Forwarded from Заметки Слонсера (Slonser)
Последнее время начали распространять довольно странный материал, примеров много но прикреплю один - https://t.me/innostage_group/2274
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
На web.telegram.org включен
Браузер будет пытаться всегда установить соединение через
4.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
https://web.telegram.org/#/login?auth_token=eyJhbGciOi...
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
Мошенники создают специально подготовленные веб-сайты, содержащие
внедрённый JavaScript-код, который автоматически извлекает токен из
URL-адреса после перенаправления на web.telegram.org.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Расширения, установленные в браузере пользователя, отслеживают все
посещаемые URL. При обнаружении параметра auth_token= происходит
автоматическое извлечение токена и его передача на сервер
злоумышленника.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
В незашифрованных или скомпрометированных сетях злоумышленники
используют MITM-атаки, прокси-перехват, DNS-спуфинг и другие методы
для анализа трафика и перехвата авторизационных токенов.
На web.telegram.org включен
Upgrade-Insecure-Requests: 1
Браузер будет пытаться всегда установить соединение через
https, что уменьшает возможность атаки в публичных сетях. Ну и остальное тоже не очень релевантно, реально украсть аккаунт на расстоянии невозможно4.
Заражённые приложения могут получить доступ к истории браузера,
системным логам или оперативной памяти, откуда извлекаются токены.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
При краткосрочном несанкционированном доступе к разблокированному
устройству, злоумышленник может вручную открыть ссылку во
встроенном браузере Telegram и скопировать токен из адресной строки.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
Telegram
Innostage
⚡️В браузере Telegram нашли опасную уязвимость
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
Forwarded from Whitehat Lab
Start.me
Forensics - Start.me
A startpage with online resources about Forensics, created by Dillon Bowe.
Стартовая страница с инструментами и материалами по DFIR
Некоторые инструменты:
P.S.
Задать вопрос: @wh_feedback_bot
Чат: @whitehat_chat
#dfir #forensics
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Adaptix Framework
Если кто не заметил, в предыдущем посте приводился пример с новым агентом.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.
Forwarded from Adaptix Framework
AdaptixC2 v0.4 is out
https://github.com/Adaptix-Framework/AdaptixC2
* New Linux/MacOS "gopher" agent
* TCP/mTLS external listener for "gopher" agent
* New internal TCP listener for "beacon" agent
* Monitoring of "working time" and "exitdate" agent parameters
* Screenshot storage
More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.3-greater-than-v0.4
https://github.com/Adaptix-Framework/AdaptixC2
* New Linux/MacOS "gopher" agent
* TCP/mTLS external listener for "gopher" agent
* New internal TCP listener for "beacon" agent
* Monitoring of "working time" and "exitdate" agent parameters
* Screenshot storage
More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.3-greater-than-v0.4
Forwarded from RedTeam brazzers (Миша)
Друзья, всем привет!
На повестке дня интересная тема — рекон через Active Directory Web Services. Вкратце , это такой built-in вариант работы с LDAP через протокол HTTP, работает поверх 9389 порта, а обмен сообщениями происходит с помощью различных MS*-протоколов: MS-WSTIM, WXFR, WSENUM, MS-WSDS, MS-ADDM, MS-ADCAP, MS-NMFMB, MS-WSMAN.
В этом посте я хотел бы подсветить некоторые инструменты, используемые для сбора и изменения информации (предоставляется полноценный доступ к LDAP) через протокол ADWS:
- SOAPHound - изначальный ресерч, который показал, как можно использовать SOAP-сообщения для работы с ADWS. Собирает данные в Bloodhound-понятном формате;
- SharpADWS - полноценная работа с LDAP, в том числе изменение данных, например, прописывание RBCD;
- ShadowHound - работа через powershell.
Однако что если мы работаем с Linux? В таком случае есть следующие инструменты:
- SoaPy - полноценная работа с LDAP, в том числе изменение данных;
- powerview.py - эта версия powerview имеет возможность работать поверх ADWS, причем этот функционал появился буквально на днях. Собственно, он на фотографии.
Отдельно хочу отметить, что инструмент PingCastle также использует ADWS.
Почитать подробнее можно в этих статьях:
- SOAPHound — tool to collect Active Directory data via ADWS ;
- SoaPy: Stealthy enumeration of Active Directory environments through ADWS ;
- ShadowHound: A SharpHound Alternative Using Native PowerShell;
- Pentesting Webservices with Net.TCP Binding - работа SOAPHound основывается на использовании Net.TCP Binding, в этой статье рассказывается про инструменты, которые могут упростить анализ, а также их можно использовать в ресерче.
На повестке дня интересная тема — рекон через Active Directory Web Services. Вкратце , это такой built-in вариант работы с LDAP через протокол HTTP, работает поверх 9389 порта, а обмен сообщениями происходит с помощью различных MS*-протоколов: MS-WSTIM, WXFR, WSENUM, MS-WSDS, MS-ADDM, MS-ADCAP, MS-NMFMB, MS-WSMAN.
В этом посте я хотел бы подсветить некоторые инструменты, используемые для сбора и изменения информации (предоставляется полноценный доступ к LDAP) через протокол ADWS:
- SOAPHound - изначальный ресерч, который показал, как можно использовать SOAP-сообщения для работы с ADWS. Собирает данные в Bloodhound-понятном формате;
- SharpADWS - полноценная работа с LDAP, в том числе изменение данных, например, прописывание RBCD;
- ShadowHound - работа через powershell.
