[Sammelthread] IT-Sec Themen – Databreaches, CVEs, Tools uvm.

  • Registrierung ist offen, allerdings wurden web.de und gmx.de als Mailanbieter gesperrt. Es gibt aktuell ein Problem mit dem Mailserver, demnach landen die Mails derzeit meistens im Spam.
preppy style

preppy style

Penetration Tester
Moderator
May 5, 2024
121
186
43
Internet
[DE]Hallo zusammen,

hier ist der Ort an dem wir uns Themen rund um IT-Sicherheit widmen. Gemeisam tauschen wir uns über aktuelle Sicherheitslücken, Datenlecks und die neuesten Entwicklungen von Tools und Techniken. Was ich mir hier mit entsprechender Kennzeichnung vorstellt habe.
  1. Data Breach: Erfahrungen, Reaktionen und Präventionsstrategien. Welche jüngsten Vorfälle sollten wir kennen und wie können wir aus diesen lernen bzw. sollte man persönliche Maßnahmen einleiten (Passwörter ändern usw.)?
  2. Neueste CVEs/ 0-day´s : Teilen von Informationen über neu entdeckte Schwachstellen und wie diese effektiv mitigiert werden können. Welche Maßnahmen und Patches habt ihr erfolgreich eingesetzt?
  3. Tools für Penetration Testing und Reconnaissance: Empfehlungen und Reviews neuer sowie bewährter Tools. Welche Tools sind unverzichtbar in eurem Sicherheits-Toolkit und warum?
  4. Allgemein nützliche Informationen: Teilen von Links zu hilfreichen Repos, Cheatsheets oder ähnliches die für unsere Arbeit und Weiterbildung unerlässlich sind.
Der Austausch von Ressourcen, Best Practices und Erfahrungen hilft uns allen, informierter und vorbereiteter zu sein. Zögert nicht, eure Erkenntnisse, Fragen und Ressourcen zu teilen. Lasst uns eine Community aufbauen, in der wir voneinander lernen können (Ohne irgendwelche newfags zu bashen).

Freue mich auf eine aktive Teilnahme und spannende Diskussionen!

Ich möchte ich auch gleich mal Anfang machen. Da ich mit dem guten AURUM AURUM in letzter zeit etliche CTF´s gemacht habe, möchte ich gleich mal meine Highlights dazu Teilen.

Tools

Feroxbuster - A simple, fast, recursive content discovery tool written in Rust
RustScan - The modern port scanner

Webseiten

LOTS - Living Off Trusted Sites
GTFOBins - list of Unix binaries that can be used to bypass local security restrictions in misconfigured systems

Git-Repos

https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet
https://github.com/OWASP/CheatSheetSeries
https://github.com/t3l3machus/Villain
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/HackTricks-wiki/hacktricks

Disclaimer: Wichtiger Hinweis zum Sammelthread

Bitte beachtet, dass die Inhalte dieses Threads ausschließlich zu Lern- und Informationszwecken dienen. Die hier diskutierten Techniken und Methoden des Web Application Penetration Testing sollten niemals ohne ausdrückliche Genehmigung auf Systeme angewandt werden, für die ihr nicht explizit die Erlaubnis habt, diese zu testen. Unbefugtes Eindringen in Computersysteme ist illegal und ethisch nicht vertretbar.


[EN]Hello everyone,

Welcome to the place where we focus on IT security topics. Together, we exchange information about current security vulnerabilities, data breaches, and the latest developments in tools and techniques. Here's what I have in mind with appropriate labeling:

  1. Data Breach: Sharing experiences, reactions, and prevention strategies. Which recent incidents should we be aware of, and how can we learn from them or take personal measures (such as changing passwords, etc.)?
  2. Latest CVEs/0-days: Sharing information about newly discovered vulnerabilities and how they can be effectively mitigated. What measures and patches have you successfully implemented?
  3. Tools for Penetration Testing and Reconnaissance: Recommending and reviewing new and established tools. Which tools are indispensable in your security toolkit and why?
  4. General Useful Information: Sharing links to helpful repositories, cheatsheets, or similar resources that are essential for our work and education.

