⚠️ Итоги конкурса и предзаказов ⚠️
#phd2

🕺 Начнем с более вкусного. Конкурс был на 10 мест, следовательно 10 билетов. Прислали более 10 историй, поэтому мне приходилось выбирать, чья более яркая и интересная. Лично для меня, глобальной целью было показать разные истории о вхождении в ИБ/ИТ, чтобы замотивировать тех, кто ещё не в этой сфере прийти к нам. Поэтому практически все истории будут сформированы в большую подборку историй и выложены на какой-то ресурс вне моего телеграм канала. Вот эти 10 прекрасных молодых (или не очень) людей, кто осмелился прислать мне истории и был выбран победителем в моём конкурсе! У каждого из них история достойная в меньшей степени мерча)
Билеты выдам как только получу их от организаторов 🤘

p.s. как выяснилось, некоторые победители либо уже приобрели билет, либо участники standoff 13. Поэтому эти билеты пойдут в другие добрые руки (чуть позже узнаете в чьи)

@voixe852
@S0meOdy
@Gulyakoff
@AlexeyInfosec
@z_nwh
@BladeRunnerG
@shybert
@sankholo
@Ivanchurakof
@rissor41

🕺 А также накидаю вам циферок по предзаказам футболок.

Было заказано 29 футболок, после чего я закрыл предзаказы, потому что я больше тупо не смогу вам привезти))
Самым популярным был "RCE для сердца" - 14 футболок. Вторым по популярности оказался третий дизайн, с codeblock'ами нагрузок SQLi и XSS - 9 штук. И чуть менее популярным стал "Багхантерский забив чаши" - 7 штук.

Некоторые заказывали вообще все дизайны)) мне и моему дизайнеру это очень приятно, спасибо большое вам! Надеюсь качество вас порадует и футболки прослужат долго. Да и в принципе для первого запуска, практически 30 футболок это многа)

Сегодня же отправлю на производство заказ и скрестим пальцы, чтобы всё успели сделать)

Всем большое спасибо! Stay secure ❤️

🌚 @poxek

Крадем чужой телеграм аккаунт за 10 секунд 😎
#telegram #red_team

Ресерч совсем свежий, ему всего 6 дней)
Так что радуйтесь, харкорный контент по вебу возвращается, для тех кто его ждал и дождался.

Давайте попробуем вместе разобраться, как эта атака сработала. Энтрипоинт здесь это авто аутентификации в веб версии телеги при переходе их клиента телеграма (desktop & smart).

При открытии этой ссылки у вас в URL подставляется токен аутентификации в аккаунт.

Далее автор собрала свою версию tdesktop и анализировала код в поисках захаркорженных доменов телеги. И нашли их.

Далее она начала разбирать как формируется ссылку на авто аутентификацию

http://web.​telegram.org/ becomes https://web.​telegram.org/​#tgWebAuthToken=...
https://z.t.me/​pony becomes https://z.t.me/pony​?tgWebAuth=1​#tgWebAuthToken=...
https://k.t.me/​#po=ny becomes https://k.t.me/​?tgWebAuth=1​#po=ny​&tgWebAuthToken=...

И ещё кучу примеров

Все домены, кроме web.telegram.org, как бы созданы для глубоких ссылок t.me. Переход по любому из них без пути приведет вас на домашнюю страницу telegram.org. При переходе по одной из них с совместимым путем, например z.t.me/share?url=lyra.horse, откроется соответствующий клиент с фрагментом хэша, например:
https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse

Обычно это делается с помощью HTTP 301 редиректа, но если параметр tgWebAuth установлен и deep link действительна, то вместо этого вы сможете запустить этот забавный javascript:

