Forwarded from CISO as a Service (Alireza Ghahrood)
Module 11_Social Engineering .pptx.pdf
1.7 MB
شرکت مایکروسافت اقدام به حذف گیت هاب اکسپلویت exchange کرد !https://www.cyberscoop.com/github-exploit-exchange-server-microsoft/
توضیحات فارسی :
CVE-2021-26855 یک آسیبپذیری Server-Side Request Forgery یا SSRF در Exchange Server
CVE-2021-26857 یک آسیبپذیری Deserialization ناامن در سرویس Unified Messaging
CVE-2021-26858 یک آسیبپذیری File Write پس از احراز هویت در Exchange
CVE-2021-27065 یک آسیبپذیری File Write پس از احراز هویت در Exchange
توضیحات فارسی :
CVE-2021-26855 یک آسیبپذیری Server-Side Request Forgery یا SSRF در Exchange Server
CVE-2021-26857 یک آسیبپذیری Deserialization ناامن در سرویس Unified Messaging
CVE-2021-26858 یک آسیبپذیری File Write پس از احراز هویت در Exchange
CVE-2021-27065 یک آسیبپذیری File Write پس از احراز هویت در Exchange
CyberScoop
GitHub removes researcher's Exchange Server exploit, sparking industry debate
Microsoft-owned GitHub has removed a security researcher’s proof-of-concept exploit for vulnerabilities in Microsoft software that are at the center of widespread malicious cyber activity. The decision immediately touched off debate in the cybersecurity industry…
برای پچ آسیب پذیری می توانید از لینک زیر استفاده کنیدhttps://github.com/microsoft/CSS-Exchange/tree/main/Security
GitHub
CSS-Exchange/Security at main · microsoft/CSS-Exchange
Exchange Server support tools and scripts. Contribute to microsoft/CSS-Exchange development by creating an account on GitHub.
قبل از این سرورهای شرکتتان درگیر ransomeware شود حتما پچ کنید https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html
reverse shell interactive windows Linux
وقتی تو تست نفوذ از تارگت شل گرفته میشه یا شما اون به واسطه یک اسیب پذیری غیر وب اکسپلویت کردید برای اینکه شروع به post exploit کنید نیاز به interactive shell دارید ابزارهای زیادی این کار میکنن
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
ابزار زیر نیز به شما در ویندوز و لینوکس کمک میکند
https://github.com/nodauf/Girsh
https://github.com/nodauf/Girsh/releases
وقتی تو تست نفوذ از تارگت شل گرفته میشه یا شما اون به واسطه یک اسیب پذیری غیر وب اکسپلویت کردید برای اینکه شروع به post exploit کنید نیاز به interactive shell دارید ابزارهای زیادی این کار میکنن
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
ابزار زیر نیز به شما در ویندوز و لینوکس کمک میکند
https://github.com/nodauf/Girsh
https://github.com/nodauf/Girsh/releases
GitHub
PayloadsAllTheThings/Methodology and Resources/Reverse Shell Cheatsheet.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
ابزار post exploit برای ویندوز
دارای قابلیت های
post exploit
یکی از مهم ترین گام ها برای maintain access تو تارگت ها که تست میشن هست پیشنهاد میکنم برای post exploit علاوه بر استفاده از ابزار بیس قضیه یعنی اسکریپتینگ یاد بگیرید
ویندوز powershell
لینوکس bash
• invoke the Command Prompt and PowerShell,
• download a file,
• add a registry key,
• schedule a task,
• Windows Management Instrumentation (WMI),
• connect to a remote host,
• terminate a running process,
• run a new process,
• dump a process memory,
• inject a bytecode into a running process,
• inject a DLL into a running process,
• list DLLs of a running process,
• install a hook procedure,
• enable access token privileges,
• duplicate an access token of a running process,
• list unquoted service paths and restart a running service,
• replace Sticky Keys.
https://github.com/ivan-sincek/invoker
دارای قابلیت های
post exploit
یکی از مهم ترین گام ها برای maintain access تو تارگت ها که تست میشن هست پیشنهاد میکنم برای post exploit علاوه بر استفاده از ابزار بیس قضیه یعنی اسکریپتینگ یاد بگیرید
ویندوز powershell
لینوکس bash
• invoke the Command Prompt and PowerShell,
• download a file,
• add a registry key,
• schedule a task,
• Windows Management Instrumentation (WMI),
• connect to a remote host,
• terminate a running process,
• run a new process,
• dump a process memory,
• inject a bytecode into a running process,
• inject a DLL into a running process,
• list DLLs of a running process,
• install a hook procedure,
• enable access token privileges,
• duplicate an access token of a running process,
• list unquoted service paths and restart a running service,
• replace Sticky Keys.
https://github.com/ivan-sincek/invoker
GitHub
GitHub - ivan-sincek/invoker: Penetration testing utility and antivirus assessment tool.
Penetration testing utility and antivirus assessment tool. - ivan-sincek/invoker
اگر کاربر گوگل کروم هستید به تازگی اپدیت برای پچ باگ 0day ارایه کرده هکرها با اکسپولیت اسیب پذیری CVE-2021-21193 قادر به اجرای کد از راه دور می باشند تمامی کاربران ویندوز لینوکس و مک باید کروم را اپدیت کنند همچنین اپدیت جدید برای
cve-2021-21191
cve-2021-21192
cve-2021-21193
می باشد.
نحوه اپدیت settings>Help>about
جزییات بیشتر:
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html?m=1
cve-2021-21191
cve-2021-21192
cve-2021-21193
می باشد.
