♨️ Abusing MS Windows printing for C2 communication

🔺https://diverto.hr/en/blog/2024-05-03-MS-Windows-Printing-C2/

🔻https://github.com/Diverto/IPPrintC2

#C2
#POC
#RedTeam

@iDeFense

♨ This repository contains complete resources and coding practices for malware development using Rust 🦀.

👾 https://github.com/Whitecat18/Rust-for-Malware-Development?tab=readme-ov-file

@iDeFense

🔎 How to: KQL Parsing AuditD Syslog in Microsoft Sentinel with a function and combining the events by EventID

🔍 نحوه Parsing لاگ های AuditD لینوکس در Elastic

📖 https://medium.com/@truvis.thornton/how-to-parsing-auditd-syslog-in-microsoft-sentinel-with-a-function-and-combining-the-events-by-eve-a65f418cfef1

⚙️ https://github.com/truvis/sentinel

@iDeFense

🔬Egyscan


🛠 ابزار EgyScan یکی از بهترین اسکنرهای آسیب پذیری وب است که که برای تقویت برنامه های کاربردی وب شما در برابر تهدیدات مخرب طراحی شده است

🔷از قابلیت های این اسکنر میتوان به موارد زیر اشاره کرد:
🔍 تشخیص جامع آسیب‌پذیری: هر نقطه‌ی ضعف دیجیتال، از ساده تا پیچیده، را آشکار می‌کند.

🌐 نقشه برداری از دامنه: با کمک digital spider لینک‌های وب‌سایت‌ را از دامنه موشکافی کرده و اطمینان حاصل می‌کند که هر گوشه و کناری مورد بررسی قرار می‌گیرد.

💥 دقت بالا در اجرای پیلودها: مانند یک جراح، به کد ها نفوذ می‌کند، پیلودها را در هر ورودی بالقوه تزریق کرده و هر جای ممکن را برای حملات مختلف مشخص میکند.

🚀 همزمان سازی: توانایی انجام همزمان اسکن‌ها

🕵️ تاکتیک‌های پنهان : با تغییر دائمی User-Agent سعی در عبور از سخت‌ترین گذرگاه‌های دیجیتال میکند.

🎨 ترسیم نتایج: علاوه بر گزارش دهی متنی،تمام آسیب پذیری های کشف شده را با نمای گرافیکی به تصویر میکشد

♨️ EgyScan V3.3 "Ultra"

🔱 https://github.com/dragonked2/Egyscan

@iDeFense

🔍 بررسی یک حمله از گروه هکری APT28 از ابتدا دسترسی تا تسلط کامل بر قربانی


🔬 https://medium.com/cyberscribers-exploring-cybersecurity/apt28-from-initial-damage-to-domain-controller-threats-in-an-hour-cert-ua-8399-1944dd6edcdf

@iDeFense

🕸 هکرها فایل های RokRAT LNK را به عنوان یک certificate توزیع می کنند!

💢 https://hackhunting.com/2024/05/07/hackers-distribute-rokrat-lnk-files-pretending-as-a-certificate/

🌀 کمپین جدیدی که بدافزار RokRAT را توزیع می کند، کاربران کره جنوبی و کره شمالی را هدف قرار می دهد. فایل‌های LNK با نام‌های قانونی، حاوی دستورات PowerShell، داده‌های PE مخرب و کدهای اسکریپت هستند.

⭕️ این بدافزار به عنوان یک درب پشتی عمل می کند و از API های ابری برای جمع آوری و ارسال اطلاعات کاربر به سرورهای ابری تحت کنترل مهاجم که در pCloud، Yandex و Dropbox میزبانی می شوند، استفاده می کند.

