https://github.com/moonD4rk/HackBrowserData

HackBrowserData — это инструмент командной строки, который умеет расшифровывать и экспортировать данных из 18 браузеров на Windows, MacOS и Linux.

Извлекаемые данные:
— сохраненные пароли
— история браузера
— куки пользователя
— кредитные карты
— история скачиваний
— список расширений
— localStorage
— закладки

Пример использования:

hack-browser-data.exe -b chrome -f json -dir results -cc

На замену SharpChromium.

Именованные пайпы — один из известных способов повышения привилегий в Windows.

CVE-2018-11479 — если не эксплуатировали, то слышали про эту уязвимость в Windscribe VPN.

Системный процесс WindScribeService.exe устанавливает пайп \\.\pipe\WindscribeService с CreateProcess, в который можно отправить путь к любому исполняемому файлу и породить новый процесс от имени SYSTEM.

Освежить память эксплойтом можно тут https://pastebin.com/eLG3dpYK, а для Metasploit давно есть готовый модуль https://www.exploit-db.com/exploits/48021.

И если раньше ресерчить приходилось через Powershell, то теперь появился вполне неплохой https://github.com/cyberark/PipeViewer/, который листит всю информацию о доступных пайпах с их разрешениями (подсвечивая опасные), позволяет использовать готовые фильтры и создавать интерактивные пайп-чаты.

Living Off the Foreign Land

По мере совершенствования EDR, все чаще можно встретить вариант, когда на целевой машине поднимается SOCKS-сервер, а все "вредоносные программы" запускаются на собственной виртуалке.

Подход заключается в том, чтобы стать "offensive-администратором" в удаленной сети — настроить маршрутизацию протоколов типа Kerberos к себе и использовать встроенные утилиты Windows под видом легитимных действий для разведки, горизонтального перемещения и повышения привилегий с собственного ПК.

Цикл статей:
Setup Linux VM for SOCKS routing
Configuring the Offensive Windows VM
Using Windows as Offensive Platform

Командлеты и бинари:
https://lofl-project.github.io/

https://github.com/UnaPibaGeek/honeypots-detection

Honeypots Detection — набор Nuclei-шаблонов для детектирования ханипотов.

Репозиторий содержит темплейты для обнаружения нескольких известных ханипотов с открытым исходным кодом: ADBHoney, Conpot, Cowrie, Dionaea, ElasticPot, Mailoney, Redis Honeypot, Snare.

Курс Red Team Operations with Cobalt Strike

Cobalt Strike — известный фреймворк пост-эксплуатации, предназначенный для выполнения целевых атак, имитации продвинутых действий хакеров, а также доставки полезной нагрузки на компьютеры жертв.

Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.

В этом курсе вы узнаете, как использовать Cobalt Strike в качестве инфраструктуры управления и контроля (C2), использовать маячки (beacon'ы) и специализированные профили для проведения необходимых техник Red Team и тестирования на проникновение.

Содержание курса:
— Operations: настройка сервера команды, глубокое погружения в модель Cobalt Strike для долгосрочных распределенных операций

— Infrastructure: управление листенерами и настройка различных вариантов маячков

— C2: введение в Malleable C2 — язык Cobalt Strike, предназначенный для настройки сетевых индикаторов

— Weaponization: объединение полезной нагрузки с артефактом или эксплойтом, который ее запускает, введение в Artifact Kit и Resource Kit

— Initial Access: веб-уязвимости и целевой фишинг

— Post Exploitation: как управлять маячками и сеансами, выполнять команды, извлекать данные; регистрировать нажатия клавиш, делать скриншоты, техники пост-эксплуатации.

— Privilege Escalation: представлен набор Elevate Kit, рассказывается об использовании SharpUp для поиска неправильных конфигураций и о том, как повысить права с помощью учетных данных; Kerberoasting и использование mimikatz

— Lateral Movement: научитесь красть токены, проводить атаку pass-the-hash и генерировать "золотые билеты" Kerberos

— Pivoting: как туннелировать Metasploit® Framework и другие инструменты через SOCKS-прокси

Не верь своим глазам! Обманчивый Clickjacking в WhatsApp

Представьте, что вы получили сообщение в WhatsApp со ссылкой на ln.instagram.com. Как вы думаете, куда ведет эта ссылка? Instagram? Подумайте дважды.

Автор блога 00xbyte нашел новый Clickjacking в WhatsApp, который позволяет провести идеальную фишинговую атаку.

Атакующий может отправить сообщение со ссылкой, которая ведет на легитимный вебсайт, но на самом деле направляет пользователя на сайт злоумышленника.

DOCGuard

DOCGuard — сервис для проверки документов на наличие подозрительных скриптов, ссылок на вредоносные сайты, и использования эксплойтов для известных уязвимостей, вроде CVE 2022-30360 Follina.

Но ценность представляет не сам сервис (детекты можно на antiscan или его альтернативе проверить), а страница с примерами https://app.docguard.io/examples.

