Рубрика На заметку
*
SSH agent hijacking
Если есть доступ к сокету
То можно использовать ключ жертвы и знание приватного ключа - тут вообще не нужно.
*
*
*
systemD - ExecStart без правки файла
cоздаёт drop-in override автоматически. Это значит что хацкер может изменить поведение сервиса. Тут важно то что основной
*
*
*
systemD - Оскорбительный Type
Если сервис:
Можно указать "свой веселый"
А
*
*
*
systemD - CapabilityBoundingSet
В unit можно задать:
И даже если процесс не root — он получит capability !
Вообще
#
DynamicUser=yes # =временный user без записи в /etc/passwd
ExecStartPre=/tmp/evil # если основной бинарь чист, то до его старта стартанем shell
systemctl mask auditd # cоздаётся
systemd-run --unit=evil --on-boot=5m /tmp/evil # получим рантайм unit, такой fileless persistence
KillMode=process # systemD грохнет только основной PID, а вот дочерние процессы могут выжить, ну а вних уже payload
#РубрикаНаЗаметкуХакеру
$[email protected] - part 5*
SSH agent hijacking
Если есть доступ к сокету
SSH_AUTH_SOCK=/tmp/agent.sock
То можно использовать ключ жертвы и знание приватного ключа - тут вообще не нужно.
*
*
*
systemD - ExecStart без правки файла
systemctl edit nginx
cоздаёт drop-in override автоматически. Это значит что хацкер может изменить поведение сервиса. Тут важно то что основной
systemD unit останется нетронутым - file monitoring может ничего не заметить.*
*
*
systemD - Оскорбительный Type
Если сервис:
Type=forking
Можно указать "свой веселый"
PIDFile или запустить другой процесс.А
Systemd будет считать его самым легитимным на свете.*
*
*
systemD - CapabilityBoundingSet
В unit можно задать:
CapabilityBoundingSet=CAP_SYS_PTRACE
И даже если процесс не root — он получит capability !
Systemd может выдает привилегии куда веселее, чем дядька sudo.Вообще
systemD сундук чудес, всего и не упомнить:#
DynamicUser=yes # =временный user без записи в /etc/passwd
ExecStartPre=/tmp/evil # если основной бинарь чист, то до его старта стартанем shell
systemctl mask auditd # cоздаётся
symlink на /dev/null = сервис не запускается, админ думает, что все ОК, а на самом деле service IS DEADsystemd-run --unit=evil --on-boot=5m /tmp/evil # получим рантайм unit, такой fileless persistence
KillMode=process # systemD грохнет только основной PID, а вот дочерние процессы могут выжить, ну а вних уже payload
#РубрикаНаЗаметкуХакеру
🔥23👍8😱4
This media is not supported in your browser
VIEW IN TELEGRAM
Firefox RCE
*
Это выглядит как сильно улучшенный вариант дыры от 2024 года (0.0.0.0 Day: Exploiting Localhost APIs From the Browser)
*
автор PoC заявляет:
Понаблюдаем
*
Это выглядит как сильно улучшенный вариант дыры от 2024 года (0.0.0.0 Day: Exploiting Localhost APIs From the Browser)
*
автор PoC заявляет:
Самое крутое в этом — это даже не RCE.
Дело в том, что я решил проблему с "универсальным маршрутизатором".
Созданный мной инструмент позволяет мне сканировать вашу домашнюю сеть с веб-страницы, которую я контролирую.
Я вижу устройства и порты.
Я вижу ваш роутер и его модель.
какой локальный IP-адрес у маршрутизатора
Понаблюдаем
👍23😱19🔥7
Breaking eBPF Security: How Kernel Rootkits Blind Observability Tools
*
Deep technical analysis of bypassing eBPF-based security solutions through kernel-level hooks targeting BPF iterators, ringbuffers, and perf events
#eBPF #rootkits #сосискавтесте
*
Deep technical analysis of bypassing eBPF-based security solutions through kernel-level hooks targeting BPF iterators, ringbuffers, and perf events
#eBPF #rootkits #сосискавтесте
🔥17👍2
Делаем из YouTube файлоПомойку + encrypt --password
*
файлы до 256 GB
*
download SOFT
*
Дальше пишем бота для MAX который как CI/CD зальет артефакты на rutube
*
файлы до 256 GB
*
download SOFT
*
Дальше пишем бота для MAX который как CI/CD зальет артефакты на rutube
😱19👍9🔥9
Aeternum Loader C2 communications
*
Зашифрованные команды теперь навечно в блокчейне ))
*
И вот ресерчеры препарировали зашифрованные команды с 37 серваков.