The exchange of resources, best practices, and experiences helps us all become more informed and prepared. Don't hesitate to share your insights, questions, and resources. Let's build a community where we can learn from each other (without bashing any newcomers).

Looking forward to active participation and exciting discussions!

I'd like to kick things off by sharing some highlights from my recent CTFs with AURUM AURUM

Tools

Feroxbuster - A simple, fast, recursive content discovery tool written in Rust
RustScan - The modern port scanner

Websites​

LOTS - Living Off Trusted Sites
GTFOBins - list of Unix binaries that can be used to bypass local security restrictions in misconfigured systems

Git-Repos

https://github.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet
https://github.com/OWASP/CheatSheetSeries
https://github.com/t3l3machus/Villain
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/HackTricks-wiki/hacktricks

Disclaimer: Important Note regarding the Thread

Please note that the content of this thread is intended solely for learning and informational purposes. The techniques and methods of web application penetration testing discussed here should never be applied to systems without explicit permission to test them. Unauthorized entry into computer systems is illegal and ethically unacceptable.
 
  • Like
  • Love
Reactions: Nuggets, tark, Maermin and 4 others
Nettes Thema, da will ich doch gleich mal etwas beitragen.

Wir setzten jetzt schon ein Weile InsightVM von Rapid7 ein.

Wem Rapid7 kein Begriff ist: Das ist der Entwickler von Metasploit

InsightVM bietet eine umfassende Plattform für das Vulnerability Management, das Identifizieren, Priorisieren und Beheben von Sicherheitslücken in Unternehmensnetzwerken.

Mit InsightVM können Unternehmen ihre Systeme und Netzwerke kontinuierlich überwachen, um potenzielle Schwachstellen und Sicherheitslücken zu identifizieren. Die Plattform verwendet verschiedene Techniken wie Schwachstellenscans, Asset-Discovery und Risikobewertungen, um ein umfassendes Bild der Sicherheitslage eines Unternehmens zu liefern.

Eine der Hauptfunktionen von InsightVM ist die Priorisierung von Schwachstellen, die es Unternehmen ermöglicht, ihre begrenzten Ressourcen effektiver zu nutzen, indem sie sich auf die Behebung der am dringendsten benötigten Probleme konzentrieren. Darüber hinaus bietet die Plattform auch Tools zur Überwachung und Messung von Sicherheitsmetriken sowie zur Erstellung von Berichten für Compliance-Anforderungen.


Die Auflistung der Schwachstellen kann Anhand mehrerer Kriterien gewählt werden:
  • Sind Malware Kits verfügbar?
  • Gibt es bereits Exploits? (Hier wird auch direkt angezeigt ob ein Metasploit Modul in der Lage ist dies auszunutzen oder ob es bekannte Einträge in der Exploit Datenbank gibt)
  • CVSS Score
  • CVSSv3 Score
  • Risk (Dies ist ein von Rapid7 errechneter Wert anhand diverser Kriterien)
  • Schwere der Lücke
  • Anzahl der Betroffenen Endpoints
Es gibt auch einige Möglichkeiten die Arbeit zu Tracken oder Projekte zu erstellen für die Arbeit mit mehreren Leuten.

Zudem gibt es zu fast allen Lücken direkte Anleitungen wie diese behoben werden können.

Dies mal als grober Überblick, ich beantworte auch auch gerne Tiefgreifendere Fragen, falls welche aufkommen sollten.
 
