https://blog.pksecurity.io/2023/10/04/microsoft-office.html

В Microsoft Office можно вставлять видео с Youtube, Microsoft Stream и SlideShare. После того, как ты указал ссылку, загружаются метаданные (разрешение, превью и заголовок), а дальше и сам ролик.

Над валидацией ссылок потрудились и проверяют их такой регуляркой https?://(www\.)?youtube\.\w{2,3}/.*|https?://(www\.)?youtube-nocookie\.\w{2,3}/.*|https?://youtu\.be/.*|https?://(player\.)?vimeo\.com/.*|https?://(\w+\.)?slideshare\.net/.*|https?://(\w+\.)?microsoftstream\.com/.*. , а вот про метаданные, как всегда, забыли.

Ролик с названием " onload="alert()" вызовет безобидный alert() через Edge Webview, window.open("calculator://") — калькулятор, а заголовок, в котором будет указан протокол ms-msdt: порой может привести и к RCE.

https://github.com/mdulin2/head_req_server

@app.route("/unsafe", methods=["GET", "POST"]) 
def log_in_unsafe():
if(request.method == "GET"): 
    print("GET") 
    return "GET" 
  else: 
    print("POST") 
    return "POST"

Код уязвим, хоть этого и не видно на первый взгляд. Есть интересная особенность, связанная с обработкой запросов — большинство современных веб-фреймворков автоматически интерпретируют HEAD-запросы, как GET.

Эндпоинт на самом деле принимает не только GET и POST, но и и OPTIONS, и HEAD, хотя мы это и не указывали в коде. Программист допускает ошибку, потому что не знает об этой логике. А злоумышленник, отправив HEAD-запрос, сможет запустить сценарий, предназначенный для POST-запроса.

Но как быть с CSRF? Подключаемые библиотеки для проверки CSRF-токенов, такие как Flask-WTF (самый известный) не проверяют их в HEAD-запросах, поэтому такую логику можно использовать:
— для обхода CSRF
— для обхода CORS

Благодаря этой особенности, в Github была найдена уязвимость на $25000.

Самый уязвимый сервер

В 2021 году исследователь Джошуа Роджерс обнаружил 55 уязвимостей в популярном кэширующем прокси-сервере Squid. С тех пор прошло два года, — за это время разработчики исправили только 20 из них, а для остальных до сих пор нет патчей или иных способов защиты.

Уязвимости были найдены с помощью фаззинга, ручной проверки кода и статического анализа. Для каждой из них есть PoC. Не смотря на это, разработчики сервера жалуются на нехватку ресурсов и предлагают присылать патчи самим пользователям.

Список проблем, которые можно прямо сейчас гарантированно эксплуатировать в Squid 5.0.5:
— Stack Buffer Overflow in Digest Authentication
— Use-After-Free in TRACE Requests
— Partial Content Parsing Use-After-Free
— X-Forwarded-For Stack Overflow
— Use-After-Free in Cache Manager Errors
— Memory Leak in CacheManager URI Parsing
— Memory Leak in HTTP Response Parsing
— Memory Leak in ESI Error Processing

все остальные перечислено тут

OSINTEarth

OSINTEarth is a pioneering platform that serves as your comprehensive directory of public record lookup resources from all around the world. Our mission is straightforward: to provide you with easy access to websites and tools that enable you to search for public records. We're your roadmap to transparency and information access.

Новая карта сервисов для OSINT. Более сотни ссылок на сайты, разбитые по разным странам

https://blog.projectdiscovery.io/nuclei-v3-featurefusion

Вышел Nuclei v3!

В новом обновлении известного сканера уязвимостей добавили:
— Code Protocol - возможность использовать в темплейтах скрипты на Python, bash и Javascript. Теперь, помимо базовых конструкций для нахождения и эксплуатации уязвимостей, можно писать сложную логику для пост-эксплуатации, а еще вызывать другие инструменты (например, sqlmap).
— Template Signing & Verification - возможность подписывать собственные шаблоны с помощью ECDSA, и проверять чужие. Базовые nuclei-templates уже подписаны командой ProjectDiscovery.
— Multi-Protocol Engine - теперь можно писать проверки, состоящие из нескольких шагов, и для разных протоколов. Например, сначала найти новые поддомены, а потом попробовать проэксплуатировать Subdomain Takeover.

Примеры шаблонов с использованием новых возможностей:
— Fingerprint SSH Server (SSH Protocol)
— CVE-2020-0796 (aka SMBGhost)
— MS SQL Server Credential Stuffing
— Redis Password Bruteforce
— SSH Credential Stuffing

В ближайшем будущем команда планирует написать DSL v2 и расширить поддержку фаззинга (заголовок, тело и многое другое).

https://docs.google.com/spreadsheets/d/1b4mUxa6cDQuTV2BPC6aA-GR4zGZi0ooPYtBe4IgPsSc

Выбирайте лучшее

https://github.com/p0dalirius/ExtractBitlockerKeys

Скрипт для автоматического извлечения ключей восстановления BitLocker из домена.

Возможности:
— Получение списка всех компьютеров с помощью LDAP.
— Итерация по полученным данным с использованием многопоточности.
— Экспорт результатов в JSON/XLSX/SQLITE3 с полными именами компьютеров, доменом, идентификаторами томов и ключами восстановления

Пример использования

./ExtractBitlockerKeys.py -d 'domain.local' -u 'Administrator' -p 'Podalirius123!' --dc-ip 192.168.1.101

Использовать при постэксплуатации для восстановления зашифрованных данных.

https://github.com/guibacellar/TEx

TEx — это инструмент, созданный для помощи исследователям, следователям и представителям правоохранительных органов в сборе и обработке огромного количества данных, генерируемых криминальными, мошенническими, и другими группами пользователей Telegram.

Возможности:
— Менеджер соединений для нескольких аккаунтов
— Парсер информации о группах и их пользователях
— Message Listener с дампом новые сообщения
— Генератор HTML-отчетов с экспортом файлов

Rekognition Discord Bot

Discord-бот для анализа изображений. Умеет идентифицировать предметы, распознавать эмоции, знаменитостей и извлекать текст.

Использует API AWS Rekognition. Разработчик поднял собственный инстанс на сервере The Pirates' Plunder, который можно использовать бесплатно.

Кроме того, там есть и другие боты:
— Hashcat Bot - использует hashcat со словарями RockYou и Crackstation, чтобы взламывать пароли
— Shodan Bot - хакерский поисковик для поиска информации о сервисах, устройствах и уязвимостях
— DarkWeb Bot - ищет запросы в даркнете и возвращает ссылки со скриншотами результатов с помощью ahmia.fi.
— Email OSINT Bot - проверка электронной почты на наличие связанных аккаунтов в социальных сетях и слитых паролей
— Watson Bot - поиск по никнейму в различных сервисах для проверки на существование аккаунта

https://github.com/s0lst1c3/eaphammer

EAPHammer — это набор инструментов для проведения целевых атак "злой двойник" на сети WPA2-Enterprise. Предназначен для использования Red Team при проведении пентестов беспроводных сетей.

Возможности:
— Кража учетных данных RADIUS из сетей WPA-EAP и WPA2-EAP.
— Выполнение атак c использованием Hostile Portal для кражи учетных данных AD
— Выполнение атак с использованием Captive Portal
— Встроенная интеграция с Responder
— Поддержка открытых сетей и WPA-EAP/WPA2-EAP
— Поддержка SSID cloaking
— Быстрые и автоматизированные PMKID-атаки на PSK-сети с использованием hcxtools

Установка:

git clone https://github.com/s0lst1c3/eaphammer.git
cd ./eaphammer
./kali-setup

Пример использования:

eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

https://sensepost.com/blog/2023/browsers-cache-smuggling/

Я использую социальную инженерию, чтобы заставить сотрудников запустить мой код и получить доступ к их системе.

Я звоню им и говорю, что я из ИТ-поддержки, прошу перейти на "официальный" сайт с PowerShell-скриптом, который им нужно запустить, чтобы решить какую-то выдуманную проблему.

Но EDR блокируют подозрительные скрипты, поэтому я хотел найти более скрытный способ доставки полезной нагрузки целевым пользователям.

Простая техника, чтобы доставить вредонос на машину цели, не заставляя ее ничего скачивать. Суть в том, чтобы отдать DLL с пейлоадом из msfvenom как изображение, и заставить браузер его закэшировать. А дальше развить атаку, используя комбинацию из DLL Hijacking в связке с социальной инженерией.

Конфиг Nginx:

location /calc.dll {
  types { } default_type image/jpeg;
  add_header Tag DLLHERE;
}

Найти файл с тегом в кэше:

Select-String "DLLHERE" *