FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.
https://github.com/mandiant/flare-floss
#malware #R_String #FLARE
@securation
https://github.com/mandiant/flare-floss
#malware #R_String #FLARE
@securation
🔥2
exploiting an out-of-bounds access in the netfilter subsystem to achieve an info-leak. The article also suggests a potential approach to gain privilege escalation.
https://www.randorisec.fr/yet-another-bug-netfilter/
#cve #netfilter
@securation
https://www.randorisec.fr/yet-another-bug-netfilter/
#cve #netfilter
@securation
👍4👎1
⭕️VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
@securation
https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
@securation
Horizon3.ai
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
Technical deep dive into VMware’s recently patched authentication bypass vulnerability allowing an attacker to login as any known local user.
👎1
⭕️ لینک زیر متدهایی مختلف از تکنیک ها در کشف آسیب پذیری RCE روی CMSهای مختلف آورده که یک Lab هم داره که میتونید روی داکر بالا بیارید و تست بزنید برای یادگیری:
https://github.com/p0dalirius/Awesome-RCE-techniques
#RCE #method #cms
@securation
https://github.com/p0dalirius/Awesome-RCE-techniques
#RCE #method #cms
@securation
GitHub
GitHub - p0dalirius/Awesome-RCE-techniques: Awesome list of step by step techniques to achieve Remote Code Execution on various…
Awesome list of step by step techniques to achieve Remote Code Execution on various apps! - p0dalirius/Awesome-RCE-techniques
👍15👎3
⭕️ دور زدن HTML Sanitizer API در مرورگر Firefox
HTML Sanitizer API
این Broswer API به برنامه نویس ها اجازه میده تا دیتا نا امن رو از کاربر دریافت کنند و اون رو Sanitize کنند برای رندرینگ امن در DOM
در لینک زیر میتونید بیشتر با این موضوع آشنا بشید
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API
اما در مقاله زیر از portswigger میبینیم که چطور این API بایپس میشه
https://portswigger.net/research/bypassing-firefoxs-html-sanitizer-api
#API #sanitizer
@securation
HTML Sanitizer API
این Broswer API به برنامه نویس ها اجازه میده تا دیتا نا امن رو از کاربر دریافت کنند و اون رو Sanitize کنند برای رندرینگ امن در DOM
در لینک زیر میتونید بیشتر با این موضوع آشنا بشید
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API
اما در مقاله زیر از portswigger میبینیم که چطور این API بایپس میشه
https://portswigger.net/research/bypassing-firefoxs-html-sanitizer-api
#API #sanitizer
@securation
MDN Web Docs
HTML Sanitizer API - Web APIs | MDN
The HTML Sanitizer API allows developers to take strings of HTML and filter out unwanted elements, attributes, and other HTML entities when they are inserted into the DOM or a shadow DOM.
👍9👎2😁1
⭕️Red Team Note
یکی از تکنیک های مورد استفاده در initial access و یا حتی در lateral movement استفاده از ماکرو ها می باشد.
تکنیک مورد بحث در این پست
شل کد تزریق میکنید و ادامه ماجرا..
نکته ای که میتونه مهم کنه این تکنیک رو استفاده نشدن از vba است که قالبا در ماکرو ها ازش استفاده میشه و استفاده اش از ساختار com و win
برای اجرای این تکنیک
از اینجا دیگه میتونیم دستوراتمون رو در هر سلول بنویسیم و البته
خب حالا از چه روش هایی برای دسترسی میتونیم استفاده کنیم؟
اول اینکه میتونیم دستور
دوم اینکه میتونیم با ابزار هایی مثل
سوم اینکه میتونیم از تکنیک های
و در اخر بیایم کمی عمیق شیم در دستوراتش
و..
حالا چجوری استفاده کنیم از این موارد؟
خب در ابتدا با
فراخوانی میکنیم
و سورس پیلودمون رو بر مبنی
این قسمت
و شل کدمون رو تبدیل به ascii میکنیم که در تابع char() قرار میگیره
که با فراخوانی توابع ویندوزی در ابتدا ما شل کدمون رو داخل قسمتی از مموری که ذخیره کرده ایم اجرا میکنیم
ناگفته نمونه
خب بریم سر وقت اینکه چیکارش کنیم؟
چطور جلوگیری بشه ؟
در ابتدا ابزاری برای رفع مبهم سازی ماکرو های این مدل دیدم که به نظر چیز بدرد بخوری میومد
اما باز پالیسی هایی در admx و یا رجیستری هست
@securation
یکی از تکنیک های مورد استفاده در initial access و یا حتی در lateral movement استفاده از ماکرو ها می باشد.
تکنیک مورد بحث در این پست
xlm macro
میباشد که با این تکنیک شما در قسمت فرمول اکسل به جای فرمول شل کد تزریق میکنید و ادامه ماجرا..
