Мясо;)

Классная CVE в LDAP Account Manager для веберов.

https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/

Знакомы вам ситуации?
1. У Заказчика стоит доменная политика 10 символов, строчные и прописные, цифры и спецсимволы (хорошая политика), но вы с внешки удачно заспреили пароль Fduecn2022! (Август2022! на русской раскладке) и получили доступы в почту, облако и VPN?
2. У Заказчика хороший домен с тировой архитектурой, но вам удалось найти в сети старый стенд, который никто не использует test.local. Далее ZeroLogon и Password Reuse на основной домен?
3. У Заказчика много УЗ с не истекающими паролями и вообще в домене есть "стандартные" пароли.
Все это большие риски безопасности, но что в этих случаях можно советовать Заказчику?
В сотрудничестве с @ewig_m и @Riocool, мы рады сообщить о первом выпуске проекта с открытым исходным кодом DC Sonar, который предоставляет функциональность для анализа доменов AD на предмет рисков безопасности, связанных с учетными записями:
- Выгрузка и перебор NTLM хэшей из заданных доменов AD для получения списка учетных записей со слабыми и уязвимыми паролями;
- Анализ учетных записей домена AD, чтобы составить список УЗ с никогда не истекающими паролями;
- Анализ учетных записей домена AD по NTLM хэшам паролей для определения учетных записей и доменов, в которых пароли повторяются.

Дополнительную информацию можно найти в репозитории https://github.com/ST1LLY/dc-sonar.

Поздравляю команду с тем что привлекли такого громадного игрока!

А всем кто только знакомится с баг баунти, предлагаю послушать нашу серию подкаста о нем: https://podcast.ru/e/6E.UlMdm5l./

Bug Bounty от VK уже на The Standoff 365

VK — крупнейшая технологическая компания, создающая проекты и сервисы для российского потребителя. Вы или ваши родственники на регулярной основе пользуетесь десятками из них: от почты и социальных сетей до каршеринга, доставки продуктов и обучения.

Компания не первый год даёт хакерам поле для охоты на уязвимости за вознаграждение. В вашем распоряжении будет 40+ проектов. Сегодня запустили первую партию:

▪️ социальные сети ВКонтакте и Одноклассники;
▪️ образовательные платформы GeekBrains, Skillbox, Алгоритмика, Тетрика и Учи.ру;
▪️ почтовый сервис Mail.ru;
▪️ облачная платформа VK Cloud Solutions;
▪️ набор коммуникационных сервисов TAPM (Типовое Автоматизированное Рабочее Место).

⚡️ Максимальная награда за уязвимости — до 1,8 млн рублей (в зависимости от уровня угрозы).

Искать уязвимости 👉 bugbounty.standoff365.com/vendors/vk

Да здравствует Конкуренция!

P.S. Надеюсь скоро порадовать вас новым подкастом на смежную тему.

Присоединяйтесь, если вам по душе ;)

Поиск уязвимостей в парсерах изображений на практике

Все знают, что в ImageMagick или librnoscript есть уязвимости. Проверяют их — единицы. 

Дело не в лени: предсказать поведение уязвимой библиотеки для каждой ситуации не всегда легко, а на подробный разбор обычно не хватает времени проекта.

На воркшопе Егора Богомолова ты научишься быстро находить уязвимости и атаковать парсеры медиаконтента.

Потребуются:
— ноутбук;
— голова.

Тренер: Егор Богомолов — управляющий директор образовательного центра CyberEd, основатель компании Singleton Security. Больше 7 лет занимается тестированием на проникновение, специализация — веб- и Android-приложения. 

Дата: 26 августа, 15:30–18:30.

Как участвовать: воркшоп бесплатный, нужно только пройти регистрацию. Число мест ограниченно!

Организатор — образовательный центр CyberEd.

Кстати, помимо интересных воркшопов могу пригласить присоединиться послшуать мой рассказ о проблемах соверменных веберочков и боли в заднице от того, что приходится тестить всякую шляпу ;D

https://offzone.moscow/ru/report/the-specifics-of-modern-web-application-security-analysis-goodbye-injection/

Онлайн митап!

Сегодня стартовал первый митап The Standoff Talks, на котором собрались энтузиасты и профессионалы offensive и defensive security.

Программа на сегодня такая:

12:10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff

13:20 Роман Максимов — Абузим Zabbix заказчика, или Как бедолаге стать хозяином подконтрольных узлов
14:15 Константин Полишин — RedTeam страдания SOC'а

16:10 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить
16:55 Вадим Шелест и Михаил Дрягунов — Breaking Red
18:20 Илья Шапошников — MSSQL: dump linked passwords
19:10 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco

Смотреть прямую трансляцию

#api #wordlist

Раньше мы выполняли брутфорс только для статических файлов и папок. Но в современных реалиях, мы всё больше встречаем приложения, которые работают посредством конечных точек API. Это означает, что подход должен меняться, давайте рассмотрим специфику.

Возьмём, в качестве примера, запрос на удаление аккаунта пользователя:

DELETE /api/v1/users/<int> HTTP/2
Host: example.com
Content-Type: application/xml

HTTP/2 200 OK
Connection: close

1. Для того чтобы обнаружить эту конечную точку, в словаре должны быть сущности : api, v1, users
2. Вам нужно в запросе использовать метод DELETE
3. Поставить верный Content-Type
4. В последнем пути — нужно добавить число.

В противном случае ответ будет: 404 Not Found

Из этого следует, что нужен хороший словарь, специфичный для API, а также ротация методов GET, POST, DELETE, etc.

