Fsecurity | HH

🗂 #заметки #offense #web ➡️Полезный репозиторий на случай тестирования функциональности загрузки файлов – сборник маленьких, но синтаксически валидных файлов самых разных форматов, готовых для встраивания в них Ваших пейлоадов:    🧩 mathiasbynens/small ▪️Краткий список расширений:

adb, appcache, avi, awk, bat, bf, bmp, bpg, bz2, c, chicken, chm, class, clj, cljc, cljs, clp, cob, coffee, com, cpp, cr, cs, css, dcm, dol, e, ex, exe, f, f90, flv, gif, go, groovy, gz, h, heif, hs, html, i, i7x, icc, ico, inf, java, jp2, jpg, js, json, jsonp, jxl, lua, m, macho, macho-ml, malbolge, md, ml, mng, mp3, mp4, ni, nim, o, opa, pas, pbm, pdf, pgm, php, pl, pml, png, ppm, py, rar, rb, rs, rtf, scala, sh, svg, swf, swift, t, tar, tga, tif, toml, ts, vs, wasm, wav, webm, webp, wmf, wmv, ws, xbm, xhtml, xml, yml, zip

▪️Полный список форматов:

ada.adb, manifest.appcache, AudioVideoInterleave.avi, awk.awk, batch.bat, brainfuck.bf, bmp.bmp, bpg.bpg, bzip2.bz2, c.c, chicken.chicken, compiledhtml.chm, java-class.class, clojure.clj, clojure.cljc, clojurescript.cljs, jess.clp, cobol.cob, coffeescript.coffee, doscommand-empty.com, doscommand.com, cpp.cpp, crystal.cr, csharp.cs, css.css, dicom.dcm, dolphin.dol, eiffel.e, elixir.ex, dosexecutable.exe, linearexecutable.exe, newexecutable.exe, portableexecutable-xp.exe, portableexecutable.exe, fortran-77.f, fortran-90.f90, FlashVideo.flv, gif-transparent.gif, gif.gif, go.go, groovy.groovy, gzip-name.gz, gzip.gz, c.h, heif.heif, haskell_loop.hs, haskell_term.hs, html-2.0.html, html-3.2.html, html-4.0-strict.html, html-4.01-frameset.html, html-4.01-strict.html, html-4.01-transitional.html, html5.html, iso-html.html, xhtml-1.0-frameset.html, intercal.i, i.i7x, icc.icc, ico.ico, inform-6.inf, java.java, jpeg2.jp2, jpeg.jpg, javascript.js, json.json, json-p.jsonp, jxl.jxl, lua.lua, objective-c.m, macho, macho-ml, malbolge.malbolge, markdown.md, ocaml.ml, mng.mng, mp3.mp3, Mpeg4.mp4, mp4-with-audio.mp4, story.ni, nim.nim, elf.o, opa.opa, pascal.pas, pbm.pbm, pbmb.pbm, pdf.pdf, pgm.pgm, pgmb.pgm, php.php, perl.pl, promela.pml, png-transparent.png, png-truncated.png, ppm.ppm, ppmb.ppm, python.py, rar14.rar, rar4.rar, rar5.rar, ruby.rb, rust.rs, rtf.rtf, scala.scala, shell.sh, svg.svg, flash.swf, swift.swift, tads-3.t, tar.tar, targa.tga, tiff.tif, toml.toml, typescript.ts, vertex-shader.vs, webassembly.wasm, wav.wav, webm.webm, webp.webp, WindowsMetafile.wmf, WindowsMediaVideo.wmv, whitespace.ws, x-bitmap.xbm, xhtml-1.0-strict.xhtml, xhtml-1.1.xhtml, xhtml-basic-1.0.xhtml, xhtml-basic-1.1.xhtml, xhtml5.xhtml, xml-1.0-valid.xml, xml-1.0.xml, xml-1.1-valid.xml, xml-1.1.xml, yaml.yml, zip.zip

➕ Полезный репозиторий на случай тестирования такой функциональности (и браузеров) на уязвимость к Denial-of-Service – большая картинка PNG формата минимального размера;    🧩 korczis/big-png 🧩  bamsoftware.com/hacks/deflate

▪️PNG изображение 6_132_534 байта (5.8 Мб) ▪️225_000 × 225_000 пикселей ▪️при представлении в качестве буфера пикселей по 3 байта / пиксель➡️141.4 Гб