نکته ای که میتونه مهم کنه این تکنیک رو استفاده نشدن از vba است که قالبا در ماکرو ها ازش استفاده میشه و استفاده اش از ساختار com و win
api ها قابلیت دور زدن amsi رو پیدا میکنه که میتونه خیلی برای ما اهمیت داشته باشه.برای اجرای این تکنیک
insert داخل sheet استفاده میکنیمms excel 4.0 macro
رو انتخاب میکنیماز اینجا دیگه میتونیم دستوراتمون رو در هر سلول بنویسیم و البته
auto open هم فعال کنیم.خب حالا از چه روش هایی برای دسترسی میتونیم استفاده کنیم؟
اول اینکه میتونیم دستور
cmd اجرا کنیم و بحث nc و امثالهمدوم اینکه میتونیم با ابزار هایی مثل
https://github.com/mdsecactivebreach/SharpShooter
https://github.com/Synzack/Excel-4.0-Shellcode-Generator
https://github.com/outflanknl/Excel4-DCOM
شل کدی رو ایجاد کنیمسوم اینکه میتونیم از تکنیک های
cobalt strike استفاده کنیمو در اخر بیایم کمی عمیق شیم در دستوراتش
register()
توابع win api رو فراخوانی میکنهhalt()
اجرای ماکرو رو متوقف میکنهexec()
یه فایلی رو اجرا میکنه حالا یا اجرایی یا فایل دیگه ایو..
https://d13ot9o61jdzpp.cloudfront.net/files/Excel%204.0%20Macro%20Functions%20Reference.pdf
که اینجا تمامی توابع هستش.حالا چجوری استفاده کنیم از این موارد؟
خب در ابتدا با
register
win api هاروفراخوانی میکنیم
و سورس پیلودمون رو بر مبنی
.net assembly
کامپایل میکنیم و بعد به شل کد تبدیل میکنیم.این قسمت
null byte های شل کدمون رو حذف میکنیمو شل کدمون رو تبدیل به ascii میکنیم که در تابع char() قرار میگیره
که با فراخوانی توابع ویندوزی در ابتدا ما شل کدمون رو داخل قسمتی از مموری که ذخیره کرده ایم اجرا میکنیم
ناگفته نمونه
https://github.com/FortyNorthSecurity/EXCELntDonut
این ابزار هم خیلی خوبه که ابزار نوشته شده موسسه ای هست که eyewitness رو نوشتن.خب بریم سر وقت اینکه چیکارش کنیم؟
چطور جلوگیری بشه ؟
در ابتدا ابزاری برای رفع مبهم سازی ماکرو های این مدل دیدم که به نظر چیز بدرد بخوری میومد
https://github.com/DissectMalware/XLMMacroDeobfuscator
برای جلوگیری ازش هم خب در ورژن های جدید آفیس غیر فعال است اما باز پالیسی هایی در admx و یا رجیستری هست
https://4sysops.com/archives/restricting-or-blocking-office-2016-2019-macros-with-group-policy/
https://blog.malwarebytes.com/reports/2022/01/microsoft-is-now-disabling-excel-4-0-macros-by-default/
#redteam #amsi #macro #winapi@securation
🔥8👍5👎3
⭕️ Obfuscating Memory Regions with Timers
https://mez0.cc/posts/vulpes-obfuscating-memory-regions/
#redteam #memory #obfuscation #edr #av #bypass
@securation
https://mez0.cc/posts/vulpes-obfuscating-memory-regions/
#redteam #memory #obfuscation #edr #av #bypass
@securation
👍3
AS-22-Korkos-AMSI-and-Bypass.pdf
1.3 MB
⭕️ Two new AMSI bypass PoC's via Provider Patching into my Amsi-Bypass-Powershell repo. Plus one PoC in Nim as pull request for OffensiveNim:https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell#with-add-type
#amsi #bypass #powershell
@securation
🔥6👎2
⭕️ اگه توی حوزه کشف و تحلیل آسیب پذیری های باینری فعالیت دارید پس باید درمورد semgrep هم بدونید که ابزار خیلی خوبیه :)
زبان های مختلفی رو پشتیبانی میکنه و رول های مختلفی برای آسیب پذیری هایی
مثل :
buffer overflows
integer overflows
format strings
command injection
race conditions
miscellaneous
و..
داره که میتونیم استفاده کنیم
این ابزار رو میتونیم بصورت افزونه روی ghidra یا vscode داشته باشیم و زمان Disassemble کردن طبق رول های مربوطه کد هارو بررسی میکنه.
نکته دیگه که میتونه مفید باشه میتونیم rule مورد نظر خودمون رو داشته باشیم و با ساختاری که خودمون ایجاد کردیم شروع به بررسی بکنه.
https://github.com/0xdea/semgrep-rules
و این لینک هم روشی برای کشف اسیب پذیری بصورت خودکار با ترکیب ghidra و این ابزار
https://security.humanativaspa.it/automating-binary-vulnerability-discovery-with-ghidra-and-semgrep/
#0day #vulnerability #ghidra #reverse
@securation
زبان های مختلفی رو پشتیبانی میکنه و رول های مختلفی برای آسیب پذیری هایی
مثل :
buffer overflows
integer overflows
format strings
command injection
race conditions
miscellaneous
و..
داره که میتونیم استفاده کنیم
این ابزار رو میتونیم بصورت افزونه روی ghidra یا vscode داشته باشیم و زمان Disassemble کردن طبق رول های مربوطه کد هارو بررسی میکنه.
نکته دیگه که میتونه مفید باشه میتونیم rule مورد نظر خودمون رو داشته باشیم و با ساختاری که خودمون ایجاد کردیم شروع به بررسی بکنه.
https://github.com/0xdea/semgrep-rules
و این لینک هم روشی برای کشف اسیب پذیری بصورت خودکار با ترکیب ghidra و این ابزار
https://security.humanativaspa.it/automating-binary-vulnerability-discovery-with-ghidra-and-semgrep/
#0day #vulnerability #ghidra #reverse
@securation
GitHub
GitHub - 0xdea/semgrep-rules: A collection of my Semgrep rules to facilitate vulnerability research.
A collection of my Semgrep rules to facilitate vulnerability research. - 0xdea/semgrep-rules
👍12🎉2👎1