نحوه اپدیت settings>Help>about
جزییات بیشتر:
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html?m=1
Exchange servers first compromised by Chinese hackers hit with ransomware
https://arstechnica-com.cdn.ampproject.org/c/s/arstechnica.com/gadgets/2021/03/ransomware-gangs-hijack-7000-exchange-servers-first-hit-by-chinese-hackers/?amp=1
https://arstechnica-com.cdn.ampproject.org/c/s/arstechnica.com/gadgets/2021/03/ransomware-gangs-hijack-7000-exchange-servers-first-hit-by-chinese-hackers/?amp=1
c# payload bypass antiviruses with alternative shellcode exec method
git:https://github.com/DamonMohammadbagher/NativePayload_CBT
method:
https://github.com/S4R1N/AlternativeShellcodeExec
article:
https://lnkd.in/e4hQ4cf
git:https://github.com/DamonMohammadbagher/NativePayload_CBT
method:
https://github.com/S4R1N/AlternativeShellcodeExec
article:
https://lnkd.in/e4hQ4cf
GitHub
GitHub - DamonMohammadbagher/NativePayload_CBT: NativePayload_CallBackTechniques C# Codes (Code Execution via Callback Functions…
NativePayload_CallBackTechniques C# Codes (Code Execution via Callback Functions Technique, without CreateThread Native API) - DamonMohammadbagher/NativePayload_CBT
Linux Maintain Access [BACKDOOR]
1-SSH keys
2-PHP
3-Steal PHP Sessions
4-Cron Jobs
5-Apache mod_rootme
6-Users’ .bashrc
7-Services
8-sudoers
9-SUID files
more detail :
https://airman604.medium.com/9-ways-to-backdoor-a-linux-box-f5f83bae5a3c
Linux/SSHDoor.A Backdoored SSH daemon that steals passwords :
https://www.welivesecurity.com/2013/01/24/linux-sshdoor-a-backdoored-ssh-daemon-that-steals-passwords/
openssh Magic password:
https://gist.github.com/eyecatchup/7815470
Linux Kernel module-less implant (backdoor):
https://github.com/milabs/kopycat
1-SSH keys
2-PHP
3-Steal PHP Sessions
4-Cron Jobs
5-Apache mod_rootme
6-Users’ .bashrc
7-Services
8-sudoers
9-SUID files
more detail :
https://airman604.medium.com/9-ways-to-backdoor-a-linux-box-f5f83bae5a3c
Linux/SSHDoor.A Backdoored SSH daemon that steals passwords :
https://www.welivesecurity.com/2013/01/24/linux-sshdoor-a-backdoored-ssh-daemon-that-steals-passwords/
openssh Magic password:
https://gist.github.com/eyecatchup/7815470
Linux Kernel module-less implant (backdoor):
https://github.com/milabs/kopycat
Medium
9 Ways to Backdoor a Linux Box
This article is a result of playing SANS NetWars Continuous level 5 (attack/defense) for several weeks. When you get access to opponent’s…
SoheilSec
قبل از این سرورهای شرکتتان درگیر ransomeware شود حتما پچ کنید https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html
BleepingComputer
New PoC for Microsoft Exchange bugs puts attacks in reach of anyone
A security researcher has released a new proof-of-concept exploit this weekend that requires slight modification to install web shells on Microsoft Exchange servers vulnerable to the actively exploited ProxyLogon vulnerabilities.
Mimecast Finds SolarWinds Hackers Stole Some of Its Source Code
هکرها با بدست آوردن سورس کد سولاوایندز توانستند بکدور را در آپدیت ها برنامه ها قرار دهند !
https://thehackernews.com/2021/03/mimecast-finds-solarwinds-hackers-stole.html
هکرها با بدست آوردن سورس کد سولاوایندز توانستند بکدور را در آپدیت ها برنامه ها قرار دهند !
https://thehackernews.com/2021/03/mimecast-finds-solarwinds-hackers-stole.html
New Mirai Variant and ZHtrap Botnet Malware Emerge in the Wild
باتنت های میرای زداچتراپ از آسیب پذیری های زیر برای جذب بات های خود استفاده می کنند:
VisualDoor - a SonicWall SSL-VPN remote command injection vulnerability that came to light earlier this January
CVE-2020-25506 - a D-Link DNS-320 firewall remote code execution (RCE) vulnerability
CVE-2021-27561 and CVE-2021-27562 - Two vulnerabilities in Yealink Device Management that allow an unauthenticated attacker to run arbitrary commands on the server with root privileges
CVE-2021-22502 - an RCE flaw in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40
CVE-2019-19356 - a Netis WF2419 wireless router RCE exploit, and
CVE-2020-26919 - a Netgear ProSAFE Plus RCE vulnerability
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html
باتنت های میرای زداچتراپ از آسیب پذیری های زیر برای جذب بات های خود استفاده می کنند:
VisualDoor - a SonicWall SSL-VPN remote command injection vulnerability that came to light earlier this January
CVE-2020-25506 - a D-Link DNS-320 firewall remote code execution (RCE) vulnerability
CVE-2021-27561 and CVE-2021-27562 - Two vulnerabilities in Yealink Device Management that allow an unauthenticated attacker to run arbitrary commands on the server with root privileges
CVE-2021-22502 - an RCE flaw in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40
CVE-2019-19356 - a Netis WF2419 wireless router RCE exploit, and
CVE-2020-26919 - a Netgear ProSAFE Plus RCE vulnerability
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html