PART 1 - Extracting Comms
PART 2 - Reversing Aeternum Loader
*
Aeternum Loader продаётся как MaaS. Фишка в том что все C2 коннекты бегают через блокчейн / смарт-контракты.Зашифрованные команды теперь навечно в блокчейне ))
*
И вот ресерчеры препарировали зашифрованные команды с 37 серваков.
PART 1 - Extracting Comms
PART 2 - Reversing Aeternum Loader
👍15😱7
The Mimikatz Missing Manual
*
Мануал составлен при непосредственной помощи Benjamin Delpy, автора Mimikatz
let's roll
*
Мануал составлен при непосредственной помощи Benjamin Delpy, автора Mimikatz
let's roll
👍22🔥3😱2
Рубрика На заметку
*
CDX API Internet Archive оч полезная штука, особенно если уметь миксовать со сторонним софтом.
*
Можно завернуть в быстрый onliner + добить по портам 80\443\etc
*
Ну или в нормальный bash + subfinder + amass + httpx
Ну а цепочек понастроить можно до бесконечности:
subfinder + httpx + waybackurls/gau/katana + uro + gf patterns = (xss, sqli, redirect и чьтотамеще)
или
subfinder + httpx + katana + grep '\.js$' + nuclei -t exposures = (API keys, JWT secrets, AWS keys, эндпоинты и тд)
натурально миллионы их
#РубрикаНаЗаметкуХакеру
$[email protected] - part 6*
CDX API Internet Archive оч полезная штука, особенно если уметь миксовать со сторонним софтом.
web.archive.org/cdx/search/cdx?url=*.example.com/*&collapse=urlkey&output=text&fl=original&filter=original
:.*\.(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)$
*
Можно завернуть в быстрый onliner + добить по портам 80\443\etc
domain="example.com"
ext='(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)'
curl -s "https://web.archive.org/cdx/search/cdx?url=*.$domain/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
| sed 's/:80\//\//; s/:443\//\//' \
| sort -u \
| tee "wayback_files_${domain}.txt"
*
Ну или в нормальный bash + subfinder + amass + httpx
#!/usr/bin/env bash
set -euo pipefail
domain="${1:-}"
[[ -z "$domain" ]] && { echo "Usage: $0 example.com"; exit 1; }
outdir="recon_${domain}"
mkdir -p "$outdir"
ext='(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)'
subs_file="$outdir/subdomains.txt"
urls_file="$outdir/wayback_urls.txt"
files_file="$outdir/wayback_files.txt"
alive_file="$outdir/alive_urls.txt"
echo "[*] Enumerating subdomains for $domain ..."
subfinder -silent -d "$domain" 2>/dev/null | sort -u > "$subs_file.tmp" || true
amass enum -passive -d "$domain" 2>/dev/null | sort -u >> "$subs_file.tmp" || true
sort -u "$subs_file.tmp" > "$subs_file"
rm -f "$subs_file.tmp"
echo "[*] Subdomains: $(wc -l < "$subs_file")"
echo "[*] Querying Wayback CDX per subdomain (rate-limited) ..."
: > "$urls_file"
while IFS= read -r sub; do
#collapse=urlkey и fl=original — чтобы получить уникальные урлы, filter чтобы не тащить мусор
curl -s "https://web.archive.org/cdx/search/cdx?url=${sub}/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
>> "$urls_file" || true
sleep 0.2
done < "$subs_file"
curl -s "https://web.archive.org/cdx/search/cdx?url=*.$domain/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
>> "$urls_file" || true
cat "$urls_file" \
| sed 's/:80\//\//; s/:443\//\//' \
| sort -u > "$files_file"
echo "[*] Wayback “interesting files” URLs: $(wc -l < "$files_file")"
echo "[*] Saved: $files_file"
echo "[*] Checking which URLs are alive (HEAD/GET minimal) via httpx ..."
# -mc 200,204,301,302,307,308 — живые
# -follow-redirects куда ведёт
httpx -silent -l "$files_file" -follow-redirects -mc 200,204,301,302,307,308 -timeout 10 -retries 1 \
| tee "$alive_file" > /dev/null
echo "[*] Alive URLs: $(wc -l < "$alive_file")"
echo "[*] Done. Output dir: $outdir"
Ну а цепочек понастроить можно до бесконечности:
subfinder + httpx + waybackurls/gau/katana + uro + gf patterns = (xss, sqli, redirect и чьтотамеще)
или
subfinder + httpx + katana + grep '\.js$' + nuclei -t exposures = (API keys, JWT secrets, AWS keys, эндпоинты и тд)
натурально миллионы их
#РубрикаНаЗаметкуХакеру
👍34