Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 007
Obunachilar
Ma'lumot yo'q24 soatlar
-27 kunlar
-1230 kunlar
Postlar arxiv
2 008
Repost from Похек
Принёс вам маленькую удобную плюшку
#red_team #fileupload
При проведении пентестов, часто сталкиваемся с тем, что можно попробовать загрузить для проверки функции загрузки файлов или для content spoofing'а. Так вот один юзер тоже задался таким вопросом и таки написал тулзу, которая генерирует картинки без какого специфичного содержания.
А то заказчик может неправильно понять и обидеться на какую-то картинку
А ещё из недавно, нужно было проверить какой максимальный размер может поглотить загрузка файлов. Был архив с NvidiaRTX Chat на 35 гб. Такой большой объем не ел, а допустим на 5 или 15 гб не смог у себя файлы найти, чтобы это были не какие-то важные архивы. Так вот эта утилита может ещё и картинки любого размера генерировать)
Возможно вы и не сделаете file upload bypass, но переполнить хранилище сервера с лёгкостью, если конечно предыдущие картинки не удаляются.
Установка:
лично у меня не получилось её поставить таким способом. Только через гитклон и ручную установку зависимостей забейте, я разобрался))
Использование:
pip install git+ssh://git@github.com/sterrasec/dummy.git
# Самый простой вариант. Текст по умолчанию "dummy file"
dummy test1.jpeg
# Далее можно поиграться с текстом, чтобы заказчик точно понял, что это оставили мы
dummy -t poxek test2.png
# Далее можем поиграться с размером. Но генерация произвольного размера возможна только для png
dummy -t poxek -b 10MB test3.png
Как я писал выше, только при png мы можем свободно менять размер. Тогда какие форматы ещё поддерживаются? jpeg и pdf.
Если получится, то на досуге перепишу эту тулзу, чтобы она точно у всех работала и собиралась. Но идея проекта не безосновательная.
🧩 Github
🌚 @poxek2 008
Repost from Похек
😑 GraphSpy
#AD #Windows #O365
Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе браузера.
Написана на python + html/css/js
Установка:
# Установка pipx (пропустите, если уже установлен)
apt install pipx
pipx ensurepath
# Установка GraphSpy
pipx install graphspy
После установки приложение можно запустить с помощью команды graphspy.
Запуск GraphSpy без каких-либо аргументов приведет к запуску по умолчанию по адресу http://127.0.0.1:5000.
У GraphSpy множество функций, так давайте разберемся в них:
Токены доступа и обновления — храните токены доступа и обновления для нескольких пользователей и диапазонов в одном месте. Легко переключайтесь между ними или запрашивайте новые маркеры доступа с любой страницы.
Девайс коды — легко создавайте и опрашивайте сразу несколько кодов устройств. Если пользователь использовал код устройства для аутентификации, GraphSpy автоматически сохранит токен доступа и обновления в своей базе данных.
Файлы и SharePoint — просмотр файлов и папок в OneDrive пользователя или на любом доступном SharePoint с помощью user-friendly интерфейса проводника файлов. Конечно, файлы можно загружать и напрямую. Кроме того, в списке отображаются недавно открытые файлы пользователя или файлы, к которым он имеет общий доступ.
Outlook — можно одним нажатием открывать Outlook использовав только Outlook access token
Графовый поиск — поиск по ключевым словам во всех приложениях Microsoft 365 с помощью Microsoft Search API. Например, поиск любых файлов или электронных писем, содержащих ключевые слова, как "пароль", "конфиденциально" и т.д.
Кастомные запросы — можно выполнять собственные API-запросы к любому endpoint'у, используя токены доступа, хранящиеся в GraphSpy.
Поддержки нескольких БД — GraphSpy поддерживает несколько баз данных. Это удобно при одновременной работе над несколькими проектами, чтобы хранить токены и коды устройств в порядке.
Ну и куда же без нашей любимой тёмной темы)) 🌚
💻 Github
🌚 @poxek2 008
Repost from Blue (h/c)at Café
🤨 Почему Nuclei можно и нужно использовать как фаззер
Ха, попались, это кликбейт... Хотел бы написать я, но у меня есть действительно интересная тема для дискуссии.
📕 А что мы вообще сейчас хотим видеть от фаззеров?
Если подойти к вопросу максимально просто, то скорость и оптимизация, а ну и чтобы не вылетало. Вот и всё? Однозначно нет, нам нужно покрытие, возобновление работы после прерывания или случайного "нажатия не туда", кастомизация и простота использования (сюда можно было бы добавить AI, но сейчас оно из каждого утюга, вскоре и чебупели мне будет AI подогревать🤗).
А что из этого мы можем получить, используя тот же движок от Burp 😈? Всё, кроме AI и оптимизации (говорим про большие проекты). А ещё он же платный, даже если мы говорим про его "free" dastardly
⚠️ Да начнется холивар
😱 Nuclei — лучший и самый удобный фаззер. Да, но почему это так ? Кластеризация темплейтов, многопоточность 💻, возобновляемые прерывания, интеграция со всеми продуктами ProjectDiscovery (странно было бы если такого не было). Даже открыв исходники Нукли мы можем увидеть то, с чем он может работать:
/pkg/fuzz/component/body.go
/pkg/fuzz/component/cookie.go
/pkg/fuzz/component/headers.go
/pkg/fuzz/component/path.go
/pkg/fuzz/component/query.go
/pkg/fuzz/component/value.go
Мало? Можете дописать сами или закинуть в "хотелки", разрабы помогут и подскажут.
На самом деле, про него действительно мало чего написано и рассказано, только индусы и сами ProjectDiscovery про него пишут.
