fa
Feedback
Fsecurity | HH

Fsecurity | HH

رفتن به کانال در Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

نمایش بیشتر
2 007
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-27 روز
-1230 روز
آرشیو پست ها
Repost from Похек
Принёс вам маленькую удобную плюшку #red_team #fileupload При проведении пентестов, часто сталкиваемся с тем, что можно попро
Принёс вам маленькую удобную плюшку #red_team #fileupload При проведении пентестов, часто сталкиваемся с тем, что можно попробовать загрузить для проверки функции загрузки файлов или для content spoofing'а. Так вот один юзер тоже задался таким вопросом и таки написал тулзу, которая генерирует картинки без какого специфичного содержания. А то заказчик может неправильно понять и обидеться на какую-то картинку А ещё из недавно, нужно было проверить какой максимальный размер может поглотить загрузка файлов. Был архив с NvidiaRTX Chat на 35 гб. Такой большой объем не ел, а допустим на 5 или 15 гб не смог у себя файлы найти, чтобы это были не какие-то важные архивы. Так вот эта утилита может ещё и картинки любого размера генерировать) Возможно вы и не сделаете file upload bypass, но переполнить хранилище сервера с лёгкостью, если конечно предыдущие картинки не удаляются. Установка:
pip install git+ssh://git@github.com/sterrasec/dummy.git
лично у меня не получилось её поставить таким способом. Только через гитклон и ручную установку зависимостей забейте, я разобрался)) Использование:
# Самый простой вариант. Текст по умолчанию "dummy file"
dummy test1.jpeg

# Далее можно поиграться с текстом, чтобы заказчик точно понял, что это оставили мы
dummy -t poxek test2.png

# Далее можем поиграться с размером. Но генерация произвольного размера возможна только для png
dummy -t poxek -b 10MB test3.png
Как я писал выше, только при png мы можем свободно менять размер. Тогда какие форматы ещё поддерживаются? jpeg и pdf. Если получится, то на досуге перепишу эту тулзу, чтобы она точно у всех работала и собиралась. Но идея проекта не безосновательная. 🧩 Github 🌚 @poxek

Repost from Похек
😑 GraphSpy #AD #Windows #O365 Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе б
😑 GraphSpy #AD #Windows #O365 Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе браузера. Написана на python + html/css/js Установка:
# Установка pipx (пропустите, если уже установлен)
apt install pipx
pipx ensurepath

# Установка GraphSpy
pipx install graphspy
После установки приложение можно запустить с помощью команды graphspy. Запуск GraphSpy без каких-либо аргументов приведет к запуску по умолчанию по адресу http://127.0.0.1:5000. У GraphSpy множество функций, так давайте разберемся в них: Токены доступа и обновления — храните токены доступа и обновления для нескольких пользователей и диапазонов в одном месте. Легко переключайтесь между ними или запрашивайте новые маркеры доступа с любой страницы. Девайс коды — легко создавайте и опрашивайте сразу несколько кодов устройств. Если пользователь использовал код устройства для аутентификации, GraphSpy автоматически сохранит токен доступа и обновления в своей базе данных. Файлы и SharePoint — просмотр файлов и папок в OneDrive пользователя или на любом доступном SharePoint с помощью user-friendly интерфейса проводника файлов. Конечно, файлы можно загружать и напрямую. Кроме того, в списке отображаются недавно открытые файлы пользователя или файлы, к которым он имеет общий доступ. Outlook — можно одним нажатием открывать Outlook использовав только Outlook access token Графовый поиск — поиск по ключевым словам во всех приложениях Microsoft 365 с помощью Microsoft Search API. Например, поиск любых файлов или электронных писем, содержащих ключевые слова, как "пароль", "конфиденциально" и т.д. Кастомные запросы — можно выполнять собственные API-запросы к любому endpoint'у, используя токены доступа, хранящиеся в GraphSpy. Поддержки нескольких БД — GraphSpy поддерживает несколько баз данных. Это удобно при одновременной работе над несколькими проектами, чтобы хранить токены и коды устройств в порядке. Ну и куда же без нашей любимой тёмной темы)) 🌚 💻 Github 🌚 @poxek

