قبل از این سرورهای شرکتتان درگیر ransomeware شود حتما پچ کنید https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html
reverse shell interactive windows Linux
وقتی تو تست نفوذ از تارگت شل گرفته میشه یا شما اون به واسطه یک اسیب پذیری غیر وب اکسپلویت کردید برای اینکه شروع به post exploit کنید نیاز به interactive shell دارید ابزارهای زیادی این کار میکنن
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
ابزار زیر نیز به شما در ویندوز و لینوکس کمک میکند
https://github.com/nodauf/Girsh
https://github.com/nodauf/Girsh/releases
وقتی تو تست نفوذ از تارگت شل گرفته میشه یا شما اون به واسطه یک اسیب پذیری غیر وب اکسپلویت کردید برای اینکه شروع به post exploit کنید نیاز به interactive shell دارید ابزارهای زیادی این کار میکنن
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md
ابزار زیر نیز به شما در ویندوز و لینوکس کمک میکند
https://github.com/nodauf/Girsh
https://github.com/nodauf/Girsh/releases
GitHub
PayloadsAllTheThings/Methodology and Resources/Reverse Shell Cheatsheet.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
ابزار post exploit برای ویندوز
دارای قابلیت های
post exploit
یکی از مهم ترین گام ها برای maintain access تو تارگت ها که تست میشن هست پیشنهاد میکنم برای post exploit علاوه بر استفاده از ابزار بیس قضیه یعنی اسکریپتینگ یاد بگیرید
ویندوز powershell
لینوکس bash
• invoke the Command Prompt and PowerShell,
• download a file,
• add a registry key,
• schedule a task,
• Windows Management Instrumentation (WMI),
• connect to a remote host,
• terminate a running process,
• run a new process,
• dump a process memory,
• inject a bytecode into a running process,
• inject a DLL into a running process,
• list DLLs of a running process,
• install a hook procedure,
• enable access token privileges,
• duplicate an access token of a running process,
• list unquoted service paths and restart a running service,
• replace Sticky Keys.
https://github.com/ivan-sincek/invoker
دارای قابلیت های
post exploit
یکی از مهم ترین گام ها برای maintain access تو تارگت ها که تست میشن هست پیشنهاد میکنم برای post exploit علاوه بر استفاده از ابزار بیس قضیه یعنی اسکریپتینگ یاد بگیرید
ویندوز powershell
لینوکس bash
• invoke the Command Prompt and PowerShell,
• download a file,
• add a registry key,
• schedule a task,
• Windows Management Instrumentation (WMI),
• connect to a remote host,
• terminate a running process,
• run a new process,
• dump a process memory,
• inject a bytecode into a running process,
• inject a DLL into a running process,
• list DLLs of a running process,
• install a hook procedure,
• enable access token privileges,
• duplicate an access token of a running process,
• list unquoted service paths and restart a running service,
• replace Sticky Keys.
https://github.com/ivan-sincek/invoker
GitHub
GitHub - ivan-sincek/invoker: Penetration testing utility and antivirus assessment tool.
Penetration testing utility and antivirus assessment tool. - ivan-sincek/invoker
اگر کاربر گوگل کروم هستید به تازگی اپدیت برای پچ باگ 0day ارایه کرده هکرها با اکسپولیت اسیب پذیری CVE-2021-21193 قادر به اجرای کد از راه دور می باشند تمامی کاربران ویندوز لینوکس و مک باید کروم را اپدیت کنند همچنین اپدیت جدید برای
cve-2021-21191
cve-2021-21192
cve-2021-21193
می باشد.
نحوه اپدیت settings>Help>about
جزییات بیشتر:
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html?m=1
cve-2021-21191
cve-2021-21192
cve-2021-21193
می باشد.