<html>
<head>
<meta name="robots" content="noindex, nofollow">
<noscript><meta http-equiv="refresh" content="0;url='https://web.telegram.org/a/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse'"></noscript>
<script>
try {
var url = "https:\/\/web.telegram.org\/a\/#?tgaddr=tg%3A%2F%2Fmsg_url%3Furl%3Dlyra.horse";
var hash = location.hash.toString();
if (hash.substr(0, 1) == '#') {
  hash = hash.substr(1);
}
location.replace(hash ? urlAppendHashParams(url, hash) : url);
} catch (e) { location.href=url; }

function urlAppendHashParams(url, addHash) {
  var ind = url.indexOf('#');
  if (ind < 0) {
    return url + '#' + addHash;
  }
  var curHash = url.substr(ind + 1);
  if (curHash.indexOf('=') >= 0 || curHash.indexOf('?') >= 0) {
    return url + '&' + addHash;
  }
  if (curHash.length > 0) {
    return url + '?' + addHash;
  }
  return url + addHash;
}
</script>
</head>
</html>

Малоизвестный факт, что legacy версия веб клиента telegram всё ещё доступна по адресу: web.telegram.org/?legacy=1. Более того, сессия разделяется между веб-клиентами, поэтому эксплойт в старом веб-клиенте может быть полезен, даже если цель использует современный веб-клиент.

Как итог, автор не смогла найти ничего интересного в WebK, но и WebZ, и старый клиент дали несколько многообещающих зацепок в работе с tgaddr в URL. Однако это оказалось тупиком для её исследования, поскольку я не смог найти способ избавиться от амперсанда в части URL &tgWebAuthToken=... или обойти его. Я даже возился с юникодом, чтобы посмотреть, не позволит ли он мне каким-то образом "стереть" амперсанд, но, похоже, UTF-8 был разработан так, чтобы противостоять этому.

Аналогичный ресерч был проведен и для iOS & Android, но те или иные техники уже не сработают на актуальных версиях приложения и/или ОСи.

Так и что? Нет эксплойта?

По сути да, эксплойта нет. Но автор смогла упростить атаку при физическом воздействии до возможного минимума затрат времени - менее 10 секунд.

➡️Для начала отправьте "z.t.me" в приложении Telegram и нажмите на ссылку.
➡️Это перенаправит их браузер на telegram.org/#tgWebAuthToken=
➡️Отсюда мы изменим домен в браузере на telegramz.org - домен, которым владеет автор, - и нажимаете Enter.
➡️JS на моем домене будет работать дальше, регистрируя одно из устройств автора с помощью токена.

Да, это атака реализуется только при физическом доступе к устройству, к сожалению, но всё равно это впечатляющий результат и я думаю эта атака будет полезна тем ребятам, кто занимается физическим пентестом.

➡️ Если вы что-то не поняли из моего вольного перевода, то здесь сможете найти оригинал статьи

🌚 @poxek

Актуально как никогда. Залетайте в чат @bizonebb 🕺
#meme

🖥 JSFuck ()+ []!
#js #xss #red_team

JSFuck - это эзотерический и образовательный стиль программирования, основанный на атомарных частях JavaScript. В нем используется всего 6 различных символов для написания и выполнения кода.

Он не зависит от браузера, поэтому его можно запускать даже на Node.js.

Как пример, нагрузка alert(1) будет преобразована в

[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]][([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[]]+(+[![]]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]+(+(!+[]+!+[]+!+[]+[+!+[]]))[(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([]+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][[]]+[])[+!+[]]+(![]+[])[+!+[]]+((+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]]](!+[]+!+[]+!+[]+[!+[]+!+[]])+(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]])()((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[+!+[]+[!+[]+!+[]+!+[]]]+[+!+[]]+([+[]]+![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[!+[]+!+[]+[+[]]])

и опять же, оно будет работать в любом браузере и даже в nodejs)

на сайте представлена базовые символы и их "шифрованный варивант":

false       =>  ![]
true        =>  !![]
undefined   =>  [][[]]
NaN         =>  +[![]]
0           =>  +[]
1           =>  +!+[]
2           =>  !+[]+!+[]
10          =>  [+!+[]]+[+[]]
Array       =>  []
Number      =>  +[]
String      =>  []+[]
Boolean     =>  ![]
Function    =>  []["filter"]
eval        =>  []["filter"]["constructor"]( CODE )()
window      =>  []["filter"]["constructor"]("return this")()

ещё больше вариантов можно посмотреть здесь ТЫК

Если интересно почитать про то, как это работает, то вам сюда ТЫК

🧩 Github

🖥 Демо

🌚 @poxek

Раскрываем секретные функции: магия макросов в Burp Suite
#burpsuite #red_team

Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функционал макросов на практике и увидим, как они могут стать надежным помощником в процессе тестирования и анализа веб-приложений.

