https://ntlm.pw/

База данных предварительно вычисленных NTLM-хэшей "ntlm to password" на 8 миллиардов записей.

Искать лучше через API, стоимость поиска зависит от способа:
— через форму на главной: 10 поинтов/хэш
— через API: 5 поинтов/хэш
— через балковое (для частых запросов) API: 4 поинта/хэш

Квота на использование пополняется на 5000 поинтов каждые 15 минут.

Пример использования:
Invoke-WebRequest https://ntlm.pw/[32-character hash] | Select-Object -Expand Content

https://github.com/efchatz/pandora

Pandora — Red Team-инструмент для извлечения учетных данных из менеджеров паролей.

Поддерживает 14 программ с 18 различными реализациями (например, можно дампить учетные данные как из десктопного приложения, так и из браузерного расширения одного и того же продукта), включая 1Password, LastPass, Bitwarden и другие.

Разработчики любят писать микросервисы для "перекладывания JSON". Стандарт устоявшийся и, как правило, не сулит проблем. Но так ли это на самом деле?

Возьмем небольшое приложение с двумя микросервисами:
— Cart — реализует бизнес-логику корзины
— Payment — используется для обработки платежей

Cart написан на Python с Flask и принимает ID товаров с их количеством. Попробуем отправить в него запрос с двумя одинаковыми ключами:

"cart": [
    {
        "id": 0,
        "qty": 5
    },
    {
        "id": 1,
        "qty": -1,
        "qty": 1
    }
]

Сервис провалидирует JSON в соответствии со схемой jsonschema.validate(instance=data, schema=schema). Убедится, что id: 0 <= x <= 10 and qty: >= 1. На этом этапе не будет ошибки (не смотря на то, что один из отправленных qty не подходит под условие), поскольку Flask использует стандартный JSON-парсер из Python, а тот сериализует данные, отдавая приоритет последнего ключа (qty = 1).

Дальше провалидированный JSON отправляется в микросервис Payment.

А микросервис Payment написан уже на Go и использует другой парсер buger/jsonparser. Он уже не валидирует JSON (ведь валидация была на предыдущем шаге), но использует приоритет первого ключа (qty = -1). Считает итоговую сумму total = total + productDB[id]["price"].(int64) * qty и генерирует чек.

Мы смотрим в чек, который вернулся в ответе, и видим ошибку. Нам будет отправлено шесть товаров стоимостью 700 долларов, но с нас взяли только 300 долларов, из-за расчетов со вторым ключом.

Такие ошибки возникают из-за того, что существует много стандартов JSON:
1. json.org
2. IETF RFC 4627
3. ECMAScript 262
4. ECMA 404
5. IETF RFC 7158
6. IETF RFC 7159
7. JSON5
8. HJSON

И в каждом из них свои правила парсинга JSON: о том, как обрабатывать дублирующие ключи, что делать с большими числами с плавающей точкой, что считать валидным, а что нет. И на каждом из этих этапов могут возникнуть коллизии, позволяющие обходить средства защиты или вызывающие баги в бизнес логике.

Полезные ссылки:
— https://seriot.ch/json/parsing.html — большая таблица-сравнение: как разные парсеры обрабатывают разные значения.
— https://bishopfox.com/blog/json-interoperability-vulnerabilities — я рассказал только об одном баге, но их гораздо больше: здесь можно почитать обо всех остальных.
— https://github.com/a1phaboy/JsonDetect — расширение для Burp для определения того, какой парсер используется.

https://github.com/Hackmanit/TInjA

TInjA (the Template INJection Analyzer) — CLI-утилита для проверки веб-приложений на наличие уязвимостей инъекции шаблонов.

Она поддерживает 44 наиболее актуальных шаблонизатора (по состоянию на 2023 год) для восьми различных языков программирования и поддерживает поиск как SSTI, так и CSTI.

https://docs.google.com/spreadsheets/d/1dwSMIAPIam0PuRBkCiDI88pU3yzrqqHkDtBngUHNCw8

Таблица, отдельные скриншоты которой гуляют по разным чатам. Рекомендуемые коробки для подготовки к сдаче экзаменов от OffSec: PEN-200 (OSCP), PEN-300 (OSEP) и WEB-300 (OSWE).

