#Weaponizing #Middleboxes for #TCP #Reflected #Amplification
اخیرا یه تحقیقات صورت گرفته در دانشگاه مریلند و کلرادو که اثبات میکنه با استفاده از جعبه های میانی که منظور همون دیوایس های میانی مخصوص فیلترینگ ترافیک خارجی از Gateway کشور هست، میتوان حملات تکذیب سرویس یا DoS انجام داد
ماجرا به اونجا برمیگرده که زمانی که یک پکت درون شبکه درخواست دیدن یک سایت مستهجن رو مثلا داره میباست یک درخواست way-3 handshake رو برقرار کنه و خب از اونجا که در همان مرحله ابتدایی یعنی ارسال SYN Packet این جعبه های میانی متوجه آدرس سایت مستهجن میشوند، امکان برقراری ادامه روند handshake رو نخواهند داد،
حالا نکته ای که پیش میاد و بصورت بسیار خلاصه بیان میکنیم، اینه که اگر درخواست کننده handshake در Source IP پکت مقدار IP قربانی خودش رو بصورت IP Spoofing قرار بده پاسخ بلاک MiddleBox به قربانی ارسال خواهد شد
حالا اگر این درخواست ها با تعداد Thread بالا تکرار بشه و MiddleBox های مختلف رو تحت تاثیر قرار بده میشود گفت که MiddleBox ها که یک پتانسیل قدرتمند در ارسال داده دارند شروع به ارسال پیغام Filtering خواهند کرد
SRC
Tools
@Unk9vvN
اخیرا یه تحقیقات صورت گرفته در دانشگاه مریلند و کلرادو که اثبات میکنه با استفاده از جعبه های میانی که منظور همون دیوایس های میانی مخصوص فیلترینگ ترافیک خارجی از Gateway کشور هست، میتوان حملات تکذیب سرویس یا DoS انجام داد
ماجرا به اونجا برمیگرده که زمانی که یک پکت درون شبکه درخواست دیدن یک سایت مستهجن رو مثلا داره میباست یک درخواست way-3 handshake رو برقرار کنه و خب از اونجا که در همان مرحله ابتدایی یعنی ارسال SYN Packet این جعبه های میانی متوجه آدرس سایت مستهجن میشوند، امکان برقراری ادامه روند handshake رو نخواهند داد،
حالا نکته ای که پیش میاد و بصورت بسیار خلاصه بیان میکنیم، اینه که اگر درخواست کننده handshake در Source IP پکت مقدار IP قربانی خودش رو بصورت IP Spoofing قرار بده پاسخ بلاک MiddleBox به قربانی ارسال خواهد شد
حالا اگر این درخواست ها با تعداد Thread بالا تکرار بشه و MiddleBox های مختلف رو تحت تاثیر قرار بده میشود گفت که MiddleBox ها که یک پتانسیل قدرتمند در ارسال داده دارند شروع به ارسال پیغام Filtering خواهند کرد
SRC
Tools
@Unk9vvN
#XSS #Payload_Testing #Payload_Advanceds #Bypass_Mitigations
در این مقاله قراره که به تمامی ابعاد آسیب پذیری Cross Site Scripting یا XSS بپردازیم، این پرداخت صرفا به تشریح هسته این آسیب پذیری نیست و تمامی ابعاد آسیب پذیری زیر تیغ جراحی خواهد رفت. از موضوعات کلیدی که تشریح می شود میتوان به انواع روش های رخداد این آسیب پذیری اشاره کرد Non-Persistent (Reflected) – Persistent (or Stored) – DOM-Based XSS – Self-XSS – Mutated XSS (mXSS)، همچنین روش های آزمون (Payload Testing) و موارد پیشرفته تر مانند روش های بهره برداری حرفه ای مانند (XSRF…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/the-world-of-xss-vulnerabilities/
@Unk9vvN
در این مقاله قراره که به تمامی ابعاد آسیب پذیری Cross Site Scripting یا XSS بپردازیم، این پرداخت صرفا به تشریح هسته این آسیب پذیری نیست و تمامی ابعاد آسیب پذیری زیر تیغ جراحی خواهد رفت. از موضوعات کلیدی که تشریح می شود میتوان به انواع روش های رخداد این آسیب پذیری اشاره کرد Non-Persistent (Reflected) – Persistent (or Stored) – DOM-Based XSS – Self-XSS – Mutated XSS (mXSS)، همچنین روش های آزمون (Payload Testing) و موارد پیشرفته تر مانند روش های بهره برداری حرفه ای مانند (XSRF…
