Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/news/555922.php

🔗Ссылка: https://www.intigriti.com/researchers/blog/hacking-tools/exploiting-pdf-generators-a-complete-guide-to-finding-ssrf-vulnerabilities-in-pdf-generators

В этом посте я рассказал про уязвимость в Next.js, которая на первый взгляд выглядит как небольшой баг в кешировании, но на деле может превратиться в серьезную проблему, способную привести к неожиданным последствиям 😏.

Тут могла бы быть интересная история, но это останется секретом)

Суть в том, что можно обмануть сервер и заставить его кешировать динамические страницы так, будто это статический контент. Если злоумышленник подменит данные, они останутся в кеше и будут раздаваться пользователям. Это открывает путь для Stored XSS, DoS и утечки данных. Мы привыкли считать кеш полезным инструментом для ускорения работы сайта, но если его неправильно настроить, он превращается в оружие. Если у вас в проектах используется Next.js — советую проверить, не уязвим ли ваш сервис для этого я приложил PoC. Источники для изучения https://security.snyk.io/vuln/SNYK-JS-NEXT-8025427 https://github.com/advisories/GHSA-gp8f-8m3g-qvj9 https://github.com/vercel/next.js/security/advisories/GHSA-gp8f-8m3g-qvj9 https://zhero-web-sec.github.io/research-and-things/nextjs-cache-and-chains-the-stale-elixir https://vulert.com/vuln-db/CVE-2024-46982

Всем привет, на днях в достаточно подробном исполнении появилась еще одна вариация атаки Kerberos Relay. Этот пост для тех, кто окончательно запутался и не знает, с чего начать изучение всего обилия инструментов и статей. Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки. В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM. Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье. Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей. Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS. Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа. 1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ; 2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут; 3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут. Вернемся к DNS. Зона может быть настроена с флагом ZONE_UPDATE_UNSECURE , что разрешает обновления без аутентификации. В таком случае мы можем осуществить MiTM и перехватить AP-REQ креды, идущие на какие-либо службы. Соответственно, сделать релей на эти службы и получить к ним доступ. POC называется KrbJack. Он автоматизирует весь цикл атаки: сначала подменяет IP-адреса, потом слушает пакеты и, если обнаруживает аутентификацию по керберосу или NTLM, то пытается отрелеить ее на шару ADMIN$ с последующим деплоем шелла. Тулзу можно использовать и просто для обновлений записей анонимно. Пример использования в репозитории. Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования. Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.

🔗Ссылка: https://opennet.ru/62635/

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/874044/

💻 Сканирование сетевых портов в Linux – команда nmap #cybersec #pentest #cheatsheet

🔗Ссылка: https://github.com/psiinon/open-source-web-scanners

🔗Ссылка: https://habr.com/ru/articles/877404/

🔗Ссылка: https://github.com/pry0cc/axiom

🔗Ссылка: https://github.com/tihanyin/PSSW100AVB/

Наш Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

👉🏻

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50 Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить Часть 1 Часть 2 ➡️Я боюсь, что мои работы никто не заметит Решение: ▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат. ▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками. ▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть. ➡️Я не знаю, как рассказать о своём вкладе в командные проекты Решение: ▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе) ▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения. Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить) P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :) Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё! 🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50 Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить Часть 1 Часть 2 ➡️У меня нет опыта работы, а все требуют проекты и достижения Решение: ▪️Участвуйте в CTF (Capture the Flag) соревнованиях. Даже начинающие задачи могут быть значимым вкладом в портфолио. ▪️Опишите выполненные учебные проекты, например, анализ уязвимостей или создание простых систем безопасности. ▪️Учавствуйте в BugBounty, сейчас этот рынок РФ быстро растёт и уже с прошлого года вижу как в вакансиях появился новый пункт в разделе Будет плюсом об участии в багбаунти. Понятно, что надо и баги найти, а не просто зарегаться :D ➡️Я не знаю, что добавить в портфолио, чтобы это заинтересовало работодателей Решение: ▪️Пишите writeup'ы (райтапы) по лабам HackTheBox/TryHackMe/PortSwigger Academy. С помощью грамотного описания как вы поломали что-то вы улучшите: понимание темы/уязвимости/системы, навык написания отчётов (что нужно не только для техписов/аналитиков), грамотную подачу мыслей. ▪️Документируйте свои исследования: анализ уязвимостей, best practice использование инструментов, какие-то автоматизации. К примеру был кейс, когда пришёл одному парню в компании1 дали задачу написать крутой сетевой сканер (типо naabu от Project Discovery, только тогда naabu ещё не существовало)). В итоге парня сократили в компании1, т.к. сказали что разработка больше не нужна. Он пришёл на собес к одной из ИБ компаний в России и чё-то как-то начал рассказывать и когда он сказал, чем он занимался и что у него уже есть на руках, то его практически сразу взяли на работу. Ведь наши знаний, как кандидата на место в компанию, могут стоить для компании кратно дороже, чем мы их сами оцениваем) ➡️Я не умею правильно оформить своё портфолио Решение: ▪️Используйте GitHub, как платформу для публикации проектов. Систематизируйте репозитории по категориям. Делитесь с сообществом своими наработками, компаниям это нравится. ▪️Не надо думать, что вы дофига дизигнер и нарисуете сами или через какой-то сервис генерации красивое, красочное резюме. Когда ко мне приходят с оценкой резюме и я вижу каракули — практически всегда это выглядит как детская поделка на субботнем утренике. У нас есть генератор резюме на hh, как стандарт. HRы в крупных компаниях тратят буквально несколько секунд на беглый осмотр вашего резюме. Всё что не укладывается в стандартизированный формат, будет либо скипнуто, либо запомниться недовольством о вашем резюме. ➡️Мои проекты выглядят слишком простыми — как показать свой потенциал? Решение: ▪️Сходи к психологу и проработай свой синдром самозванца. Скромным не дают много деняг, потому что они не умеют требовать. ▪️Добавляйте пояснения, чего вы хотели достичь проектом и какие выводы сделали. Например: "Задача проекта — понять механизмы SQL-инъекций и предложить эффективные защиты." ▪️Покажите процесс решения задачи: от поиска проблемы до её устранения. Т.е. опишите ваш flow (не переводится) мышления, тогда либо вашему будущему руководителю, либо HRу будет понятно, как вы думаете и подходит ли ваше мышление для отдела. ▪️Если всё ещё счиатете проекты простыми, то выходите из зоны комфорта и ставьте цели кратно сложнее. Даже если не добъётесь конечного результата, за вами уже будет ковровая дорожка. 🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🔗Ссылка: https://www.securitylab.ru/news/555863.php