Эта статья мне напомнила мне один из докладов на Bugs Zone (багхантерская приватка от BI.ZONE), там был схожий по смыслу доклад. Поэтому решил поделиться этой статьёй с теми, кто ещё не знает про макросы в нашем любимом Бурпсуютике.

🐭 Как итог статьи, автор наглядно показал, как можно сделать четыре действия в одно действие)

📌 Читать статью

🌚 @poxek

❌ PingCastle Notify ✅
#red_team #AD #windows

Я думаю все кто занимались пентестом инфры AD дольше 1 дня знакомы с PingCastle. Классная тулза, которая может проверять AD на мисконфиги и уязвимости. В ней удобно очень много чего. Она умеет как в обычный health check безопасности AD, до чуть ли не готовой презентации для руководства.

Недавно заходила речь о построении CVM (continuous vuln management) внутрянки. И я задавался вопросом, а как его сделать. Поставить тупо nuclei во внутренний контур мало, а какой-то ещё удобной автоматизации нет, шоб с отчётиками красивыми и/или понятными. Так вот нашёл для вас удобную автоматизацию, тем более с интеграцией в Teams/Slack(им кто-то ещё пользуется?).

Это небольшой powershell скрипт, который будет мониторить изменения в отчётах, к примеру pingcastle нашёл новую вулну, вам прилетит уведомление, что-то пропатчили, вам опять же придёт уведомление. Удобно? Очень!

Подготовка:
➡️Скачиваете последнюю версию с сайта.
➡️Разархивируете
➡️Создаете папку Reports внутри PingCastle
➡️Кладёте скрипт PingCastle-Notify.ps1 в корень PingCastle

Далее потребуется настроить уведомления, следовательно создать бота ТЫК

Наконец создать повторяющийся таск в AD ТЫК

По сути всё, мы собрали бюджетный CVM AD на коленки.

🌚 @poxek

Обзор инструментов для оценки безопасности кластера Kubernetes: kube-bench и kube-hunter
#red_team #k8s

Популярность Kubernetes растет, порог входа снижается, но вопросам безопасности порой оказывают недостаточное внимание. В этой статье разберём работу двух Open Source-утилит для аудита безопасности кластера.

➡️ kube-bench
kube-bench — приложение на Go, которое проверяет, соответствует ли кластер Kubernetes рекомендациям CIS Kubernetes Benchmark. Проект имеет богатую историю (появился на GitHub еще в 2017-м году) и явный спрос у сообщества (почти 4000 звёзд).

Что за CIS (Center for Internet Security)? Это некоммерческая организация, которая занимается вопросами кибербезопасности, основываясь на обратной связи от сообщества. CIS Benchmark, в свою очередь, — это сформулированный список рекомендаций по настройке окружения для защиты от кибератак. Данные рекомендации включают в себя поиск слишком широких прав доступа к файлам конфигурации и небезопасных параметров компонентов кластера, незащищенных учётных записей, проверку сетевых и общих политик.

➡️ kube-hunter
Инструмент kube-hunter написан на Python и также предназначен для поиска уязвимостей в кластере Kubernetes. От предыдущей утилиты отличается тем, что нацелен на оценку защиты кластера с точки зрения «атакующего». Тоже имеет достаточно богатую историю: развивается с 2018 года и получил 3000+ звёзд на GitHub.

