Спустя полуторамесячного перерыва начал читать эту книжку. После ознакомления с первыми двумя главами, хочу сказать, что она достаточно интересная
👍1
Наконец-то закончил разработку приложения, которое позволяет получить полезную информацию о NS-серверах. Также может находить поддомены по выбранному словарю.
GitHub
GitHub - Zenmovie/dnslookupsearch
Contribute to Zenmovie/dnslookupsearch development by creating an account on GitHub.
👏4❤1
Восстановление_приватного_SSH_ключа_по_его_частичному_PEM_.pdf
449.6 KB
Недавно столкнулся с тем, что пришлось восстанавливать приватный RSA-ключ из частичного PEM'а.
Поэтому решил поделиться решением данной проблемы
Поэтому решил поделиться решением данной проблемы
🔥3💊2
За время отсутствия постов обнаружил уязвимость в systemctl status, которая в некоторых случая позволяет произвести lpe.
Если размер терминала меньше длины выводимой строки, то вся информация будет выдана в пейджере LESS. Существует переменная окружения $LESSSECURE, которая запрещает выполнение команды, если eUID не совпадает с UID. Существует еще одна переменная окружения $SYSTEMD_PAGERSECURE, которая делает тоже самое, но в контексте systemctl. Дальнейший текст является выдержкой из официального мануала по systemctl.
$SYSTEMD_PAGERSECURE takes a boolean argument. When true, the "secure" mode of the pager is enabled; if false, disabled. If $SYSTEMD_PAGERSECURE is not set at all, secure mode is enabled if the effective UID is not the same as the owner of the login session, see geteuid(2) and sd_pid_get_owner_uid(3). In secure mode, LESSSECURE=1 will be set when invoking the pager, and the pager shall disable commands that open or create new files or start new subprocesses. When $SYSTEMD_PAGERSECURE is not set at all, pagers which are not known to implement secure mode will not be used. (Currently only less(1) implements secure mode.)
Note: when commands are invoked with elevated privileges, for example under sudo(8) or pkexec(1), care must be taken to ensure that unintended interactive features are not enabled. "Secure" mode for the pager may be enabled automatically as describe above. Setting SYSTEMD_PAGERSECURE=0 or not removing it from the inherited environment allows the user to invoke arbitrary commands. Note that if the $SYSTEMD_PAGER or $PAGER variables are to be honoured, $SYSTEMD_PAGERSECURE must be set too.
Судя по тому, что написано в мануале, то исполнение команд невозможно, если uid, от которого запускается команда, отличается от uid, от которого запущена сессия. И на большинстве дистрибутивов это так и работает, например: debian, kali, parrot, ubuntu 22 ветки и мб еще где-нибудь (эти дистрибутивы я проверял), но в некоторых системах, данные средства защиты никак не защищают такие, как ubuntu 20 ветки, rhel 8.
В ходе ресерча был обнаружен тред 2017 года с этой проблемой, в нем были предложены различного рода исправления данной уязвимости, но у меня ни одно из предложенных решений не отработало. PoC представлен в скриншоте, тестировалось на последней версии (на данный момент) ubuntu 22.04.5
Если размер терминала меньше длины выводимой строки, то вся информация будет выдана в пейджере LESS. Существует переменная окружения $LESSSECURE, которая запрещает выполнение команды, если eUID не совпадает с UID. Существует еще одна переменная окружения $SYSTEMD_PAGERSECURE, которая делает тоже самое, но в контексте systemctl. Дальнейший текст является выдержкой из официального мануала по systemctl.
$SYSTEMD_PAGERSECURE takes a boolean argument. When true, the "secure" mode of the pager is enabled; if false, disabled. If $SYSTEMD_PAGERSECURE is not set at all, secure mode is enabled if the effective UID is not the same as the owner of the login session, see geteuid(2) and sd_pid_get_owner_uid(3). In secure mode, LESSSECURE=1 will be set when invoking the pager, and the pager shall disable commands that open or create new files or start new subprocesses. When $SYSTEMD_PAGERSECURE is not set at all, pagers which are not known to implement secure mode will not be used. (Currently only less(1) implements secure mode.)
Note: when commands are invoked with elevated privileges, for example under sudo(8) or pkexec(1), care must be taken to ensure that unintended interactive features are not enabled. "Secure" mode for the pager may be enabled automatically as describe above. Setting SYSTEMD_PAGERSECURE=0 or not removing it from the inherited environment allows the user to invoke arbitrary commands. Note that if the $SYSTEMD_PAGER or $PAGER variables are to be honoured, $SYSTEMD_PAGERSECURE must be set too.
Судя по тому, что написано в мануале, то исполнение команд невозможно, если uid, от которого запускается команда, отличается от uid, от которого запущена сессия. И на большинстве дистрибутивов это так и работает, например: debian, kali, parrot, ubuntu 22 ветки и мб еще где-нибудь (эти дистрибутивы я проверял), но в некоторых системах, данные средства защиты никак не защищают такие, как ubuntu 20 ветки, rhel 8.
В ходе ресерча был обнаружен тред 2017 года с этой проблемой, в нем были предложены различного рода исправления данной уязвимости, но у меня ни одно из предложенных решений не отработало. PoC представлен в скриншоте, тестировалось на последней версии (на данный момент) ubuntu 22.04.5
🤡42👍3🔥3🤔1
LamerZen
За время отсутствия постов обнаружил уязвимость в systemctl status, которая в некоторых случая позволяет произвести lpe. Если размер терминала меньше длины выводимой строки, то вся информация будет выдана в пейджере LESS. Существует переменная окружения $LESSSECURE…
Уязвимым является модуль systemd. В systemd 247 была добавлена функция, сверяющая euid и uid. В ubuntu 20 ветки, а также в rhel 8.x используется systemd 245. Cve mitre приняли у меня репорт и зарегистрировали уязвимость CVE-2023-26604. Осталось дождаться появления страницы вулны.
💊9🤩3🥰2🤯2
Появилась страница вулны, получается нашел 1day, осталось нолик найти и зарегать
💩16👍7
Когда-нибудь я всё-таки пойму явно неочевидные действия на хтб. Последние несколько тачек это просто смерть.
Если уязвимой цепочкой веб-приложений являются те, которые на портах 443,8888,9251, то как я должен был понять, что полезная нагрузка отправляется на 80?
Или же
Каким образом я должен был осознать, что файл с расширением .dec является 7z архивом
Складывается ощущение, что хтб, кроме проверки имеющихся навыков и знаний, а также получении новых, является обычной угадайкой или типичной уцуцугой
Если уязвимой цепочкой веб-приложений являются те, которые на портах 443,8888,9251, то как я должен был понять, что полезная нагрузка отправляется на 80?
Или же
Каким образом я должен был осознать, что файл с расширением .dec является 7z архивом
Складывается ощущение, что хтб, кроме проверки имеющихся навыков и знаний, а также получении новых, является обычной угадайкой или типичной уцуцугой
💊13👍9
Disclaimer: файлы, находящиеся в этом архиве, не проверял на вирусы, поэтому тупо снимаю ответственность с себя
Нашел архив на mega с большим количеством слитых курсов
Ссылка на архив
Нашел архив на mega с большим количеством слитых курсов
💊7👍4🆒3
Вчера наконец-то закончил решать последнюю тачку из seasons на хтб и обнаружил часто встречающийся непредвиденный способ для повышения привилегий
Иногда разработчики во время тестирования своих задач поднимают веб-приложения с помощью debug-порта в chrom'е. А так как для использования такого режима требуются повышенные привилегии, они запускают от учетной записи root.
И если пентестер замечает такой сервис, то это 100процентно приводит к LPE. Есть 2 способа эксплуатации этой уязвимости:
1) С помощью модуля metasploit:
1.1 Пробрасываем себе порт (можно с помощью
1.2 Выбираем модуль
1.2.1 В
1.2.2 В
1.2.3 В
2) С помощью chromium браузера
2.1 Пробрасываем себе порт (можно с помощью
2.2 Открываем в хроме
2.4 В этом окне вводим "IP машины, на которую проброшен порт:{проброшенный порт}", затем нужно нажать "Done".
2.5 Теперь можно заметить, что удаленный хост появляется в нижней части "Remote Target".
2.6 После нажатия на "inspect", открывается новый браузер. Теперь появилась возможность просматривать веб-сайт.
2.7 Дальнейшую эксплуатацию можно провести либо с помощью этой утилиты, либо с помощью консоли разработчика
В целях безопасности ОС приблизительно раз в 2-5 минут изменяет номер порта
Иногда разработчики во время тестирования своих задач поднимают веб-приложения с помощью debug-порта в chrom'е. А так как для использования такого режима требуются повышенные привилегии, они запускают от учетной записи root.
И если пентестер замечает такой сервис, то это 100процентно приводит к LPE. Есть 2 способа эксплуатации этой уязвимости:
1) С помощью модуля metasploit:
1.1 Пробрасываем себе порт (можно с помощью
ssh -L , если изначальный доступ был получен не с помощью ssh, то можно воспользоваться утилитой chisel)1.2 Выбираем модуль
auxiliary/gather/chrome_debugger, изменяем RHOSTS, RPORT и FILEPATH и запускаем эксплойт1.2.1 В
RHOSTS указываем IP машины, на которую пробросили порт1.2.2 В
RPORT - проброшенный порт1.2.3 В
FILEPATH - файл, который требуется прочесть2) С помощью chromium браузера
2.1 Пробрасываем себе порт (можно с помощью
ssh -L , если изначальный доступ был получен не с помощью ssh, то можно воспользоваться утилитой chisel)2.2 Открываем в хроме
chrome://inspect/
2.3 Затем требуется нажать "Configure..." справа от "Discover network targets". Откроется дополнительное окно.2.4 В этом окне вводим "IP машины, на которую проброшен порт:{проброшенный порт}", затем нужно нажать "Done".
2.5 Теперь можно заметить, что удаленный хост появляется в нижней части "Remote Target".
2.6 После нажатия на "inspect", открывается новый браузер. Теперь появилась возможность просматривать веб-сайт.
2.7 Дальнейшую эксплуатацию можно провести либо с помощью этой утилиты, либо с помощью консоли разработчика
В целях безопасности ОС приблизительно раз в 2-5 минут изменяет номер порта
GitHub
GitHub - jpillora/chisel: A fast TCP/UDP tunnel over HTTP
A fast TCP/UDP tunnel over HTTP. Contribute to jpillora/chisel development by creating an account on GitHub.
🔥6👍3❤2💯1😎1