Ссылочка на воркшоп:
https://us02web.zoom.us/j/85334169137?pwd=aHllbmp6Q3FwQVZmU01RNE0rOFdZQT09

#r2con2020 will be online & FREE! - 4 days in September (from 2020-09-02 to 2020-09-05)

Stream: https://www.youtube.com/channel/UCZo6gyBPj6Vgg8u2dfIhY4Q
r2wars: https://rada.re/con/2020/#r2wars
CTF: https://ctf.radare.org/welcome.html and https://rada.re/con/2020/#CTF
Schedule: https://rada.re/con/2020/assets/r2con2020schedule.pdf

Chiptune party: https://rada.re/con/2020/#Chiptune

#reverse #videos #conference #r2con #ctf #dukeBarman

Чтобы сделать фишинговую почтовую рассылку через уязвимый почтовый сервер мы с другом давным давно написали инструмент для автоматизированной отправки писем. Вот он: https://github.com/empty-jack/MailHammer

Я долго им пользовался, чтобы проводить атаки с применением методов социальной инженерии. В том числе он был написан, чтобы проводить атаки с подменой отправителя, о которой мы рассказывали на DefCon 7499 #13.

Но сегодня мир рухнул, я неожиданно осознал, что CURL умеет работать с smtp:// схемой. (Нет, я конечно знал что он может многое, но как-то не осмеливался задуматься что он умеет еще больше).

В очередной раз убеждаюсь что все, что может быть нужно пентестеру можно написать однострочником на баше;)

Пример работы с SMTP черзе CURL:

curl -k --url "smtp://127.0.0.1" --mail-from "[email protected]" --mail-rcpt "[email protected]" --upload-file ./message --user '[email protected]:password' --ssl

Заметки на полях: детектирование действий в AD

Каждый уважающий себя RedTeam специалист при совершении каких-либо действий должен думать о двух вещах:

1. как его действия видит команда защитников
2. как рассказать защитникам о детектировании совершенных действий

Со вторым пунктом все более или менее понятно - в AD для каждого события есть свои Event ID (windows event ID), на наличие которых в логах, можно настраивать SIEM системы. Подробнее про различные windows event ID можно почитать тут:
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

А на первом пункте остановимся чуть подробнее и посмотрим какие действия чаще всего приходится делать во внутренней сети и как это все может отражаться в мониторинговых системах заказчика.

1. Password Spraying

Event ID = 4625. Если на один и тот же ресурс, за один и тот же короткий период пытается залогиниться больше 2 пользователей. Скорость проведения атаки - автоматизированные инструменты все-таки совершают большое количество попыток залогиниться в систему - это и становится алертом для защитников, что кто-то пытается найти валидную пару логин/пароль

2. Брутфорс

Event ID = 4740. Большое количество залоченных аккаунтов (аккакунт лочится, когда закончилось предусмотренное доменной политикой количество попыток ввести пароль).

3. Попытки использовать залоченные учетные записи

Event ID = 4625, код 0xC0000072. Поскольку список пользователей составляется путем рекона, либо путем перебора логинов по словарю (на ресурсах, где есть такая возможность), то всегда есть шанс нарваться на учетную запись, которая присутствует в системе, но залочена, потому что сотрудник уволился, учетную запись заблокировали, но не удалили.

4. Pass-the-hash и overpass-the-hash

Pass-the-hash (Event ID = 4624, тип логина - 3), overpass-the-hash (Event ID = 4624, тип логина - 9). Использовать хеш для перемещения между ресурсами сети - невероятно удобно (не нужно знать пароль пользователя, который не всегда удается узнать), однако есть отличия в типах логина с помощью хеша и с помощью пароля.
И эти отличия очень неплохо детектируются.

5. Mimikatz DCSync

Event ID = 4662 и Event ID = 5136. Репликация всех изменений каталога - ключевое свойство, которое показывает, что вероятнее всего произошла атака DCSync.

6. Ключи DPAPI

Event ID = 4692. Извлечение и бэкап DPAPI ключей также отражается в логах и сигнализирует о том, что злоумышленник пошел за ключами на контроллер домена и что нужно принимать активные действия. Подробнее про применение DPAPI можно почитать здесь

https://habr.com/ru/post/434514/

Мы рассмотрели несколько ключевых направлений, которые используются RedTeam специалистами. Конечно, это далеко не все. Помните, что нужно всегда думать о том, что вы делаете.