🔍 فعالیت های مخرب متعدد و آدرس های ایمیل عامل تهدید بالقوه کشف شده است.
🔬 Hashes

b85a6b1eb7418aa5da108bc0df824fc0
358122718ba11b3e8bb56340dbe94f51
35441efd293d9c9fb4788a3f0b4f2e6b
68386fa9933b2dc5711dffcee0748115
bd07b927bb765ccfc94fadbc912b0226
6e5e5ec38454ecf94e723897a42450ea
3114a3d092e269128f72cfd34812ddc8
bd98fe95107ed54df3c809d7925f2d2c

@iDeFense

⭕️ Big Vulnerabilities in Next-Gen BIG-IP

♨️ آسیب پذیری RCE کشف شده روی دیوایس های F5’s Next Central Manager به مهاجم امکان گرفتن دسترسی کامل ( Admin ) و ساخت اکانت مدیریتی پنهان در کنسول Next Central Manager را میدهد

🔺 CVE-2024-21793
🔺 CVE-2024-26026

🔰 برای مقابله و پیشگیری از این تهدید به نسخه 20.2.0 که توسط F5 منتشر شده به روز رسانی نمایید.
🛟 https://my.f5.com/manage/s/article/K000090258

📚https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/

♨️ https://github.com/passwa11/CVE-2024-26026?tab=readme-ov-file

⭕️ It is important to note that reported 5 vulnerabilities, but only 2 CVEs were assigned !

#CVE
#POC
#F5

@iDeFense

🔱 https://www.aparat.com/v/JQ4ay

🔱 قسمت پنجم و آخر آموزش bash

#bash
#roadmap
#hunt

@iDeFense

🛑 Remotely dumping Windows security questions with Impacket

⭕️ چند وقت پیش Grzegorz Tworek توییت کرد که سوالات امنیتی یک حساب ویندوز به صورت UTF-16LE در رجیستری زیر ذخیره می شود.

🛠 HKLM\SAM\SAM\Domains\Account\Users\

🔬 مدتی بعد POC ارائه کرد که اجازه می‌دهد اگر شما دسترسی ادمین داشته باشید، میتوانید سؤالات را به صورت لوکال از روی سیستم استخراج کنید.

⚙️ https://github.com/gtworek/PSBits/blob/master/Misc2/ReadResetData.c

👁‍🗨 نکته موجود در PoC ،استفاده از SAMR ،بود که محقق امنیتی دیگری را بر آن داشت که می تواند این کار را از راه دور هم انجام دهد.

🦠 فرضیه این بود که اگر بتوانیم سوالات و پاسخ‌های کاربر را از راه دور حذف کنیم، می‌توانیم این کار را در یک محدوده IP بزرگ خیلی سریع و بدون نیاز به اجرای هیچ کدی در هاست قربانی انجام دهیم!

♨️ https://hackback.zip/2024/05/08/Remotely-Dumping-Windows-Security-Questions-With-Impacket.html#fn:1

#POC

@iDeFense

🔍 رویداد های لینوکس را بهتر تحلیل کنیم

♨ https://www.socinvestigation.com/linux-event-logs-and-its-record-types-detect-respond/

📝 Linux Audit Logs cheatsheet

🗂 https://www.socinvestigation.com/linux-audit-logs-cheatsheet-detect-respond-faster/

#linux
#BlueTeam
#auditing
#Detect_Respond

@iDeFense

♨️ https://github.com/nancyariah4/CVE-2024-27956

#POC
#CVE_2024_27956

@iDeFense

🔬https://www.zerodayinitiative.com/blog/2024/5/9/cve-2024-21115-an-oracle-virtualbox-lpe-used-to-win-pwn2own

#CVE_2024_21115
🔰 Oracle

⭕️ آسیب پذیری از نوع Out-Of-Bounds Write بر روی Oracle VirtualBox به کد CVE-2024-21115 به مهاجم لوکال، امکان افزایش امتیاز و اجرای کد با امتیاز hypervisor را میدهد.

👁‍🗨 برای اکسپلویت، مهاجم باید امکان اجرای کد با امتیاز بالا ، در سیستم را داشته باشد.

🔺 آسیب پذیری در فانکشن vgaR3DrawBlank بوده که از vgaR3UpdateDisplay فراخوانی میشود.