  • Like
Reactions: Maermin, AURUM and preppy style
Hallo zusammen,
in diesem Beitrag möchte ich euch erklären was CVE's überhaupt sind. CVE steht für „Common Vulnerability and Exposure“ und sind standardisierte Referenzen für Sicherheitsanfälligkeiten in Software. Sie ermöglichen eine effektivere Verfolgung und Behebung von Sicherheitsproblemen. Durch die Standardisierung von CVEs können IT-Profis schneller auf Risiken reagieren und entsprechende Maßnahmen ergreifen. Für Linux-Nutzer und Administratoren sind CVEs besonders wichtig, da sie Transparenz und Sicherheit verbessern. Die Branche verlagert sich zunehmend darauf, CVEs zu verfolgen und zu beheben, anstatt sich auf spezifische Fehler zu konzentrieren. Die Einhaltung von CVEs ist auch für die Compliance entscheidend. Der beste Ansatz ist es, Systeme und Anwendungen regelmäßig zu aktualisieren und Patches sofort zu installieren oder mit entsprechender Software wie sie Electricz Electricz vorgestellt hat zu monitoren.

Ich hoffe, dass ist eine hilfreiche Ergänzung warum Programme, wie oben genannt, unabdingbar für größere IT-Infrastrukturen sind.

Man stellt sich sicher die Frage - Ok, aber woher weiß ich, was passiert ist, ob ich betroffen bin, wie kritisch die Lücke ist und vor allem wie schütze ich mich davor.
Hierzu möchte ich euch Ressourcen an die Hand geben - die einige, aber sicher nicht alle Fragen beantworten.

https://cve.mitre.org/cve/search_cve_list.html
https://www.cvedetails.com/
https://www.cve.org/
https://nvd.nist.gov/general/cve-process

Beispiel: Hey ich habe einen kleinen Webserver am laufen - https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apache
Hier ist die aktuellste CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-34365

ABER


CVE ist nicht gleich CVE - Es spielen die oben genannten Kriterien eine nicht unerhebliche Rolle.
Wenn wir mit unserem Beispiel fortfahren haben wir zumindest laut exploit-db keinen exploit für die aufgeführte Schwachstelle - https://www.exploit-db.com/search?cve=2024-34365
Macht's das besser? Nein auf keinen Fall.
Muss ich mein System jetzt abschalten? Nein auch nicht.
Aber wir sollten ein Auge darauf haben, nicht nur ob es mittlerweile einen Exploit für die CVE gibt, sondern auch ob der Hersteller schon einen fix/patch gebracht hat.

So, nun bleibt die Frage zu klären - Wie schütze ich mich davor. Um es kurz zu machen - gar nicht.
Vor allem nicht zu 100% - 100% erreicht man nur wenn du den Stecker ziehst.
Am Ende aber noch 5 Tipps, wie man zumindest die Chance so klein wie möglich hält

  1. Halte deine Software aktuell und geheim: Regelmäßige Updates und Patches sind entscheidend, um bekannte Sicherheitslücken zu schließen. Ebenfalls ist es wichtig seine eingesetzte Software so gut zu verstecken wie möglich - was mein ich damit? Suche gezielt nach Softwareversionen die nach außen exponiert sind. Mach Scans und schau deinen Quelltext durch. Jede Information auf eingesetzte Software ermöglicht gezielte Angriffe darauf.
  2. Verwende Sicherheitssoftware: (Bestenfalls) Für deine Seite auf der du Fußbilder deiner alten verscherbelst brauchst du bestimmt nichts (wird sich eh ein hoster drum kümmern). Aber betreibst du selbst eine IT-Infrastruktur für was auch immer, mit Zugang ins böse Internet, empfiehlt sich schon das ein oder andere Tool. (Dazu kann ich gerne in einem neuen Post eingehen)
  3. Überwache und scanne dein Netzwerk: Führe regelmäßige Sicherheitsüberprüfungen und Scans durch. https://owasp.org/www-community/Vulnerability_Scanning_Tools - "preppy kein Schwanz benutzt die scheiße, es läuft alles in Cluster und Container, wir sind im Jahr 2024" Ja auch für dich gibts was und du solltest es usen! So schau mal da ReactiioN ReactiioN (kannst du dir vielleicht auch mal reinfahren - oder du gibst mir endlich Zugang) https://github.com/aquasecurity/kube-hunter und/oder https://github.com/aquasecurity/kube-bench
  4. Implementiere Zugriffskontrollen: Begrenze den Zugriff auf sensible Systeme und Daten, indem du strenge Zugriffssteuerungen und Berechtigungen implementierst. Oder benutze Tools die ein unautorisiertes eindringen in dein System erschweren oder gar verhindern - https://github.com/fail2ban/fail2ban
  5. Bildung: Schule und Sensibilisiere dich. Du kannst nicht 2014 was implementieren und denken das geht 2024 auch noch so!