@HaHacking 🐇

👨‍💻 Привет! Представим ситуацию — Вы сидите, проводите пентест, и в какой-то момент к вам приходит злой заказчик и говорит, что вы положили его инфру. Вы опешили, всё отрицаете, ведь во время тестирования атаки не было деструктивных методов. Но заказчик всё не успокаивается, показывает логи, мол, вот, в это время на нас упало куча трафика. И в этот момент очень пригодились бы логи всех действий во время проведения тестирования. Поэтому вот простой лайфхак, который автоматически будет записывать 90% действий и поможет понять, были ли пентестеры причастны к инциденту или нет. 1️⃣ Для начала стоит добавить дату и время при каждом выполнении команды в терминале. Для этого можно модифицировать промпт вашего командного интерпретатора. Тут ничего сложного, открываем rc файл и меняем соотсутсвующую переменную. zsh (kali linux): Заменить PROMPT в ~/.zsh_rc

PROMPT=$'%F{%(#.blue.green)}┌──%{$fg[yellow]%}[%D{%d.%m.%y} %D{%H:%M}]\n%F{%(#.blue.green)}├──${debian_chroot:+($debian_chroot)─}${VIRTUAL_ENV:+($(basename $VIRTUAL_ENV))─}(%B%F{%(#.red.blue)}%n'$prompt_symbol$'%m%b%F{%(#.blue.green)})-[%B%F{reset}%(6~.%-1~/…/%4~.%5~)%b%F{%(#.blue.green)}]\n└─%B%(#.%F{red}#.%F{blue}$)%b%F{reset} ' 

bash (kali linux): Заменить PS1 в ~/.bash_rc

PS1=$prompt_color'┌──[\D{%d.%m.%Y %H:%M}]\n'$prompt_color'├──${debian_chroot:+($debian_chroot)──}${VIRTUAL_ENV:+(\[\033[0;1m\]$(basename $VIRTUAL_ENV)'$prompt_color')}('$info_color'\u'$prompt_symbol'\h'$prompt_color')-[\[\033[0;1m\]\w'$prompt_color']\n'$prompt_color'└─'$info_color'\$\[\033[0m\] ';; 

Теперь в листинге каждая команда будет иметь дату и время начала и конца выполнения (как на скриншоте к посту) 2️⃣ Далее нужно настроить автоматическую запись листинга. Тут на помощь придет TMUX. Правильно настроенный терминальный мультиплексор может стать мощным инструментом по сравнению с ГУИшными терминалами. Для записи истории команд нужно установить плагин и добавить конфигурацию при каждом запуске tmux.

$> git clone https://github.com/tmux-plugins/tpm ~/.tmux/plugins/tpm 
 
# Конфиг должен выглядить так 
$> cat .tmux.conf  
 
# Список плагинов 
set -g @plugin 'tmux-plugins/tpm' 
set -g @plugin 'tmux-plugins/tmux-sensible' 
set -g @plugin 'tmux-plugins/tmux-logging' 
set -g history-limit 500000 
 
# Запуск Tmux Plugin Manager 
run '~/.tmux/plugins/tpm/tpm' 
 
$> tmux source ~/.tmux.conf 

Осталось зайти в tmux и нажать CTRL + b и SHIFT + i. Теперь при каждом запуске tmux можно начать запись с помощью CTRL + b, SHIFT + p и сразу после выхода из терминала запись будет сохранена в домашнюю директорию в виде текстового файла. Теперь мы точно будем уверены, что во время инцидента со стороны пентестеров активности не было и мы не в чем не виноваты. Конечно, листинг команд работает только для CLI. С GUI нужно разбираться отдельно. #redteam #ToolTricks

🔗Ссылка: https://habr.com/ru/articles/776298/

🔗Ссылка: https://www.securitylab.ru/news/554527.php

Голосуй если тебе не сложно 👾 https://t.me/boost/HelloHackingTeam

🔗Ссылка: https://habr.com/ru/news/863440/

🔗Ссылка: https://www.securitylab.ru/news/554635.php

Old Money Scam Один британский оператор связи "О2" решил залететь сразу во все современные тренды и запустил нейросетевого секретаря, который перехватывает подозрительные звонки своих абонентов и начинает безустанно тратить их драгоценное время. В общем, меня решили заменить 😡 Имя этому творению dAIsy. Оно имитирует голос, интонацию и поведение пожилого человека, который, судя по рекламным материалам, ведет себя достаточно органично. По сути, это следующая ступень развития виртуальных помощников от наших операторов связи, которые также умеют перехватывать потенциальных мошенников (к сожалению, далеко не всегда удачно), но делают это все еще не очень "натурально", поэтому подобные разговоры с роботами достаточно быстро заканчиваются. Маркетинг О2 заявляет, что dAIsy может протянуть в таком противостоянии аж 40 минут, запутывая злоумышленников, называя случайные данные, путаясь в мыслях и показаниях, ссылаясь на возраст и плохую память. Так вот, ради чего мы развиваем нейросетевые технологии ⌨ Мне интересно вот что – а может ли dAIsy случайно сгенерировать такую последовательность персональных (ну или других) данных, которая совпадет с настоящими (код восстановления доступа к сервисам, номер страхования и т.д.), что подставит пользователя, а злоумышленнику даст то, за чем он и пришел? Ну что, ждем нейроСКАМщика со стороны злоумышленников? 🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы

🔗Ссылка: https://www.securitylab.ru/news/554626.php

Деобфускация и поиск уязвимости в Android приложениях с помощью Gemini AI #android #reverse #mobilepentest #gemini #google #ai Тулза предназначена для выявления потенциальных уязвимостей и деобфускации кода Android-приложений. Используя публичный API Google's Gemini, он анализирует декомпилированный код, улучшая его читаемость путем переименования переменных и функций, а также добавления комментариев. ➡️На вход инструмент принимает папку с декомпилированным кодом ➡️На выходе мы получаем JSON файлик с именем vuln_report, где перечисляются возможные уязвимости и их импакт. Также получаем более читаемый деобфусцированный код ➡️ Установка 1️⃣Установка инструмента

git clone https://github.com/In3tinct/deobfuscate-android-app
cd deobfuscate-android-app
python3 -m venv venv
source venv/bin/activate
pip3 install -r requirements.txt

2️⃣ Устанавливаем jadx, если уже установлен, то пропускаем

wget https://github.com/skylot/jadx/releases/download/v1.5.1/jadx-1.5.1.zip
unzip jadx-1.5.1.zip
cd jadx-1.5.1/bin

3️⃣Настройка инструмента

# Достаём API ключик ai.google.dev
EXPORT GEMINI_API_KEY= "Your Gemini API Key"

➡️ Запуск

python3 script.py --llm_model gemini-1.5-flash -output_dir /tmp/ver/ -source_dir "input_dir1/ input_dir2/"

llm_model — модель LLM, используемая для анализа. В настоящее время поддерживается только Google's Gemini. Различные варианты модели можно найти здесь. output_dir — каталог, в котором будут сохранены сгенерированные файлы. source_dir — каталог с декомпилированным кодом. Можно указать несколько каталогов, разделяя их пробелами, как показано выше. save_code (опционально) — по умолчанию установлено в false. Если установить в true, инструмент деобфусцирует код и сохранит его в указанном каталоге вывода; в противном случае будет сгенерирован только файл отчета об уязвимостях (vuln_report).

Важно: не отправляйте весь пакет целиком, включая библиотеки и прочее, так как сканирование может занять очень много времени. Рекомендуется указывать конкретные каталоги, содержащие код приложения. Например, если структура пакета выглядит как com/google/android/yourapp, укажите com/google/android/yourapp/receivers/.

На прикрепленных скринах видно, что примерно можно ожидать от этой тулзы. 📱 Github 🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

API, CLI и веб-приложение для анализа и поиска профиля человека в 1000 социальных сетях и веб-сайтах 🔗Ссылка: https://github.com/qeeqbox/social-analyzer

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/analytics/552798.php

🔗Ссылка: https://habr.com/ru/companies/gaz-is/articles/863482/

Сегодня вышла новая версия DOMPurify решающая проблему о которой я сообщал разработчикам ранее Может быть полезно если вы встречали санитизацию svg, но не знали как это обойти https://github.com/cure53/DOMPurify/releases/tag/3.2.3 https://blog.slonser.info/posts/dompurify-dirty-namespace-bypass/

🔗Ссылка: https://habr.com/ru/articles/862926/

Смог получить возможность потрогать Windows 11 Enterprise — это корпоративная версия операционной системы от Microsoft, предназначенная для предприятий и корпоративных пользователей Хочу выразить огромную благодарность Лолечке за предоставленную возможность поработать с Windows 11 Enterprise P.S. Чувствую, что битва будет на жизнь, а насмерть, и скорее всего я проиграю эту битву. На ней и будет проходить тестирование обхода AV. Антивирусное программное обеспечение, также известное как Antivirus, представляет собой компьютерную программу, используемую для предотвращения, обнаружения и удаления вредоносных программ. Я прочитал PDF-ку Antivirus and EDR bypasses for initial access и понял, что не смогу остановиться на одном ките для Cobalt Strike. Придется изучать еще больше. Я так и думал, но сейчас точно уверен в этом. Главное — не распыляться на все киты до кроличьей норы. Буду брать методы и комбинировать их, чтобы достичь наилучших результатов.

При проверке файла можно заметить подобные строки (скрин кода), из-за чего, скорее всего, будет происходить детектирование. Мой случай на 2 скрине. Потратил еще время и нашел такое:

https://www.cs.ru.nl/bachelors-theses/2023/Jorn_Heibrink___1040183___Antivirus_and_EDR_bypasses_for_initial_access.pdf

Обновление для первой записи...