• XSS.stack #1 – первый литературный журнал от юзеров форума

Как правильно выбрать таргет для исследования?

Отслеживать

kotoharu

RAM
Пользователь
Регистрация
21.01.2023
Сообщения
122
Решения
1
Реакции
11
После прошлой статьи, о том, как начать изучать пвн я получил несколько советов. Я к ним прислушался убил чуток времени на изучение материала, который вы посоветовали. Так вот как же выбрать первый таргет? Как начать писать эксплойты "под заказ"?
 
Решение
varwar
kotoharu сказал(а):
Возможно ты прав, спросонья писал)
Есть два стула пути. Первый - по принципу выбора любой вещи или продукта в магазине. Т.е., что нравится и есть возможность изучать, хекать, то и хекаешь. Второй - хекать то, за что гарантированно заплатят. На форуме регулярно всплывают темы с тем, чем пробивают корпы и что окупает себя. Поизучай коммерческий раздел и отчеты об атаках. Смотри что тебе по силам.

kotoharu сказал(а):
Так вот как же выбрать первый таргет? Как начать писать эксплойты "под заказ"?
Просто на это можно ответить так:

1. Бери IOS.
2. Берешь и пишешь zero click RCE
3. Profit
Сортировать по дате Сортировать по голосам
Пожалуйста, обратите внимание, что пользователь заблокирован
kotoharu сказал(а):
Так вот как же выбрать первый таргет?
Вопрос неправильно поставлен. За тебя никто ничего выбирать не будет.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
kotoharu сказал(а):
Возможно ты прав, спросонья писал)
Есть два стула пути. Первый - по принципу выбора любой вещи или продукта в магазине. Т.е., что нравится и есть возможность изучать, хекать, то и хекаешь. Второй - хекать то, за что гарантированно заплатят. На форуме регулярно всплывают темы с тем, чем пробивают корпы и что окупает себя. Поизучай коммерческий раздел и отчеты об атаках. Смотри что тебе по силам.

kotoharu сказал(а):
Так вот как же выбрать первый таргет? Как начать писать эксплойты "под заказ"?
Просто на это можно ответить так:

1. Бери IOS.
2. Берешь и пишешь zero click RCE
3. Profit
 
За 1 Против
Решение
varwar сказал(а):
Есть два стула пути. Первый - по принципу выбора любой вещи или продукта в магазине. Т.е., что нравится и есть возможность изучать, хекать, то и хекаешь. Второй - хекать то, за что гарантированно заплатят. На форуме регулярно всплывают темы с тем, чем пробивают корпы и что окупает себя. Поизучай коммерческий раздел и отчеты об атаках. Смотри что тебе по силам.


Просто на это можно ответить так:

1. Бери IOS.
2. Берешь и пишешь zero click RCE
3. Profit
Святой ты человек=)
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Очень много и в больших количествах требуются LPE. Под Windows, Linux и Android.

Под линь готовы скупать 1-дей. Ибо после dirtycow нихрена нету. Поэтому эксплойты под ядро линукса очень актуально.

Так же видел продажник на экспе что люди скупают LPE под андройд.

Еще могу сказать что веб-браузер Google Chrome тоже актуальный таргет. (Особено для точечных атак и масс инсталлов)

p.s
короче говоря много интерсных таргетов, про все писать я думаю нет смысла
 
За 0 Против
Выбор правильной цели зависит от системы, на которую вы ориентируетесь, если вы пытаетесь повысить шансы на успех в любой из этих ОС или платформ:

1. Windows LPE

2. macOs Safari нулевой щелчок

3. iPhone нулевой щелчок


это обеспечит вам самый быстрый процент успеха, но вы можете найти выход с помощью эксплойта в формате PDF удаленное выполнение кода, эксплойтов перспектив ноль, нажмите кнопку / для Linux LPEs
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
1. Windows LPE

2. macOs Safari нулевой щелчок

3. iPhone нулевой щелчок


macOS + Safari по дефолту это не зеролик. Это 1-клик.

Потому что жертве нужно нажать на ссылку, чтобы перейти на страницу с эксплойтом. А если мы сделаем редирект или ифрейм через сайт то это будет уже зероклик.

Не важно какой браузер и какая ОС. Это всё 1-клик. Потому вначале всё начинается с веб-браузера.

