Fsecurity | HH

Что бы не открывать лишние порты на FTP-серверах админы могут пойти вот на что. Для наведения порядка в сетевых портах они могут настроить FTP-службу на использование в passive mode более узкого диапазона портов вплоть до одного порта, который точечно пробрасывается с DMZ на FTP-сервер. И если для проброса используется прокси или форвадр с SNAT - то такой сервер окажется сильно уязвим. Всякий раз встретив FTP мы должны попробовать поискать его data-порт среди всех 65к портов. При нормальных условиях data-порты открываются только в момент подключения клиентов и будут практически неуловимы для нас. Но если перед нами постоянно открытый и не меняющийся tcp-порт - возможно это прокси на FTP-data (его nmap -sV должен быть пустой). Если мы найдем такой data-порт и будем к нему постоянно подключаться while :; do nc -nv target 54321; done то в какой то момент мы начнем получать данные вместо легитимных клиентов (Confidentiality:High). А если писать туда while :; do nc -nv target 54321 < rce.bat; done, то соответственно записывать произвольный контент вместо клиентов (Integrity: High). Ну и всё это время сами клиенты не смогут получать доступ к серверу (Availability: High). Почему так происходит? Данная атака называется port stealing и была открыта ещё в прошлом тысячелетии. Защита от неё проста - сервер должен сверять IP.src. Но если перед FTP-сервером с DMZ происходит проксирование/форвард, с подменой IP.src, тогда FTP-служба видит всех клиентов как один IP и начинает путаться в сокетах, руководствуясь лишь временем подключения. Получается некий FTP Smuggling. Эту давно забытую уязвимость мы обнаружили на одном из проектов вместе с @levatein.

🔗Ссылка: https://habr.com/ru/articles/851428/

Добрый день, уважаемые подписчики! Данной публикацией мы завершаем наш цикл статей, посвященных тестированию безопасности WPA-Enterprise. Вы узнаете, как благодаря ретрансляционной атаке EAP (MSCHAPv2) Relay Attack можно получить доступ к корпоративной сети даже без знания учетных данных. https://teletype.in/@giscyberteam/wpa_enterprise_eap_relay_attack #Pentest #WiFi #WPAEnterprise #EAP #RelayAttack

🔗Ссылка: https://habr.com/ru/articles/849378/

🔗Ссылка: https://xakep.ru/2024/10/17/usdod-arrest/

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/553075.php

💻 Exploiting Windows Kernel via Kernel Streaming Proxying An in-depth look at CVE-2024-30090, a vulnerability in Kernel Streaming, allowing privilege escalation via malformed IOCTL requests. By leveraging KS Event mishandling during 32-bit to 64-bit conversions, can exploit the bug pattern to gain arbitrary kernel mode access. 🔗 Research: Proxying to Kernel - Part I Proxying to Kernel - Part II 🔗 Source: https://github.com/Dor00tkit/CVE-2024-30090 #windows #streaming #kernel #cve #poc

🔗Ссылка: https://xakep.ru/2024/10/15/active-directory-basics/

🔗Ссылка: https://github.com/NHAS/reverse_ssh

✉ SSRF через вложения в электронной почте Приложение позволяло администраторам отправлять массовые письма пользователям в организации. Оно также разрешало прикреплять файлы к письмам. Вложения кодировались в base64 и добавлялись в качестве параметра запроса (см. на скрин) Не было особой причины думать, что изменение параметра email_attachments на URL сработает, но я решил попробовать. И действительно, после изменения его на Burp Collaborator я получил отстук:

GET / HTTP/1.1  
accept-encoding: gzip,deflate  
user-agent: nodemailer/4.7.0  
Host: 716cq...ht5i.burpcollaborator.net  
Connection: close