Beste Grüße,
preppy

P.S.: Für Fragen, Anmerkungen, Verbesserungen oder ähnliches bin ich immer offen. Niemand ist perfekt und wir fangen alle mal klein an.
 
Last edited:
  • Like
Reactions: k4u, Gab, AURUM and 5 others
Moing Leute,

Es ist mal wieder soweit

https://github.blog/2024-05-14-securing-git-addressing-5-new-vulnerabilities/

Gruß, bleibt wachsam und ein schönes Wochenende!
Preppy
 
  • Like
Reactions: max, Durek, ReactiioN and 1 other person
preppy style said:
GuMo Leute,

Firefox updaten, jetzt. Schöne Woche

https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/
Click to expand...
Was sind denn generell so die Seiten auf denen du dich informierst?

Ich schaue täglich immer mal auf:
www.bleepingcomputer.com

BleepingComputer

BleepingComputer is a premier destination for cybersecurity news for over 20 years, delivering breaking stories on the latest hacks, malware threats, and how to protect your devices.
www.bleepingcomputer.com www.bleepingcomputer.com
www.heise.de

News, Dienste und Foren zum Thema Computer-Sicherheit

Portal zum Thema IT-Sicherheit – Praxis-Tipps, Know-How und Hintergrundinformationen zu Schwachstellen, Tools, Anti-Virus, Software, Firewalls, E-Mail
www.heise.de www.heise.de

Security-Insider: IT-Security, Trojaner, Firewall, Antivirus, Netzwerksicherheit

www.security-insider.de www.security-insider.de
thehackernews.com

The Hacker News | #1 Trusted Cybersecurity News Site

The Hacker News is the most trusted and popular cybersecurity publication for information security professionals seeking breaking news, actionable insights and analysis.
thehackernews.com thehackernews.com
www.rapid7.com

Rapid7 Blog

Rapid7 Blog Posts
www.rapid7.com www.rapid7.com

nach den aktuellsten Themen. Ich denke mal du hast 100%ig noch die ein oder andere gute Seite parat.
 
  • Like
Reactions: Maermin and preppy style
Electricz said:
Was sind denn generell so die Seiten auf denen du dich informierst?
Click to expand...
Genau deine Quellen benutze ich auch, dann folge ich noch diversen twitter Accounts wie LiveOverflow, 0dayCTF, thomasrinsma, _stigward und alisaesage (nur eine kleine Auswahl aber twitter ist unheimlich gut um da am Ball zu bleiben). Die meinsten Sachen bekomme ich aber tatsächlich bedingt durch meine Arbeit mit. Einige Kollegen in der Gruppe kümmern sich halt nur um dieses Thema.

Edit: Telegram Gruppen sind auch sehr zu empfehlen
 
Last edited:
  • Like
Reactions: ReactiioN, Gab, Maermin and 1 other person
🖥 Stealthy Shellcode Injection: Exploiting Windows Fork API for Memory Manipulation
Abusing Windows fork API and OneDrive.exe process to inject the malicious shellcode without allocating new RWX memory region. This technique is finding RWX region in already running processes in this case OneDrive.exe and Write shellcode into that region and execute it without calling VirtualProtect, VirtualAllocEx, VirtualAlloc.

🚀 Steps:
  1. Find the OneDrive.exe in running processes;
  2. Get the handle of OneDrive.exe;
  3. Query remote process memory information;
  4. look for RWX memory regions;
  5. Write shellcode into found region of OneDrive.exe;
  6. Fork OneDrive.exe into a new process;
  7. Set the forked process's start address to the cloned shellcode;
  8. Terminate the cloned process after execution.