На ней можно найти последние документы, которые в настоящее время обходят большинство антивирусов, и позволяют мониторить новые техники.

BlackLotus

BlackLotus — это инновационный UEFI-буткит, разработанный специально для Windows. Он включает в себя встроенный обход Secure Boot и Ring0/Kernel Protection для защиты от любых попыток удаления.

BlackLotus состоит из двух основных компонентов: агента, который устанавливается на целевое устройство, и веб-интерфейса, используемого администраторами для управления агентами.

Возможности:
— Обход HVCI
— Обход UAC
— Обход Secure Boot
— Обход Windows Defender (патч драйверов Windows Defender в памяти и предотвращение сканирования/загрузки файлов в пользовательском окружении Windows Defender)
— Вызовы WinAPI-функций с изменением алгоритма хэширования (hell's gate)
— Инъекция в x86/x64-процессы
— Модуль Anti-Hooking (для отключения, обхода и управления EDR)
— Модульная система плагинов

Особенности:
— Написан на языке C и x86asm
— Используется Windows API, NTAPI, EFIAPI (без 3rd party библиотек)
— Размер скомпилированного бинаря, включая user-mode лоадер, составляет всего 80 Кб
— Для коммуникации используется HTTPS с применением шифрования RSA и AES
— Поддерживает динамическую конфигурацию

Подробный принцип работы:
— BlackLotus UEFI bootkit: Myth confirmed
— The Untold Story of the BlackLotus UEFI Bootkit
— BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

Интересный факт: Nginx умеет проксировать запросы не только на HTTP, но и на локальные Unix-сокеты.

Вот у нас есть конфигурация

location ~ /static/(.*)/(.*.js) {
    proxy_pass http://$1-example.s3.amazonaws.com/$2;
}

Разработчики используют ее, чтобы проксировать запросы на Javascript-файлы в S3-бакет. Мы контролируем ту часть URI, что идет после http://, поэтому можем использовать это, чтобы эксплуатировать SSRF или HTTP Splitting в чейне с другими уязвимостями, благодаря слабой регулярке.

НО! Мы хотим выжать из этого максимум и прокрутить что-то необычное, зная еще один интересный факт — на виртуалке, помимо Nginx, где-то рядом крутится еще и Redis.

А у него ещё и поднят свой сокет. Достаточно отправить в proxy_pass GET-запросом строку http://unix:/run/redis/redis.sock, и все, что идет после нее, попадет прямиком в Redis.

А вот как раскрутить это дальше, обойти механизмы защиты и добиться эксфильтрации — читаем в последней статье уходящего года из полюбившегося цикла с мисконфигами Nginx.

После прочтения, советую следом разобрать райтап с Uni CTF, где обыгрывался кейс не только с дампом, но и с RCE в сложном эксплойте с PHP https://www.hackthebox.com/blog/uni-ctf-2022-spell-orsterra-writeup.

🎄С наступающим!

За год канал вырос почти в два раза! 🎉

Без вас бы этого точно не случилось. Спасибо каждому за то, что подписываетесь и делитесь.

Особенно админам каналов, в частности, @S_E_Reborn
Итоги были бы не такие радужные, если бы ты не делал бесплатную рекламу на каждый новый пост 🙂

В новом году продолжим! 🎁

Киборги опубликовали полную базу данных Альфа-банка.

Три месяца назад это был небольшой сэмпл на 1 миллион строк с 44 тысячами клиентов, а в этих файлах вся слитая база, размером более 100гб — в ней более 24 000 000 физических лиц и > 13 000 000 юридических, среди которых:
— ФИО
— контакты (почта/номер)
— данные банковских карт.
Всего 115 217 571 строк, а первая запись датируется еще 2004 годом. Выложили тут https://t.me/kiborg_leak/3.

🎉 "Ну, пусть!", — на аудиозаписи, предположительно, комментарии Фридмана (владельца банка) о прошлом сливе.

https://github.com/BishopFox/sj/

Swagger Jacker — или сокращенно "sj", — сканер с открытым исходным кодом от компании BishopFox, разработанный для аудита OpenAPI спецификаций.

По ссылке на Swagger, он определяет способ аутентификации на эндпоинтах (благодаря объекту security), и отправляет множество разных запросов на каждый, чтобы проверить, насколько корректно она работает.

Облегчает жизнь пентестера для поиска Broken Authentication. В планах у разработчиков добавить генератор готовых команд для передачи всех существующих эндпоинтов с подготовленными параметрами в sqlmap.

https://www.youtube.com/watch?v=nGs8pWIj5k4

Jason Haddix выступил на конференции IWCon2023.

Рассказал много интересного о разведке, поиске поддоменов и сервисов, принадлежащих компании.

Поскольку защита рабочих станций становится все лучше (а иногда ее действительно сложно обойти), пришло время двигаться дальше.

Одним из следующих слабых устройств могут стать смартфоны. Имхо, MDM сейчас слабее, чем крутые EDR с веб-прокси и проверкой пакетов.

