https://github.com/oppsec/juumla

Juumla — это python-инструмент, созданный для определения версии Joomla, сканирования уязвимостей и чувствительных файлов.

Например, под Joomla! < 4.2.8 существует недавняя CVE-2023-23752, которая дисклоузит пользователей, учетку от базы данных, и другие секреты.

Метод закрепления через Git из The Art of Linux persistence.

Git — это распределенная система контроля версий, которая отслеживает изменения в файлах, и обычно используется для координации работы программистов, которые совместно пишут исходный код.

Но есть в Git две концепции, которые интересные не только среднестатистическому программисту, но и хакеру: хуки и конфигурационные файлы. Хуки существуют разные: pre-commit/post-commit/pre-merge/post-merge/ и живут они в директории проекта, в .git/hooks/.

Представляют собой исполняемые файлы на одном из скриптовых языков и могут содержать в себе любые команды, которые будут вызваны при выполнении одного из условий:
— pre-commit исполняется при каждом выполнении команды git commit, перед тем как Git запросит ввод комментария к коммиту или создаст объект коммита.
— prepare-commit-msg вызывается после pre-commit, чтобы составить комментарий к коммиту в текстовом редакторе
— commit-msg очень похож на prepare-commit-msg, но вызывается после того, как пользователь введет сообщение коммита
— post-commit вызывается сразу после commit-msg
— post-checkout очень похож на post-commit, но вызывается каждый раз при успешном переключении с помощью git checkout

Нам необходимо создать любой из этих файлов, например, pre-commit, написать в нем полезную нагрузку, — это будет реверс-шелл с https://www.revshells.com/. А дальше дождаться, когда программист начнет работать на виртуалке с бэкдором, и получить сессию.

https://ntlm.pw/

База данных предварительно вычисленных NTLM-хэшей "ntlm to password" на 8 миллиардов записей.

Искать лучше через API, стоимость поиска зависит от способа:
— через форму на главной: 10 поинтов/хэш
— через API: 5 поинтов/хэш
— через балковое (для частых запросов) API: 4 поинта/хэш

Квота на использование пополняется на 5000 поинтов каждые 15 минут.

Пример использования:
Invoke-WebRequest https://ntlm.pw/[32-character hash] | Select-Object -Expand Content

https://github.com/efchatz/pandora

Pandora — Red Team-инструмент для извлечения учетных данных из менеджеров паролей.

Поддерживает 14 программ с 18 различными реализациями (например, можно дампить учетные данные как из десктопного приложения, так и из браузерного расширения одного и того же продукта), включая 1Password, LastPass, Bitwarden и другие.

Разработчики любят писать микросервисы для "перекладывания JSON". Стандарт устоявшийся и, как правило, не сулит проблем. Но так ли это на самом деле?

Возьмем небольшое приложение с двумя микросервисами:
— Cart — реализует бизнес-логику корзины
— Payment — используется для обработки платежей

Cart написан на Python с Flask и принимает ID товаров с их количеством. Попробуем отправить в него запрос с двумя одинаковыми ключами:

"cart": [
    {
        "id": 0,
        "qty": 5
    },
    {
        "id": 1,
        "qty": -1,
        "qty": 1
    }
]

Сервис провалидирует JSON в соответствии со схемой jsonschema.validate(instance=data, schema=schema). Убедится, что id: 0 <= x <= 10 and qty: >= 1. На этом этапе не будет ошибки (не смотря на то, что один из отправленных qty не подходит под условие), поскольку Flask использует стандартный JSON-парсер из Python, а тот сериализует данные, отдавая приоритет последнего ключа (qty = 1).

Дальше провалидированный JSON отправляется в микросервис Payment.

А микросервис Payment написан уже на Go и использует другой парсер buger/jsonparser. Он уже не валидирует JSON (ведь валидация была на предыдущем шаге), но использует приоритет первого ключа (qty = -1). Считает итоговую сумму total = total + productDB[id]["price"].(int64) * qty и генерирует чек.

Мы смотрим в чек, который вернулся в ответе, и видим ошибку. Нам будет отправлено шесть товаров стоимостью 700 долларов, но с нас взяли только 300 долларов, из-за расчетов со вторым ключом.

Такие ошибки возникают из-за того, что существует много стандартов JSON:
1. json.org
2. IETF RFC 4627
3. ECMAScript 262
4. ECMA 404
5. IETF RFC 7158
6. IETF RFC 7159
7. JSON5
8. HJSON

И в каждом из них свои правила парсинга JSON: о том, как обрабатывать дублирующие ключи, что делать с большими числами с плавающей точкой, что считать валидным, а что нет. И на каждом из этих этапов могут возникнуть коллизии, позволяющие обходить средства защиты или вызывающие баги в бизнес логике.

Полезные ссылки:
— https://seriot.ch/json/parsing.html — большая таблица-сравнение: как разные парсеры обрабатывают разные значения.
— https://bishopfox.com/blog/json-interoperability-vulnerabilities — я рассказал только об одном баге, но их гораздо больше: здесь можно почитать обо всех остальных.
— https://github.com/a1phaboy/JsonDetect — расширение для Burp для определения того, какой парсер используется.

https://github.com/Hackmanit/TInjA

TInjA (the Template INJection Analyzer) — CLI-утилита для проверки веб-приложений на наличие уязвимостей инъекции шаблонов.