#Pwn2own

@iDeFense

🚩 WP Exposed (wp-config Sensitive) File List

/wp-config.php-backup
/wp-config.php.orig
/wp-config.php.swp
/wp-config-sample.php
/wp-config.inc
/wp-config.old
/wp-config.txt
/wp-config.php.txt
/wp-config.php.bak
/wp-config.php.old
/wp-config.php.dist
/wp-config.php.inc
/wp-config.php.swp
/wp-config.php.html
/wp-config-backup.txt
/wp-config.php.save
/wp-config.php
/wp-config.php.original
/_wpeprivate/config.json

@iDeFense

♨️ Hidden parameters discovery suite written in Rust

🛠 https://github.com/Sh1Yo/x8?tab=readme-ov-file

🔺 این ابزار به شناسایی پارامترهای پنهانی کمک می‌کند که به طور بالقوه می‌توانند آسیب‌پذیر باشند یا عملکرد های جالبی را که ممکن است توسط اسکنرهای دیگر نادیده گرفته شود را آشکار سازد.

🔺 دقت بالای آن از طریق مقایسه خط به خط صفحات و مقایسه کدهای Response به دست می آید.

Features

-     Fast.
-     Offers flexible request configuration through the use of templates and injection points.
-     Highly scalable, capable of checking thousands of URLs per run.
-     Provides higher accuracy compared to similar tools, especially in difficult cases.
-     Capable of discovering parameters with non-random values, such as admin=true.
-     Highly configurable with a wide range of customizable options.
-     Achieves almost raw requests through external library modification.

@iDeFense

⚠️ CVE-2024-29895 (CVSS score: 10.0)

🦠 یک آسیب پذیری امنیتی در فایل cmd_realtime.php نرم افزار Cacti شناسایی شده است که در صورت on بودن register_argc_argv در PHP رخ میدهد.( اکثرا این option به صورت پیش فرض فعال است )

⭕️ این آسیب پذیری میتواند از راه دور با استفاده از رابط وب Cacti مورد سوء استفاده قرار گیرد و به مهاجم اجازه می دهد تا دستورات دلخواه را در سرور Cacti اجرا کند. با استفاده از این دستورات، مهاجم به طور بالقوه می تواند کدهای اضافی را دانلود و اجرا کند و کنترل کامل روی سرور را به دست آورد.

♨️ https://github.com/Cacti/cacti/security/advisories/GHSA-cr28-x256-xf5m
#iDeFense

🦠https://localhost/cacti/cmd_realtime.php?1+1&&calc.exe+1+1+1

🔺 همانطور که میدانید Cacti معمولاً برای نظارت بر سیستم‌های دیگر استفاده می‌شود، و این بدین معنی است که به خطر افتادن سرور Cacti می‌تواند به مهاجم اجازه دسترسی به سایر سیستم‌ها و سرویس‌های شبکه را بدهد.

⭕️ الزامات امنیتی / Recommended Actions
🔰 بروز رسانی نرم افزار Cacti در اسرع وقت به آخرین نسخه Version 1.3.x development
🔰 اطمینان از اینکه رابط وب فقط در شبکه های قابل اعتماد در معرض دید قرار می گیرد

⭕️ بررسی Monitor/Detect
⚠️ در حالی که وصله کردن دستگاه‌ها یا نرم‌افزارها به جدیدترین نسخه، ممکن است ایمنی در برابر سو استفاده های احتمالی در آینده را افزایش دهد، اما سیستم های آلوده شده را شامل نمیشود .
⚠️ گزارش‌های دسترسی وب سرور را برای آدرس‌های IP نامعتبر که ممکن است به فایل cmd_realtime.php دسترسی داشته باشند، بررسی کنید و فعالیت مشکوک یا غیرمنتظره‌ای را که توسط شناسه کاربری که نرم‌افزار Cacti را اجرا می‌کند، بررسی کنید.
#CVE_2024_29895
#POC
#Cacti

@iDeFense

🦠 https://github.com/Stuub/CVE-2024-29895-CactiRCE-PoC ♨️

🕸 Dork

👁‍🗨 Google:

inurl:cmd_realtime.php

👁‍🗨 Shodan:

Cacti

👁‍🗨 Hunter.how:

/product.name="Cacti"

👁‍🗨 FOFA:

app="Cacti-Monitoring"

⚠️ Please exercise caution when using this PoC. It has been strictly developed to serve as a tool automate the validation of the vulnerability.
⚠️ Any misuse caused is at your own responsibility.

#CVE_2024_29895
#POC
#Cacti

@iDeFense

👁‍🗨A list of Powershell scripts, commands and blogs for Windows Red Teaming.


🌐 https://github.com/Whitecat18/Powershell-Scripts-for-Hackers-and-Pentesters

#github
#tools

@iDeFense

🔺RCE-in-Confluence-Data-Center-and-Server

🔺 راه‌حل‌های نرم‌افزاری Confluence Server و Data Center به‌طور گسترده در تنظیمات سازمانی برای مدیریت پایگاه‌های دانش Wiki، مستندسازی و ... استفاده می‌شوند.

🦠 https://github.com/absholi7ly/-CVE-2024-21683-RCE-in-Confluence-Data-Center-and-Server/
@iDeFense
⚠️ آسیب‌پذیری اجرای کد از راه دور CVE-2024-21683 به راحتی می‌تواند به سلاح تبدیل شود (از طریق یک فایل زبان جاوا اسکریپت ساخته شده خاص) و برای بهره‌برداری از آن نیازی به تعامل کاربر ندارد!
🌀 اما به نظر آنقدر حیاتی نیست زیرا سایر پیش‌شرط‌ها باید برآورده شوند،
درواقع یعنی:

🚩 مهاجم باید به Confluence وارد شود
🚩 مهاجم باید از امتیازات کافی برای افزودن زبان های ماکرو جدید برخوردار باشد
🚩 فایل جاوا اسکریپت حاوی کد مخرب جاوا باید در پیکربندی کد ماکرو آپلود شود و سپس
==> Add a new language

🦠 در اصل این آسیب‌پذیری به دلیل نقص در مکانیسم اعتبارسنجی ورودی در عملکرد «افزودن زبان جدید» در بخش «پیکربندی کد ماکرو» ایجاد می‌شود.
🔬 اعتبار سنجی ناکافی به مهاجم احراز هویت شده اجازه می دهد تا کد مخرب جاوا را که در یک فایل تعبیه شده است، تزریق کند که روی سرور اجرا می شود.

#CVE_2024_21683
#Confluence
#exploit
#POC

@iDeFense

🔎 deeper understanding of Reflective DLL Injection

🔺BasicLDR is a tool designed to download a PNG from a specified URL into memory, extract and decrypt an embedded DLL from the last IDAT section of PNG, and execute it using Reflective DLL Injection technique.

📖 Reflective DLL Injection, first introduced by Stephen Fewer, is a well-known technique for loading DLLs from memory. This project does not introduce any new techniques. Its primary purpose is for educational learning, allowing you to gain a deeper understanding of Reflective DLL Injection and other malware techniques by reimplementing them from scratch. Additionally, it provides a foundation for developing a custom loader builder with various evasive techniques in the future.

⚠️ This project is intended for educational purposes only.

🍥 https://github.com/AlionGreen/BasicLDR

@iDeFense

♨️PoC for the Veeam Recovery Orchestrator Authentication

🔺Authentication bypass vulnerability CVE-2024-29855 affecting Veeam Recovery Orchestrator

📚 https://summoning.team/blog/veeam-recovery-orchestrator-auth-bypass-cve-2024-29855/

⚙️ https://github.com/sinsinology/CVE-2024-29855


#CVE_2024_29855
#github
#poc

@iDeFense

⭕️ SolarWinds Serv-U was susceptible to a directory transversal vulnerability that would allow access to read sensitive files on the host machine.

♨️ This repository contains a proof-of-concept (PoC) and a bulk scanner for the SolarWinds Serv-U CVE-2024-28995 directory traversal vulnerability. This vulnerability allows unauthorized access to read sensitive files on the host machine.

🔺https://attackerkb.com/topics/2k7UrkHyl3/cve-2024-28995/rapid7-analysis

🦠 https://github.com/bigb0x/CVE-2024-28995
🦠 https://sploitus.com/exploit?id=A5677283-7A4F-5582-B568-CED97ABE7445

#Windows
GET /?InternalDir=/../../../../windows&InternalFile=win.ini HTTP/1.1

#linux
GET /?InternalDir=\..\..\..\..\etc&InternalFile=passwd HTTP/1.1

#CVE_2024_28995
#directory_transversal
#SolarWinds
#POC

@iDeFense