Вот небольшой флоу, как правильно фишить сотрудников, использующих O365 и Outlook в 2024, используя инструменты самой компании Microsoft:
1. Разворачиваем инфру O365 с сервером Exchange в бесплатном Dev Tenant по ссылке https://developer.microsoft.com/en-us/microsoft-365/dev-program
SPF, DKIM, DMARC — все из коробки, кроме того серверы Exchange доверяют друг другу, Dev-тенанты имеют хорошую репутацию, а атакующий может контролировать Entra-ID и спуфить имена.
2. Поднимаем собственную проксю для фишинга https://github.com/secureworks/squarephish где-нибудь в Azure. Один из модулей предлагает обновить сессию, чтобы продолжать пользоваться мобильной почтой, его и будем использовать. Кроме того, он генерирует сообщение с QR-кодом для перехода на наш сайт, что и позволит фишить пользователей смартфонов.
3. Microsoft любит сканировать письма, ссылки и вложения из них. Они даже приводят примеры в своем блоге с QR-кодами из squarephish https://techcommunity.microsoft.com/t5/microsoft-defender-for-office/protect-your-organizations-against-qr-code-phishing-with/ba-p/4007041. Но зачем нам отправлять картинки или ссылки — будем использовать юникод ;) Monospace с размером шрифта 8 выглядит отлично, и не палится сканером

qrencode -o - "https://msrc.microsoft.com" -l H -t UTF8| sed 's/ /\ /g' | sed -e 's/^/    <div style="direction: ltr; margin: 0cm;"><span style="font-family: \&quot;Courier New\&quot;; font-size: 8pt; color: rgb(0, 0, 0); white-space: pre-wrap;">/' -e 's/$/<\/span><\/div>/'

4. Финальный штрих — закрываем свой фишинговый сайт с помощью Azure CND Classic. Он позволяет поселиться на ".azureedge.net", стоит копейки и поставляется с SSL-сертификатом, подписанным Microsoft.

В Google долгое время существовал "бэкдор" с вечным доступом к любому аккаунту, даже после разлогина или смены пароля

Если вы используете Chrome для синхронизации данных и замечали, что сессия в браузере остается активной даже после того, как нажал кнопку "Выйти со всех устройств" — то это оно и есть.

В своей реализации OAuth, Google создала недокументированный эндпоинт, который обменивает токен на вечную куку, которую нельзя так просто инвалидировать.

Уязвимость существовала многие годы, но обратили внимание на неё только сейчас, когда ее начали активно использовать злоумышленники.

О проблеме сообщили в Google, но они пока что ее так и не исправили.

https://github.com/MegaManSec/SSH-Snake

SSH-Snake — это bash-скрипт для автоматического обхода сети с использованием ssh-ключей, обнаруженных на скомпрометированных системах, и создания полной карты всех взломанных хостов.

Принцип работы:
1. Найти на текущей машине все приватные ssh-ключи
2. Просканировать сеть и найти живые хосты, к которым можно подключиться
3. Попытаться подключиться к хостам с ключами, найденными в первом пункте
4. После подключения к новому устройству, повторить все шаги, начиная с первого.

Возможности:
— переходит от одной системы к другой только с помощью bash и stdin, не создавая никаких файлов
— как только попал на новую систему, автоматически пытается повыситься до рута, используя sudo
— ищет закрытые ключи в часто используемых файлах и папках, обход гибко настраивается
— запоминает, какие машины уже были просканированы, чтобы не подключаться к ним снова
— генерирует на выходе готовый граф (вдохновлен bloodhound) и сохраняет все приватные ключи

https://evanhahn.com/worlds-smallest-png/

Побайтовый обзор самого маленького PNG-изображения. Автор блога даже запилил свой PNG Chunk Explorer, куда можно загрузить любую картинку и посмотреть, какой байт и за что отвечает. Напомнило The Illustrated TLS https://tls13.xargs.org/ с пошаговым TLS-хендшейком.

Побольше бы такого в самом RFC

https://github.com/hackerhouse-opensource/Marble

В 2017 году Wikileaks опубликовало утечку с самописным хакерским софтом, который использует ЦРУ. Там были исходники обфускатора под названием Marble, но не полностью, — скомпилировать код было невозможно из-за отсутствующих библиотек и целых фрагментов кода.

2 недели назад на Github выложили его полную версию — не только восстановленную, но и улучшенную — это удалось, благодаря ChatGPT и некому человеку (вероятно, бывшему сотруднику), которого удалось найти из утечек Vault7.

LeftoverLocals

В один день с новыми лабами Web LLM attacks на PortSwigger, Trail of Bits опубликовали отчет о найденной уязвимости, которую они назвали LeftoverLocals.

🔹 уязвимость позволяет читать данные из локальной памяти GPU чужих процессов

🔹 затронуты графические чипы от Apple, Qualcomm и AMD

🔹 на прикрепленной гифке показано, как хакер может прослушивать сессию чужого пользователя в llama.cpp

PoC уже выложили тут https://github.com/trailofbits/LeftoverLocalsRelease