Однако что если мы работаем с Linux? В таком случае есть следующие инструменты:
- SoaPy - полноценная работа с LDAP, в том числе изменение данных;
- powerview.py - эта версия powerview имеет возможность работать поверх ADWS, причем этот функционал появился буквально на днях. Собственно, он на фотографии.
Отдельно хочу отметить, что инструмент PingCastle также использует ADWS.
Почитать подробнее можно в этих статьях:
- SOAPHound — tool to collect Active Directory data via ADWS ;
- SoaPy: Stealthy enumeration of Active Directory environments through ADWS ;
- ShadowHound: A SharpHound Alternative Using Native PowerShell;
- Pentesting Webservices with Net.TCP Binding - работа SOAPHound основывается на использовании Net.TCP Binding, в этой статье рассказывается про инструменты, которые могут упростить анализ, а также их можно использовать в ресерче.
👍1
Forwarded from PurpleBear (Vadim Shelest)
Vaultwarden - Improper access control (CVE‑2025‑24364) и RCE (CVE‑2025‑24365)
Буквально вчера, крутой ресерчер Елизар Батин из
CVE‑2025‑24364 (оценка по CVSS=7.2)
Ролевая модель решения предусматривает доступ к секретам в рамках понятия
CVE‑2025‑24365 (оценка по CVSS=8.1)
RCE на сервере
Дальше мне очень понравилось, сначала меняем путь
Далее подставляем абсолютный путь до нашего пейлоада в поле
Таким образом, получается интересный вектор для
Буквально вчера, крутой ресерчер Елизар Батин из
BI.ZONE опубликовал технические детали 2-ух уязвимостей найденных в рамках исследования Vaultwarden. Это очень популярная реализация сервера Bitwarden с открытым исходным кодом, совместимая с официальными клиентами этого парольного менеджера, которая согласно статистики компании BI.ZONE используется в 10% всех компаний в нашей стране.CVE‑2025‑24364 (оценка по CVSS=7.2)
Ролевая модель решения предусматривает доступ к секретам в рамках понятия
Organization, т.е пользователи состоящие в определенной Организации имеют доступ только к соответствующим ей секретам. Суть уязвимости заключается в повышении привилегий пользователя до админа Организации с доступом ко всем секретам по причине некорректной логики функции Request Guard, используемой для проверки принадлежности конкретного пользователя к UUID конкретной Organization. Детали эксплуатации подробно описаны в блоге😎CVE‑2025‑24365 (оценка по CVSS=8.1)
RCE на сервере
Vaultwarden через доступ к веб-интерфейсу панели администратора. Эксплуатация заключается в возможности использовать команду для отправки SMTP-сообщений с помощью Sendmail, чтобы запустить пейлоад через bin/sh. Дальше мне очень понравилось, сначала меняем путь
до icon_cache_folder на подконтрольный атакующему сервер с пейлоадом в метаданных PNG. Vaultwarden сходит за новой иконкой и сохранит ее в /@icon/attacker-site.com.pngДалее подставляем абсолютный путь до нашего пейлоада в поле
From Address и отправляем сообщение, которое выполнит нашу полезную нагрузку.Таким образом, получается интересный вектор для
Vaultwarden. Относительно рекомендаций, в первую очередь необходимо обновиться до версии 1.33.0 и далее отключить неиспользуемую функциональность приложения, как рекомендует автор уязвимостей.BI.ZONE
Exploring CVE-2025-24364 and CVE-2025-24365 in Vaultwarden
We analyze two vulnerabilities: one stems from improper access control while the other allows the attacker to remotely execute code
Forwarded from Threat Hunting Father 🦔
EDR Tier list 🤔
Something interesting😾
Whaat?🤩
Technical details pls🔍
🔗 https://x.com/PsExec64/status/1916205645507842525
🦔 THF
Something interesting
EDR Tier list rated by a ransomware operator. Ranked by difficulty to bypass.
Whaat?
Technical details pls🔍
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Хороший материал по AD от 0xStarlight
#windows #activedirectory #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Linux Kernel Exploitation
CVE-2025-21756: Attack of the Vsock
🔗Ссылка:
https://hoefler.dev/articles/vsock.html
CVE-2025-21756: Attack of the Vsock
🔗Ссылка:
https://hoefler.dev/articles/vsock.html
ptsecurity.com
Квартальный отчет март 2025
В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты…
www.opennet.ru
Использование zip-бомбы для борьбы с вредоносными web-ботами
Последнее время значительно возросла активность web-ботов, индексирующих сайты. Помимо корректно работающих ботов распространение получили "неистовые" боты, игнорирующие правила индексирования robots.txt, лезущие с десятков тысяч разных IP, притворяющиеся…
🔗Ссылка:
https://opennet.ru/63163/
https://opennet.ru/63163/
Forwarded from Whitehat Lab
Инструмент для аудита разрешений в
доступом (ACL – Access Control List)
Написан на
SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.
Разрешения, которые нам интересны
GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу
Работает в GUI или консольном режимах:
Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1
.\ADACLScan.ps1
.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}
Экспорт в xls, csv, html
Большое количество возможностей
#adaclscanner #powershell #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM