🅰️ #заметки #web #offense

[ Крайне годный материал по типовым уязвимостям, встречающимся в CMS Bitrix, созданный @llcrlf! ]

🧩 cr1f/writeups


➕Особенности реализации
➕Обнаруженные уязвимости
➕Наглядные примеры эксплуатации


Несмотря на современные патчи, имеет смысл продолжать опираться на него в ходе анализа защищённости веб-приложений: если не как на райтап для идентичной эксплуатации, то как на пищу для размышления для развития собственных векторов;

➡️Гораздо удобнее однажды засстарить репозиторий, чем каждый раз искать PDF!


@HaHacking 🐇

🙃 #наработки #htb #web #infrastructure #offense

Было интересно решать, а потому
➡️Подробный отчёт на сложную машину Snoopy ⬇️

[Path Traversal] [DNS] [sudo] [Git] [CVE] [Arbitrary File Write] [ClamAV] [Arbitrary File Read] [XXE]

💻 HTB: Snoopy (Hard)
➡️ Часть 1: Энумерация & cbrown
➡️ Часть 2: sbrown & root


@HaHacking

💼 #события #offense

➡️Сегодня прошёл финал соревнований Google CTF — он же мероприятие под названием Hackceler8 — и произошло историческое событие:

[ 1 место заняла российская команда C4T BuT S4D ‼️ ]


Они стали первой российской командой, достигнувшей таких высот, и это достижение – серьезный показатель не только для нашего, но и для мирового CTF комьюнити;

➡️В общем, супер достойно, а главное – заслуженно!


А всем интересующимся темой CTF рекомендую ознакомиться с записями трансляций финала, ведь в данном случае формат соревнований отличался от привычных Jeopardy / Attack & Defense – участникам предлагалось проанализировать игру, найти уязвимости и проэксплуатировать их для упрощения прохождения игры (+ писать читы :) )

Кто быстрее и качественнее наломал — тот и выиграл; 🐇


🧩 Полуфинал 1: C4T BuT S4D / organizers
🧩 Полуфинал 2: Maple Mallard Magistrates / DiceGang
🧩 Финал: C4T BuT S4D / DiceGang


➡️Поздравляю! Впечатляющие результаты! ⚡️

@HaHacking  🐇

thanks to @qwqoro

Привет 👋.

Искал я на ру пространстве доклады по атакам на ии. Мне оч сильно приглянулись доклады Лизы. Советую ознакомится с выступлениями

https://youtu.be/jaFgRhPaWqI?si=rdsXvr7K9WMgN3re

https://youtu.be/bbspgr8klHs

В докладах мы можем найти для себя информацию о моделировании угроз, методиках и тулзах для атак на ии..

🔮  #наработки #ai #web #infrastructure #offense

Вспоминая мои самые первые попытки выступать – доклады на конференции OFFZONE ➕ на мероприятии от сообщества Open Data Science, когда я постаралась простым языком рассказать про:

➖Виды атак на модели машинного обучения:
   ▪️Evasion attacks
   ▪️Model inversion attacks
   ▪️Model extraction attacks

➖Способы защиты от каждого вида атак*
➖Инструменты для автоматизации атак и анализа защищённости моделей МО


   🧩   qwqoro/ML-Talk

   🧩   ‟Атаки на ИИ, но проще”  (®️ / OFFZONE)

   🧩   *‟ИИ глазами хакера”  (👍 / Open Data Science)



🔮  #заметки

[ Захотелось упомянуть здесь репозитории, которые могут заинтересовать тех, кому тоже близки как тема ИБ, так и ИИ ]

⭐️ Компиляция материала о применении ИИ в сфере нападательной безопасности:

   🧩   jiep/offensive-ai-compilation
   🧩   Offensive AI Compilation


⭐️ Список ресурсов об обучении с подкреплением для решения задач кибербезопасности:

   🧩   Limmen/awesome-rl-for-cybersecurity


⭐️ Исходный код уникальных проектов, таких как, например:
▪️DeepExploit — автоматический пентест с использованием Metasploit;
▪️Recommender — автоматический подбор полезной нагрузки для эксплуатации Reflected XSS;