это всё 1-клик

Chrome RCE + SBX + LPE

Chrome + Windows
Chrome + Linux
Chrome + Android
Chrome + iOS
Chrome + MacOS

Firefox + Windows
Firefox + Linux
Firefox + iOS
Firefox + MacOS

Safari + MacOS
Safari + iOS


PDF (pdfium) так же можно открыть в браузере и добиться удаленного исполнения кода. Не нажимая ничего в документе. Сам факт открытия PDF документа в веб-браузере приведет к исполнению кода. Даже если мы не нажимаем ничего в PDF документе (как в офис документе). Это тоже 1-клик, потому что пользователю надо открыть PDF в браузере. Аналогично с редиректом, PDF становится зерокликом.

Уязвимости в ридерах аля Adobe PDF reader там мы уже не сможем поменять вектор атаки. Там всегда 1-клик.

Оригинальный зероклик когда мы не взаимодействуем с жертвой. Например мы посылаем TCP-пакет который стриггерит уязвимость и даст нам шелл. Уязвимости в Baseband тоже хороший пример зероклик уязвимостей.

Всякого рода AV, IDS\IPS, Firewall тоже имеют уязвимости и тоже интересный вектор для атаки.

Обычно уязвимости в AV это LPE, т.е. уязвимости в драйверах ав по. Но ав напичканы всякими парсерами, эмуляторами и виртуализацией, поэтому тут работают и эксплойты формата файла. Например KAV начинает сканировать CHM файл в итоге получаем исполнение кода. (с правами), но для этого нам нужно быть в системе. Зероклик вариант - мы шлем на корп почту аттач с этим chm файлом (эксплойтом формата файла), в итоге антивирус его автоматически скачает, начнет его анализировать (происходит триггер) и мы получим удаленном исполнение кода и вся сеть скомпрометирована.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Тут еще один интересный вектор нашел. Правда он для хардкорщиков. Для тех кто интересуется уязвимостями в CPU, вроде spectre и meltdown...

Покупаем аккаунт у cloud провайдера или хостера - именно linux машину.

Далее просто в консоли пишемlscpu
И нам выдает информацию о процессоре, а именно каким уязвимостям подвержен данный хост.

Пример 1
Vulnerability Itlb multihit: KVM: Mitigation: Split huge pages
Vulnerability L1tf: Not affected
Vulnerability Mds: Not affected
Vulnerability Meltdown: Not affected
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1: Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2: Mitigation; Enhanced IBRS, IBPB conditional, RSB filling
Vulnerability Tsx async abort: Mitigation; TSX disabled
Пример 2
Vulnerability Itlb multihit: KVM: Mitigation: Split huge pages
Vulnerability L1tf: Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
Vulnerability Mds: Mitigation; Clear CPU buffers; SMT vulnerable
Vulnerability Meltdown: Mitigation; PTI
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1: Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2: Mitigation; Full generic retpoline, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
Vulnerability Tsx async abort: Not affected

Или вместо lscpu. Пишем grep . /sys/devices/system/cpu/vulnerabilities/*

Пример 3
$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/gather_data_sampling:Not affected
/sys/devices/system/cpu/vulnerabilities/itlb_multihit:KVM: Mitigation: VMX unsupported
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation: Clear CPU buffers; SMT Host state unknown
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/mmio_stale_data:Unknown: No mitigations
/sys/devices/system/cpu/vulnerabilities/retbleed:Mitigation: IBRS
/sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow:Not affected
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: IBRS, IBPB: conditional, STIBP: disabled, RSB filling, PBRSB-eIBRS: Not affected
/sys/devices/system/cpu/vulnerabilities/srbds:Unknown: Dependent on hypervisor status
/sys/devices/system/cpu/vulnerabilities/tsx_async_abort:Not affected
И мы получим что-то вроде этого. Вывод может отличатся, это просто пример.

Так вот к чему я клоню, если заморочится и написать хороший эксплойт.

Можно выходить из гостевой vm и получать доступ к хосту. В том числе чтение /etc/passwd & etc/shadow
 
За 0 Против
weaver сказал(а):
Тут еще один интересный вектор нашел. Правда он для хардкорщиков. Для тех кто интересуется уязвимостями в CPU, вроде spectre и meltdown...

Покупаем аккаунт у cloud провайдера или хостера - именно linux машину.

Далее просто в консоли пишемlscpu
И нам выдает информацию о процессоре, а именно каким уязвимостям подвержен данный хост.

Пример 1

Пример 2


Или вместо lscpu. Пишем grep . /sys/devices/system/cpu/vulnerabilities/*

Пример 3

И мы получим что-то вроде этого. Вывод может отличатся, это просто пример.

Так вот к чему я клоню, если заморочится и написать хороший эксплойт.

Можно выходить из гостевой vm и получать доступ к хосту. В том числе чтение /etc/passwd & etc/shadow
Хорошая находка, обязательно попробую
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх