید زده, منظورم قسمت Open\command هستش,خب همین مورد بسیار مناسب برای اشاره به خط فرمان سیستمی یعنی

System32\cmd.exe

هستش که سرویس ما اون رو با سطح ادمین یاز خواهد کرد.


https://github.com/winscripting/UAC-bypass/blob/master/FodhelperBypass.ps1
@Unk9vvN

#Recon_Internal
گاهی اوقات نیاز هستش که بصورت مستقیم با Syntax خط فرمان ویندوز اطلاعات مورد نیاز خودمون رو از سیستم عامل استخراج کنیم , این امور معمولا با استفاده از Post Exploitation های فریمورک هایی مانند Metasploit صورت میگیره, اما چون در بسیاری از مواقع این PostEXP ها Signature شدند و به محض استفاده Access لو خواهد رفت , هکر ترجیه میده که از Query های خودش استفاده کنه برای استخراج اطلاعات یا Recon کردن سیستم عامل, مثال:

C:\Users\unk9vvn>whoami & hostname & ipconfig /all & net user /domain 2>&1 & net group /domain 2>&1 & net group "domain admins" /domain 2>&1 & net group "Exchange Trusted Subsystem" /domain 2>&1 & net accounts /domain 2>&1 & net user 2>&1 & net localgroup administrators 2>&1 & netstat -an 2>&1 & tasklist 2>&1 & sc query 2>&1 & systeminfo 2>&1 & reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" 2>&1

@Unk9vvN

#InterPlanetary #CnC
استفاده از پروتکل #IPFS که بر بستر وب کار کرده و امکان به اشتراک گذاری هرگونه فایل و فرمتی را به کاربران خود میدهد, بستر مناسبی برای سوءاستفاده در خصوص طراحی CnC هاییست کمتر در معرض #Detect و شناسایی شدن هستند,

خاصیت p2p بودن این پروتکل این امکان رو برای هر شخصی داده که بتواند از بستر سیستم عامل خود اقدام به استفاده و تبادل اطلاعات با هر شخص دیگری بر بستر اینترنت کند,برای اولین بار سوءاستفاده از این پروتکل در سال 2018 بود به منظور استفاده در صفحات فشینیگ ,اما در سالهای اخیر موارد بیشتر گزارش شده چرا که هکرها از #IPFS به جای استفاده از وبسایت های آزاد در خصوص اشتراک گذاری فایل های متنی و غیره مانند PasteBin میتوان از #IPFS استفاده کرد,

# Open terminal
root@unk9vvn:~# wget https://dist.ipfs.io/go-ipfs/v0.4.23/go-ipfs_v0.4.23_linux-amd64.tar.gz;tar -zxvf go-ipfs_v0.4.23_linux-amd64.tar.gz;cd go-ipfs/;./install.sh;cd ;mkdir files;cd files;echo 'Get-Process' > test.ps1;cd ;ipfs init;ipfs daemon

# Open new tab
root@unk9vvn:~# cd files;ipfs add test.ps1

https://ipfs.io
@Unk9vvN

#LFI2RCE on #Metasploit
تا به حال با آسیب پذیری #Local_File_Inclusion رو به رو شده اید؟ یکی از چالش های این آسیب پذیری این است که فقط میتواند فایل های یک سرور را با آن خواند,

البته ما در پست های کانال های خصوصی چندین روش در خصوص گرفتن دسترسی با استفاده از کد سمت سرور به فایل های لاگ سرور قربانی و با صدا و دادن پارامتر به آن تشریح کرده ایم, اما آن روش ها منوط به شرط هاییست,

در این میان استفاده از اکسپلویت #php_include فریمورک #Metasploit میتونه با تمامی آن شرایط ها پایلود ریزی خودش رو انجام بده مانند تصویر پست,

https://www.offensive-security.com/metasploit-unleashed/php-meterpreter/
@Unk9vvN

#Kernel_Land #Privilege #Shellcode (Win7)
یکی از روش های ایجاد یک پروسس با سطح دسترسی SYSTEM در سیستم عامل ویندوز ۷ اینه که با استفاده از explore کردن KPRC یا Kernel Processor Control بیایم و ProcbData رو که موقعیتش در ntdll!_KPCR+0x120 هست رو پیمایش کنیم و در موقعیت ProcbData+0x004 مقدار CurrentThread رو بدست بیاریم,

mov eax, [fs:eax + 0x124]

در مرحله بعد از ساختار _KTHREAD مقدار ApcState که در موقعیت +0x040 قرار داره رو هم بدست آورده و explore کنیم, در جریان explore کردن _KAPC_STATE در موقعیت +0x010 ما مقدار کرنل پروسس رو میتونیم در EAX برای ۳۲ بیت و RAX در ۶۴ بیت ذخیره کنیم,

mov eax, [eax + 0x50]

در مرحله بعد میبایست UniqueProcessId مربوط به پروسسی که میخوایم ارتقاء بدیم رو با استفاده از تابع PsGetCurrentProcess بدست بیاریم, در نهایت هم از ساختمان EPROCESS میبایست موقعتی که توکن ها در آنها لحاظ میشوند رو بدست آورده و با استفاده از Flink که مربوط به اشاره گر پروسس قبل و بعد است رو بکار گرفته و یک توکن سیستمی رو پیدا و با توکن CurrentThread خودمون جا به جا کنیم...

@Unk9vvN

#PatchGuard Mitigation
در این دمو نشان داده میشه که چطور روتکیت هایی که با استفاده از باز تعریف ساختارهایی مانند EPROCESS اقدام به مخفی کردن یک پروسس مخرب میکنند شناخته و جلوی آنها گرفته میشود,

مقاله ای در این رابطه...

https://i.blackhat.com/us-18/Thu-August-9/us-18-Desimone-Kernel-Mode-Threats-and-Practical-Defenses.pdf


@Unk9vvN

#SWF Exploitation (ActionScript)
از سال ۲۰۱۵ که تیم های چینی اقدام به اکسپلویت کردن آسیب پذیری های مرورگرها کردند, آن هم بصورت وسیع و حساب شده, نگاهی در حوزه کشف آسیب پذیری از مفسرهای مختلف یک #JIT_Compiler بوجود آمد,

البته چالش اکسپلویت کردن مرورگرها تنها چالش هکرها نبود, بلکه چگونگی اجرای یک پایلود بصورت Evasion هم دغدغه های بسیاری وجود دارد ,

در تصویر پست استفاده از تکنیک رمزنگاری داده با استفاده از الگوریتم RC4 هستش که در زمان اجرای بر حافظه دیکد و اجرا خواهد شد...


https://github.com/kphongagsorn/adobe-flash-cve2018-15982
@Unk9vvN

#Certutil Windows
در حملات بسیاری در سالهای اخیر , مانند APT34 از ماژول Certutil استفاده شده است, دلیل این موضوع این است که Certutil دو ویژگی بسیار جذاب برای هکرها دارد,

اول من کمی توضیح راجب ماهیت این ماژول بدم, و بعد دو ویژگی مذکور , Certutil یک ماژول در رابطه با نصب Certificate های Customize مورد نیاز در سیستم عامل های ویندوز میباشد که توسط خود ماکروسافت طراحی و بصورت پیشفرض بر روی سیستم عامل های ویندوز نصب دارد,

اما دو ویژگی این ماژول این است که, ما با استفاده از Certutil میتونیم مقادیر اینکدینگ BASE64 رو دیکد کنیم , خب استفاده از Certutil بجای یک دیکدر دست نوشته در Payload هکر میتونه مود بسیار خوبی باشه, مورد دوم اینه که ما میتونیم با استفاده از این ماژول فایل های TextPlain رو میتونه از روی DNS های External برای ما دانلود و ذخیره کنه...

هدف از این پست صرفاء تشریح CertUtil نبوده و بیشتر این بود که به بهانه این ماژول توجه شمارو به سرویس های پیشفرض سیستم عامل های ویندوز توجه ویژه کنند تا در عمر دور زدن مکانیزم های Detection راه حل های خلاقانه ای بوجود آورند.

#APT34
@Unk9vvN

#PDF_Malware
در ساختار و Syntax فایل فرمت هایی مانند PDF همواره Object هایی در خصوص فراخوانی یک Link وجود داره که بصورت طبیعی میتونه برای یک هکر مفید باشه,

در تصویر پست تعریف یک obj رو میبینید که از نوغ MediaBox بوده و برای آن یک xref تعرف شده تا فایل فرمت برای دریافت Contents به یک آدرس که در اینجا آدرس از نوع پروتکل SMB بوده داده شده, زمانی که قربانی PDF رو باز کرده و کاربر اجازه ارسال یک درخواست از طرف فایل فرمت رو میده , 3 0 obj اقدام به اجرای Contents و فراخوانی پروتکل میکنه ,

از آنجایی که هکر ابزار Responder رو برای شنود و گوش دادن به درخواست های SMB فعال کرده به محض ارسال شدن درخواست از طرف قربانی مقادیر Authentication پروتکل رو ثبت و ضبط خواهد کرد و در نتیجه هکر اطلاعات هویتی سیستم قربانی را بدست خواهد آورد...

https://github.com/SpiderLabs/Responder
https://www.sentinelone.com/blog/malicious-pdfs-revealing-techniques-behind-attacks/
@Unk9vvN

#p0wnedShell
معرفی ابزار محبوب مخصوص #RT

برای مثال ابزار p0wnedShell که در خصوص عملیات های جمع آوری اطلاعات , اجرای کد در حافظه سیستم قربانی همراه با دور زدن آنتی ویروس ها, و همچنین پیاده سازی هفت روش در خصوص ارتقاء سطح دسترسی که دو نمونه آن بر بستر آسیب پذیری های Release شده از سیستم عامل ها هستش مانند آسیب پذیری Kerberos که با MS14-068 شناخته میشه,

همچنین این ابزار میتونه Stage های Metasploit رو برای شما تزریق کنه و به واسطه همین موضوع دسترسی Meterpreter رو برای شما به ارمغان بیاره, از دیگر ویژگی های این ابزار میشه به اجرای دستور بر بستر سرویس هایی مانند WMI و SMB اشاره کرد که عملیات Leteral Movement رو میتونید باهاش انجام بدید ,

/* Bypass AppLocker */

C:\Users\unk9vvn>C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /U C:\p0wnedShell\p0wnedShell\bin\Debug\p0wnedShell.exe


https://github.com/Cn33liz/p0wnedShell
@Unk9vvN

#APTSimulator
کمپانی NextronSystems یک Simulator در خصوص تمرین در خصوص پیاده سازی تکنیک های #RT در مقابل #Endpoint Detection ها و سیستم های مانیتورینگ که مامور شکار حملات و تکنیک های استفاده شده ی هکرها هستش,

از لینک زیر میتوانید این Simulator رو دانلود و بر روی یک سیستم عامل ویندوزی ترجیحا نسخه 10 با سطح دسترسی Administrator باز کرده و سناریو مورد نظر خودتون رو از لیست موجود انتخاب و اجرا کنید...


https://github.com/NextronSystems/APTSimulator/releases
@Unk9vvN