   🧩   13o-bbr-bbq/machine_learning_security


   @HaHacking  🐇

💳 #заметки #web #offense

[ Ёмкий материал по аудиту приложений, в работе которых задействуется механизм онлайн-платежей➡️протокол 3-D Secure ]

➕Про протокол 3-D Secure
➕Про то, где его искать
➕Про потенциальные уязвимости
➕Примеры эксплуатации
➕Дополнительные инструменты
// XSS; XXE➡️DoS, SSRF, File Read

   🧩   ‟3D Secure, или что скрывают механизмы безопасности онлайн-платежей” (@web_rock)

   🧩   webr0ck/3D-Secure-audit-cheatsheet



😈 #инструменты

➡️Github репозиторий также содержит пару плагинов для Burp Suite, один из которых представляет из себя расширение Hackvector, дополненное функциями для кодирования/декодирования параметра PaReq;

К слову про то, что такое Hackvector:
▪️Инструмент из BApp Store
▪️Если кратко: навороченный Decoder⬆️
▪️Многообразие функций; Есть даже криптографические и математические!
▪️Вызов функций через оборачивание [под]строк в XML-подобные теги💻с возможностью вложения одного тега в другой
▪️(На скриншоте изображён справа😊)

@HaHacking  🐇

📄 #наработки #web #offense

➡️Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr! 👈

1️⃣ Основы работы почты
2️⃣ Потенциальные уязвимости
3️⃣ Демонстрация эксплуатации

🧩 Habr: E-mail Injection

✨ DeteAct Blog: E-mail Injection

   😰   HaHacking_Mail-Injection.pdf ⬇️


❓) Откуда?

Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.

На первый взгляд – обычная ситуация, а на второй – вывалившийся лог SMTP сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;

➡️ Результаты – оформила в виде статьи ⚡️


❓) Что?

[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]

🧩 qwqoro/Mail-Injection [ 💻 / 💻 / 🐍 ]

➖CRLF (SMTP / IMAP) Injection
➖Arbitrary Command Flag Injection
➖Improper Input Validation


// Время чтения: ~20 минут
➡️Enjoy! 📝

@HaHacking  🐇

👤 #заметки #enumeration #web #infrastructure

Иногда в ходе аудитов приходится перебирать имена пользователей для сбора списка тех, что существуют в исследуемой системе;

➡️Неоспоримо чаще используются имена пользователей, основанные на реальных данных сотрудников: Фамилии, Имени и Отчестве (при наличии)

[ Потому рекомендую следующие словари: ]

🧩 sorokinpf/russian_names (🇷🇺 / RU)

🧩 curiv/russian_names (🇷🇺 / RU)

🧩 attackdebris/kerberos_enum_userlists (🇺🇸 / EN)

Все репозитории содержат списки распространённых имён, для удобства представленные в нескольких форматах ⬆️


А иногда, в попытке забраться в секции, которые просят пройти аутентификацию, перебираются и пароли; ⬇️

❗️ В таких случаях стоит полагаться как на обобщённые словари популярных паролей, так и на словари, содержание которых основано на региональной статистике; Примеры таких словарей для России:

🧩 sharsi1/russkiwlst

   🧩   WeakPass: 1, 2, 3, 4, 5, 6


➡️Успехов! 🐇

@HaHacking  🐇

🔍 #инструменты #заметки #web #enumeration

[ Репозитории, которые усовершенствуют процесс доркинга ]

0️⃣ Автоматизация доркинга – скрипт с преднастроенными запросами:

🧩 IvanGlinkin/Fast-Google-Dorks-Scan [🖥: 🔎]

⬆️ Административные, логин и тестовые страницы, файлы гита, документы, презентации, конфигурационные файлы, ...


1️⃣ Списки запросов для разных ситуаций:

🧩 Proviesec/google-dorks

⬆️ Логи, бекапы, багбаунти, конфигурационные файлы, базы данных, документы, бакеты, файлы гита, графана, страницы логина, мониторинга, статистики, ...


