Hi, My Name is Keyboard

Чтобы общаться с устройствами, какие-то разработчики беспроводных мышек и клавиатур используют USB-донгл и Bluetooth, а какие-то пишут свои проприетарные протоколы (как правило, общаются на 2.4ГГц).

Над безопасностью там не задумываются, поэтому возникают уязвимости типа MouseJack, когда можно подключиться к компьютеру без аутентификации от мышки и "накликивать" любые нажатия клавиш.

Исследование провел инженер из SkySafe в 2016, но не стал исследовать Bluetooth, так как подумал, что там все безопасно.

Выяснилось обратное, что стало следствием CVE-2023-45866 в Bluetooth, с которой можно подключиться к устройству, например, работающему на MacOS, Linux, Windows, и засылать любые команды.

На видео пример 0-сlick рикролла в Android. Его и эксплойты для остальных платформ можно взять отсюда https://github.com/marcnewlin/hi_my_name_is_keyboard.

🔥 CVE-2024-0204: Fortra GoAnywhere MFT Authentication Bypass Deep-Dive
Base Score: 9.8 CRITICAL

🔎 Shodan/Zoomye: title:"GoAnywhere"

🐞 PoC
https://192.168.1.1:8001/goanywhere/images/..;/wizard/InitialAccountSetup.xhtml

GoAnywhere MFT — это инструмент для передачи файлов, разработанный с целью помочь организациям безопасно обмениваться файлами с партнерами и вести журналы аудита того, кто получил доступ к общим файлам.

В 2023 Clop другим эксплойтом для GoAnywhere вытащили данные из Crown Resorts, CHS, Hatch Bank, Rubrik, the City of Toronto, Hitachi Energy, Procter & Gamble, и Saks Fifth Avenue.

Horizon не стали разбираться, почему не срабатывает условие isAdminUserCreated, и дропнули отчет как есть https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/.

CVEMap

cvemap — новая утилита от компании ProjectDiscovery, которая создана для быстрого и удобного поиска по всем известным базам данных уязвимостей.

Объединяет данные из нескольких известных источников, и возвращает наличие PoC на основе двух публичных репозиториев в Github — Live-Hack-CVE и PoC-in-GitHub.

Slippy-book: CVE-2023-44451 & CVE-2023-52076

Directory Traversal -> RCE при открытии электронных книг EPUB. Затрагивает все дистрибутивы, использующие DE Mate, включая Mint, Kali, Parrot, Manjaro, Xubuntu.

🔹 Уязвимости найдены в программах Atril Document Viewer and Xreader Document Viewer, которые используются по умолчанию для чтения формата EPUB.

🔹 Эксплоит создает произвольный файл в системе. На видео пример записи .desktop в $HOME/.config/autostart, который запустит калькулятор после перезагрузки.

🔹Atril и Xreader поддерживают форматы PDF и EPUB. Если изменить расширение .epub на .pdf и отправить его цели, код все равно сработает.

🔹 Можно использовать для прокидывания реверс-шелла или записи своих публичных ключей в authorized_keys, и подключения к машине через SSH.

Подделка подписей на Github

Перед тем, как что-нибудь закоммитить в репозиторий, git просит пользователя указать имя и email. Если сделать так

git config --global user.name "Linus Torvalds"
git config --global user.email "torvalds@linux-foundation.org"

Github подхватит почту и будет помечать твои коммиты, как будто их на самом деле сделал Линус, — с его именем, аватаркой и ссылкой на профиль https://github.com/torvalds.

Так может сделать любой, и поэтому существует зеленая надпись "Verified" напротив коммитов, подписанных с помощью GPG.

Если отправить что-нибудь через веб, коммит подпишется от имени GitHub <noreply@github.com> и тоже будет считаться верифицированным.

Для этого сырой блоб отправляется на внутренний эндпоинт https://api.github.com/vscs_internal/commit/sign, где его подхватывает gh-gpgsign и возвращает подписанный результат.

На бэкенде проверяется условие, что строка автора из коммита, полученная с помощью регулярки /\Aauthor (.+?) <(.+)>/, должны быть равна имени текущего залогиненного пользователя.

Но имя может быть пустым, тогда коммит будет таким

author  <583231+octocat@users.noreply.github.com> 1682188800 +0000
author username <user@example.com> 1682188800 +0000

где первая строка — сгенерирована автоматически,
а вторая — фейковая, уже отправленная нами.