🔗 https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV

Quelle: APT Channel https://t.me/APT_Notes
Um nochmal auf Electricz Electricz zurückzukommen. Teile ich zukünftig auch die Quelle mit.
 
Last edited:
  • Like
Reactions: Electricz and Maermin
preppy style said:
🖥 Stealthy Shellcode Injection: Exploiting Windows Fork API for Memory Manipulation
Abusing Windows fork API and OneDrive.exe process to inject the malicious shellcode without allocating new RWX memory region. This technique is finding RWX region in already running processes in this case OneDrive.exe and Write shellcode into that region and execute it without calling VirtualProtect, VirtualAllocEx, VirtualAlloc.

🚀 Steps:
  1. Find the OneDrive.exe in running processes;
  2. Get the handle of OneDrive.exe;
  3. Query remote process memory information;
  4. look for RWX memory regions;
  5. Write shellcode into found region of OneDrive.exe;
  6. Fork OneDrive.exe into a new process;
  7. Set the forked process's start address to the cloned shellcode;
  8. Terminate the cloned process after execution.


🔗 https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV

Quelle: APT Channel https://t.me/APT_Notes
Um nochmal auf Electricz Electricz zurückzukommen. Teile ich zukünftig auch die Quelle mit.
Click to expand...
Dein link geht nicht bro, der hat das h am anfang verschluckt :(

Sowas gab es doch vor Jahren schonmal in der Art oder?
 
  • Like
Reactions: Maermin and preppy style
preppy style said:
🖥 Stealthy Shellcode Injection: Exploiting Windows Fork API for Memory Manipulation
Abusing Windows fork API and OneDrive.exe process to inject the malicious shellcode without allocating new RWX memory region. This technique is finding RWX region in already running processes in this case OneDrive.exe and Write shellcode into that region and execute it without calling VirtualProtect, VirtualAllocEx, VirtualAlloc.

🚀 Steps:
  1. Find the OneDrive.exe in running processes;
  2. Get the handle of OneDrive.exe;
  3. Query remote process memory information;
  4. look for RWX memory regions;
  5. Write shellcode into found region of OneDrive.exe;
  6. Fork OneDrive.exe into a new process;
  7. Set the forked process's start address to the cloned shellcode;
  8. Terminate the cloned process after execution.


🔗 https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV

Quelle: APT Channel https://t.me/APT_Notes
Um nochmal auf Electricz Electricz zurückzukommen. Teile ich zukünftig auch die Quelle mit.
Click to expand...
Die Methode wurde vor Jahren schon in der Cheatingszene verwendet
 
  • Like
Reactions: DeeGee, Maermin and preppy style
Last edited:
  • Like
Reactions: still, max and preppy style
Neuer Tag, neue CVE

This vulnerability affects all versions of PHP installed on the Windows operating system. Please refer to the table below for details:

PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29

Devco Blog CVE-2024-4577

Gruß,
Preppy
 
  • Like
Reactions: Maermin
www.fortiguard.com

PSIRT | FortiGuard Labs

None
www.fortiguard.com www.fortiguard.com

CVE-2024-23110

Multiple stack-based buffer overflow vulnerabilities [CWE-121] in the command line interpreter
of FortiOS may allow an authenticated attacker to execute unauthorized code or commands via specially crafted command line arguments.

Betrifft folgende Systeme:
VersionAffectedSolution
FortiOS 7.47.4.0 through 7.4.2Upgrade to 7.4.3 or above
FortiOS 7.27.2.0 through 7.2.6Upgrade to 7.2.7 or above
FortiOS 7.07.0.0 through 7.0.13Upgrade to 7.0.14 or above
FortiOS 6.46.4.0 through 6.4.14Upgrade to 6.4.15 or above
FortiOS 6.26.2.0 through 6.2.15Upgrade to 6.2.16 or above
FortiOS 6.06.0 all versionsMigrate to a fixed release
 
  • Like
Reactions: preppy style
You must log in or register to reply here.
Top Bottom
Back