Оказалось, что приложение использует старую версию nodemailer. Быстро стало понятно, что приложение просто принимает строку email_attachments, введённую пользователем, и передаёт её как параметр пути в API вложений nodemailer. Приложение ожидало data:URI, но если вместо этого передать URL, nodemailer попытается найти файл по этому URL и прикрепить его. Забавно, что nodemailer очень хотел видеть расширение файла в URL. Поэтому для получения файлов надо было указывать что-то типа http://10.10.1.3:3000/api/v1/apps/list%23test.txt. Позже выяснилось, что nodemailer прикреплял и локальные файлы. Отправка запроса на конечную точку send_email с перечнем известных путей к файлам привела к интересным находкам: конфигурационные файлы, дампы пользователей и т.д. #web #ssrf #lfr

🔗Ссылка: https://xakep.ru/2024/10/16/fastcash-linux/

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/851106/

😈 Кастомные правила Logger++ #logger #burpsuite #portswigger Все знакомы с Logger++ в Burp Suite, но мало кто его использует. Хотя в Logger из коробки есть недостатки некоторые, с которыми лично я не встречался, но в разных чатах порой вижу жалобы. Для таких ценителей высокого было разработано расширение Logger++. Преимуществ у него много, можете прочитать на сайте. Но естественно я пишу этот пост не ради напоминания об этом расширении, а о расширении этого расширения. Как бы странно это не звучало) Logger++ Custom Filters - очередной индус написал годноту для нас) Собственно это список фильтров для Logger++, который позволит в real time подсвечивать вам какие-нибудь "точки интереса" или ключи, которые пролетают в запросах и ответах. В посте собрал самые интересные на мой взгляд: ➡️REST API

(Request.Path CONTAINS "api" OR Request.Host CONTAINS "api") AND !(Request.Method == "OPTIONS

➡️GraphQL

(Request.Path CONTAINS "graphql" OR Request.Host CONTAINS "graphql") AND !(Request.Method == "OPTIONS")

➡️Google_API_Key

Response.Body == /AIza[0-9A-Za-z\\-_]{35}/

➡️GCP_OAUTH_KEY

Response.Body == /[0-9]+-[0-9A-Za-z_]{32}\\.apps\\.googleusercontent\\.com/

➡️GCP_Service_KEY

Response.Body == /\"type\": \"service_account\"/

➡️GOOGLE_OAUTH_KEY

Response.Body == /ya29\\.[0-9A-Za-z\\-_]+/

➡️Firebase_URL

Response.Body == /.*firebaseio\.com/

➡️GitHub_KEY

Response.Body == /[g|G][i|I][t|T][h|H][u|U][b|B].*['|\"][0-9a-zA-Z]{35,40}['|\"]/

➡️CSRF & SSRF

Request.Method == "POST" AND !(Request.Headers CONTAINS "Content-Type: application/json" OR Response.Headers CONTAINS "application/json")

Request.Method == "POST" OR (Request.Headers CONTAINS "Content-Type: application/json" AND Request.Headers CONTAINS "Content-Length: 0")

(Request.Query MATCHES ".*(http%3A%2F%2F|https%3A%2F%2F)?(www.)?[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\.[a-z]{2,5}.*" OR Request.Body MATCHES ".*(http%3A%2F%2F|https%3A%2F%2F)?(www.)?[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\.[a-z]{2,5}.*")

➡️CORS Misconfiguration

!(Request.Headers CONTAINS "Authorization:") AND (Response.Headers CONTAINS "Access-Control-Allow-Credentials" OR Response.Headers CONTAINS "Access-Control-Allow-Origin")

📱 Github 🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

💻 F.A.C.C.T. выпустила подробное исследование группировки «двойного назначения» Shadow/Twelve, которая активно атакует 🇷🇺 российские организации. Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»: 💠Shadow заинтересована в 🔒вымогательстве денег. 💠Twelve стремилась к полному ⚠️ разрушению ИТ-инфраструктуры своих жертв. Одним из фирменных приемов группы стала кража учетных записей в 🛡Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление. Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты. https://www.facct.ru/resources/research-hub/shadow-twelve-2024 ✋ @Russian_OSINT

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-16-111332/44404

#pentest CVE-2024-43582 - Remote Desktop Protocol Server Remote Code Execution Vulnerability Модуль Metasploit для CVE-2024-43582 RPC Remote Desktop Service crititcal RCE

🔗Ссылка: https://www.securitylab.ru/news/553005.php