PurpleBear

В Burp Suite Proffesional/Comminity v2024.7.6 появилась новая функциональность Burp Organizer. Суть фичи заключается в ведении логов запросов в отдельной вкладке, к которым можно прикреплять заметки, статусы, сортировать по хронологии и любому другому значению таблицы, а также применять различные фильтры. Прикопать интересный запрос в Organizer можно с помощью Сtl+o из вкладки Proxy/Repeater/etc чтобы в любой момент к нему вернуться Organizer сохраняет следующие значения, которые можно кастомизирвоать: # - The request index number. Time - The time the request was made. Status - The workflow status that you have applied to the message, for example Done or Paused. Tool - The Burp tool that the message was sent from, such as Burp Repeater or Burp Intruder. If the message is sent from Burp Logger or from an item that is already in Organizer, then the tool identified here is the tool that originally generated the HTTP request. Method - The HTTP method. Host - The server hostname. Path - The URL file path. Query - The URL query string. Param count - The number of parameters in the request. Status code - The HTTP status code of the response. Length - The length of the response in bytes. Notes - Any notes that you have made. Таким образом, можно организовать хаос с десятками вкладок в Repeater в красивую таблицу, с которой удобно работать. Мне очень не хватало подобной функциональности, а как Вам новая фича? Поделитесь пожалуйста своим мнением в комментариях🙏

KazHackStan 2024: Итоги Это было просто эпично❤️‍🔥 Каждый год мне кажется, что круче уже быть не может, но ребята из TSARKA каждый раз доказывают, что может🔥 ❤️ В первую очередь хочется выразить слова благодарности организаторам конференции Олжасу Сатиеву и его прекрасной жене Енлик и всей команде TSARKA за эти потрясающие 5 дней. Улкен рахмет и низкий поклон! ❤️Также спасибо всем спикерам и участникам, очень приятно было встретиться со старыми друзьями и завести новых. Олжас на закрытии мероприятия сказал слова, которые прямо передают атмосферу KHS, когда рядом друг с другом на соседних креслах могут сидеть заместитель министра и простой студент, руководитель крупной компании и начинающий специалист и их объединяет стремление к знаниям и общая цель сделать наш мир чуточку более безопасным местом🔥 ❤️Потрясающей красоты горы и природа, дружеская атмосфера и легендарное казахстанское гостеприимство🔥 Такие эмоции невозможно передать словами, это необходимо пережить самому! До встречи на KazHackStan 2025❤️

В этому году на конференции KazHackStan выступаю с темой: Red Team tales: Однажды на Red Team проекте… В докладе расскажу про интересные кейсы с Red Team проектов в формате веселых и поучительных историй. Мы поговорим про различные векторы получения первоначального доступа, начиная с пробива веб приложений на внешнем периметре и целевого фишинга, заканчивая получением физического доступа в офис заказчика. А именно, о том к чему приводит популярность и как бывает весело когда тебя узнают в лицо в офисе тестируемой компании во время физического проникновения, курьезные моменты при взаимодействии с заказчиками при оценке импакта, что делать когда твой тиммейт сорвал голос накануне запланированого вишинга и многое другое. 📍Главная сцена 📆 13 сентября, 14:30-15:00 📍 Rixos Almaty

Мы в поиске стажера в мою команду😎 Red Team Intern, Wildberries ЗП: 40 000 - 100 000 рублей net Уровень: Intern Формат: удаленка или гибрид Мы приглашаем студентов и выпускников технических ВУЗов по направлению ИБ рассмотреть стажировку в отделе анализа защищенности - одном из интереснейших направлений информационной безопасности! Чем предстоит заниматься: • поиск и исследование актуальных уязвимостей в ПО • внешние и внутренние тестирования на проникновение • анализ защищенности мобильных и веб-приложений • подготовка рекомендаций по повышению уровня защищенности инфраструктуры • имитация целевых атак (Red Team) Что для этого нужно: • общее понимание модели OSI • базовые навыки администрирования операционных систем семейства Linux • знание актуальных уязвимостей и способов их устранения (OWASP Top 10, CWE TOP 25) • понимание принципов работы веб-приложений • понимание принципов работы сетевых протоколов • опыт автоматизации задач на Python или Go Будет плюсом: • опыт участия в CTF соревнованиях • опыт участия в программах Bug Bounty • умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, Golang, C++) • опыт работы с инструментами Nmap, Sqlmap, dirbuster, WireShark, Burp Suite, Metasploit, ОС Kali Linux Мы предлагаем: • полугодовая оплачиваемая стажировка, которая даст возможность получить ценный опыт и практические навыки в области информационной безопасности • опыт работы в команде, состоящей из экспертов, готовых делиться своими знаниями и навыками • возможность после завершения стажировки присоединиться к нам в качестве полноценного участника команды безопасности • пятидневная рабочая неделя с возможностью выбрать занятость - 20/30/40 часов • оформление по самозанятости Какие шаги нужно предпринять, чтобы попасть на стажировку: • заполнить анкету: https://forms.gle/cwMqQ3LzRn8bNis56 • успешно выполнить тестовое задание, доказывающее понимание основных принципов безопасности • пройти интервью с будущими ментором и руководителем и продемонстрировать свои знания и мотивацию

