Backdoor в xz/liblzma (атака на цепочку поставок)
part 3
Ну и кто добавил вредонос ?
*
А ноги растут из 2021 года, когда был создан акк JiaT75 на гите.
JiaT75 делает коммит, заменяя Safe_fprint небезопасным вариантом, делая еще одну потенциальную дырку.
*
В 2022 году добавляет патч к xz и появляется еще один коммитер Jigar Kumar.
Вместе они парят голову Лассе Колину (разраб xz) и патч мерджится.
Ребятам стали доверять и выдали креды к репозиторию.
*
В 2023 контактная почта в Google oss-fuzz меняется на JiaT75, а не на Лассе Коллина.
И коммиты понеслись....
*
В 2024 году ребята меняю URL tukaani.org/xz/ на xz.tukaani.org/xz-utils/ который далее уводит на гит JiaT75. Отжали проект. Далее добавляются последнии коммиты уже с бэкдором и шлюхами

xz-vulnerable-honeypot
*
SSH-ханипот с бэкдором XZ. CVE-2024-3094
*
download

#xz #docker #honeypot

С праздником 😝

#SOC #1april

Cloudflare Bypass Script
*
download

xzbot (CVE-2024-3094)
*
Рассуждения
honeypot
+ Тестовый эксплоит для xz backdoor
*
Подобрать

#xz #backdoor

OpenBSD IPv6 Multicast Forwarding Cache sysctl kernel heap overflow
*
exploit

#openBSD #NFS

Практическая скрытая беспроводная однонаправленная связь в среде IEEE 802.11
*
Хардварщики как всегда, нет им покоя, в целом молодцы ! Хорошо расписано !
*
ВОУ ВОУ почитать
*

#802.11 #тихоБудь

как реагирует SOC на фолс позитив )))

Jasmin ransomware web panel path traversal
*
Деанон операторов ransom панели Jasmin и сброс ключей дешифрования

exploit

CVE-2024-30850
*
chaos-rat RCE
*
exploit

C2 Cloud
веб-инфраструктура C2
*
Anywhere Access: Reach the C2 Cloud from any location.
Multiple Backdoor Sessions: Manage and support multiple sessions effortlessly.
One-Click Backdoor Access: Seamlessly navigate to backdoors with a simple click.
Session History Maintenance: Track and retain complete command and response history for comprehensive analysis.
*
download

#CC

Pentes LAB - SCCM (red team tactics)
*
Часть 0х0
Часть 0х1 - Recon and PXE
Часть 0х2 - Low user
Часть 0х3 - Admin User
*

#redteam #sccm

CVE-2024-3273
*
D-Link NAS версии:

DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08

Exploit + Tool

#dlink #exploit #NAS

Вся боль сетевиков и cisco 2960 😜
*
бегом ставить Packet Tracer Tracket Pacer

#CCNA #song #lol

CVE-2024-29269
*
Маршрутизаторы TELESQUARE TLR-2005KSH уязвимы для неаутентифицированных команд
*
Хантер показывает что есть 3307 девайсов
*
POC exploit

CVE-2024-27316 Атака на http/2
*
Подробности уязвимости
*
Конкретно CVE-2024-27316 влияет на другие CVE:
CVE-2024-30255 (untested)
CVE-2024-31309 (untested)
CVE-2024-28182 (untested)
CVE-2024-2653 (untested)
CVE-2024-27919 (untested)
*
Usage:
go build
./cve-2024-27316 -t 127.0.0.1:80 -p http -i 8192
./cve-2024-27316 -t 127.0.0.1:443 -p https -i 8192
*
POC exploit

CVE-2024-2879 LayerSlider плагин для WordPress
*
Версии LayerSlider 7.9.11 - 7.10.0 - Unauthenticated SQL Injection
*
Недостаточне экранирование позволяет добавлять дополнительные SQL-запросы к уже существующим, как итог = можно использовать для извлечения конфиденциальной информации из базы данных.
*
POC usage:
sqlmap "https:://OLOLO.com/wp-admin/admin-ajax.php?action=ls_get_popup_markup&id[where]=" --risk=3 --level=4 --dbms=mysql --technique=T or sqlmap -r request.txt --risk=3 --level=4 --dbms=mysql --technique=T


#wordpress

CVE-2023-36047
*
Дырка в службе usermanager, которая копировала файлы из каталога, управляемого пользователем, что приводило к Elevation of Privilege.
ЗаБагФиксили только часть операции копирования, а операция чтения все еще выполняелась в контексте NT AUTHORITY\\SYSTEM. Эту уязвимость можно использовать для получения SAM /SYSTEM/SECURITY из теневой копии.
Патч уже есть и уязвимость отслеживается как CVE-2024-21447
*
Exploit

#windows #eop