Ранее Агентство по национальной безопасности и Агентство по кибербезопасности и защите инфраструктуры США опубликовали совместный отчет — «Руководство по усилению безопасности Kubernetes» (Kubernetes Hardening Guidance).

Это событие получило большой интерес со стороны Kubernetes-сообщества. Вплоть до того, что уже стал доступен первый инструмент для проверки K8s-инсталляций на соответствие требованиям, описанным в этом документе. Он называется Kubescape.

➡️ Читать полностью

🌚 @poxek

<Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST
#red_team #appsec #devsecops

Представьте: на дворе 2024 год, вы работаете AppSec-специалистом в российской компании и решаете приобрести готовый сканер DAST, который запускается одной кнопкой. Идет импортозамещение в IT-отрасли, отечественные вендоры создали несколько решений на замену зарубежным. Самые популярные – Solar appScreener, Positive Technologies Black Box и SolidWall DAST. Все они включают опцию прохождения аутентификации по форме на странице.

И тут возникает проблема: у вас SSO или другая user-friendly многостраничная авторизация. А в настройках страница обязательно должна содержать два поля для ввода логина и пароля и одну кнопку. Конечно, можно просто подставить валидные cookie или токен, но тогда готовое решение каждый раз будет просить вас повторно пройти аутентификацию и обновить необходимую информацию для доступа. Согласитесь, выглядит как отличная задача для стажеров вашего отдела.

Статья очень актуальная, свежая и я думаю не только для меня наболевшая тема. Поэтому приятного и полезного прочтения)
➡️ Читать далее

🌚 @poxek

Как провести фаззинг REST API с помощью RESTler (все 3 части)
#red_team #appsec #devsecops #api #fuzzing

Предположу, что многие из вас сталкивались с задачей, когда нужно проверять безопасности API, и желательно автоматизированного. Все мы работаем в разных компаниях, где-то используются одни технологии, где-то другие. Но API есть API, тестировать его нужно. Поэтому в этом посте я советую вам прочитать все цикл статей от коллег из Swordfish Security, которые в подробностях написали, как же провести фаззинг-тестирование API c помощью инструмента RESTler, имея на руках только спецификацию API.

1️⃣ Первая часть

2️⃣ Вторая часть

3️⃣ Третья часть

В результате их исследования по API fuzzing они смело смогли сделать вывод, что RESTler – это первый автоматический инструмент для анализа состояния облачных сервисов через их REST API, позволяющий максимально точно настраивать процесс тестирования. Благодаря этому фаззер можно использовать для многих целей.

🌚 @poxek

Как создать blue team платформу, которая действительно учит | Михаил Аксёнов defbox
#подкаст #defbox

❗️ Буду краток, вышел первый выпуск 🌚 Poxek Podcast 🕺

У меня в гостях был - Михаил Аксёнов, основатель defbox.io. Defbox - это платформа, на которой каждый желающий может проверить свои навыки обнаружения и реагирования на киберугрозы. А если вы начинающий, то вас ждут подробные мануалы от команды defbox, по использованию инструментов команды защиты (blue team).

➡️Подкаст будет интересен:
Специалистам по кибербезопасности
Владельцам бизнеса
Всем, кто хочет узнать больше о противодействии киберугрозам

➡️В этом подкасте мы обсудили:
Кибербезопасность: актуальные угрозы, бизнес в России, советы для владельцев бизнеса и их сотрудников.
Blue Team: чем занимается команда защиты от киберугроз, какие навыки нужны специалистам, применение AI в blue team
SOC: как сотруднику объективно оценить свои навыки обнаружения и реагирования на киберугрозы
Defbox: обзор платформы для тренировок и обучения специалистов blue team.

📹 YouTube
💬 Coming soon...
🎵 Я.Подкаст
😻 Mave

🌚 @poxek

From Zero to Hero: Phishing company
#phishing #фишинг #перевод #от_подписчика

Эксклюзивно для канала Похек, @resource_not_found сделал перевод этой статьи на русский язык.

🙏 Спасибо большое ему и надеюсь она будет вам полезна)

🌚 @poxek