Она поддерживает 44 наиболее актуальных шаблонизатора (по состоянию на 2023 год) для восьми различных языков программирования и поддерживает поиск как SSTI, так и CSTI.

https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8

Таблица, отдельные скриншоты которой гуляют по разным чатам. Рекомендуемые коробки для подготовки к сдаче экзаменов от OffSec: PEN-200 (OSCP), PEN-300 (OSEP) и WEB-300 (OSWE).

И актуальная (последнее видео вышло 11 дней назад) серия видео с развертыванием и решением похожей локальной лаборатории: OSCP Practice Lab: Active Directory Attack Path #1, #2, #3.

https://github.com/moonD4rk/HackBrowserData

HackBrowserData — это инструмент командной строки, который умеет расшифровывать и экспортировать данных из 18 браузеров на Windows, MacOS и Linux.

Извлекаемые данные:
— сохраненные пароли
— история браузера
— куки пользователя
— кредитные карты
— история скачиваний
— список расширений
— localStorage
— закладки

Пример использования:

hack-browser-data.exe -b chrome -f json -dir results -cc

На замену SharpChromium.

Именованные пайпы — один из известных способов повышения привилегий в Windows.

CVE-2018-11479 — если не эксплуатировали, то слышали про эту уязвимость в Windscribe VPN.

Системный процесс WindScribeService.exe устанавливает пайп \\.\pipe\WindscribeService с CreateProcess, в который можно отправить путь к любому исполняемому файлу и породить новый процесс от имени SYSTEM.

Освежить память эксплойтом можно тут https://pastebin.com/eLG3dpYK, а для Metasploit давно есть готовый модуль https://www.exploit-db.com/exploits/48021.

И если раньше ресерчить приходилось через Powershell, то теперь появился вполне неплохой https://github.com/cyberark/PipeViewer/, который листит всю информацию о доступных пайпах с их разрешениями (подсвечивая опасные), позволяет использовать готовые фильтры и создавать интерактивные пайп-чаты.

Living Off the Foreign Land

По мере совершенствования EDR, все чаще можно встретить вариант, когда на целевой машине поднимается SOCKS-сервер, а все "вредоносные программы" запускаются на собственной виртуалке.

Подход заключается в том, чтобы стать "offensive-администратором" в удаленной сети — настроить маршрутизацию протоколов типа Kerberos к себе и использовать встроенные утилиты Windows под видом легитимных действий для разведки, горизонтального перемещения и повышения привилегий с собственного ПК.

Цикл статей:
Setup Linux VM for SOCKS routing
Configuring the Offensive Windows VM
Using Windows as Offensive Platform

Командлеты и бинари:
https://lofl-project.github.io/

https://github.com/UnaPibaGeek/honeypots-detection

Honeypots Detection — набор Nuclei-шаблонов для детектирования ханипотов.

Репозиторий содержит темплейты для обнаружения нескольких известных ханипотов с открытым исходным кодом: ADBHoney, Conpot, Cowrie, Dionaea, ElasticPot, Mailoney, Redis Honeypot, Snare.

Курс Red Team Operations with Cobalt Strike

Cobalt Strike — известный фреймворк пост-эксплуатации, предназначенный для выполнения целевых атак, имитации продвинутых действий хакеров, а также доставки полезной нагрузки на компьютеры жертв.

Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.

В этом курсе вы узнаете, как использовать Cobalt Strike в качестве инфраструктуры управления и контроля (C2), использовать маячки (beacon'ы) и специализированные профили для проведения необходимых техник Red Team и тестирования на проникновение.

Содержание курса:
— Operations: настройка сервера команды, глубокое погружения в модель Cobalt Strike для долгосрочных распределенных операций

— Infrastructure: управление листенерами и настройка различных вариантов маячков

— C2: введение в Malleable C2 — язык Cobalt Strike, предназначенный для настройки сетевых индикаторов

— Weaponization: объединение полезной нагрузки с артефактом или эксплойтом, который ее запускает, введение в Artifact Kit и Resource Kit

— Initial Access: веб-уязвимости и целевой фишинг

— Post Exploitation: как управлять маячками и сеансами, выполнять команды, извлекать данные; регистрировать нажатия клавиш, делать скриншоты, техники пост-эксплуатации.

— Privilege Escalation: представлен набор Elevate Kit, рассказывается об использовании SharpUp для поиска неправильных конфигураций и о том, как повысить права с помощью учетных данных; Kerberoasting и использование mimikatz

— Lateral Movement: научитесь красть токены, проводить атаку pass-the-hash и генерировать "золотые билеты" Kerberos

— Pivoting: как туннелировать Metasploit® Framework и другие инструменты через SOCKS-прокси

Не верь своим глазам! Обманчивый Clickjacking в WhatsApp

Представьте, что вы получили сообщение в WhatsApp со ссылкой на ln.instagram.com. Как вы думаете, куда ведет эта ссылка? Instagram? Подумайте дважды.