❌ Но всё ли так хорошо ?
🙃🥹😘👍
Конечно нет, иначе это была бы фантастика. Чтобы использовать Нукли по максмуму нужно использовать ... katana. Нет, мы не будем брать длинный японский меч и бить им по экрану, чтобы он лучше работал, нами будет сделан краулинг эндпоинтов.
katana -u example.com -f qurl -o fuzz_list.txt -hl -nos -jc -jsl
Всё что касается HEADLESS - нужно отдельно настраивать `-jsl` очень сильно нагружает ОП В данном примере RATE-LIMIT я не трогал, но он очень хорошо масштабируетсяЛибо можно использовать немого другой инструмент, но смысл остаётся — ТЫК Буквально:
git clone https://github.com/0xKayala/NucleiFuzzer.git
cd NucleiFuzzer
sudo chmod +x install.sh
./install.sh
nf -h
Вот у нас есть эндпоинты, сам фаззер, но нет результатов. Что же нам теперь делать? Правильно, устанавливаем темплейты для фаззинга (пора бы свои тоже писать начать. ЭТО ВСЕХ КАСАЕТСЯ!), а также смотрим, как это чудо запускать:
nuclei -t custom-fuzzing-templates -list fuzz_list.txt -dast -im list -irr -je best_fuzzer_result.json
`-fuzz` устарел, поэтому мы используем `-dast` `-irr` нужен, чтобы мы сохраняли req/res в самом отчете Во флаге `-im` мы можем указать следующие значения `list`, `burp`, `jsonl`, `yaml`, `openapi`, `swagger`Нет, я не перехваливаю его, есть же Ffuf — ТЫК, а если его использовать в связке с ffufPostprocessing — ТЫК, то он раскрывается очень хорошо.
После написания поста, нашел улучшенную версию ffufPostprocessing. Самое удивительное, что я даже знаю этого человека reewardius/ffufPostprocessing — ТЫК❔ Заключение Теперь Nuclei я использую не только как сканнер уже известных уязвимостей и подобие фаззера, но и как полноценный инструмент в своих задачах. В скором времени выложу свой инструмент (сборная солянка) на Go, он будет написан как говно с костылями, но будет работать и помогать не только с DAST, но и с BB и пентестами. 😜 UPD: Обязательно заходите в комментарии к записи, там больше материала ❤️❤️ #redteam #devsecops
2 008
Выложил тот самый ролик про Parrot OS
Но пришлось удалить большую часть ....
https://youtu.be/hQ3Ly0MmwnM?si=43udLquvwxhMdh5x
2 008
Repost from PurpleBear
В этой заметке хочу рассказать про новую платформу Xintra - APT Emulation Labs, которая позиционируется как площадка для прокачки навыков
IR against APT-level threats.
Я уже несколько раз писал про платформы для обучения и совершенствования навыков защитников, поэтому еще одна точно лишний не будет😎
➕На данный момент площадка представляет собой лабораторное окружение в веб-интерфейсе с 3 лабами имитирующими Incident Response кейсы по отработке различных навыков на примере атак APT-29🐻, APT-10🐼, AlphV (BlackCat)🐈⬛
➕ Каждая лаба состоит из 40-60 вопросов, на которые предстоит ответить при расследовании инцидента
➕ Со слов разработчиков на решение каждой лабы потребуется 30-40 часов для опытных аналитиков SOC и 60-70 часов для новичков
➖7 дневная триалка только после привязки карты
➖минимальная стоимость подписки - 45$/мес
Таким образом, платформ для прокачки навыков защитников становится больше и это радует👍 А если хочется сначала понять зайдет-не зайдет рекомендую посмотреть на бесплатную devbox.io2 008
Repost from Похек
😑 Genzai
#IoT #ИнтернетВещей #red_team
Genzai помогает найти панели управления, связанные с IoT / Интернета вещей, по одной или нескольким целям, а также проверить их на наличие паролей по умолчанию и потенциальных уязвимостей на основе путей и версий.
📊 Features:
⚪️Беспроводной маршрутизатор
⚪️Камера наблюдения
⚪️HMI (человеко-машинный интерфейс)
⚪️Интеллектуальное управление питанием
⚪️Система контроля доступа в здание (СКУД)
⚪️Климатический контроль
⚪️Промышленная автоматизация
⚪️Автоматизация дома
⚪️Система очистки воды
💻 Github
🌚 @poxek
2 008
Repost from SHADOW:Group
😱 Уязвимости в установщике Битрикс
Для установки Битрикса есть скрипт
bitrixsetup.php, который разработчики рекомендуют удалять после установки, но, как выяснилось, не все это делают. При обнаружении этого скрипта основной вектор атаки, который приходит в голову, это переустановить CMS и загрузить веб-шелл через административную панель.
Иногда админы просто ограничивают права на запись в директорию и считают, что этого будет достаточно, однако данный скрипт сам по себе оказался уязвим к XSS и LFR:
XSS:
https://target.com/bitrixsetup.php?action=UNPACK&filename=<img src='' onerror=alert(document.domain)>LFR:
https://target.com/bitrixsetup.php?action=UNPACK&filename=../../../../etc/passwdБолее подробно читайте в статье на хабре. #web #bitrix #xss #lfr
2 008
Repost from k8s (in)security
Сегодня хотим поделиться с вами прикольным расширением
Argo CD для Trivy Operator. Расширение позволяет прямо в интерфейсе Argo CD отображать vulnerability reports, созданные Trivy Operator в результате сканирования на уязвимости docker образов.
Для того чтобы установить расширение к себе в Argo CD необходимо немного пропатчить Deployment argo-cd sever. А именно – добавить init-container с необходимым React Component.
Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