И актуальная (последнее видео вышло 11 дней назад) серия видео с развертыванием и решением похожей локальной лаборатории: OSCP Practice Lab: Active Directory Attack Path #1, #2, #3.

https://github.com/moonD4rk/HackBrowserData

HackBrowserData — это инструмент командной строки, который умеет расшифровывать и экспортировать данных из 18 браузеров на Windows, MacOS и Linux.

Извлекаемые данные:
— сохраненные пароли
— история браузера
— куки пользователя
— кредитные карты
— история скачиваний
— список расширений
— localStorage
— закладки

Пример использования:

hack-browser-data.exe -b chrome -f json -dir results -cc

На замену SharpChromium.

Именованные пайпы — один из известных способов повышения привилегий в Windows.

CVE-2018-11479 — если не эксплуатировали, то слышали про эту уязвимость в Windscribe VPN.

Системный процесс WindScribeService.exe устанавливает пайп \\.\pipe\WindscribeService с CreateProcess, в который можно отправить путь к любому исполняемому файлу и породить новый процесс от имени SYSTEM.

Освежить память эксплойтом можно тут https://pastebin.com/eLG3dpYK, а для Metasploit давно есть готовый модуль https://www.exploit-db.com/exploits/48021.

И если раньше ресерчить приходилось через Powershell, то теперь появился вполне неплохой https://github.com/cyberark/PipeViewer/, который листит всю информацию о доступных пайпах с их разрешениями (подсвечивая опасные), позволяет использовать готовые фильтры и создавать интерактивные пайп-чаты.

Living Off the Foreign Land

По мере совершенствования EDR, все чаще можно встретить вариант, когда на целевой машине поднимается SOCKS-сервер, а все "вредоносные программы" запускаются на собственной виртуалке.

Подход заключается в том, чтобы стать "offensive-администратором" в удаленной сети — настроить маршрутизацию протоколов типа Kerberos к себе и использовать встроенные утилиты Windows под видом легитимных действий для разведки, горизонтального перемещения и повышения привилегий с собственного ПК.

Цикл статей:
Setup Linux VM for SOCKS routing
Configuring the Offensive Windows VM
Using Windows as Offensive Platform

Командлеты и бинари:
https://lofl-project.github.io/

https://github.com/UnaPibaGeek/honeypots-detection

Honeypots Detection — набор Nuclei-шаблонов для детектирования ханипотов.

Репозиторий содержит темплейты для обнаружения нескольких известных ханипотов с открытым исходным кодом: ADBHoney, Conpot, Cowrie, Dionaea, ElasticPot, Mailoney, Redis Honeypot, Snare.

Курс Red Team Operations with Cobalt Strike

Cobalt Strike — известный фреймворк пост-эксплуатации, предназначенный для выполнения целевых атак, имитации продвинутых действий хакеров, а также доставки полезной нагрузки на компьютеры жертв.

Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.

В этом курсе вы узнаете, как использовать Cobalt Strike в качестве инфраструктуры управления и контроля (C2), использовать маячки (beacon'ы) и специализированные профили для проведения необходимых техник Red Team и тестирования на проникновение.

Содержание курса:
— Operations: настройка сервера команды, глубокое погружения в модель Cobalt Strike для долгосрочных распределенных операций

— Infrastructure: управление листенерами и настройка различных вариантов маячков

— C2: введение в Malleable C2 — язык Cobalt Strike, предназначенный для настройки сетевых индикаторов

— Weaponization: объединение полезной нагрузки с артефактом или эксплойтом, который ее запускает, введение в Artifact Kit и Resource Kit

— Initial Access: веб-уязвимости и целевой фишинг

— Post Exploitation: как управлять маячками и сеансами, выполнять команды, извлекать данные; регистрировать нажатия клавиш, делать скриншоты, техники пост-эксплуатации.