Ого нас тут уже 1200 Огромное спасибо всем 👾

Repost from Blue (h/c)at Café
🤨 Почему Nuclei можно и нужно использовать как фаззер Ха, попались, это кликбейт... Хотел бы написать я, но у меня есть действительно интересная тема для дискуссии. 📕 А что мы вообще сейчас хотим видеть от фаззеров? Если подойти к вопросу максимально просто, то скорость и оптимизация, а ну и чтобы не вылетало. Вот и всё? Однозначно нет, нам нужно покрытие, возобновление работы после прерывания или случайного "нажатия не туда", кастомизация и простота использования (сюда можно было бы добавить AI, но сейчас оно из каждого утюга, вскоре и чебупели мне будет AI подогревать🤗). А что из этого мы можем получить, используя тот же движок от Burp 😈? Всё, кроме AI и оптимизации (говорим про большие проекты). А ещё он же платный, даже если мы говорим про его "free" dastardly ⚠️ Да начнется холивар 😱 Nuclei — лучший и самый удобный фаззер. Да, но почему это так ? Кластеризация темплейтов, многопоточность 💻, возобновляемые прерывания, интеграция со всеми продуктами ProjectDiscovery (странно было бы если такого не было). Даже открыв исходники Нукли мы можем увидеть то, с чем он может работать:
/pkg/fuzz/component/body.go
/pkg/fuzz/component/cookie.go
/pkg/fuzz/component/headers.go
/pkg/fuzz/component/path.go
/pkg/fuzz/component/query.go
/pkg/fuzz/component/value.go
Мало? Можете дописать сами или закинуть в "хотелки", разрабы помогут и подскажут. На самом деле, про него действительно мало чего написано и рассказано, только индусы и сами ProjectDiscovery про него пишут. Но всё ли так хорошо ? 🙃🥹😘👍 Конечно нет, иначе это была бы фантастика. Чтобы использовать Нукли по максмуму нужно использовать ... katana. Нет, мы не будем брать длинный японский меч и бить им по экрану, чтобы он лучше работал, нами будет сделан краулинг эндпоинтов.
katana -u example.com -f qurl -o fuzz_list.txt -hl -nos -jc -jsl
Всё что касается HEADLESS - нужно отдельно настраивать `-jsl` очень сильно нагружает ОП В данном примере RATE-LIMIT я не трогал, но он очень хорошо масштабируется
Либо можно использовать немого другой инструмент, но смысл остаётся — ТЫК Буквально:
git clone https://github.com/0xKayala/NucleiFuzzer.git
cd NucleiFuzzer
sudo chmod +x install.sh
./install.sh
nf -h
Вот у нас есть эндпоинты, сам фаззер, но нет результатов. Что же нам теперь делать? Правильно, устанавливаем темплейты для фаззинга (пора бы свои тоже писать начать. ЭТО ВСЕХ КАСАЕТСЯ!), а также смотрим, как это чудо запускать:
nuclei -t custom-fuzzing-templates -list fuzz_list.txt -dast -im list -irr -je best_fuzzer_result.json
`-fuzz` устарел, поэтому мы используем `-dast` `-irr` нужен, чтобы мы сохраняли req/res в самом отчете Во флаге `-im` мы можем указать следующие значения `list`, `burp`, `jsonl`, `yaml`, `openapi`, `swagger`
Нет, я не перехваливаю его, есть же Ffuf — ТЫК, а если его использовать в связке с ffufPostprocessing — ТЫК, то он раскрывается очень хорошо.
После написания поста, нашел улучшенную версию ffufPostprocessing. Самое удивительное, что я даже знаю этого человека reewardius/ffufPostprocessing — ТЫК
Заключение Теперь Nuclei я использую не только как сканнер уже известных уязвимостей и подобие фаззера, но и как полноценный инструмент в своих задачах. В скором времени выложу свой инструмент (сборная солянка) на Go, он будет написан как говно с костылями, но будет работать и помогать не только с DAST, но и с BB и пентестами. 😜 UPD: Обязательно заходите в комментарии к записи, там больше материала ❤️❤️ #redteam #devsecops

sticker.webp0.20 KB

Выложил тот самый ролик про Parrot OS Но пришлось удалить большую часть .... https://youtu.be/hQ3Ly0MmwnM?si=43udLquvwxhMdh5x

Восстанавливать ролик про Parrot OS, но без категории хакинг ? 🤔
Anonymous voting

Repost from PurpleBear
В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прок
В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прокачки навыков IR against APT-level threats. Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎 ➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими Incident Response кейсы по отработке различных навыков на примере атак APT-29🐻, APT-10🐼, AlphV (BlackCat)🐈‍⬛ ➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента ➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков SOC и 60-70 часов для новичков ➖7 дневная триалка только после привязки карты ➖минимальная стоимость подписки - 45$/мес Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную devbox.io

Repost from Похек
😑 Genzai #IoT #ИнтернетВещей #red_team Genzai помогает найти панели управления, связанные с IoT / Интернета вещей, по одной
😑 Genzai #IoT #ИнтернетВещей #red_team Genzai помогает найти панели управления, связанные с IoT / Интернета вещей, по одной или нескольким целям, а также проверить их на наличие паролей по умолчанию и потенциальных уязвимостей на основе путей и версий. 📊 Features: ⚪️Беспроводной маршрутизатор ⚪️Камера наблюдения ⚪️HMI (человеко-машинный интерфейс) ⚪️Интеллектуальное управление питанием ⚪️Система контроля доступа в здание (СКУД) ⚪️Климатический контроль ⚪️Промышленная автоматизация ⚪️Автоматизация дома ⚪️Система очистки воды 💻 Github 🌚 @poxek

Repost from SHADOW:Group
😱 Уязвимости в установщике Битрикс Для установки Битрикса есть скрипт bitrixsetup.php, который разработчики рекомендуют удалять после установки, но, как выяснилось, не все это делают. При обнаружении этого скрипта основной вектор атаки, который приходит в голову, это переустановить CMS и загрузить веб-шелл через административную панель. Иногда админы просто ограничивают права на запись в директорию и считают, что этого будет достаточно, однако данный скрипт сам по себе оказался уязвим к XSS и LFR: XSS:
https://target.com/bitrixsetup.php?action=UNPACK&filename=<img src='' onerror=alert(document.domain)>
LFR:
https://target.com/bitrixsetup.php?action=UNPACK&filename=../../../../etc/passwd 
Более подробно читайте в статье на хабре. #web #bitrix #xss #lfr

Repost from k8s (in)security
Сегодня хотим поделиться с вами прикольным расширением Argo CD для Trivy Operator. Расширение позволяет прямо в интерфейсе Ar
Сегодня хотим поделиться с вами прикольным расширением Argo CD для Trivy Operator. Расширение позволяет прямо в интерфейсе Argo CD отображать vulnerability reports, созданные Trivy Operator в результате сканирования на уязвимости docker образов. Для того чтобы установить расширение к себе в Argo CD необходимо немного пропатчить Deployment argo-cd sever. А именно – добавить init-container с необходимым React Component.