Простая история как я попробовал найти на случайном сайте уязвимости.
(Внимание, все совпадения ниже с реальными сайтами случайны, естественно😄)

Сайт назовем epicentr (опять же, все совпадения случайны🙂)
Изначально изучил attack surface сайта(binaryedge, посмотрел asn через shodan, reverse whois, censys ну и всякое такое), потом посмотрел главный сайт понял шо это битрикс и тут начался настоящий кошмар...

Запустил кравлер, огромная куча кастомных темплейтов и обращений к ним через пост запросы, достаточно жестко настроенный клаудфлеир который бессрочно банит на всем пуле айпишек компании(тоесть уже не зайти даже на сабдомены сайта) при достижении определенного количества запросов в минуту(ну и при использовании любых пейлоадов по типу acunetix там однозначный бан после любого триггера).

Я решил поступить по простому, без мастадонтов по типу invicti с подключенными ротейтинг проксями на каждый запрос для обхода вафа, мы же не блекхеты... У только исследовательский интерес!
Вспоминаем как делали наши деды, - видишь параметр? Ставь спец.символы и смотри изменения😄
Берем линки с кравлера, gau, phonebook.cz и пускаем через kxss(у меня немного модифицированная версия kxss для лучшего детекта и для поиска в post параметрах)
И того на сайте было найдено где-то 3 еррор бейс скули в темплейтах(POST), а также скули в параметрах по типу PAGEN(GET)(появляется db error после ковычки, пофикшено).

Далее решил посмотреть утечки, не буду называть сайт, но через него проходит очень много пользовательских данных полученных очень сомнительным путем(сайт схож с intelx.io, поэтому я думаю специфика того что там было понятна). Я собрал почты через hunter.io и стал через апи смотреть утечки сотрудников этого сайта. Какого же было мое удивление, когда я увидел целый лог 2024 года с autofill и куками от сотрудника, который скачал какую-то мальварь, а эту информацию с лога кто-то продал этому сервису.
Я думаю вы догадываетесь что произошло когда я решил импортнуть данные куки к себе в браузер и зашел на сайт. Да, теперь я сотрудник с правом редактирования контента :D

Собственно как-то так я проводил свободное время, ни о чем не жалею)
Посещают мысли, что devsecops devsecops-ом, а какой нибудь сотрудник скачавший читы для roblox может накрыть всю безопасность компании медным тазом))))

https://youtu.be/QhpqBnu5MXo

Тулзы по мониторингу жс:
https://www.securecoding.com/blog/monitoring-javascript-files-for-bugbounty/

Анализ вулн жс(бурп):
https://github.com/0x999-x/jsluicepp

Чтобы вам не пришлось это смотреть, мы перевели этот доклад кратко в довольно краткие типсы.

С точки зрения пентестера, этот доклад дает ценные советы и рекомендации по поиску критических уязвимостей в программах bug bounty. Ключевые моменты:

1. Сосредоточьтесь на поиске уязвимостей с высоким уровнем критичности (P1/P2), таких как RCE, SQLi, SSRF и др. Это обеспечит более высокие выплаты и меньше дубликатов.

2. Проводите глубокое ручное тестирование основного функционала приложения. Автоматизация должна дополнять, а не заменять этот подход. Цель - понять внутреннее устройство и логику приложения.

3. Всегда максимизируйте и демонстрируйте impact найденных багов. Подумайте, как их может эксплуатировать реальный атакующий. Комбинируйте незначительные баги и креативно расширяйте вектор атаки. Например:
- Повысьте Open Redirect до утечки токена OAuth через Javascript
- Используйте SSRF для обхода авторизации и получения AWS credentials через мета-данные инстанса
- Проэксплуатируйте цепочку багов до захвата аккаунта админа

4. Изучайте исходный код приложения и следите за новыми CVE в используемых технологиях. Это даст фору в поиске 0-day уязвимостей.

5. Совместная работа с другими охотниками позволяет использовать сильные стороны каждого. Привлекайте экспертов для эскалации багов. Устраивайте дружеские соревнования для мотивации.