⚠️ ادامه مطلب در لینک زیر
unk9vvn.com/2021/07/the-world-of-xss-vulnerabilities/
@Unk9vvN
#Github #Access_Token #Exposure
یه شکارچی باگ در HackerOne بواسطه بازبینی برنامه Electron App Mode وبسایت Shopify توانسته 50.000 هزار دلار جایزه دریافت کنه،
اما آسیب پذیری داستان کجا بوده ؟ ایشون بواسطه یک پکیج با نام npx که مخصوص npm هستش فایلی با نام app.asar رو استخراج کرده و متوجه شده که یک فایل env. وجود داره که اول توجهی نکرده بهش و فکر میکرده که اطلاعات پیکربندی معمولی صرفا هست، اما زمانی که Source Code برنامه رو بررسی کرده متوجه شده که اصلا از این env. جایی استفاده نشده و خلاصه میره و این فایل رو هم بررسی میکنه،
در اثر این بررسی یک متغییر با نام GH_TOKEN میبینه که حدس میزنه API Token دسترسی به Repository برنامه های Shopify بوده و خلاصه روی سرویس REST API وبسایت Github درخواست با تنظیم هدرهای مربوطه ارسال میکنه و میبینه که بله این Token کاملا صحیحه و خب این یک Expose حساب میشه،
مرحله بهره برداری ایشون هم اینه که دسترسی خواندن و نوشتن روی Repositories این شرکت رو دارا بوده، نوش جونش ما که بخیل نیستیم :)
https://hackerone.com/reports/1087489
@Unk9vvN
یه شکارچی باگ در HackerOne بواسطه بازبینی برنامه Electron App Mode وبسایت Shopify توانسته 50.000 هزار دلار جایزه دریافت کنه،
اما آسیب پذیری داستان کجا بوده ؟ ایشون بواسطه یک پکیج با نام npx که مخصوص npm هستش فایلی با نام app.asar رو استخراج کرده و متوجه شده که یک فایل env. وجود داره که اول توجهی نکرده بهش و فکر میکرده که اطلاعات پیکربندی معمولی صرفا هست، اما زمانی که Source Code برنامه رو بررسی کرده متوجه شده که اصلا از این env. جایی استفاده نشده و خلاصه میره و این فایل رو هم بررسی میکنه،
در اثر این بررسی یک متغییر با نام GH_TOKEN میبینه که حدس میزنه API Token دسترسی به Repository برنامه های Shopify بوده و خلاصه روی سرویس REST API وبسایت Github درخواست با تنظیم هدرهای مربوطه ارسال میکنه و میبینه که بله این Token کاملا صحیحه و خب این یک Expose حساب میشه،
مرحله بهره برداری ایشون هم اینه که دسترسی خواندن و نوشتن روی Repositories این شرکت رو دارا بوده، نوش جونش ما که بخیل نیستیم :)
https://hackerone.com/reports/1087489
@Unk9vvN
#Email_Spoofing #Technical_Methods
در تصویر پست دو روش معروف معرفی شده که یکی از تکنیک IDN Homograph استفاده کرده که روش منطقش بر مبنای شباهت کاراکتر ها در Unicode Characters هستش،
دیگری روش Right-to-left Override Attack هستش که بر مبنای جابجایی کاراکتر از قسمت نام به Extension هستش که امکان Spoof کردن یک سرویس دهنده Email رو برای ما محیا خواهد کرد،
روش های Email Spoofing یکی از مهمترین تکنیک ها در بحث حملات تیم قرمز است و روش های Spoof کردن آن هم بسیار مهم خواهد بود،
در روش های مورد استفاده تاکید بر اینه که Email Server رو خود مهاجم Initialize کنه تا تکنیک های توضیح داده شده را بتونه بر Email ارسالی خود پیاده سازی کنه.
