#Arm1tage

Today, we'll talk a bit about JavaScript recon in web applications. I've based my methodology on My Javascript Recon Process - BugBounty. Collecting links to JS files can be done using gau:

gau example.com | grep -iE '\.js' | grep -ivE '\.json' | sort -u >> exampleJS.txt

Alternatively, you can use waymore, which seems to be better:

python3 waymore.py -i example.com -ko "\.js(\?|$)"

We can also try fuzzing to find hidden JS files:

ffuf -u https://www.example.com/js/ -w jsWordlist.txt -t 200

The wordlist for fuzzing can be found here: https://wordlists.assetnote.io/ After that, ping the JS links as some of them may be outdated.

httpx -l exampleJS.txt -mc 200

Now, let's look for secrets in these files using SecretFinder, a tool for detecting sensitive data such as apikeys, accesstokens, authorizations, jwt, etc. in a JS file:

cat exampleJS.txt | xargs -n2 -I @ bash -c 'echo -e "\n[URL] @\n";python3 SecretFinder.py -i @ -o cli' >> exampleJsSecrets.txt

Next, using availableForPurchase.py, we can check if the domains referenced in the JS files are available for purchase. This tool, combined with linkfinder and collector, is really powerful. Sometimes developers make mistakes when writing a domain, possibly the domain imports an external JavaScript file, etc.

cat exampleJS.txt | xargs -I @ bash -c 'python3 linkfinder.py -i @ -o cli' | python3 collector.py output
cat output/urls.txt | python3 availableForPurchase.py
[NO] www.googleapis.com
[YES] www.gooogleapis.com

After executing the above command, a list of potential endpoints that were discovered in the JS becomes available for review:

cat output/paths.txt

We can also immediately check for subdomain takeover using subzy

cat output/urls.txt |grep "https\{0,1\}://[^/]*\.example\.com/[^ ]*" >> subdomainExample.txt; subzy run --targets subdomainExample.txt

Also, excellent extensions for Burp: JS Miner and JS Link Finder which perform similar tasks but in real-time, for greater coverage it's better to use both script scanning and plugins

[ XZ backdoor - CVE-2024-3094 ] ! Backdoor in upstream xz/liblzma leading to SSH server compromise ! Check:

xz --version

5.6.0 & 5.6.1 — v u l n e r a b l e Update:

sudo apt update && sudo apt install --only-upgrade liblzma5

Summary: https://boehs.org/node/everything-i-know-about-the-xz-backdoor How it all started (email): https://www.openwall.com/lists/oss-security/2024/03/29/4 GitHub Thread: https://web.archive.org/web/20240329223553/https://github.com/tukaani-project/xz/issues/92 Message from Kali Linux team: https://twitter.com/kalilinux/status/1773786266074513523 The xz package, starting from version 5.6.0 to 5.6.1, was found to contain a backdoor. The impact of this vulnerability affected Kali between March 26th to March 29th. If you updated your Kali installation on or after March 26th, it is crucial to apply the latest updates today. Note that (almost) all Linux distros could be affected! For example, Fedora — Red Hat warned users to immediately stop using systems running Fedora development and experimental versions: https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros News: https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor And from CISA: https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094 So... JiaT75 made 750 commits in 2 years and finally backdoored XZ...

Secure Coding Cheatsheets Примеры уязвимых фрагментов кода и того как следует делать https://blog.devsecopsguides.com/secure-coding-cheatsheets

Email Spoofing Тема не нова, но часто забываемая при пентесте веб-апликаций. Email Spoofing - атака на домены, которые не используют или используют криво настроенные SPF и DMARC записи, которая позволяет отправлять письма от лица этого самого домена. Используется при фишинге и спаме, т.к. у человека, который увидел знакомый домен больше доверия к письму. Два сервиса, которые позволяют проверить DMARC и SPF записи: https://dmarcian.com/dmarc-inspector/# https://dmarcian.com/spf-survey/ https://mxtoolbox.com/ Важно добавить, что даже если сервис имеет DMARC и SPF записи, они могут быть настроены со следующими флагами: p=quarantine или p=none для DMARC - означает, что письма будут попадать только в спам ~all для SPF - означает, что письма будут приняты но будут помечены как подозрительное Короче: ты сможешь отправить письмо от лица домена, но оно попадёт в спам. Чем можно отправить письмо в случае уязвимого домена? Два сервиса: Emkei и DMARC-Tester. Чем можно проверить несколько доменов сразу на наличие уязвимости? Ранее упомянутый Spoofy.

./spoofy.py -d bugcrowd.com -o spoof.txt

Как защититься? Установи атрибут p=reject для DMARC и -all (тот же тэг all только знак не ~ а -) для SPF. Это запретит отправку из неизвестных источников. #emailspoofing

типичные мужланы в чате, вот мы и узнали ваше истинное лицо... Повезло вам, что у нас свобода слова и я не запрещаю никакие смайлики (кроме пальца вверх естественно).

С 8 Прекрасные девицы, поздравляю с восьмым марта. Желаю вам поменьше моразма по жизни, побольше любви и радости и продолжать осветлять туман жизни яркой улыбкой. Пускай колючие шипы красных роз ломают (ред-тим), а красивые и утонченные лепестки синей орхидеи защищали (блю-тим) наше с вами киберпространство. С праздником!

Материал про пентест 1С

Average Кавычка enjoyer.

Учимся не только кавычки тыкать, господа хорошие.

И в дополнении к курсу, небольшая но полезная статья про применение С2 Sliver с обходом антивирусного решения. Очень полезно для проведения RedTeam или симуляции фишинговых кампаний. Bypassing AV Solution Using Simple Evasion Techniques - Part 1 Только в образовательных целях. #maldev