Всем привет, через 10 минут будем с Иваном Афанасьевым (Экспертом по sSDLc и Application Security) общаться о Секьюрити Чемпионах и о том, при чем тут DevSecOps и sSDLc)

Подключайтесь:

https://us02web.zoom.us/j/83035368780?pwd=Ym1LZ2FLTkJMK2FLclFnR0ZGcW1OZz09

Может кому будет интересно. По ту сторону BugBounty было меньше народу чем по нашу с вами (Offensive рулит;D )

Остался 1 час до старта вебинара «Организуем собственный Bug Bounty на Hackerone»🔥

Ссылка на трансляцию👇🏻
https://us02web.zoom.us/j/85713575092?pwd=VTU3MGtORTVuazIzcWR5Q0FCVjNHdz09

Проведет вебинар и ответит на ваши вопросы Иван Афанасьев — Application Security Specialist и эксперт Vulnerability Management, Penetration Testing и Application Security.

Всех ждём✊🏻

Надо не забыть заюзать при случае;)

https://twitter.com/ptswarm/status/1313476695295512578?s=20

Call for Papers для OFFZONE 2021

Постапокалипсис — это круто, а быть голосом постапокалипсиса — еще круче.

Да, мы ищем спикеров!
Нетерпеливым — сюда: offzone.moscow/ru/2021-call-for-papers 

Для терпеливых расскажем, о чем речь.
🧟‍♂️Кто мы: международная конференция по практической кибербезопасности.

📖Кого мы ищем: реальных практиков, экспертов и ресерчеров. У нас не рекламируют вендоров — у нас делятся результатами исследования, рассказывают о лайфхаках и представляют собственный подход к offensive- и defensive-задачам.

📆Дедлайн подачи заявки: 1 февраля.

✅Что делать прямо сейчас:
— подать заявку 
— переслать новость коллегам, друзьям и знакомым из профессионального комьюнити
— сесть за исследование, раз дедлайн через четыре месяца ;)

Тут подсказали что уже есть более обширные подборки пентест-лабораторий, вот список

https://captf.com/practice-ctf/
https://unaalmes.hispasec.com/login
https://365.csaw.io/
https://defcon2018.ctfd.io/
https://ctf.hackucf.org/challenges
https://ctf.infosecinstitute.com/index.php
https://junior.stillhackinganyway.nl/home#challenge-information
https://challenges.re
https://angstromctf.com
https://3206.innotecsystem.com/home
https://hack.me
https://www.cipher-ctf.org/CaptureTheFlag.php
https://www.cybergamesuk.com/code-crackers
https://atenea.ccn-cert.cni.es/home
https://www.hackthebox.eu/
https://ctfs.me/
https://ctf365.com/
https://overthewire.org/wargames
https://www.hacking-lab.com/
https://www.picoctf.com
https://ctftime.org/
https://www.pentestit.ru/
https://shellterlabs.com/en/
https://ringzer0team.com/
https://challenges.ka0labs.org
https://www.sans.org/netwars/continuous/
https://www.sans.org/netwars/cybercity
https://www.vulnhub.com/
https://exploit-exercises.com
https://w3challs.com/
https://smashthestack.org/wargames.html
https://www.hackthissite.org/
https://www.pentesterlab.com/exercises/
https://www.root-me.org/
https://www.enigmagroup.org/
https://www.hackthis.co.uk/levels/
https://www.kioptrix.com/blog/test-page/
https://bright-shadows.net/
https://microcorruption.com/login
https://www.dvwa.co.uk/
https://www.owasp.org/index.php/


https://sourceforge.net/projects/metasploitable/
https://bitcoinchallenge.codes
https://backdoor.sdslabs.co
https://io.netgarage.org
https://ctf.hitcon.org
https://hackthis.co.uk.
https://ctf.secadmin.es
https://uni.hctf.fun/pages/home
https://ctf-classic.ihacklabs.com/
https://ctf.hackmadrid.org/home
https://ctf.honeycon.eu

#security

Нашел полезный реп для проверки API ключей, которые можно обнаружить в приложениях (мобильных или веб).

