Fsecurity | HH

Стилеры н-нада?? 😈 Последние дни админ был в состоянии глубокой фрустрации... пока не надыбал годноту, которой просто грех не поделиться 👋 Недавно @ThreatHuntingFather поднимал интересную тему — Initial Access Brokers (IAB). Это такие пробивалы, которые не сами ломают инфраструктуру, а продают уже готовые доступы другим злоумышленникам. Такой себе доступ по подписке 💸 А как же они эти доступы получают? Один из популярных способов — всеми любимые инфостилеры. Атакующему проще сперва найти уже слитые креды сотрудников, чем шуметь в инфраструктуре и ловить внимание SOC 🛡 Стилеров сейчас пруд пруди — они массово распространяются, чтобы выкачивать пароли, VPN-конфиги и прочий сочный лут. И вот чтобы разбирать их техники и понимать, как это всё работает, есть отличный ресурс — InfoStealers.com 🐸 В общем, must-have в закладках 🕺 🧢 s0ld13r

🔗Ссылка: https://habr.com/ru/articles/871300/

🔗Ссылка: https://habr.com/ru/articles/880544/

🔗Ссылка: https://opennet.ru/63062/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/900018/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/899938/

🔗Ссылка: https://www.securitylab.ru/news/558260.php?r=1

🔗Ссылка: https://github.com/TarlogicSecurity/BlueSpy

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

📞 Upload_Bypass v3.0.9-dev Инструмент, предназначенный для тестирования механизмов загрузки файлов (upload forms). Использует различные методы поиска ошибок, чтобы упростить процесс выявления и эксплуатации уязвимостей. С простенькими формами и уязвимостями справляется, тестировалось на машине HackTheBox - Magic Работает с request файлом взятым из 😈 Burp, в Repeater ПКМ - copy to file. Заменить содержимое, имя файла и mime type на *content*, *filename*, *mimetype* соответственно. Установка:

git clone https://github.com/sAjibuu/Upload_Bypass.git

pip install -r requirements.txt

Режим детектирования:

python upload_bypass.py -r test -s 'File uploaded successfully' -E php -D /uploads --burp --detect

Режим эксплуатации:

python upload_bypass.py -r test -s 'File uploaded successfully' -E php -D /uploads --burp --exploit

Anti malware mode:

 python upload_bypass.py -r test -s 'File uploaded successfully' -E php -D /uploads --burp --anti_malware

💻 Home #web #pentest #upload #python #soft ✈️ Whitehat Lab

🔗Ссылка: https://habr.com/ru/articles/898920/

💻 Деньги на ветер На днях, гуляя по теневому ресурсу, обнаружил сомнительный мануал по крупному заработку. Автор утверждает, что за 3 дня заработал этим способом ~$3000. Я решил изучить мануал и эксплойт. Первое, на что я обратил внимание, — это на позитивные комментарии к посту, а именно на эти аккаунты. Они были созданы в один и тот же день, а также комментируют одни и те же посты с подобными сомнительными заработками. ▎ В чём суть легенды мануала? В прикрепленном PDF (чист от вирусов) мануал по использованию эксплойта для сервиса G2A (торговая площадка, специализирующаяся на игровой продукции). Эксплойт, вставленный в браузер расширением Tampermonkey, якобы меняет часовой пояс браузера всякий раз, когда мы делаем новый заказ на G2A. Это приводит к тому, что заказ будет отмечен как "Истёк" на платежном процессоре G2A - Bitbay (биржа по торговле криптовалютой), однако заказ не будет отмечен как истёкший на стороне G2A. Деньги будут мгновенно возвращены на кошелек Bitbay, если эта транзакция на большую сумму (более 0,001 BTC ≈ 6518 руб на данный момент). В итоге товар получен, а деньги возвращены. Также в мануале совет, что именно покупать на G2A с данным скриптом — купоны Amazon на $100-500, которые потом можно перепродать другим. Звучит привлекательно для злоумышленника. Но в образовательных целях решил взяться за изучение эксплойта и его использования на практике. Первым делом обнаружил, что код в скрипте обфусцирован, то есть он трудночитаемый и сложный для анализа. Закинул код нейросетям и попросил провести анализ. Вирусная активность не была обнаружена, но нашлась одна тонкость, которая упущена в легенде мануала. ▎ Разбираемся Оказывается, существует вероятность (точно не выявлено, но множество подозрений), что в страницу подставляется мошеннический QR-код для оплаты вместо официального. И под видом того, что вылезает оплата со сменой часового пояса, на самом деле деньги улетят мошеннику — автору скрипта. Решил проверить, работает ли вообще данный развод на практике. На всякий случай скрипт я вставлял в чистой песочнице Windows, мало ли что в этом скрипте может храниться. И да. После нажатия "Оформить заказ" в корзине мне вылез alert "Timezone changed! Press OK to continue". На странице вылезло окно оплаты биткоинами QR-кодом. Если набрать слишком маленькую корзину (до 0,001 BTC, то вылезает alert с предупреждением, что эксплойт не сработает). Дополнительное замечание: без использования данного кода в расширении браузера из корзины идёт редирект на вариацию оплаты, а после выбора оплаты биткоинами происходит ещё редирект на страницу с оплатой. Но с использованием "эксплойта" окно оплаты биткойнами появляется поверх корзины (которое ещё и нельзя закрыть), что дополнительно вызывает сильные подозрения в правдивости эксплойта. Я пробовал поосинтить BTC адреса, но никакой информации в интернете я про них не нашел. Это новые кошельки. Генерируются каждый раз новые при повторной попытке оплатить заказ. Не стал пытаться оплачивать, потому что был уверен в том, что это просто развод социальной инженерией, где скамер скамит скамеров. С большей вероятностью эти деньги бы никто и не вернул, лишь бы проспонсировали злоумышленника-автора скрипта. Плюс непонятно, на что направлено такое спонсорство: в руки злоумышленника или каким-то запрещенным организациям в РФ? Будьте с этим предельно осторожны и в принципе не пробуйте чёрные способы заработка, иначе можно надолго присесть. После подачи в репорт автор и ветка обсуждения были быстро заблокированы модерацией сайта.

🔗Ссылка: https://www.securitylab.ru/news/558244.php?r=1

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/bizone/articles/896556/

🔗Ссылка: https://www.securitylab.ru/news/558242.php

🔄 😀 CATS v13.1.1 (Contract API Testing and Security) Продвинутый REST API фаззер с высокой скоростью работы. Строит HTML отчеты по окончании. Очень подробная документация на официальном сайте. Написан на 💻 Java UPD. Большое обновление отличного инструмента до 13ой версии - notes Запуск в режиме black box:

cats --contract=openapi.yml -H "Authorization=$token" --server=https://api-url.com -b -k

Запуск в режиме context mode:

cats --contract=openapi.yaml --server=http://localhost:8080 --headers=headers.yml --refData=referenceData.yml

Запуск в режиме continuous fuzzing:

cats random --contract=openapi.yaml --server=http://localhost:8080 -H "API-KEY=$token" --mc 500 --path "/users/auth" -X POST --stopAfterTimeInSec 10

💻 Github 💻 Download 📔 Docs 📚 Тестируем Github API с CATS #soft #cats #java #fuzzer ✈️ Whitehat Lab

🔗Ссылка: https://github.com/jthack/ffufai

🔗Ссылка: https://www.securitylab.ru/news/558197.php