@Unk9vvN
در تصویر پست دو روش معروف معرفی شده که یکی از تکنیک IDN Homograph استفاده کرده که روش منطقش بر مبنای شباهت کاراکتر ها در Unicode Characters هستش،
دیگری روش Right-to-left Override Attack هستش که بر مبنای جابجایی کاراکتر از قسمت نام به Extension هستش که امکان Spoof کردن یک سرویس دهنده Email رو برای ما محیا خواهد کرد،
روش های Email Spoofing یکی از مهمترین تکنیک ها در بحث حملات تیم قرمز است و روش های Spoof کردن آن هم بسیار مهم خواهد بود،
در روش های مورد استفاده تاکید بر اینه که Email Server رو خود مهاجم Initialize کنه تا تکنیک های توضیح داده شده را بتونه بر Email ارسالی خود پیاده سازی کنه.
@Unk9vvN
#WordPress 5.4 to 5.8 - #Data_Exposure via #REST_API
یکی از Scope های محبوب شکارچیان باگ وب، سرویس های API هستش مثلا اخیرا روی وبسرویس های مایکروسافتی چندین آسیب پذیری که بروی Functionality های API بوده رخ داده،
از این روی دیگر وبسرویس های رایگانی که بصورت متن باز هستند هم میتونند دارای آسیب پذیری های متعددی در قسمت Backend پردازش Functionality های خود باشند،
همونطور که در تصویر میبینید یکی از توابع وبسرویس REST API که بر روی CMS مشهور Wordpress فعال هستش دارای آسیب پذیری Data Exposure یا بستر قرار داشتن داده ها هستش،
این آسیب پذیری که بر روی تابع
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39200
https://github.com/WordPress/wordpress-develop/commit/ca4765c62c65acb732b574a6761bf5fd84595706
@Unk9vvN
یکی از Scope های محبوب شکارچیان باگ وب، سرویس های API هستش مثلا اخیرا روی وبسرویس های مایکروسافتی چندین آسیب پذیری که بروی Functionality های API بوده رخ داده،
از این روی دیگر وبسرویس های رایگانی که بصورت متن باز هستند هم میتونند دارای آسیب پذیری های متعددی در قسمت Backend پردازش Functionality های خود باشند،
همونطور که در تصویر میبینید یکی از توابع وبسرویس REST API که بر روی CMS مشهور Wordpress فعال هستش دارای آسیب پذیری Data Exposure یا بستر قرار داشتن داده ها هستش،
این آسیب پذیری که بر روی تابع
()json_wp_die_handler_
هستش مامور پاسخ به Request های Json Padding یا JSONP است و نتیجتا کنترلی بر callback
این درخواست ها نبوده و باعث Leakage اطلاعات حساس میشود.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39200
https://github.com/WordPress/wordpress-develop/commit/ca4765c62c65acb732b574a6761bf5fd84595706
@Unk9vvN
#APT_39 #Fox_Kitten
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN
در جریان حمله APT 39 که منتسب به یک تیم ایرانی است نکات جالبی نهفته است که به برخی از آنها اشاره میکنم،
تصویر اول نشان دهنده مراجع مورد حمله قرار گرفته شدست که توضیح راجبش نمیدم مشخصه، اما در تصویر دوم زنجیره ارتباطات و Exfiltrate های مورد استفاده کاملا مشخصه که درش سه وبسرویس مورد استفاده قرار گرفته،
در تصویر سوم مشاهده میشه که فرایند ایجاد Tunnel برای بعد از مرحله Lateral Movement زده شده که از پروتکل RDP بر بستر SSH استفاده شده تا به نوعی از نظارت ها یا محدودیت های پروتکل RDP فرار صورت بگیره، یک تکنیک هوشمدانس در این خصوص،
اما در تصویر چهارم سه آسیب پذیری مورد استفاده دیده میشه که از تحقیقات Orange Tsai بصورت One Day بهره برداری شده، نوع آسیب پذیری ها اینطوره که سرویس دهنده های VPN نسبت به مقادیر ارسال بر مبنای وبسرویس آسیب پذیری هایی داشته اند مانند Path Traversal یا Format String که موجب اجرای کد بصورت Unauthenticated میشود،
در تصویر پنجم میبینیم که استفاده از سرویس Serveo که یک Forward پروتکل SSH و Ngrok برای RDP استفاده شده در تصویر شش ابزارهای مورد استفاده دیده میشه.
