مدرسه تست نفوذ

⭕️ #هشدار در کانال ها و گروه های زیادی این پیشنهاد رو به کاربران میدن که برای متصل شدن و دور زدن فیلترینگ، تنظیمات اینترنت خودشون رو در حالت 2G بزارن. اگر روی این حالت ببرید تمام ارتباطات شما بدون هیچگونه رمزنگاری تبادل میشود. یعنی با داشتن شماره موبایل شما ، نهادهای جاسوسی میتونند موبایل شما رو هک کنند. #هشدار @securation

⭕️ شنود پیامک های شما و سیستم جدید فیلترینگ که باعث میشه پیام ها به دست همدیگه نرسه یک مرض ثابت و رایج شده. اینجا نرم افزار نهفت خیلی به کار میاد و حتما همگی از این نرم افزار استفاده کنید:) ++«نهفت» نرم‌افزار آفلاین برای رمزنگاری پیام‌های متنی در گوشی‌های اندرویدی است. با نهفت پیام‌های خود را در قالب یک عکس یا رشته‌ای از کلمات معنادار فارسی رمزنگاری کرده و آن را از طریق هر پیام رسانی، برای شخص مورد نظر خود ارسال کنید. نهفت یک پیام‌رسان نیست، بلکه ابزاری برای رمزنگاری پیام‌هاست. دانلود از گوگل پلی لطفا برای همگی دوستان و آشنایان خود ارسال کنید. #فیلترینگ #شنود #سانسور @securation

با سلام و وقت بخیر وبینار Red Team P1 پنجشنبه 3 شهریور ساعت 13 برگزار خواهد شد. سرفصل های که قرار صحبت بشه و همچنین لینک ورود به وبینار : https://webinar.sindadsec.ir/redteaming

⭕️ پتروشیمی لرستان و شرکت پتروشیمی فجر هک شده و دیتاهای اونها برای فروش قرار گرفته است. تصویر ضمیمه شده یکی از عکسهایی هست که شخص هکر برای POC ارائه قرار داده است. تاکنون هیچ واکنشی از مراجع قانونی یا پتروشیمی های مربوطه ارائه داده نشده است. #پتروشیمی_فجر #لرستان @securation

⭕️ بنظر میاد دانشگاه شریف و دانشگاه تهران توسط گروهی با پرچم #اسرائیل هک شده اند. تصاویری از دسترسی root سرورهای دانشگاه شریف و دانشگاه تهران بهمراه تصاویر دیگری از ایمیل سرورهای آنها نشان میدهد هکرها به تمامی سرویس های این دو دانشگاه نفوذ کامل داشته اند. @securation

⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و... حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد. حالا نکته ای که هست با اجرای این خط کامند: msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\" ماشین حساب اجرا میشه و با اجرای : msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\" اگر جای base64_payload پیلود ما باشه اجرا میشه . برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :‌ https://github.com/Hrishikesh7665/Follina_Exploiter_CLI https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina https://github.com/JohnHammond/msdt-follina از این ابزار ها میتوان به راحتی استفاده کرد. https://github.com/rayorole/CVE-2022-30190 این هم فایل HTML مورد نظر هستش بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟ اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست. در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم. نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟ اگر به صورت کامندی صورت گرفته باشه باید در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه به هر طریقی که ما اجرا کنیم یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه ) در مسیر appdata/local/diagnostics هستش. #redteam #follina #exploit #analysis @securation

⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات clinet access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و... حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و EXEL و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد. حالا نکته ای که هست با اجرای این خط کامند: msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\" ماشین حساب اجرا میشه و با اجرای : msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\" اگر جای base64_payload پیلود ما باشه اجرا میشه . برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :‌ https://github.com/Hrishikesh7665/Follina_Exploiter_CLI https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina https://github.com/JohnHammond/msdt-follina از این ابزار ها میتوان به راحتی استفاده کرد. https://github.com/rayorole/CVE-2022-30190 این هم فایل HTML مورد نظر هستش بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟ اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست. در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم. نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟ اگر به صورت کامندی صورت گرفته باشه باید در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه به هر طریقی که ما اجرا کنیم یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه ) در مسیر appdata/local/diagnostics هستش. #redteam #follina #exploit #analysis @securation

⭕️ دور زدن CSRF Tokens 1- حذف کردن CSRF Token 2- تعویض متد درخواست از POST به GET 3- استفاده از CSRF Token کاربر دیگر 4- ترکیب کردن Session Fixation و استفاده از یک توکن جعل شده معتبر در مواقعی که مکانیزم به کار رفته Double submit cookie هست. https://systemweakness.com/introduction-to-csrf-stepwise-guide-to-bypass-csrf-tokens-2-2-1375b30d479e #web #cookie #CsrfToken @securation