CVE-2024-43044: From file read to RCE in Jenkins Опубликованы технические детали и эксплоит для уязвимости CVE-2024-43044 (оценка по CVSS=8.8) Path Traversal, приводящая к удаленному исполнению кода на серверах Jenkins. Суть баги заключается в том, что подключенный агент может читать произвольные файлы с контроллера, с помощью эксплуатации классического Path Traversal в ClassLoaderProxy#fetchJar библиотеки Remoting/Hudson library, который отвечает за получение jar файлов с контроллера на агенты. Получив возможность чтения файлов, можно проэксплуатировать CVE-2024-23897, с помощью которой атакующий может создать валидные "Remember me" cookie для аккаунта администратора, чтобы выполнять произвольный код через консоль Groovy (Jenkins Scripting Engine). Опубликованный эксплоит имеет несколько режимов работы для Inbound (JNLP) или SSH способов подключения агентов к контроллеру и автоматически выгружает хэши паролей всех пользователей в формате John The Ripper😎 Такиим образом, отломав тачку с агентом, атакующий получает возможность развивать атаку на сервер Jenkins и другие подключенные тачки с агентами. ⚙️ POC: https://github.com/convisolabs/CVE-2024-43044-jenkins 🪲 Уязвимые версии ПО: Jenkins до версии Jenkins 2.471 и LTS 2.452.4, LTS 2.462.1 ✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 32.471 и LTS 2.452.4, LTS 2.462.1

Кто стучится к вам в почту? Социальная инженерия 2024 Отличная статья от крутых исследователей Ярослава Бабина и Константина Полишина из Positive Technologies о различных актуальных вариантах доставки полезной нагрузки, которые используются в качестве векторов получения первоначального доступа на Red Team проектах и в дикой природе. 🔴 HTML Smuggling Варианты кастомизации старого надежного способа доставки, который с учетом всех возможных комбинаций методов инициирования распаковки и загрузки пейлоадов не теряет актуальности уже более 6 лет. 🔴 SVG Smuggling Техники анлогичные предыдущей, только с использованием SVG-изображений для внедрения вредоносного кода в HTML-страницу. Ребята подробно рассмотрели SVG Smuggling с CDATA, SVG as CSS, SVG Polyglot. 🔴 PDF Smuggling JavaScript в PDF-файлах, который отрабатывает при открытии PDF-вложений в Adobe Acrobat, Foxit Reader, PDF Reader и пр PDF ридерах. 🔴 PDF Polyglot (MalDoc in PDF) Техника заключается в создании документа, который может одновременно быть валидным PDF-файлом и документом другого формата, например DOCX. Идея заключается в том, что такой файл можно открыть как в PDF-ридерах, так и в Microsoft Word, при этом в зависимости от программы содержимое файла будет отличаться. 🔴 PDF/DOCX/PPTX/etc Luring По сути приманка для того, чтобы стимулировать "непреодолимое желание" пользователя перейти по ссылке из документа. 🔴 VBA Macros (VBA Purging/Stomping) Любимые всеми макросы, которые Microsoft считает уже "побежденными векторами", по-прежнему актуальны в определенных условиях😎 🔴 VelvetSweatshop Пасхалка в Excel, которую помнят только олды🙈откопали злодеи и используют в дикой природе. 🔴 QR-коды, DLL Side-Loading и другое Таким образом, в статье рассмотрены наиболее актуальные в 2024 году техники доставки полезной нагрузки, которые будут интересны атакующим и защитникам👍 Авторам - большой респект!