@Unk9vvN
#Threat_Hunting #BLUESPAWN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
در سالهای اخیر فعالیت های زیادی در خصوص رهگیری و شکار حملات سطح پیشرفته یا #APT انجام شده که پاشنه آشیل تمامی آنها رفتارشناسی حمله هستش که به اختصار به آن #TTPs گفته میشه،
یکی از روش هایی که تیم های آبی برای نا کارآمد کردن تکنیک ها و تاکتیک های مورد استفاده قرار گرفته شده ای تیم های APT این هستش که آن تکنیک مستند شده و الگو رفتاری اون بر مبنای حالا اگر COM Object یا بر مبنای Memory ، شناسایی و اصطلاحا شکار بشه،
در این خصوص ابزار هایی طراحی میشه که این TTP ها را بواسطه مستندات MITRE ATT&CK دریافت کرده و مخازن لاگ و پروسس های فعال و وضعیت پیکربندی سیستم عامل ، اسکن کرده و وضعیت سیستم عامل رو به شما اعلام خواهد کرد،
این روش در خصوص ایجاد TTP های اختصاصی از حملات رخداده شده در یک سازمان میتواند بسیار کار آمد باشد چرا که سریعا بدون نیاز به نرم افزار های حجیم و پر درد سر، حمله رو در سیستم ها و شبکه های دیگر سازمان پیدا و مشخص نمود.
در تصویر اول پالایش اتفاق افتاده در تصویر دوم ایرادات پیکربندی که وجود داره رو Audit کرده...
https://github.com/ION28/BLUESPAWN
@Unk9vvN
#Hardening for Defense #BruteForce Attack (#Wordpress)
گاهی اوقات مسیری که مهاجمان برای حمله به یک وبسایت میروند قابل پیش بینی است برای کسانی که خودشان فعالین حوزه امنیت تهاجمی هستند،
از این روی روش هایی برای سخت کردن حملات رایجی مانند Brute Force میتواند اتخاذ شود، جدای از بحث پایین آوردن Permission نقاط ارتباطی ماشین به ماشین یعنی xmlrpc.php و قرار دادن مثلا Recaptcha گوگل بر روی فرم ها و صفحات ورود،
موردی که میتواند بسیار موثر باشد این است که شما نام کاربری اصلی و لقب حساب های سطح دسترسی ادمین رو تغییر داده و چیزی به دور از نامی که میتوان براحتی حدس زد قرار دهید، در عین حال RSS مربوط به مقالات خودتون رو هم یا محدود یا اشتباه درج نمایید،
اقدامات بالا نتیجه اسکن ابزارهایی مانند WPScan آن چیزی میشود که شما میخواهید و مهاجمان احساس میکنند نام کاربری ادمین شما را استخراج کرده اند، از طرفی به WAF خود اعلام میکنید که هرکسی به محض استفاده از نام کاربری مثلا admin که در تصویر دوم مشاهده میکنید، آنرا مسدود کند.
@Unk9vvN
گاهی اوقات مسیری که مهاجمان برای حمله به یک وبسایت میروند قابل پیش بینی است برای کسانی که خودشان فعالین حوزه امنیت تهاجمی هستند،
از این روی روش هایی برای سخت کردن حملات رایجی مانند Brute Force میتواند اتخاذ شود، جدای از بحث پایین آوردن Permission نقاط ارتباطی ماشین به ماشین یعنی xmlrpc.php و قرار دادن مثلا Recaptcha گوگل بر روی فرم ها و صفحات ورود،
موردی که میتواند بسیار موثر باشد این است که شما نام کاربری اصلی و لقب حساب های سطح دسترسی ادمین رو تغییر داده و چیزی به دور از نامی که میتوان براحتی حدس زد قرار دهید، در عین حال RSS مربوط به مقالات خودتون رو هم یا محدود یا اشتباه درج نمایید،
اقدامات بالا نتیجه اسکن ابزارهایی مانند WPScan آن چیزی میشود که شما میخواهید و مهاجمان احساس میکنند نام کاربری ادمین شما را استخراج کرده اند، از طرفی به WAF خود اعلام میکنید که هرکسی به محض استفاده از نام کاربری مثلا admin که در تصویر دوم مشاهده میکنید، آنرا مسدود کند.
@Unk9vvN
#Microsoft #Exchange #Vulnerabilites
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN