Старые статьи, но теперь на сайте

1. Собираем базу номеров с приложения Pootin
https://www.orderofsixangles.com/ru/2019/04/03/pootin.html

2. Собираем базу водителей такси Indriver
https://www.orderofsixangles.com/ru/2018/12/07/indriver.html

Блин, так нравится его сайт, всегда умиляюсь

https://n0.lol/

Прошел почти год с момента, как я гуглил что такое android apk. Теперь теоретическая техническая достижимость создания нового apk инфектора приобретает практическую форму, чему я пиздец, как рад. Он должен пополнить арсенал открытых способов заражения андроид приложений, чтобы люди могли изучиаь и размышлять о дальнейших методах защиты, так как вектора атак увеличатся.

Только что я разгадал тайну ебучих оффсетов, которая не давала мне покоя. Представьте, что у вас есть файл, со сложной структурой. Где-то в середине лежит массив строк, а где-то в начале таблица оффсетов каждой строки в этом массиве. Так вот, я не мог понять, откуда считаются эти оффсеты. Считал как от начала файла - не получается, считал как от начала конца хэдера - не получалось. А все оказалось так просто. Надо было особым образом дампнуть массив строк и считать от начала этого дампа. Вроде элементарно, но сложная структура файла меня все время путала. Ладно, это не так важно, главное что дело немного продвинулось!

Я уже почти завершил на 40%

Единственные нормальные курсы, которые я знаю (бесплатные)

Жиза

https://t.iss.one/in51d3/5486

Пытаюсь написать kaitai struct для android manifest binary xml

Kaitai struct - это язык, для описания бинарных форматов. Если у вас есть файл, с непонятной и недокументированной структурой, вы можете ее отреверсить и сделать описание на этом языке. Описание имеет YAML структуру. Далее из этого файла вы можете сгенерировать автоматически парсер бинарной структуры на языках C++, C#, GraphViz, Java, Javascript, Lua, Perl, PHP, Python, Ruby. То есть, kaitai вам сам сгенерирует код парсера, вам лишь надо задать описание файла - какой байт за что отвечает.

Например вот структура SSH public key: https://formats.kaitai.io/ssh_public_key/index.html

Kaitai struct это open source и есть небольшая галерея готовых описаний форматов:
https://formats.kaitai.io/

AndroidManifest binary xml - если вы просто распакуете apk, то там будет лежать манифест в бинарном виде. Он представляет из себя бинарный XML, закодированный кастомным алгоритмом и он нигде не документирован. Я ее ревершу и пытаюсь сделать описание. Осталась последняя часть, но я застрял на ебучем выравнивании. Дело в том, что позиция одного поля в этой структуре недетерминированна. Оно должно находится в файле так, чтобы соответствовать 4 байтовому выравниванию. Соответственно оно дополняется нулями, если не является таковым или же похуй, остается как есть.

Это ебучее поле сильно мешает мне 😁

А тут вы можете посмотреть код, который генерится

https://kaitai.io/repl/index.html

https://github.com/google/fuzzing/tree/master/dictionaries

Гугл выложил словари для фаззинга

В Windows 10 October 2018 Update оказывается был добавлен снифер (C:\Windows\system32\pktmon.exe), типа линуксового tcpdump. Нигде об этом официально сказано не было

https://www.bleepingcomputer.com/news/microsoft/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use/

The Go low-level calling convention on x86-64

https://dr-knz.net/go-calling-convention-x86-64.html

Я недавно публиковал перевод очередного исследования от Wojciech (автора отличных статей про боевой осинт). В статье шла речь о том, какое значение имеет анализ социальной активности пользователей в сети для правоохранительных органов. Автор приводил примеры реальных кейсов с преступниками, которые прокалывались на использовании одних и тех же ников, аватарок и прочих данных на всех сайтах, где они регистрировались.

Для упрощения задачи поиска тру-блечеров обычными обывателями, было написано SocialPath - веб-приложение, позволяющее собирать открытую информацию в соц. сетях о целях по известному никнейму со статистикой по постам, лексике и т.д. Больше вы можете почитать тут.

На днях наткнулся на аналогичный проект, реализованный еще задолго до SocialPath (первый коммит от 14.12.2017) - Project iKy. Информации в рунете о нем незаслуженно мало - обладает он схожим функционалом, но со своими плюхами (вроде поиска не только по нику, но и по почте, и по известным страницам в соц сетях), также выдает подробную и красивую инфографику активности цели с таймлайном, графиками и всеми этими модными штуками. Поддерживает экспорт данных как в формате отчёта, так и в .json, ну и работает с бОльшим числом сервисов (в т.ч., проверка на наличие почты в утечках и анализ в реддит).

Работает iKy в связке Flask + Angular + Celery + Redis, так что советую вам сразу разворачивать его в докере. Просто клонируем репозиторий, переходим в директорию, вводим docker-compose up --build и открываем рабочий проект на https://localhost:4200 в браузере.

Домашняя страница: https://kennbroorg.gitlab.io/ikyweb/

https://youtu.be/XVHI_6Vtzug

А вот появилась и демонстрация процесса! Часто разработчики даже не задумываются об этом векторе. Незнаю как вы, а я впечатлен!

Kaitai Struct for Android Manifest binary XML

Доделал наконец-то

https://git.io/JfEan

На VXUG Появилась новая статья!

Using Virtualization for Malcode

Как программно смонтировать виртуальную файловую систему, добавить ее в существующую NTFS без буквы диска и запускать оттуда малварь! Очень интересная тема.

https://vxug.fakedoma.in/papers/smelly/3/virtualization.html