Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory
#windows #AD
Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.
Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.
Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.
❤️ Спасибо @CuriV за подробный ресерч!
➡️ Читать далее
🌚 @poxek
#windows #AD
Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.
Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.
Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Все мы ловили тот самый момент, вовремя просмотра фильмов про хакеров или айтишников
«Their only crime was curiosity»
Отчасти это сформировала некоторое виденье об ИБэ и романтизировало нашу сферу. Олды вспомнят Хакеры 1995 года или Пароль «Рыба-Меч» 2001 года, кто помоложе вспомнит про Mr.Robot 2015 года и так далее.
Многие эти фильмы объединяет некая история вокруг человека или группы лиц, которая впутана в незаконный взлом какой-то информационной системы или человеческого мышления.«Подключись. Взломай. Проникни всюду. Укради всё»
Но как говориться«Каждый видит то, что хочет видеть» , но в отличии от обывателей мы частенько замечаем косяки в фильмах, именно в технических моментах. Поэтому для нас коллеги из StarX написали статью, где разобрали некоторые фильмы на факты и оценили их правдоподобность. На мой вкус вышла неплохо и это заслуживает вашего внимания)
➡️ Статеечка тут
p.s. для самых быстрых, кто напишет название фильма (строго под сплойлером) и расскажет любой интересный момент из этих фильмов. Подарю Telegram Premium на полгода! Если уже есть, то обсудим отдельно в ЛС.
🌚 I'm crazy. This is crazy. I'm crazy
Отчасти это сформировала некоторое виденье об ИБэ и романтизировало нашу сферу. Олды вспомнят Хакеры 1995 года или Пароль «Рыба-Меч» 2001 года, кто помоложе вспомнит про Mr.Robot 2015 года и так далее.
Многие эти фильмы объединяет некая история вокруг человека или группы лиц, которая впутана в незаконный взлом какой-то информационной системы или человеческого мышления.
Но как говориться
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15
Похек
Все мы ловили тот самый момент, вовремя просмотра фильмов про хакеров или айтишников «Their only crime was curiosity» Отчасти это сформировала некоторое виденье об ИБэ и романтизировало нашу сферу. Олды вспомнят Хакеры 1995 года или Пароль «Рыба-Меч» 2001…
Победителей было двое, поэтому подарил 2 премиум подписки!
@shybert
@wr3dmast3r
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11
Forwarded from Cybred
Hello Lucee! Let us hack Apple again?
В блоге ProjectDiscovery вышла статья со взломом Apple. Один баг позволял получить рута на одном из серверов, другой — открывал доступ к серверу обновлений с возможностью рассылать вредоносные апдейты.
Сумма выплаты за все —
В блоге ProjectDiscovery вышла статья со взломом Apple. Один баг позволял получить рута на одном из серверов, другой — открывал доступ к серверу обновлений с возможностью рассылать вредоносные апдейты.
Сумма выплаты за все —
$20 000. Это меньше, чем в Facebook платят за брут OTP, о котором я писал тут.ProjectDiscovery
Hello Lucee! Let us hack Apple again? — ProjectDiscovery Blog
Last year we conducted an in-depth analysis of multiple vulnerabilities within Adobe ColdFusion, we derived valuable insights, one of which revolved around CFM and CFC handling, parsing and execution. We wondered if there are any other CFML Servers. Does…
😁9
Cybred
Hello Lucee! Let us hack Apple again? В блоге ProjectDiscovery вышла статья со взломом Apple. Один баг позволял получить рута на одном из серверов, другой — открывал доступ к серверу обновлений с возможностью рассылать вредоносные апдейты. Сумма выплаты…
Снова Apple прокатило по выплате на бб
🥰5
#карьера #devsecops
В чате канала вчера спрашивали про roadmap для DevSecOps. Что нужно учить?
Пункт 1. Я считаю правильным ответом на данный вопрос всегда являлся и будет являться ответ: зайди на сайт с вакансиями, найди выбранную должность и прочитай 20-30 вакансий, выпиши повторяющиеся термины и изучи что это. Это применимо к любой стране и к любой должности, если вы конечно не выбираете учить то, чего ещё нет на рынке. В таком случае откуда вы об этом узнали, оттуда начинайте поиск информации о необходимых навыках.
Но мы же люди ленивые? Лично я, да. Все всегда хочется искать что-то самостоятельно, а найти готовый roadmap или mindmap, где за вас умные люди составили график, что вам нужно учить. В таком случае нашёл для Вас несколько интересных материалов:
А Вы точно уверены, что перед тем как стать DevSecOps, вы изучили инструменты DevOps и научились применять эти практики?
Управления версиями: Gitlab
Инструменты CI/CD: Jenkins, Gitlab, (набирает популярность Agro CD)
Оркестрация контейнеров: kubernetes, docker-compose (более редко необходим Docker Swarm, OpenShift)
Автоматизация развертывания: Ansible, Terraform
Языки программирования: Python, Bash, Go
Хранение секретов: Vault
Мониторинг: Prometheus, Grafana [ Zabbix много где используется, но с контейнеризацией работает хуже, чем его аналоги, поэтому некоторые компании полностью или частично переезжают с него ]
Логгирование: ELK
Если слова выше для вас не показались чем-то незнакомым или как говорит мой друг, "на эльфийском языке", то поздравляю, Вы DevOps инженер :)
Поиск секретов: GitGuardian, Gitleaks, truffleHog, DeepSecrets (последнее от моего знакомого Николая из Yandex, у его инструмента не стандартный подход к поиску секретов)
SCA: Snyk, Syft, Cdxgen, Trivy, Dependency Track
SAST: Semgrep (много фолзит, использовать только вкупе с чем-то), Bearer, CodeQL, Spotbug, Terrascan
DAST: OWASP ZAP, nuclei, Dastardly
Container Security: Grype, Open Policy Agent, kube-hunter (активно не поддерживается), kube-bench , Falco, Tracee, Anchore (активно не поддерживается), Clair
Также отдельное спасибо @belka_e
Отмечу, что сейчас сам занимаюсь разработкой и по сути у меня нет коммерческого опыта ни в разработке, ни в DevSecOps. Так что узнаю всё по ходу выкладывания постов. Но большое спасибо коллегам, кто готов помогать мне!
Выводы:
1. У нас очень мало DAST'ов опенсоурсных, да и коммерческих качественных рабочих решений тоже мало.
2. Простор для разработки коммерческих решений огромен, как и потенциал этой области.
3. DevOps не очень сложно обучиться, а вот DevSecOps уже даёт прикурить знатно, проверено на себе.
4. Методологии и инструменты DevSecOps мало где применяются, так что рынок ждёт новых решений и подходов.
5. Когда я слышал про заоблачные ЗП devsecops инженеров, думал что ситуация как с MLщиками и Data Science в своё время, но нет. Тут реально огромный пул знаний, который включает в себя ещё по меньшей мере appsec и даже пентест.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from PT SWARM
🎁 Source Code Disclosure in IIS 10.0! Almost.
There is a method to reveal the source code of some .NET apps. Here's how it works.
👉 https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
There is a method to reveal the source code of some .NET apps. Here's how it works.
👉 https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
Всех хороших праздничных выходных!
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰26
Forwarded from Offensive Xwitter
😈 [ SEKTOR7 Institute @SEKTOR7net ]
Wondering what telemetry an EDR collects?
Wonder no more! @Kostastsale and @ateixei run an EDR Telemetry Project, covering all major EDRs:
"The main goal of the EDR Telemetry project is to encourage EDR vendors to be more transparent about the telemetry they provide".
Blog:
🔗 https://detect.fyi/edr-telemetry-project-a-comprehensive-comparison-d5ed1745384b
Table:
🔗 https://docs.google.com/spreadsheets/d/1ZMFrD6F6tvPtf_8McC-kWrNBBec_6Si3NW6AoWf3Kbg/edit?usp=sharing
Github:
🔗 https://github.com/tsale/EDR-Telemetry
🐥 [ tweet ]
Wondering what telemetry an EDR collects?
Wonder no more! @Kostastsale and @ateixei run an EDR Telemetry Project, covering all major EDRs:
"The main goal of the EDR Telemetry project is to encourage EDR vendors to be more transparent about the telemetry they provide".
Blog:
🔗 https://detect.fyi/edr-telemetry-project-a-comprehensive-comparison-d5ed1745384b
Table:
🔗 https://docs.google.com/spreadsheets/d/1ZMFrD6F6tvPtf_8McC-kWrNBBec_6Si3NW6AoWf3Kbg/edit?usp=sharing
Github:
🔗 https://github.com/tsale/EDR-Telemetry
🐥 [ tweet ]
Forwarded from PurpleBear (Vadim Shelest)
Давно уже мы не обсуждали новые уязвимости, поэтому сегодня у нас свеженькая RCE - CVE-2024-27198 (оценка по CVSS=9.8) и path traversal - CVE-2024-27199 (оценка по CVSS=7.3) в
Думаю, что прямо из названия
Позавчера в блоге Rapid7 были опубликованы технические детали эксплуатации этих уязвимостей:
CVE-2024-27198 - байпас аутентификации из-за недостатка логики проверки аутентификации для методов класса
CVE-2024-27199 - тоже про байпас аутентификации, но при обращении к нескольким менее критичным ручкам
Полный список ручек можно найти в блоге авторов.
⚙️ POC: https://github.com/yoryio/CVE-2024-27198, модуль metasploit https://github.com/rapid7/metasploit-framework/pull/18922
🔎 Sigma правила: https://github.com/rapid7/Rapid7-Labs/blob/main/Sigma/path_traversal_attacks_CVE_2024_27199.yml
🪲 Уязвимые версии ПО: TeamCity до версии 2023.11.4
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2023.11.4
#TeamCity #RCE #CVE-2024-27198
TeamCity CI/CD от JetBrainsДумаю, что прямо из названия
TeamCity CI/CD в целом уже понятно назначение данного продукта, но если нужны детали в качестве предисловия, то можно посмотреть по ссылке на прошлый обзор критичной баги в этом решении.Позавчера в блоге Rapid7 были опубликованы технические детали эксплуатации этих уязвимостей:
CVE-2024-27198 - байпас аутентификации из-за недостатка логики проверки аутентификации для методов класса
jetbrains.buildServer.controllers.BaseController библиотеки web-openapi.jar. Эксплуатация которых позволяет получить возможность доступа к приложению с правами администратора с помощью создания новой учетки или нового значения access token для существующей учетной записи. Уязвимость возникает при обращении к несуществующей странице c параметром запроса jsp=/app/rest/users;.jsp
curl -ik https://target.com/hax?jsp=/app/rest/users;.jsp -X POST -H "Content-Type: application/json" --data "{\"username\": \"haxor\", \"password\": \"haxor\", \"email\": \"haxor\", \"roles\": {\"role\": [{\"roleId\": \"SYSTEM_ADMIN\", \"scope\": \"g\"}]}}"CVE-2024-27199 - тоже про байпас аутентификации, но при обращении к нескольким менее критичным ручкам
/res, /update, /.well-known/acme-challenge. При этом запрос с path traversal к этим эндпоинтам, на примере /res/../admin/diagnostic.jsp раскрывает некоторую информацию. А /res/../app/https/settings/uploadCertificate позволяет изменить tls сертификат и https порт веб-сервера /res/../app/https/settings/setPort. Полный список ручек можно найти в блоге авторов.
⚙️ POC: https://github.com/yoryio/CVE-2024-27198, модуль metasploit https://github.com/rapid7/metasploit-framework/pull/18922
🔎 Sigma правила: https://github.com/rapid7/Rapid7-Labs/blob/main/Sigma/path_traversal_attacks_CVE_2024_27199.yml
🪲 Уязвимые версии ПО: TeamCity до версии 2023.11.4
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2023.11.4
#TeamCity #RCE #CVE-2024-27198
Rapid7
JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities | Rapid7 Blog
Forwarded from Хакер — Xakep.RU
У «Хакера» теперь есть свой стикерпак для Telegram! Посмотреть и добавить себе можно по ссылке: https://t.iss.one/addstickers/xakepstix
Forwarded from Яндекс | Охота за ошибками
Привет, охотники! Хотим поделиться основными итогами Охоты за 2023 год 🔥
Если считать 2023 год в цифрах:
–> 70 млн рублей— сумма наград за год (👆 с 40 миллионов в 2022 году)
–> 736 — количество полезных репортов (👆 на 37%)
–> 528 — число исследователей, которые сдали хотя бы один полезный отчёт (👆 на 37%)
–> 378 — количество репортов с денежной наградой (👆 на 24%)
–> Провели крупные конкурсы по поиску XSS и IDOR
На картинке выше можно посмотреть все важные итоги за 2023 год
Оставайтесь с нами — дальше больше :)
Если считать 2023 год в цифрах:
–> 70 млн рублей— сумма наград за год (
–> 736 — количество полезных репортов (
–> 528 — число исследователей, которые сдали хотя бы один полезный отчёт (
–> 378 — количество репортов с денежной наградой (
–> Провели крупные конкурсы по поиску XSS и IDOR
На картинке выше можно посмотреть все важные итоги за 2023 год
Оставайтесь с нами — дальше больше :)
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7
Яндекс | Охота за ошибками
Привет, охотники! Хотим поделиться основными итогами Охоты за 2023 год 🔥 Если считать 2023 год в цифрах: –> 70 млн рублей— сумма наград за год (👆 с 40 миллионов в 2022 году) –> 736 — количество полезных репортов (👆 на 37%) –> 528 — число исследователей, которые…
Интересно, что топ 1 и топ 2 место очень сильно обошли топ 3.
Судя по RCE в 12 мультов, то это мог быть второе место, которое больше решил не хантить в 23 году 😁
Судя по RCE в 12 мультов, то это мог быть второе место, которое больше решил не хантить в 23 году 😁
😁14
Доброго времени суток всем! У меня к вам есть несколько вопросов. Для меня очень важно, чтобы вы не поленились и помогли мне.
⚡ Вопросов будет всего 7, и это не займет более 5 минут
➡️ Пройти опрос
!набор закрыт!
🌚 @poxek
!набор закрыт!
Please open Telegram to view this post
VIEW IN TELEGRAM
Обновление nuclei 3.2
Добавили полноценный фаззинг http
Добавили поддержку аутентификации
Добавили опцию
Добавили вывод ошибок в JSON и саммари в CLI
➡️ https://github.com/projectdiscovery/nuclei/releases/tag/v3.2.0
🌚 @poxek
Добавили полноценный фаззинг http
Добавили поддержку аутентификации
Добавили опцию
disable-unsigned-templatesДобавили вывод ошибок в JSON и саммари в CLI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14