При брутфорсе нас интересуют следующие поля (%s):

%s /api/v1/%s/<int> HTTP/2
Host: example.com
Content-Type: %s

Поскольку обычные словари не нацелены на API спецификацию, я собрал свой. Для этого использовал замечательный массив данных от Assetnote из 67 500 файлов Swagger, собранных с помощью Google BigQuery.

Нарезал сущности и отфильтровал их по популярности — файл прикреплён к посту.

💪 Собери команду и прокачай знания в сфере кибербезопасности

С 9 по 11 сентября пройдут соревнования по кибербезопасности BANK SECURITY CHALLENGE. Побывав в роли хакера, вы оцените уровень собственной подготовки и улучшите навыки по защите банковской инфраструктуры и эксплуатации уязвимостей.

Соревнование пройдёт в двух форматах:
☝️CTF – практические испытания в инфраструктуре уже взломанного банка;
✌️LAB – задания в разных сетях банка для получения доступа из внешнего периметра к зоне обработки транзакций.

Призёров и победителя ждут подарки от организаторов — «BSS-Безопасность» и Yandex Cloud.

Приглашаем поучаствовать команды до 5 человек. Опыт не важен — ждём как сотрудников служб информационной безопасности банков, пентестеров и аудиторов, так и студентов, энтузиастов, изучающих кибербезопасность.

Регистрация уже открыта на сайте

Не знаю, что из этого получилось, но вроде весело.

Багхантинг для самых маленьких.

Багхантинг приложений: с чего начать

📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.

Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.

📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.

Читайте первую статью из этого цикла на Хабре.

Проект

Всем привет! С моими коллегами из Singleton Security и CyberEd сделали отдельный канал для того, чтобы делиться пентестерскими инструментами, о которых становится известно.

Со временем замечаешь, что как бы не росла отрасль, как бы не ширилось комьюнити, ты лично все медленнее и медленнее меняешь инструменты, используемые при анализе защищенности (Вспомним ребят, кто ломает вебчик через wireshark ;D ).

Это происходит потому что ты не хочешь терять скорость работы, переучиваясь под новые инструменты. Не хочешь терять наработанный опыт использования инструментом, т.к. знаешь все детали и предсказываешь его поведение. И это понятнто.

Но иногда выходит инструмент, эффективность которого невозможно и глупо игнорировать. Именно для таких кейсов важно иметь под боком друзей, которые на своем опыте подскажут тебе, о том чего ты незнаешь. Чем больше таких друзей тем лучше;)

Предлагаю вам присоединиться к нашему дружному сообществу, где мы планируем обмениваться новыми, проверенными инструментами тестирования на проникновение и анализа защищенности.

Присоединяйтесь: https://news.1rj.ru/str/YAH_Tools_Channel

Внутри вас уже ждут несколько описаний интересных инструментов.

Доклад

Снова радую вас контентом.

По приглашению от друзей, выступал с докладом в AppSec.Zone конференции OFFZone. Решил поделиться мыслями о том, какие уязвимости ждут нас в современных веб приложениях, куда в ближайшее время развернется внимание пентестеров и что нам сулят современные фреймворки как специалистам по поиску уязвимостей.

Как сказал мой друг: “Доклад получился скорее гуманитарным, чем техническим”. Извините за то, что позволил себе подобное, но иногда тянет на фислософства. :D

Приятного просмотра!

Link: https://www.youtube.com/watch?v=f_90jD-zuI0

📢 Через 10 дней завершается Call For Papers на митап Standoff Talks. Но еще можно стать спикером → cfp.standoff365.com

Ждём технические доклады на темы offensive/defensive security, bug bounty и Standoff.

✅ Если вы пропустили первый митап — его можно посмотреть на ютубе.

P.S. А еще Talks — это отличная возможность увидеть Standoff 10 😉

​​SOC-Форум 2022 — «Эволюция технологий, единство людей»!

CyberEd приглашает вас посетить 8-й ежегодный SOC-Форум «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ» - одно из главнейших событий в сфере информационной безопасности России.
SOC-Форум состоится 15-16 ноября в Москве. В этом году форум соберёт тысячи специалистов, чтобы представить новейшие инструменты мониторинга киберугроз и противодействия компьютерным атакам, обменяться идеями и бесценным опытом.
Участников SOC-Форума 2022 ждёт обширная двухдневная программа из актуальных докладов, горячих дискуссий и острых дебатов.

Основной фокус обсуждений на предстоящем SOC-Форуме будет сосредоточен на адаптации подходов к кибербезопасности в изменившихся условиях. Признанные эксперты рынка расскажут об изменениях в мотивации, техниках и тактиках злоумышленников, ответных мерах российских ИБ-компаний и новых требованиях со стороны регуляторов рынка информационной безопасности. Большое внимание будет уделено возможностям совершенствования технологий и процессов, повышения эффективности современных центров кибербезопасности, в том числе и ответным мерам при резком возросшем количестве киберугроз.
Встречи с коллегами, партнёрами, заказчиками, новые контакты и знакомства, полезные пленарные заседания и горячие дискуссии — всё это уже скоро развернётся на SOC-Форуме 2022!

Генеральный партнер — Ростелеком-Солар. Оператор мероприятия — Медиа Группа «Авангард».
Подробная информация и регистрация по ссылке

Подписывайтесь на Pentest Tools! :)

И если есть желание туда написать что, то велком в ЛС. Канал открыт для постов всеми участниками. Авторы остаются в подписи.

Узнали новый инструмент? Открыли для себя старый? Научились его прокачивать? Велкам поделиться с остальными)