6. Постоянно мониторьте изменения в коде, особенно в Javascript-файлах. Новые фичи часто приносят новые уязвимости.

7. Выбирайте программы с хорошими выплатами, быстрыми ответами и метриками. Не бойтесь потратиться на платные фичи для расширения площади атаки.

8. Подробно документируйте весь процесс тестирования, чтобы потом находить пропущенные векторы атаки. Будьте настойчивы и терпеливы.

9. Разнообразьте свои навыки (веб, мобильные приложения, железо и т.д.) для сохранения преимущества. Но не забывайте отдыхать и восстанавливать ментальное здоровье.

10. Автоматизация должна давать отправные точки для ручного тестирования, а не спамить программы. Создание кастомных шаблонов nuclei даст фору. Не увлекайтесь сравнением инструментов.

Резюмируя, главное - фокусировать ручное тестирование на критических уязвимостях в ядре приложения, демонстрировать максимальный импакт и непрерывно искать нетривиальные векторы атаки. Автоматизация, исследования и коллаборация разумно дополняют этот подход. Упорство и забота о себе также важны в этом долгом путешествии.

Как искать корпоративные впн при багхантинге?
Периодически возникает необходимость проникнуть в ту или иную компанию, но как сломать периметр?
Да, есть множество способов, рассылки, физический пентест, но что если я вам расскажу как с помощью осинта найти необходимый для вас вход?

Давайте рассмотрим несколько интересных паттернов для поиска корпоративных VPN в Intel X. Эти паттерны основаны на типичных форматах URL для популярных VPN-решений.

1. Cisco AnyConnect:
- https://vpn.company.com/+CSCOE+/logon.html
- https://company-vpn.com/+CSCOE+/logon.html
- https://company.com/vpn/+CSCOE+/logon.html

2. Fortinet FortiGate:
- https://vpn.company.com/remote/login
- https://company-vpn.com/remote/login
- https://company.com/vpn/remote/login

3. Palo Alto GlobalProtect:
- https://vpn.company.com/global-protect/login.esp
- https://company-vpn.com/global-protect/login.esp
- https://company.com/vpn/global-protect/login.esp

4. Pulse Secure:
- https://vpn.company.com/dana-na/auth/url_default/welcome.cgi
- https://company-vpn.com/dana-na/auth/url_default/welcome.cgi
- https://company.com/vpn/dana-na/auth/url_default/welcome.cgi

5. SonicWall NetExtender:
- https://vpn.company.com/auth1.html
- https://company-vpn.com/auth1.html
- https://company.com/vpn/auth1.html

6. OpenVPN:
- https://vpn.company.com/openvpn/
- https://company-vpn.com/openvpn/
- https://company.com/vpn/openvpn/

7. WatchGuard Mobile VPN:
- https://vpn.company.com/sslvpn/
- https://company-vpn.com/sslvpn/
- https://company.com/vpn/sslvpn/

8. Microsoft SSTP VPN:
- https://vpn.company.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
- https://company-vpn.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
- https://company.com/vpn/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/

9. Microsoft DirectAccess:
- https://da.company.com/IPHTTPS
- https://company-da.com/IPHTTPS
- https://company.com/da/IPHTTPS

10. CheckPoint SSL Network Extender:
- https://vpn.company.com/SNX/extender
- https://company-vpn.com/SNX/extender
- https://company.com/vpn/SNX/extender

Используйте эти паттерны в Intel X, подставляя вместо company.com и company-vpn.com реальные домены целевых компаний. Также попробуйте различные комбинации поддоменов (vpn., remote., access. и т.д.).

Но имейте в виду, что компании могут использовать нестандартные URL для своих VPN, так что эти паттерны не универсальны. Однако они покрывают большинство популярных решений "из коробки".

Надеюсь, эти паттерны будут вам полезны для поиска корпоративных VPN в Intel X. Если нужны ещё идеи или есть вопросы - обращайтесь!