2️⃣ Для поиска запроса в нескольких поисковых системах сразу:

🧩 Zarcolio/sitedorks [🐍: 🧩 🧩 🧩 🧩 ...]


3️⃣ Два скрипта: сбор свежих дорков с Exploit DB➕автоматизация доркинга с использованием произвольных запросов / списков запросов:

🧩 opsdisk/pagodo [🐍: 🔎]


   @HaHacking  🐇

🔗 #мероприятия #заметки #web #mobile #infrastructure #malware #reverse #offense #defense

⚡️ MOSCOW HACKING WEEK; Ретроспектива (ч.1)

Мне посчастливилось принять участие сразу в двух мероприятиях Moscow Hacking Week; Умудрилась, среди прочих энтузиастов сферы ИБ:

#️⃣ Насладиться докладами на первых рядах Talks
#️⃣ Пережить 2 недели➕финал priv8-ивента Hacks


🔗 Если не присутствовали очно, обязательно просмотрите записи докладов!😊:

   🧩   ‟Standoff Talks #4”

▪️ Продвинутые Client-Side атаки 🐘
▪️ Pivoting 🌚
▪️ Purple Teaming и обход СЗИ
▪️ Прошивки и CVE
▪️ WASM и защита облака
▪️ Малвари и криптография
▪️ Безопаснки VS юристы
▪️ BugBounty: Мобилки
▪️ BugBounty: Систематизация с помощью аномалий
▪️ Кибербитва: Алгоритм мониторинга инцидентов
▪️ Кибербитва: Инфраструктура команды Cult


   @HaHacking  🐇

💀 #мероприятия #наработки #web

⚡️ STANDOFF HACKS 3; Ретроспектива (ч.2)

// Обеспечила себе трёхразовое питание на ближайшие пару лет, можно и текст родить 😤

➡️Участие в Standoff Hacks подарило мне возможность попробовать себя в багхантинге в рамках программ багбаунти. Я не в первый раз берусь за анализ защищённости веб-приложений, но практически впервые занимаюсь этим как независимый исследователь: без команды и чёткого плана, так ещё и впопыхах. Скоуп – сюрприз, и, встретившись с ним, легко растеряться;

Выделила для себя некоторые пункты, которые помогали мне находить баги, не впадая в отчаяние и не особо посыпая голову пеплом, и описала их в небольшой статье; ⬇️

Содержание:
🪲 Помните про инструменты
🪲 Изучайте структуру
🪲 Отмечайте функциональность
🪲 Оставляйте заметки
🪲 Делайте шаг назад
🪲 Продолжайте жить


🧩 BugBounty: Пережить сезон охоты 🔎


//   Время чтения: ~7 минут
➡️Enjoy!

   @HaHacking  🐇

🎄 #события #заметки #web #infrastructure #mobile #offense #defense #devsecops #malware #reverse #forensics #iot

➡️От лица HaHacking хочу поздравить каждого с наступившим Новым годом (дракона, кстати 💻)! 🔔⭐️

⭐️ Желаю срабатывания своих кавычек и несрабатывания чужих WAF'ов, побольше ивентов и инвайтов на ивенты, а также моральных сил, чтобы стойко переносить любой инцидент или статус отчёта! И, конечно, всего общечеловеческого: родных и близких рядом, искристой улыбки на лице и тепла на душе;


🎁 В честь праздника – символический подарок:


🧩 Бот @HaHacking2023bot


Собрала 150 статей 2023 года выпуска, которые оставили наиболее яркий след в моей памяти; Благо спектр любопытных для меня тем довольно широкий, так что каждый сможет найти на созданной мною карте уголок, соответствующий его интересам и уровню погружения 🚗

⬆️ Организовала для них небольшой город, распределила по категориям и кратко описала каждую статью в карточках внутри зданий ‼️

Читайте, вдоволь наевшись салатов, тепло вспоминайте уходящий год и радушно встречайте следующий. С Новым годом!


➡️Enjoy! 🐇

   @HaHacking  🐇🎄

🆘 #литература #malware #mobile #reverse

Добрый день! Давно не виделись :)

➡️Делюсь своим конспектом о анализе мобильного [вредоносного] ПО для Android по мотивам книг:

📖 ‟The Android Malware Handbook” (Nov, 2023)
📖 ‟Intelligent Mobile Malware Detection” (Dec, 2022)
➕и не только!