Первая не подойдет под регулярку, поэтому будет взята вторая, которую мы контролируем. И так мы можем получить галочку "Verified" на коммит с именем Торвальдса без его подписи, или с любым другим именем.

Автору заплатили $10.000. Баг удалось найти в Codespaces, благодаря реверсу GitHub Enterprise Server Trial VM.

https://github.com/z0m31en7/Uscrapper

Uscrapper — инструмент командной строки, который создан чтобы искать и извлекать личные данные с веб-сайтов.

🔹 Обходит страницы и собирает с помощью регулярных выражений емейлы, ссылки на социальные сети, имена людей, номера телефонов и юзернеймы.

🔹 Имеет несколько модулей для обхода защиты от парсинга, после завершения работы генерирует отчет со всеми находками.

Можно использовать в качестве легковесной замены SpiderFoot на стадии сбора информации.

В 2022 году ресерчер с ником mrd0x предложил для фишинга новую технику, которую назвал BItB (browser-in-the-browser).

Она заключается в том, чтобы оставлять скомпрометированную страницу входа как есть, но хукать нажатия на кнопки входа через Google, Microsoft и других OAuth-поставщиков, и, вместо оригинальной ссылки — подсовывать iframe на свой сайт, оформляя его как pop-up окно браузера.

Техника интересная, но использовать ее получится крайне редко. В то же время TrustedSec проводили свой ресерч и столкнулись с другой проблемой — им нужно было сохранять персистенс в браузере цели, чтобы тяжелый, заинжекченный в результате эксплуатации xss, скрипт, успевал полностью выполниться.

И решили, используя наработки mrd0x, пойти дальше — использовать схожую с BItB идею, но сделать буквально браузер в браузере — открывать iframe текущей страницы так, чтобы конечный пользователь этого не заметил. Все клики и переходы, которые он сделает в дальнейшем, будут не в оригинальной вкладке, а в iframe, который мы полностью контролируем.

Это совпало с закрытием публичного XSS Hunter, и теперь они представили свой. Он использует технику, про которую я писал выше, и выжимает максимум от XSS, собирая буквально все, что только можно:
— IP-адрес клиента, OS, браузер
— Пользовательский ввод (учетные данные, etc.)
— Посещенные страницы
— Куки (без флага HttpOnly)
— Local Storage
— Session Storage
— HTML-код посещенных страниц
— Скриншоты посещенных страниц
— Копии XHR и Fetch-вызовов (с помощью monkeypatch'инга) с методами, эндпоинтами, заголовками, телами запросов и ответами

Сервис назвали JS-Tap, а найти его можно тут https://github.com/hoodoer/JS-Tap.

Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включая руководителей, сотрудников юридического отдела и специалистов по кибербезопасности.

Статья от Hadess про вредоносные OAuth-приложения, по мотивам атаки https://blog.devsecopsguides.com/malicious-use-of-oauth-applications.

Скрытые вектора https://portswigger.net/research/hidden-oauth-attack-vectors

Кликабельный чеклист для пентеста https://www.syncubes.com/oauth2_threat_model

Базовые статьи:
— OAuth 2.0 Hacking Simplified — Part 1 — Understanding Basics
— OAuth 2.0 Hacking Simplified — Part 2 — Vulnerabilities and Mitigation
— Finding and Exploiting Unintended Functionality in Main Web App APIs

20 миллионов долларов можно было вывести, благодаря ликнутым Stripe-токенам.

Escape Tech просканировали миллион самых популярных доменов и нашли более 18 000 секретов, среди которых почти половину отнесли к крайне критичным — это Github/Gitlub-токены, приватные ключи, токены AWS, Coninbase и Stripe.

Софт был написан одним инженером за 3 дня, а само сканирование заняло 69 часов. 35% секретов лежали в Javascript-файлах.

📝 Свежие доклады с ежегодной Лондонской конференции 44CON по кибербезопасности.