В репе KeyHacks показаны способы использования различных ключей API, найденных в программах Bug Bounty, для проверки их действительности.

https://github.com/streaak/keyhacks

Наконец-то дождались: https://github.com/sensepost/gowitness

Вы тоже знаете хорошие инструменты для сбора скринов с веба, то пишите в комменты или в чат.

Всегда юзал EyeWitness но запускать его не всегда удобно, т.к. python должен умеереть. GO сделает инструмент много удобнее, главное чтобы работал он соответствующе.

Для тех кто не знал. Еще один полезный Cheat Sheet с подсказками по работе с SQLi в базах данных Postgresql, Mysql, Oracle и MS: https://portswigger.net/web-security/sql-injection/cheat-sheet

У Portswigger’a кстати имеется очень крутой cheat sheet по XSS (Возможно один из лучших), о котором я уже упомянал.

Если вы знаете Самый куртой Cheat Sheet по какой-то отдельной баге, кидайте в комменты, не жадничайте;D

Написали гайд по выявлению фактов эксплуатации одной из самых опасных уязвимостей последних лет — CVE-2020-1472, или Zerologon.

Она позволяет злоумышленнику захватить контроллер домена даже без наличия какого-либо пользовательского аккаунта. Для эксплуатации уязвимости атакующему достаточно подключиться к корпоративной сети.

В процессе исследования мы разработали различные методы обнаружения эксплуатации Zerologon:
▪️по событиям журналов аудита Windows;
▪️по сетевому трафику;
▪️при помощи YARA-правил.

Данные методы можно использовать как по отдельности, так и вместе, что позволит не только детектировать факты эксплуатации уязвимости, но и повысить скорость классификации инцидента.

Подробнее о каждом из способов детектирования читайте в нашем материале.

Сам бывает забываю, где посмотреть хороший список файлов для исследования OS для эксплуатации Path Traversal. Поэтому запаблишу сюда и заодно поделюсь частичкой знания.

Отличный CheatSheet по поиску интересных файлов в системе: https://nets.ec/File_Inclusion

Если есть на примете еще что-то, присылайте в комментарии;)

https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/
Лайк

Прикольно рассказывают, мне нравится.

Первым на поле битвы был реализован риск «Утечка конфиденциальной информации и ценных документов» в инфраструктуре нефтехимического завода компании Nuft (тот же риск относится и к объекту "нефтяное месторождение"). Команда back2oaz сумела проникнуть в сеть организации, получила доступ к компьютеру главы нефтяного департамента, откуда похитила файлы с информацией о тендерах. На реализацию риска команде потребовалось около 2 часов и 50 минут с момента начала противостояния. Напомним, что именно на инфраструктуру компании Nuft приходилось порядка 60% всех атак в первый день кибербитвы.

Далее команда DeteAct смогла нарушить работу системы продажи авиабилетов, теперь горожане не могут купить билеты через сайт. Также атакующие вызвали сбои в системе регистрации - пассажиры, у которых уже есть билет, не могут пройти регистрацию на рейс из личного кабинета на сайте, даже через форму представителя аэропорта.

Помимо этого, дважды за ночь был атакован деловой центр города! Команды SpbCTF и n0x с разницей в два часа смогли получить доступ к базе данных городского портала и удалить информацию о штрафах и задолженностях граждан.

Вот такие штуки очень быстро забываю (Но и нахер они нужны, если их выпиливаются:D ). Рекомендую ознакомиться.

По всей видимости, мы скоро можем попращаться с Reverse Tabnabbing.

Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с target=_blank как noopener и таким образом присоединится к Safari и Firefox, которые уже, к вашему сведению, так делают.

В двух словах об атаке. Если кто не знает, в HTML-теге <a>, предназначенном для создания ссылок, можно установить аттрибут target со значением _blank и тогда, по нажатию на такую ссылку в браузере, она будет открываться в новой вкладке. Сайт, на который ведет такая ссылка, может получить доступ к свойству window.opener и, к примеру, перенаправить пользователя на фишинговую страницу во вкладке, с которой он пришел.

#news

Кстати, может меня читают те кто играет в защите?

Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)

Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))