— Privilege Escalation: представлен набор Elevate Kit, рассказывается об использовании SharpUp для поиска неправильных конфигураций и о том, как повысить права с помощью учетных данных; Kerberoasting и использование mimikatz

— Lateral Movement: научитесь красть токены, проводить атаку pass-the-hash и генерировать "золотые билеты" Kerberos

— Pivoting: как туннелировать Metasploit® Framework и другие инструменты через SOCKS-прокси

Не верь своим глазам! Обманчивый Clickjacking в WhatsApp

Представьте, что вы получили сообщение в WhatsApp со ссылкой на ln.instagram.com. Как вы думаете, куда ведет эта ссылка? Instagram? Подумайте дважды.

Автор блога 00xbyte нашел новый Clickjacking в WhatsApp, который позволяет провести идеальную фишинговую атаку.

Атакующий может отправить сообщение со ссылкой, которая ведет на легитимный вебсайт, но на самом деле направляет пользователя на сайт злоумышленника.

DOCGuard

DOCGuard — сервис для проверки документов на наличие подозрительных скриптов, ссылок на вредоносные сайты, и использования эксплойтов для известных уязвимостей, вроде CVE 2022-30360 Follina.

Но ценность представляет не сам сервис (детекты можно на antiscan или его альтернативе проверить), а страница с примерами https://app.docguard.io/examples.

На ней можно найти последние документы, которые в настоящее время обходят большинство антивирусов, и позволяют мониторить новые техники.

BlackLotus

BlackLotus — это инновационный UEFI-буткит, разработанный специально для Windows. Он включает в себя встроенный обход Secure Boot и Ring0/Kernel Protection для защиты от любых попыток удаления.

BlackLotus состоит из двух основных компонентов: агента, который устанавливается на целевое устройство, и веб-интерфейса, используемого администраторами для управления агентами.

Возможности:
— Обход HVCI
— Обход UAC
— Обход Secure Boot
— Обход Windows Defender (патч драйверов Windows Defender в памяти и предотвращение сканирования/загрузки файлов в пользовательском окружении Windows Defender)
— Вызовы WinAPI-функций с изменением алгоритма хэширования (hell's gate)
— Инъекция в x86/x64-процессы
— Модуль Anti-Hooking (для отключения, обхода и управления EDR)
— Модульная система плагинов

Особенности:
— Написан на языке C и x86asm
— Используется Windows API, NTAPI, EFIAPI (без 3rd party библиотек)
— Размер скомпилированного бинаря, включая user-mode лоадер, составляет всего 80 Кб
— Для коммуникации используется HTTPS с применением шифрования RSA и AES
— Поддерживает динамическую конфигурацию

Подробный принцип работы:
— BlackLotus UEFI bootkit: Myth confirmed
— The Untold Story of the BlackLotus UEFI Bootkit
— BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

Интересный факт: Nginx умеет проксировать запросы не только на HTTP, но и на локальные Unix-сокеты.

Вот у нас есть конфигурация

location ~ /static/(.*)/(.*.js) {
    proxy_pass http://$1-example.s3.amazonaws.com/$2;
}

Разработчики используют ее, чтобы проксировать запросы на Javascript-файлы в S3-бакет. Мы контролируем ту часть URI, что идет после http://, поэтому можем использовать это, чтобы эксплуатировать SSRF или HTTP Splitting в чейне с другими уязвимостями, благодаря слабой регулярке.

НО! Мы хотим выжать из этого максимум и прокрутить что-то необычное, зная еще один интересный факт — на виртуалке, помимо Nginx, где-то рядом крутится еще и Redis.

А у него ещё и поднят свой сокет. Достаточно отправить в proxy_pass GET-запросом строку http://unix:/run/redis/redis.sock, и все, что идет после нее, попадет прямиком в Redis.

А вот как раскрутить это дальше, обойти механизмы защиты и добиться эксфильтрации — читаем в последней статье уходящего года из полюбившегося цикла с мисконфигами Nginx.

После прочтения, советую следом разобрать райтап с Uni CTF, где обыгрывался кейс не только с дампом, но и с RCE в сложном эксплойте с PHP https://www.hackthebox.com/blog/uni-ctf-2022-spell-orsterra-writeup.