— Justin Wynn - Red Team Tales: 7 Years of Physical Penetration Testing
— Luke Jennings - The new SaaS cyber kill chain
— Robert Sell - The Art of the Breach
— David Rogers - A Security Research Journey: how the mobile industry met hackers in the middle
— Khang Nguyen - Lessons Learned from a Red Teamer's Journey into the Kernel
— Phil Huggins - Cyber Security in Health & Care
— Tony Gee - Getting In: Initial Access - 2023 and beyond
— Elliot Ward - Realtime Communications, Realtime Risks
— Stiv Kupchik - Lifting the Fog of War
— Peter Allwright - Snookered in the Pool Room
— Gerald Benischke - Precision Munitions for Denial of Service
— James Forshaw - Missed Opportunities
— Shaun Peapell - Global Threat Services
— Kev Sheldrake - Detection and Blocking with BPF via YAML
— Emanuele Cozzi - Uncursing the ncurses
— John McIntosh - ghidriff
— Jen Ellis - A Celebration of Cyber Community Action!
— Lee Christensen and Max Harley - Nemesis
— Marta Janus and Eoin Wickens - Sleeping with one AI open
— Dave Lewis - Don't You Know Who I Think I Am?

https://sites.google.com/site/zhiniangpeng/blogs/Jumpserver

В доке random есть плашка, выделенная красным, — "The pseudo-random generators of this module should not be used for security purposes". Не смотря на это, все продолжают использовать его, вместо безопасного secrets.

Одноименная функция реализует алгоритм "Вихря Мерсенна", для которого начальное состояние RNG довольно просто восстановить. Используется PID процесса или текущее время сервера — как, например, в Python для нашего модуля. Зная его, мы можем предугадать все предыдущие и последующие значения генератора.

Разработчики Jumpserver для генерации капчи решили использовать популярную библиотеку django-simple-captcha. Она генерирует сид (служащий RNG) на основе 32-битного целочисленного значения, которое легко перебирается, — это 4.2 миллиарда значений.

Но все оказалось проще и перебирать ничего не пришлось. Чтобы решить капчу, клиент должен отправить этот сид (он пришел ему от сервера) вместе с решением, которое, как мы выяснили, он может сгенерировать сам.

Помимо капчи, Jumpserver генерирует код для восстановления аккаунта тоже с помощью random, но уже без передачи сида. Если сид не передать, используется таймштамп или уже инициализированное значение из текущего контекста треда — это тот же самый сид, который использовался и для создания капчи.

Знае его, мы можем решить и саму капчу, и взломать любой аккаунт, предугадав код. Нужно запросить капчу, тут же запросить код и восстановить его, имея ликнутый сид от капчи.

🔎 Vulnerable Code Snippets — коллекция уязвимых сниппетов кода, собранных со всего интернета, — из блогов, книг, отдельных статей и раскрытых репортов из Bug Bounty.

Примеры с разными уровнями сложности на Python, Golang, Java и других языках программирования, чтобы потренироваться в анализе исходников.

Пополняется каждую пятницу командой YesWeHack.

I analyzed stackoverflow

Новая (прошлая с "денежными" токенами Stripe тут) история успеха с поиском секретов, на этот раз в дампе StackOverflow из Wayback Machine.

Удалось найти 1 147 JWT-токенов, 1569 приватных ключей и почти 3 тысячи AWS-токенов.

Как самому майнить секреты:
— TruffleHog — самая известная утилита, для которой написано 700+ детекторов.
— Rusty Hog — брат-близнец, переписанный на rust. Работает быстрее
— Gitleaks — работает на основе регулярок, умеет сканировать историю коммитов
— gittyleaks — больше ложных результатов, но находит не только секреты, но и емейлы, юзернеймы и логины
— detect-secrets — создает базу секретов для исправления разработчиками и встраивания в CI/CD
— git-secrets — превентивный сканер для пре-коммитных хуков, чтобы не допустить попадание токенов в историю
— GitHound — работает исключительно с репозиториями, создан багхантером для багхантеров
— Secretlint — прямой конкурент TruffleHog, обладает почти всеми возможностями перечисленных сканеров

Расширения для браузера, которые ищут токены в JS-файлах: Secretlint WebExtension и Trufflehog Chrome.

Anti-Debug Tricks

Каждый раз, когда нужно изучить поведение вредоноса, восстановить методы шифрования или исследовать протоколы общения, аналитики используют отладчики.

Отладчики вмешиваются в процесс таким образом, что это приводит к побочным эффектам. Знание антиотладочных техник помогает понять, когда вредонос пытается помешать отлаживаться, и устранить помехи.

Anti-Debug Tricks — это сборник большинства известных антиотладочных техник. Они сгруппированы в отдельные категории и включают в себя код на C/C++, вместе с ассемберным листингом.

https://github.com/akto-api-security/akto

1. Ставим расширение для Burp, чтобы собрать все запросы в Akto, ходим по сайту.
2. Выбираем нужные проверки на поиск IDOR, Parameter Pollution, SQLi и других багов.
3. Выгружаем готовые отчеты c находками. Сдаем на H1, получаем профит.

Интересный опенсорсный сканер, который вместо вас вставляет кавычки в запросы к API и ищет многие уязвимости, включая OWASP Top 10 и HackerOne Top 10.

Можно описывать свои тесты в YAML, есть уже готовые модули для эксплуатации. Например, просканить все порты с помощью SSRF, как в демке https://www.youtube.com/watch?v=WjNNh6asAD0

Это весьма ярко.
Группа хакеров PRANA Network взломала почтовый сервак компании IRGC Sahara Thunder, которую рф использовала для прикрытия сделок с Ираном на поставку "Шахедов". И вытащили корреспонденцию со всеми потрохами. Ее анализ позволяет пролить свет на многие интересные вещи.
https://irancybernews.org/irgc-front-company-sahara-thunder-hacked-by-prana-network/

DVAs (Deliberately Vulnerable APIs) — намеренно уязвимые API, на которых можно проверить сканер Akto из прошлого поста, или отточить собственные навыки.

— APISandbox — взламываемые песочницы, которые можно поднять локально в Docker Compose
— crAPI (completely ridiculous API) — современное приложение на основе микросервисной архитектуры с одним изъяном — нелепым API
— Damn Vulnerable GraphQL App — плохая реализация GraphQL API от Facebook
— DVMS (Damn Vulnerable Microservices) — "чертовски-уязвимый" микросервис на нескольких языках программирования для демонстрации OWASP Top 10.
— DVWS-Node — NoSQL Injection, уязвимые JWT-токены, Path Traversal, и другие баги в этом приложении.
— Generic University — журнал успеваемости на php-фреймворке Laravel от ютубера InsiderPhD, который нужно взломать
— VAmPI — это уязвимый API на Flask, который подробно описан в блоге автора
— vulnerable-graphql-api — еще одна "очень уязвимая" реализация GraphQL API, если не хватило DVGA
— WebSheep — ReSTful API с говорящим названием

Cloud-челленджи я публиковал тут.

Detecting Uncommon Headers in an API using Burp Bambda Filters

Разработчики часто опираются на "секретные" заголовки, которые они придумывают, чтобы спрятать некоторые функции приложения от рядового пользователя.

Если их найдет хакер, он сможет обойти ограничения, найти типовые уязвимости или даже повысить привилегии. Например, с помощью заголовка, который включает режим отладки.

Такие заголовки можно искать фаззингом, а некоторые порой можно найти в ответе. Статья о том, как это сделать, используя новые возможности Burp с помощью Bambda-фильтров, кода на Java и обращению к Montoya API.

https://github.com/narfindustries/http-garden/

HTTP Garden — композитная система, которая сравнивает, как разные HTTP-серверы интерпретируют одинаковые запросы.

Удобно использовать, чтобы искать коллизии при обработке запросов, и возникающие из-за них атаки, вроде HTTP Request Smuggling.

Определяем пейлоад:

garden> payload 'GET / HTTP/1.1\r\nHost: whatever\r\n\r\n'

Пропускаем его через HAProxy и Nginx

garden> transduce haproxy nginx_proxy

Получаем наглядный результат

[1]: 'GET / HTTP/1.1\r\nHost: whatever\r\n\r\n'
    ⬇️ haproxy
[2]: 'GET / HTTP/1.1\r\nhost: whatever\r\n\r\n'
    ⬇️ nginx_proxy
[3]: 'GET / HTTP/1.1\r\nHost: echo\r\nConnection: close\r\n\r\n'

В системе около 20 известных веб серверов и 10 прокси-серверов. Есть также дополнительные утилиты, вроде собственного фаззера, который помог найти уже больше 80 артефактов в разных комбинациях серверов.