نحوه اپدیت settings>Help>about
جزییات بیشتر:
https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html?m=1
Exchange servers first compromised by Chinese hackers hit with ransomware
https://arstechnica-com.cdn.ampproject.org/c/s/arstechnica.com/gadgets/2021/03/ransomware-gangs-hijack-7000-exchange-servers-first-hit-by-chinese-hackers/?amp=1
https://arstechnica-com.cdn.ampproject.org/c/s/arstechnica.com/gadgets/2021/03/ransomware-gangs-hijack-7000-exchange-servers-first-hit-by-chinese-hackers/?amp=1
c# payload bypass antiviruses with alternative shellcode exec method
git:https://github.com/DamonMohammadbagher/NativePayload_CBT
method:
https://github.com/S4R1N/AlternativeShellcodeExec
article:
https://lnkd.in/e4hQ4cf
git:https://github.com/DamonMohammadbagher/NativePayload_CBT
method:
https://github.com/S4R1N/AlternativeShellcodeExec
article:
https://lnkd.in/e4hQ4cf
GitHub
GitHub - DamonMohammadbagher/NativePayload_CBT: NativePayload_CallBackTechniques C# Codes (Code Execution via Callback Functions…
NativePayload_CallBackTechniques C# Codes (Code Execution via Callback Functions Technique, without CreateThread Native API) - DamonMohammadbagher/NativePayload_CBT
Linux Maintain Access [BACKDOOR]
1-SSH keys
2-PHP
3-Steal PHP Sessions
4-Cron Jobs
5-Apache mod_rootme
6-Users’ .bashrc
7-Services
8-sudoers
9-SUID files
more detail :
https://airman604.medium.com/9-ways-to-backdoor-a-linux-box-f5f83bae5a3c
Linux/SSHDoor.A Backdoored SSH daemon that steals passwords :
https://www.welivesecurity.com/2013/01/24/linux-sshdoor-a-backdoored-ssh-daemon-that-steals-passwords/
openssh Magic password:
https://gist.github.com/eyecatchup/7815470
Linux Kernel module-less implant (backdoor):
https://github.com/milabs/kopycat
1-SSH keys
2-PHP
3-Steal PHP Sessions
4-Cron Jobs
5-Apache mod_rootme
6-Users’ .bashrc
7-Services
8-sudoers
9-SUID files
more detail :
https://airman604.medium.com/9-ways-to-backdoor-a-linux-box-f5f83bae5a3c
Linux/SSHDoor.A Backdoored SSH daemon that steals passwords :
https://www.welivesecurity.com/2013/01/24/linux-sshdoor-a-backdoored-ssh-daemon-that-steals-passwords/
openssh Magic password:
https://gist.github.com/eyecatchup/7815470
Linux Kernel module-less implant (backdoor):
https://github.com/milabs/kopycat
Medium
9 Ways to Backdoor a Linux Box
This article is a result of playing SANS NetWars Continuous level 5 (attack/defense) for several weeks. When you get access to opponent’s…
SoheilSec
قبل از این سرورهای شرکتتان درگیر ransomeware شود حتما پچ کنید https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html
BleepingComputer
New PoC for Microsoft Exchange bugs puts attacks in reach of anyone
A security researcher has released a new proof-of-concept exploit this weekend that requires slight modification to install web shells on Microsoft Exchange servers vulnerable to the actively exploited ProxyLogon vulnerabilities.
Mimecast Finds SolarWinds Hackers Stole Some of Its Source Code
هکرها با بدست آوردن سورس کد سولاوایندز توانستند بکدور را در آپدیت ها برنامه ها قرار دهند !
https://thehackernews.com/2021/03/mimecast-finds-solarwinds-hackers-stole.html
هکرها با بدست آوردن سورس کد سولاوایندز توانستند بکدور را در آپدیت ها برنامه ها قرار دهند !
https://thehackernews.com/2021/03/mimecast-finds-solarwinds-hackers-stole.html
New Mirai Variant and ZHtrap Botnet Malware Emerge in the Wild
باتنت های میرای زداچتراپ از آسیب پذیری های زیر برای جذب بات های خود استفاده می کنند:
VisualDoor - a SonicWall SSL-VPN remote command injection vulnerability that came to light earlier this January
CVE-2020-25506 - a D-Link DNS-320 firewall remote code execution (RCE) vulnerability
CVE-2021-27561 and CVE-2021-27562 - Two vulnerabilities in Yealink Device Management that allow an unauthenticated attacker to run arbitrary commands on the server with root privileges
CVE-2021-22502 - an RCE flaw in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40
CVE-2019-19356 - a Netis WF2419 wireless router RCE exploit, and
CVE-2020-26919 - a Netgear ProSAFE Plus RCE vulnerability
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html
باتنت های میرای زداچتراپ از آسیب پذیری های زیر برای جذب بات های خود استفاده می کنند:
VisualDoor - a SonicWall SSL-VPN remote command injection vulnerability that came to light earlier this January
CVE-2020-25506 - a D-Link DNS-320 firewall remote code execution (RCE) vulnerability
CVE-2021-27561 and CVE-2021-27562 - Two vulnerabilities in Yealink Device Management that allow an unauthenticated attacker to run arbitrary commands on the server with root privileges
CVE-2021-22502 - an RCE flaw in Micro Focus Operation Bridge Reporter (OBR), affecting version 10.40
CVE-2019-19356 - a Netis WF2419 wireless router RCE exploit, and
CVE-2020-26919 - a Netgear ProSAFE Plus RCE vulnerability
https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html
اپدیت سیسکو برای آسیب پذیری Unauthenticated Arbitrary File Actions
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-3000-9000-fileaction-QtLzDRy2.html?dtid=osscdc000283
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-3000-9000-fileaction-QtLzDRy2.html?dtid=osscdc000283
Cisco
Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability
A vulnerability in the implementation of an internal file management service for Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode that are running Cisco NX-OS Software could allow an unauthenticated, remote attacker…
توسط یک محقق اسیب پذیری xss stored بر روی پلاگین های
elementor
wp super cache
کشف شد که هکر توانایی دسترسی به وردپرس را دارد
همچنین wordfence اشاره به اسیب پذیری بیش از ۷ میلیون وبسایت کرده است!