🎄С наступающим!

За год канал вырос почти в два раза! 🎉

Без вас бы этого точно не случилось. Спасибо каждому за то, что подписываетесь и делитесь.

Особенно админам каналов, в частности, @S_E_Reborn
Итоги были бы не такие радужные, если бы ты не делал бесплатную рекламу на каждый новый пост 🙂

В новом году продолжим! 🎁

Киборги опубликовали полную базу данных Альфа-банка.

Три месяца назад это был небольшой сэмпл на 1 миллион строк с 44 тысячами клиентов, а в этих файлах вся слитая база, размером более 100гб — в ней более 24 000 000 физических лиц и > 13 000 000 юридических, среди которых:
— ФИО
— контакты (почта/номер)
— данные банковских карт.
Всего 115 217 571 строк, а первая запись датируется еще 2004 годом. Выложили тут https://t.me/kiborg_leak/3.

🎉 "Ну, пусть!", — на аудиозаписи, предположительно, комментарии Фридмана (владельца банка) о прошлом сливе.

https://github.com/BishopFox/sj/

Swagger Jacker — или сокращенно "sj", — сканер с открытым исходным кодом от компании BishopFox, разработанный для аудита OpenAPI спецификаций.

По ссылке на Swagger, он определяет способ аутентификации на эндпоинтах (благодаря объекту security), и отправляет множество разных запросов на каждый, чтобы проверить, насколько корректно она работает.

Облегчает жизнь пентестера для поиска Broken Authentication. В планах у разработчиков добавить генератор готовых команд для передачи всех существующих эндпоинтов с подготовленными параметрами в sqlmap.

https://www.youtube.com/watch?v=nGs8pWIj5k4

Jason Haddix выступил на конференции IWCon2023.

Рассказал много интересного о разведке, поиске поддоменов и сервисов, принадлежащих компании.

Поскольку защита рабочих станций становится все лучше (а иногда ее действительно сложно обойти), пришло время двигаться дальше.

Одним из следующих слабых устройств могут стать смартфоны. Имхо, MDM сейчас слабее, чем крутые EDR с веб-прокси и проверкой пакетов.

Вот небольшой флоу, как правильно фишить сотрудников, использующих O365 и Outlook в 2024, используя инструменты самой компании Microsoft:
1. Разворачиваем инфру O365 с сервером Exchange в бесплатном Dev Tenant по ссылке https://developer.microsoft.com/en-us/microsoft-365/dev-program
SPF, DKIM, DMARC — все из коробки, кроме того серверы Exchange доверяют друг другу, Dev-тенанты имеют хорошую репутацию, а атакующий может контролировать Entra-ID и спуфить имена.
2. Поднимаем собственную проксю для фишинга https://github.com/secureworks/squarephish где-нибудь в Azure. Один из модулей предлагает обновить сессию, чтобы продолжать пользоваться мобильной почтой, его и будем использовать. Кроме того, он генерирует сообщение с QR-кодом для перехода на наш сайт, что и позволит фишить пользователей смартфонов.
3. Microsoft любит сканировать письма, ссылки и вложения из них. Они даже приводят примеры в своем блоге с QR-кодами из squarephish https://techcommunity.microsoft.com/t5/microsoft-defender-for-office/protect-your-organizations-against-qr-code-phishing-with/ba-p/4007041. Но зачем нам отправлять картинки или ссылки — будем использовать юникод ;) Monospace с размером шрифта 8 выглядит отлично, и не палится сканером

qrencode -o - "https://msrc.microsoft.com" -l H -t UTF8| sed 's/ /\ /g' | sed -e 's/^/    <div style="direction: ltr; margin: 0cm;"><span style="font-family: \&quot;Courier New\&quot;; font-size: 8pt; color: rgb(0, 0, 0); white-space: pre-wrap;">/' -e 's/$/<\/span><\/div>/'

4. Финальный штрих — закрываем свой фишинговый сайт с помощью Azure CND Classic. Он позволяет поселиться на ".azureedge.net", стоит копейки и поставляется с SSL-сертификатом, подписанным Microsoft.