Нашел полезный реп для проверки API ключей, которые можно обнаружить в приложениях (мобильных или веб).

В репе KeyHacks показаны способы использования различных ключей API, найденных в программах Bug Bounty, для проверки их действительности.

https://github.com/streaak/keyhacks

Наконец-то дождались: https://github.com/sensepost/gowitness

Вы тоже знаете хорошие инструменты для сбора скринов с веба, то пишите в комменты или в чат.

Всегда юзал EyeWitness но запускать его не всегда удобно, т.к. python должен умеереть. GO сделает инструмент много удобнее, главное чтобы работал он соответствующе.

Для тех кто не знал. Еще один полезный Cheat Sheet с подсказками по работе с SQLi в базах данных Postgresql, Mysql, Oracle и MS: https://portswigger.net/web-security/sql-injection/cheat-sheet

У Portswigger’a кстати имеется очень крутой cheat sheet по XSS (Возможно один из лучших), о котором я уже упомянал.

Если вы знаете Самый куртой Cheat Sheet по какой-то отдельной баге, кидайте в комменты, не жадничайте;D

Написали гайд по выявлению фактов эксплуатации одной из самых опасных уязвимостей последних лет — CVE-2020-1472, или Zerologon.

Она позволяет злоумышленнику захватить контроллер домена даже без наличия какого-либо пользовательского аккаунта. Для эксплуатации уязвимости атакующему достаточно подключиться к корпоративной сети.

В процессе исследования мы разработали различные методы обнаружения эксплуатации Zerologon:
▪️по событиям журналов аудита Windows;
▪️по сетевому трафику;
▪️при помощи YARA-правил.

Данные методы можно использовать как по отдельности, так и вместе, что позволит не только детектировать факты эксплуатации уязвимости, но и повысить скорость классификации инцидента.

Подробнее о каждом из способов детектирования читайте в нашем материале.

Сам бывает забываю, где посмотреть хороший список файлов для исследования OS для эксплуатации Path Traversal. Поэтому запаблишу сюда и заодно поделюсь частичкой знания.

Отличный CheatSheet по поиску интересных файлов в системе: https://nets.ec/File_Inclusion

Если есть на примете еще что-то, присылайте в комментарии;)

https://swarm.ptsecurity.com/advanced-mssql-injection-tricks/
Лайк

Прикольно рассказывают, мне нравится.

Первым на поле битвы был реализован риск «Утечка конфиденциальной информации и ценных документов» в инфраструктуре нефтехимического завода компании Nuft (тот же риск относится и к объекту "нефтяное месторождение"). Команда back2oaz сумела проникнуть в сеть организации, получила доступ к компьютеру главы нефтяного департамента, откуда похитила файлы с информацией о тендерах. На реализацию риска команде потребовалось около 2 часов и 50 минут с момента начала противостояния. Напомним, что именно на инфраструктуру компании Nuft приходилось порядка 60% всех атак в первый день кибербитвы.

Далее команда DeteAct смогла нарушить работу системы продажи авиабилетов, теперь горожане не могут купить билеты через сайт. Также атакующие вызвали сбои в системе регистрации - пассажиры, у которых уже есть билет, не могут пройти регистрацию на рейс из личного кабинета на сайте, даже через форму представителя аэропорта.

Помимо этого, дважды за ночь был атакован деловой центр города! Команды SpbCTF и n0x с разницей в два часа смогли получить доступ к базе данных городского портала и удалить информацию о штрафах и задолженностях граждан.

Вот такие штуки очень быстро забываю (Но и нахер они нужны, если их выпиливаются:D ). Рекомендую ознакомиться.

По всей видимости, мы скоро можем попращаться с Reverse Tabnabbing.

Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с target=_blank как noopener и таким образом присоединится к Safari и Firefox, которые уже, к вашему сведению, так делают.

В двух словах об атаке. Если кто не знает, в HTML-теге <a>, предназначенном для создания ссылок, можно установить аттрибут target со значением _blank и тогда, по нажатию на такую ссылку в браузере, она будет открываться в новой вкладке. Сайт, на который ведет такая ссылка, может получить доступ к свойству window.opener и, к примеру, перенаправить пользователя на фишинговую страницу во вкладке, с которой он пришел.

#news

Кстати, может меня читают те кто играет в защите?

Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)

Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))

Блин, знаете какой был бы крутой пиар мув у позитивов, если бы мы вот хечили там все, что движется, эти пару дней.

А потом они такие: “А теперь мы приоткроем завесу тайны и представим вам свой новый продукт…”.

И короче, они запускают свой флюгегехаймен, и ни одна нагрузка просто не пролетает. Ни в вебе, ни в сервисах, все митмы отвалились, все респондеры разогрели ноутбуки офенсивов и те расплавились. Короче генеральный дефенс.

Вот тогда бы я понял, что пора возвращаться в PHP прогеры.

Как говорится — не bWAPP'ом единым!

Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.

https://github.com/vavkamil/awesome-vulnerable-apps/

Закончился The Standoff 2020.

Нашей команде он крайне доставил. Хочу поблагодарить всех кто участвовал и помогал в этом стендоффе.

Есть над чем работать и нам и оргам, но это было очень прикольно. Да - 6 дней без перерыва, да - отсутствие баланса, да - кто первый того и тапки, но в этом и кайф 😉 CTF'ов со строгим регламентом, балансом и плаксивыми участниками нам и так хватает. Пусть хоть тут остается уголочек хардкора, борьбы за шеллы и майнеры. Отдельно стоит отметить крутую легенду, великолепные стенды и маркетинг.

В общем, хочу поблагодарить и отметить своих ребят, кто участвовал в этом событии.

Команда Back2OAZ на The Standoff 2020 заняла почетнейшее второе место в составе:

Иван Булавин (Капитан команды)
Сергей Гилев
Андрей Рогожкин
Павел Шлюндин
Саид Эфендиев
Николай Топорков
Алексей Хайдин
Сергей Колесников
Егор Богомолов

Отдельно отмечу работу капитана. (Ваня тащил нонстопом и по моему субъективному принес больше всех очков команде руша скада системы и ломая город.)

Главное от меня: Игру делают не какие-то там большие названия, бренды и команды. Игру делают люди и поэтому они здесь ^

P.S. Вспоминая про регламент, помните про часовые пояса!

Реально толковые словарики.

GitHub: https://github.com/assetnote/wordlists

Assetnote делятся своими словарями для перебора и сообщают, что будут обновлять их каждый месяц. Помимо автоматически сгенерированных, на сайте есть словари сгенерированные с помощью Google BigQuery. Очень классно!

https://wordlists.assetnote.io

Разбираю гараж своих “полезностей”.

Было бы смешно, если бы не так грустно.

Смешная история, наверняка многие уже в курсе.

Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.

Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.

В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.

Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".

Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.

Реально хорошая подборка получилась.

Ответ всем, кто спрашивал какие плагины я юзаю.

Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.

https://habr.com/ru/company/dsec/blog/529088/