🧩 qwqoro/Android-Malware-Analysis

⬇️ HaHacking_Android-Malware-Analysis.pdf ⬇️

Бывает тяжело ориентироваться в информации, когда негде взять структурированную выжимку. Для таких, как я, – этот конспект, разбитый по главам;

И он мне уже пригодился на практике, stay tuned! ❗️

Книги служили основными источниками знаний➕ориентирами по темам / подтемам, которые стоит включить; информация была обработана и дополнена некоторыми деталями и ссылками на связанные источники из разряда "See also" для более увлекательного погружения, в частности на:
➖ видео от известных создателей
➖ официальную документацию
➖ связанные статьи / блоги
➖ научные работы
➖ репозитории / инструменты, которые могут пригодиться

▪️Основы ОС Android➕Модель безопасности
▪️Песочницы, эмуляторы, инструменты, ...
▪️Семейства мобильного вредоносного ПО

▪️Статический анализ вредоносного ПО
▪️Инструменты, обратная разработка, анализ вызовов, прав, кода, ...

▪️Динамический анализ вредоносного ПО
▪️Инструменты, анализ системных метрик, сетевого трафика, вызовов, ...

// #ai: Не вошло в конспект, но в книгах / упомянутых научных работах также подробно разбирается использование машинного обучения для гибридного анализа мобильного вредоносного ПО; Интересно, есть смысл взглянуть! 👏


➡️Enjoy!

@HaHacking  🐇

🆘 #заметки #malware #mobile #reverse

➡️Некоторые из упомянутых ресурсов, рекомендованных для ознакомления внутри конспекта для погружения в темы:

✅Анализа мобильного вредоносного ПО
✅Анализа защищённости мобильных приложений
✅Обеспечения приватности & безопасности


🧩 Посмотреть:

➖Intigriti:   ‟Mobile Hacking”
➖LiveOverflow: ‟Android App Bug Bounty Secrets”
➖John Hammond:   ‟Malware”
➖John Hammond: ‟Hacking MOBILE APPS: iOS & Android w/ 7ASecurity”


🧩 Почитать:

➖Android: Design for Safety

Официальная документация Android о принципах (не)безопасного дизайна приложений, лучших практиках и частых рисках безопасности;

➖Hacktricks: Android Applications Pentesting | iOS
➖OWASP: Mobile Application Security
➖OWASP: Mobile Application Security Testing Guide Gitbook
➖DevSecOpsGuides: Attacking Android | iOS

Подробные гайды об анализе защищённости мобильных приложений;

➖arXiv: search for "Android Malware"
➖ResearchGate: Android | Malware | Malware Research

Мои любимые хранилища научных работ по самым разнообразным темам, включая и Анализ мобильного вредоносного ПО! Есть возможность поиска по статьям, просмотра PDF с текстом работы, ссылок на связанный код, топа цитируемых авторов по категориям, ...

🧩 Использовать:

➖MobSF/Mobile-Security-Framework-MobSF
➖NotSoSecure/android_application_analyzer

➖ashishb/android-security-awesome
➖saeidshirazi/awesome-android-security
➖Swordfish-Security/awesome-android-security


@HaHacking  🐇

💡 #заметки #события #ai #iot #mobile

➡️Исследования, рождённые из научного интереса – самые любопытные. Они не всегда о чём-то эффективном для применения на практике, но всегда – о новом прочтении привычного и о демонстрации неожиданных граней изучаемой сферы;

Именно такие научные работы открывают глаза на необходимость обращать внимание на детали предмета исследований и служат напоминанием о важности навыка поиска нестандартных решений, а потому – вот подборка:


🔖 “PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound” 📆

Реконструкция отпечатка пальца на основе аудиозаписи звука свайпа по экрану телефона;

🔖 [ Science, DOI: 10.1126/sciadv.adj3608 ] 📆
“Imaging privacy threats from an ambient light sensor”

