Брутанул примерно 500 pfx

Mellstroy · 25.08.2023

Брутанул примерно 500 pfx сертов, написал скрпипт на проврку валида , но почему то они все невалидные. Может быть я не так подписываю или еще что то ? можете дать рекомендации? Сколько примерно нужно сбрутить что бы найти валид?

так же куплю VirusTotal api или же может брут кто то может кто написать за $?

пример.
070154;;;181775A7-6AFD-47A0-980A-8B68AC570C7D.pfx
07061960;;;05249960000103.pfx
071020;;;certificado_76_105.pfx
07131887;;;4c7835cf3a5f4665aa7b696cc52cb563.pfx
07131887;;;213fac006de1434ab0d8db3641fa0079.pfx
07131887;;;213fac006de1434ab0d8db3641fa0079.pfx
080471;;;26576031000189.pfx
08101323;;;atualizado - RETEC_ITA_SERVICOS_E_ACESSOS_LTDA_31601180000190_1685645409654850600.pfx
08101980;;;Maria_Natalia_Costa_Silva 022023.pfx
08051807;;;RAFAEL GUBERT senha 08051807.pfx
084289;;;201593453855REFLORESTAMENTO_CASCAVEL_S_A_08428929000128_1646310943296281500 6PRIMEIROSCNPJ.pfx

benjaminhustlin · 25.08.2023

Не все из этих сертификатов предназначены для подписи кода (purpose: code signing), те что с именем человека типа 08101980;;;Maria_Natalia_Costa_Silva 022023.pfx, скорее всего предназначены для подписи документов. Я тоже немного побаловался с вт, но из сбрученных те несколько что были для code signing все просрочены.

kosok11 · 25.08.2023

не факт, что это именно code sign сертификаты. Если ты накачал пять сотен и все они SSL, то нет ничего странного в том, что все они невалидные.

Mellstroy · 26.08.2023

benjaminhustlin сказал(а):

Не все из этих сертификатов предназначены для подписи кода (purpose: code signing), те что с именем человека типа 08101980;;;Maria_Natalia_Costa_Silva 022023.pfx, скорее всего предназначены для подписи документов. Я тоже немного побаловался с вт, но из сбрученных те несколько что были для code signing все просрочены.

А ты парсил с ака с платным апи? А то на бесплатных лимит запросов слезы...

Mellstroy · 26.08.2023

kosok11 сказал(а):

не факт, что это именно code sign сертификаты. Если ты накачал пять сотен и все они SSL, то нет ничего странного в том, что все они невалидные.

А нельзя как то отличать их по какому то признаку?

blackhand · 26.08.2023

benjaminhustlin сказал(а):

Не все из этих сертификатов предназначены для подписи кода (purpose: code signing), те что с именем человека типа 08101980;;;Maria_Natalia_Costa_Silva 022023.pfx, скорее всего предназначены для подписи документов. Я тоже немного побаловался с вт, но из сбрученных те несколько что были для code signing все просрочены.

Каких документов? .doc и т.д.? Это байпаснет motw с дефолт настройками офиса?

Mellstroy · 26.08.2023

benjaminhustlin сказал(а):

Не все из этих сертификатов предназначены для подписи кода (purpose: code signing), те что с именем человека типа 08101980;;;Maria_Natalia_Costa_Silva 022023.pfx, скорее всего предназначены для подписи документов. Я тоже немного побаловался с вт, но из сбрученных те несколько что были для code signing все просрочены.

Вот нашел не просроченные , но как я понял они для доков , так собственно вопрос для чего их можно юзать чтоб сплоиты с макросами работами без подтверждений всяких или для чего?

FromHell · 26.08.2023

Для доков серты нужно чисто для подписи документов в корпоративной среде. Это как обычная подпись с ручкой но электронная.

Mellstroy сказал(а):

Посмотреть вложение 64419
Вот нашел не просроченные , но как я понял они для доков , так собственно вопрос для чего их можно юзать чтоб сплоиты с макросами работами без подтверждений всяких или для чего?

benjaminhustlin · 28.08.2023

Mellstroy сказал(а):

А ты парсил с ака с платным апи

Да корп акк, с бесплатного вроде бы вообще ничего не скачаешь. Ну дополнительно варианты запросов типа name:*cert*.zip, name:*.pfx, name:*.p12 + сортировка по дате по убыванию.

Mellstroy · 05.09.2023

benjaminhustlin сказал(а):

Да корп акк, с бесплатного вроде бы вообще ничего не скачаешь. Ну дополнительно варианты запросов типа name:*cert*.zip, name:*.pfx, name:*.p12 + сортировка по дате по убыванию.

а можешь подсказать где можно его найти или купить? или может ты можешь с этим помочь за $?

ordinaria1 · 05.09.2023

Mellstroy сказал(а):

а можешь подсказать где можно его найти или купить? или может ты можешь с этим помочь за $?

Tom Muti (VirusTotal)

Aug 2023

Hi ...,

The API only plan starts at just under $11K/year for 1K API Calls/Day.

почекай логи, много втшек. оттуда и собирай ключи. я вот один платный смог словить.
но все равно организация вставила моему челу ограничение в 15к запросов в день.

phant0m · 05.09.2023

Only specific OID can be used to sign files with pfx, also you can use john to crack them.\
Yours might be revoked to.

Брутанул примерно 500 pfx

Mellstroy

(L3) cache

benjaminhustlin

Fornit Some Fornus

kosok11

RAT

Mellstroy

(L3) cache

Mellstroy

(L3) cache

blackhand

RAID-массив

Mellstroy

(L3) cache

FromHell

ripper

benjaminhustlin

Fornit Some Fornus

Mellstroy

(L3) cache

ordinaria1

(L1) cache

phant0m

RAM