Автор блога 00xbyte нашел новый Clickjacking в WhatsApp, который позволяет провести идеальную фишинговую атаку.

Атакующий может отправить сообщение со ссылкой, которая ведет на легитимный вебсайт, но на самом деле направляет пользователя на сайт злоумышленника.

DOCGuard

DOCGuard — сервис для проверки документов на наличие подозрительных скриптов, ссылок на вредоносные сайты, и использования эксплойтов для известных уязвимостей, вроде CVE 2022-30360 Follina.

Но ценность представляет не сам сервис (детекты можно на antiscan или его альтернативе проверить), а страница с примерами https://app.docguard.io/examples.

На ней можно найти последние документы, которые в настоящее время обходят большинство антивирусов, и позволяют мониторить новые техники.

BlackLotus

BlackLotus — это инновационный UEFI-буткит, разработанный специально для Windows. Он включает в себя встроенный обход Secure Boot и Ring0/Kernel Protection для защиты от любых попыток удаления.

BlackLotus состоит из двух основных компонентов: агента, который устанавливается на целевое устройство, и веб-интерфейса, используемого администраторами для управления агентами.

Возможности:
— Обход HVCI
— Обход UAC
— Обход Secure Boot
— Обход Windows Defender (патч драйверов Windows Defender в памяти и предотвращение сканирования/загрузки файлов в пользовательском окружении Windows Defender)
— Вызовы WinAPI-функций с изменением алгоритма хэширования (hell's gate)
— Инъекция в x86/x64-процессы
— Модуль Anti-Hooking (для отключения, обхода и управления EDR)
— Модульная система плагинов

Особенности:
— Написан на языке C и x86asm
— Используется Windows API, NTAPI, EFIAPI (без 3rd party библиотек)
— Размер скомпилированного бинаря, включая user-mode лоадер, составляет всего 80 Кб
— Для коммуникации используется HTTPS с применением шифрования RSA и AES
— Поддерживает динамическую конфигурацию

Подробный принцип работы:
— BlackLotus UEFI bootkit: Myth confirmed
— The Untold Story of the BlackLotus UEFI Bootkit
— BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

Интересный факт: Nginx умеет проксировать запросы не только на HTTP, но и на локальные Unix-сокеты.

Вот у нас есть конфигурация

location ~ /static/(.*)/(.*.js) {
    proxy_pass http://$1-example.s3.amazonaws.com/$2;
}

Разработчики используют ее, чтобы проксировать запросы на Javascript-файлы в S3-бакет. Мы контролируем ту часть URI, что идет после http://, поэтому можем использовать это, чтобы эксплуатировать SSRF или HTTP Splitting в чейне с другими уязвимостями, благодаря слабой регулярке.

НО! Мы хотим выжать из этого максимум и прокрутить что-то необычное, зная еще один интересный факт — на виртуалке, помимо Nginx, где-то рядом крутится еще и Redis.

А у него ещё и поднят свой сокет. Достаточно отправить в proxy_pass GET-запросом строку http://unix:/run/redis/redis.sock, и все, что идет после нее, попадет прямиком в Redis.

А вот как раскрутить это дальше, обойти механизмы защиты и добиться эксфильтрации — читаем в последней статье уходящего года из полюбившегося цикла с мисконфигами Nginx.

После прочтения, советую следом разобрать райтап с Uni CTF, где обыгрывался кейс не только с дампом, но и с RCE в сложном эксплойте с PHP https://www.hackthebox.com/blog/uni-ctf-2022-spell-orsterra-writeup.

🎄С наступающим!

За год канал вырос почти в два раза! 🎉

Без вас бы этого точно не случилось. Спасибо каждому за то, что подписываетесь и делитесь.

Особенно админам каналов, в частности, @S_E_Reborn
Итоги были бы не такие радужные, если бы ты не делал бесплатную рекламу на каждый новый пост 🙂

В новом году продолжим! 🎁

Киборги опубликовали полную базу данных Альфа-банка.

Три месяца назад это был небольшой сэмпл на 1 миллион строк с 44 тысячами клиентов, а в этих файлах вся слитая база, размером более 100гб — в ней более 24 000 000 физических лиц и > 13 000 000 юридических, среди которых:
— ФИО
— контакты (почта/номер)
— данные банковских карт.
Всего 115 217 571 строк, а первая запись датируется еще 2004 годом. Выложили тут https://t.me/kiborg_leak/3.

🎉 "Ну, пусть!", — на аудиозаписи, предположительно, комментарии Фридмана (владельца банка) о прошлом сливе.

https://github.com/BishopFox/sj/

Swagger Jacker — или сокращенно "sj", — сканер с открытым исходным кодом от компании BishopFox, разработанный для аудита OpenAPI спецификаций.

По ссылке на Swagger, он определяет способ аутентификации на эндпоинтах (благодаря объекту security), и отправляет множество разных запросов на каждый, чтобы проверить, насколько корректно она работает.

Облегчает жизнь пентестера для поиска Broken Authentication. В планах у разработчиков добавить генератор готовых команд для передачи всех существующих эндпоинтов с подготовленными параметрами в sqlmap.