Восстановление изображений из датчика освещённости, который установлен в смартфоны / планшеты / ..., с использованием машинного обучения и определение выполняемых действий на основе жестов из результирующих фотографий;

🔖 [ Arxiv, 2402.11423 ] 📆
“VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger”

Влияние на беспроводные зарядки с помощью шумов напряжения: перегрев, выведение из строя ближайших устройств и генерация беззвучных команд для управления голосовыми помощниками;

🔖 [ Arxiv, 2301.10056 & Github ]
“Side Eye: Characterizing the Limits of POV Acoustic Eavesdropping from Smartphone Cameras with Rolling Shutters and Movable Lenses”

Восстановление аудиозаписи из беззвучного видео путём анализа невидимых глазу движений, производимых системой оптической стабилизации камер смартфонов;

🔖 “Acoustic Side Channel Attack on Keyboards Based on Typing Patterns” 📆

🔖 “A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards”

🔖 “Video-Based Cryptanalysis: Extracting Cryptographic Keys from Video Footage of a Device’s Power LED”

🔖 “Speech extraction from vibration signals based on deep learning”

🔖 “EarSpy: Spying Caller Speech and Identity through Tiny Vibrations of Smartphone Ear Speakers”


@HaHacking 🐇

🔒 #заметки #ai #offense

❓ Раз реакции больших языковых моделей на поступающие им запросы во многих случаях близки к привычному человеческому поведению, то, быть может, к ним применимы те же приёмы социальной инженерии, что и к нам? 🤔


➡️Мой коллега @Reworr_R написал статью о тестировании безопасности LLM с точки зрения задачи социальной инженерии: ⬇️


✨ DeteAct Blog: Социальная инженерия ИИ


Внутри упоминаются:

#️⃣Общие принципы
▪️Закон больших чисел
▪️Триггер скептицизма / "Burn the source"

#️⃣Джейлбрейки
▪️Автоматические (Token-level)
▪️Ручные (Prompt-level)
▪️Претекстинг

#️⃣Промпт-хакинг
▪️Кража инструкций (Prompt Leaking)
▪️Манипуляция поведением (Goal Hijacking)
▪️Избегание триггеров
▪️Коррекция ошибки


🔗Специализированные работы
▪️Теория истины по умолчанию Тимоти Р. Левина
▪️Труды Кевина Митника
▪️Актуальные исследования, научные статьи


// Время чтения: ~7 минут


@HaHacking  🐇

🐭 #события #offense

Бэкдор в утилите xz (CVE-2024-3094) – одна из самых громких новостей последних дней в сфере безопасности;

➖ CVSS: 😀
➖ Версии: 5.6.0 / 5.6.1
➖ RCE без следов в логах sshd
➖ Требуется приватный ключ злоумышленника

➡️Очевидно, что нужно откатываться к менее неприятным версиям, и на этом нам, как пользователям, можно было бы остановиться, но мне хочется разобраться в сути проблемы и в очередной раз обсудить тему человеческого фактора;

🧩 Everything I know about the xz backdoor ⚡️

   🧩  thesamesam/xz-backdoor ⚡️

🧩 Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 [CISA]

🧩 Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils [Tenable]



❓) Что произошло?

  [💻]  Деобфусцированный код:   injected.txt
[✉️] Полное письмо с разбором:
‟backdoor in upstream xz/liblzma leading to ssh server compromise”

Andres Freund, разработчик из Microsoft, сообщил в рассылке oss-security об обнаружении бэкдора в утилите xz, который приводит к компрометации сервера SSH;

Специалист заметил:
🪲 Ошибки valgrind*
🪲 Увеличенное время логина по SSH
🪲 Увеличенное потребление CPU при логине по SSH
💻 А после – что TAR-архив xz, поставляемый через upstream репозиторий, содержал строку build-to-host.m4#L63, которой не было ни в upstream'ном build-to-host, ни на GitHub;

*К слову, ошибки valgrind были вызваны таким лэйаутом стека, который бэкдор не предусматривал, причём этот недочёт попытались исправить в версии xz 5.6.1;