https://thehackernews.com/2021/03/flaws-in-two-popular-wordpress-plugins.html?m=1
https://www.wordfence.com/blog/2021/03/cross-site-scripting-vulnerabilities-in-elementor-impact-over-7-million-sites/
elementor
wp super cache
کشف شد که هکر توانایی دسترسی به وردپرس را دارد
همچنین wordfence اشاره به اسیب پذیری بیش از ۷ میلیون وبسایت کرده است!
https://thehackernews.com/2021/03/flaws-in-two-popular-wordpress-plugins.html?m=1
https://www.wordfence.com/blog/2021/03/cross-site-scripting-vulnerabilities-in-elementor-impact-over-7-million-sites/
The Hacker News
Flaws in Two Popular WordPress Plugins Affect Over 7 Million Websites
Flaws in Elementor and WP Super Cache WordPress Plugins Affect Over 7 Million Websites
وضعیت ابر اروان بعد از سخت ترین ۲۴ ساعت
هنوز هیچ مستندی از نفوذی که صورت گرفته ارایه نشده است.
هنوز هیچ مستندی از نفوذی که صورت گرفته ارایه نشده است.
https://github.com/hfiref0x/UACME
اپدیت جدید امکان بایپس uac در win 7 برای شما فراهم میکند
اپدیت جدید امکان بایپس uac در win 7 برای شما فراهم میکند
GitHub
GitHub - hfiref0x/UACME: Defeating Windows User Account Control
Defeating Windows User Account Control. Contribute to hfiref0x/UACME development by creating an account on GitHub.
در شکفتن جشن نوروز، برایتان در همه سال سرسبزی جاودان و شادی
اندیشهای پویا و آزادی و برخورداری از همه نعمتهای خدادادی را آرزومندم...
سال نو مبارک
اندیشهای پویا و آزادی و برخورداری از همه نعمتهای خدادادی را آرزومندم...
سال نو مبارک
https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
‼️ محققین امنیتی ESET اعلام کردند علاوه بر گروه HAFNIUM ، حدود 10 گروه هکری دیگر حتی 4 روز قبل از ارائه وصله های امنیتی توسط مایکروسافت در حال هک کردن سرورهای اکسچنج و نصب وب شل ها بوده اند.
▪️ اطلاعات شبکه ابری شناسائی ویروس های ESET نشان میدهد گروه Tick از 28 فوریه ( 4 روز قبل از ارائه پچ های مایکروسافت ) شروع به هک سرورهای اکسچنج نموده اند و سپس سایر مهاجمان با حدود 10 گروه هکری به بیش از 5.000 سرور در 115 کشور نفوذ کرده و اقدام به ایجاد وب شل ها نموده اند.
▪️ آمار فوق از 28 فوریه تا 9 مارچ 2021 میباشد و فقط مربوط به سرورهایی است که آنتی ویروس های ESET بر روی آنها نصب بوده است.
▪️ نکته بسیار تامل بر انگیز در مورد هک Exchange اینست که این آسیب پذیری 2 ماه قبل در تاریخ 5 ژانویه 2021 توسط Orange Tsai و Volexity شناسائی و به مایکروسافت گزارش شده بود.
▪️ آنتی ویروس های ESET وب شل های این حملات را با عنوان JS/Exploit.CVE-2021-26855.Webshell شناسائی میکنند.
‼️ محققین امنیتی ESET اعلام کردند علاوه بر گروه HAFNIUM ، حدود 10 گروه هکری دیگر حتی 4 روز قبل از ارائه وصله های امنیتی توسط مایکروسافت در حال هک کردن سرورهای اکسچنج و نصب وب شل ها بوده اند.
▪️ اطلاعات شبکه ابری شناسائی ویروس های ESET نشان میدهد گروه Tick از 28 فوریه ( 4 روز قبل از ارائه پچ های مایکروسافت ) شروع به هک سرورهای اکسچنج نموده اند و سپس سایر مهاجمان با حدود 10 گروه هکری به بیش از 5.000 سرور در 115 کشور نفوذ کرده و اقدام به ایجاد وب شل ها نموده اند.
▪️ آمار فوق از 28 فوریه تا 9 مارچ 2021 میباشد و فقط مربوط به سرورهایی است که آنتی ویروس های ESET بر روی آنها نصب بوده است.
▪️ نکته بسیار تامل بر انگیز در مورد هک Exchange اینست که این آسیب پذیری 2 ماه قبل در تاریخ 5 ژانویه 2021 توسط Orange Tsai و Volexity شناسائی و به مایکروسافت گزارش شده بود.
▪️ آنتی ویروس های ESET وب شل های این حملات را با عنوان JS/Exploit.CVE-2021-26855.Webshell شناسائی میکنند.
WeLiveSecurity
Exchange servers under siege from at least 10 APT groups
ESET Research shows that at least 10 APT groups are exploiting the recent Microsoft Exchange vulnerabilities to compromise email servers across the world.