Кстати очередная статейка о редтиме и апт:
https://habr.com/ru/companies/pt/articles/802697/

Продублирую для одного знакомого который статью не может найти))

Лечим больную sql иньекцию(time based) и превращаем в union based

Ссылка на статью:https://infosecwriteups.com/healing-blind-injections-df30b9e0e06f

#Beacon

Corp initial access
#Redteam
#Beacon

https://afine.com/red-team-trickery/

https://www.mdsec.co.uk/2024/02/active-directory-enumeration-for-red-teams/

Статья о защите от EDR и мониторинга.
#redteam
#Beacon

Мониторинг активности LDAP:
- На уровне конечных точек защитники собирают телеметрию LDAP-активности через API-хуки и ETW с провайдером Microsoft-Windows-LDAP-Client. Используя SilkETW, можно получать детали LDAP-запросов, включая фильтры и инициирующие процессы.
- Эта телеметрия может быть использована для создания Yara-правил по сигнатурам LDAP-фильтров, как, например, для поиска служебных главных имен (serviceprincipalname=*).
- Однако ETW-телеметрию легко обойти путем патчинга user-mode DLL, а EDR-решения, такие как MDE, также используют эту телеметрию.

Мониторинг на уровне контроллеров домена:
- По умолчанию Windows не ведет логирование LDAP-событий, но это можно включить изменением соответствующих registry-ключей.
- Альтернативно, можно использовать решения вроде Microsoft Defender for Identity, которые собирают LDAP-телеметрию через IdentityQueryEvents.
- На основе этой телеметрии можно создавать пользовательские правила обнаружения, например, для поиска LDAP-запросов, связанных с Kerberoasting.

Анализ инструментов Red Team:
- Такие инструменты, как SharpHound, ADExplorer и SharpView, выполняют широкомасштабную разведку Active Directory и могут быть обнаружены защитниками.
- Для обхода этого красные команды могут создавать собственные LDAP-клиенты, использующие более таргетированные запросы.

Тактические соображения для Red Team:
- Маскировка LDAP-активности путем "слияния" с легитимными процессами, регулярно выполняющими LDAP-запросы.
- Использование таргетированных LDAP-запросов с ограничением scope и base, избегая чувствительных атрибутов.
- Применение Active Directory Web Services (ADWS) вместо стандартного LDAP, так как ADWS-активность менее мониторится.

Использование ADWS:
- ADWS - альтернативный сервис для взаимодействия с Active Directory, использующий SOAP-протокол на порту 9389.
- Преимущества ADWS: запросы инициируются с 127.0.0.1, что сбивает с толку защитников, и они не попадают в DeviceEvents как LDAPSearch.
- Для работы с ADWS можно использовать .NET и WCF, например, для получения членов группы.
- Практически единственный способ обнаружения ADWS-активности - мониторинг сетевых подключений к порту 9389.

Работа с silver c2, 4 часа контента редтима(в основном база, но прикольно)

https://www.youtube.com/live/1UTVoOCMaS8?si=zb9Ie-NFtjIXnQvi

#thm
#Beacon

Command os injection in portswigger, 2024
#Beacon

https://medium.com/@cyberw1ng/blind-os-command-injection-vulnerabilities-in-portswigger-2024-cdc10f62d0be

Сейчас идет стрим в лайве у Тайлера, Hack Smarter LIVE!(ббшная тема)
(Что-то связанное с htb)

https://www.youtube.com/live/V2z5VpVu8lA

Уфф как вкусно, devsecops оценит (мне как devsecops-у зашло😁)

Implementing DevSecOps Practices. Supercharge your software security with DevSecOps excellence by Vandana Verma Sehgal, 2023

Stealth Active directory enumiration and explotation using LDAP Queries (там целый цикл статей по условиям пентеста при включенном crowdstrike, paranoid redteam короче😁)

https://snikt.net/blog/2023/01/25/active-directory-using-ldap-queries-for-stealthy-enumeration/

#Beacon
#Redteam

Cybersecurity survival guide(очень много полезного, особенно про построение zero trust архитектуры), отпугнуть может слишком много страниц

https://www.scribd.com/document/700558634/cybersecurity-survival-guide