Оказалось, что происходит инъекция обфусцированного скрипта, который извлёк другой специалист, Florian Weimer, и его исполнение по окончании конфигурации (при некоторых условиях**);

Деобфусцирвав код, специалисты выяснили, что он:

➖Перехватывает выполнение
➖Заменяет crc32_resolve() / crc64_resolve(), которые резолвятся при запуске sshd, на другой код, вызывающий _get_cpuid()
➖Производит проверки среды окружения
➖Парсит таблицы символов в памяти (основная причина замедления)
➖Устанавливает хук в динамический линковщик, ожидая резолва RSA_public_decrypt@...plt и заменяя его значение для указания на другой код бэкдора
➖Вызывает вредоносный код при логине по SSH с помощью ключа + продолжает нормальную аутентификацию

**Замеченные условия эксплуатации:
0️⃣ Детектируются некоторые дебаггеры (gdb, rr, ...)
1️⃣ x86-64 linux
2️⃣ Сборка с помощью gcc + gnu linker
3️⃣ Не установлена переменная окружения TERM
4️⃣ LD_BIND_NOT != 1
5️⃣ argv[0] = /usr/sbin/sshd
6️⃣ Не установлены LD_DEBUG, LD_PROFILE
7️⃣ Установлен LANG
8️⃣ yolAbejyiejuvnup != Evjtgvsh5okmkAvj‼️



❓) Как так вышло?

[2022]  Путь ко внедрению бэкдора начался приблизительно 2 года назад, когда основного разработчика, Lasse Collin, стали обвинять в медленном прогрессе. Пользователь Jigar Kumar настаивал на том, что xz срочно нужен новый мейнтейнер, ведь проект простаивает;

[2022]  Lasse Collin признался незнакомцу, что находится в трудном положении: ментальные проблемы, нехватка рук и ресурсов не дают ему и, следовательно, xz двигаться вперёд с требуемой скоростью, но в проект вносит вклад некий Jia Tan, который, возможно, получит более значимую роль в проекте;

  [✉️]  Полный ответ Lasse Collin для Jigar Kumar:
‟Re: [xz-devel] XZ for Java”

[2023] Jia Tan становится основным контактом вместо Lasse Collin в oss-fuzz – фаззере open source проектов от Google. Он коммитит инфраструктуру, которая будет использована в эскплойте в 2024 году. Автором числится некий Hans Jansen, который, судя по всему, был создан сугубо для этого коммита. Jia Tan создаёт пулл реквест в oss-fuzz, настаивая на отключении некоторых проверок, обуславливая это необходимостью xz в поддержке IFUNC;

[2024] Jia Tan изменяет ссылку на проект в oss-fuzz с tukaani.org/xz на xz.tukaani.org/xz-utils и коммитит последние штрихи для бэкдора;


Эта история – причина вспомнить и подумать о насущном:
▪️о ментальном здоровье
▪️об ответственности
▪️о прочих злободневных проблемах, особо острых для open source (анонимность, нехватка рук, ресурсов, мотивации, ...)

➡️Stay safe.

   @HaHacking  🐇

🐶 #заметки #infrastructure

➡️Объёмный материал по Kerberos, призванный обобщить информацию, разбросанную по Интернету, для эффективного погружения в тему; Включает в себя как теорию, так и практические примеры: ⬇️


🧩 ‟Kerberos простыми словами” (@yurystrozhevsky)


▪️Аутентификация между доменами
▪️Основы работы Kerberos
▪️Передача сообщений Kerberos (UDP / TCP)
▪️Сервисы в Kerberos
▪️Имена принципалов
▪️Типы делегирования
▪️Передача AP-REQ (LDAP / HTTP / SMB / RPC) 🦈
▪️. . .

💻 [👩‍💻 S4Uwhoami]: Реализация whoami на S4U
💻 [👩‍💻 XKERB]: Реализация библиотеки XKERB
💻 [👩‍💻 tools.h]: Реализация klist
💻 [👩‍💻 KerberosAES]: Реализация алгоритма шифрования Kerberos с AES


// Время чтения: ~50 минут


@HaHacking  🐇