Cult Of Wire

Превращаем простыню в отчет.

Не секрет, что вывод nmap читать довольно проблемно, особенно при большом количестве хостов, да ещё и со скриптами.

Разбирать это всё руками удовольствие сомнительное, хочется сей труд упростить.

Нашёл для себя nmap-formatter. Небольшой инструмент, позволяющий конвертировать xml-вывод в html, csv, markdown и json.

Работает не идеально (местами ссылки там, где их нет, например), но сильно упрощает дело.

Ещё есть nmap2md. Строит небольшие таблицы в markdown, и с хитрым сканированием может не работать.
Но для простого сканирования, вроде инвентаризации своей сети вполне подойдет.

Получаем информацию о CVE через API.

Автоматизированные сканеры это хорошо, но false positive никто не отменял. Проверять это всё надо, но руками гуглить вариант долгий. Будем использовать публичный API.

Получить инфу по CVE со всеми деталями:

```
curl -s https://cve.circl.lu/api/cve/CVE-2021-41773

```
Получаем информацию по CVE, выводя только версии ПО:

```
curl -s https://cve.circl.lu/api/cve/CVE-2021-41773 | jq ".id, .vulnerable_product"

```
Получаем информацию по CVE из списка:

```
cat cve.list | xargs -I % curl -s https://cve.circl.lu/api/cve/% | jq ".id, .vulnerable_product"

```

Кроме публичного API можно развернуть свой CVE-Search c ~~преферансом и куртизанками~~ Mongo и Flask.
И даже библиотека для Python есть.

P.S. Не удаётся получить список CVE по вендору, толи лыжи не едут, толи в локальной версии надо смотреть.

Документация к API
Локальный CVE-SearchБиблиотека python

Тут таблицу со всякими security сертификациями обновили.

Как и всегда, в топе сертификации от OffSec и GIAC.

Dockerhub + vulnhub = vulhub?

Виртуальные машины с уязвимостями это хорошо, а docker лучше.
Пока искал, как ещё развернуть уязвимый сервис, нашёл крутой проект от китайских коллег.

Братья из поднебесной заботливо собирают сервисы с CVE в виде docker-контейнеров, всё рассортировано по сервисам и номерам CVE.

Кроме того, в комлекте идут PoC или эксплоиты.

Документация почти вся на китайском, но почти всё сводится к:

```
cd service/CVE
docker-compose build
docker-compose up -d

```
Отличный повод перестать бояться и полюбить Docker.

Сайт проекта.
Репозиторий проекта.

Без внятного scope результат - nope.

Что при защите, что при нападении определить скоуп очень важно.
В случае с внутренней инфраструктурой (при защите) всё можно собрать системой инвентаризации, то с внешними сервисами это работает не всегда.

При большой инфраструктуре можно использовать везде ip-адреса, но это уже скорей админский Self-harm best practice, так что будем искать DNS-записи.

dnsdumpster.com - простой и надежный онлайн сервис. Кроме самих dns-записей, которые можно экспортировать в xslx (зочем?), рисует довольно полезные диаграммы.

сrt.sh - поиск сертификатов по (под)доменам. На сайте экспорта в файл нет, но вы держитесь.

sublist3r - простой консольный инструмент, собирающий записи с разных источников, в том числе и crt.sh.
Работает довольно быстро.

amass - комбайн от OWASP. Собирает записи с кучи источников, визуализирует. Чтобы не было сложно и непонятно, стоит обмазаться документацией.

Заметка на полях по Wazuh.

При внедрении Wazuh возник вопрос, как проверять обнаружение уявимостей.
На свежих системах CVE нет, а тащить что-то непонятное не хочется.

Не в проде проверять же?

Варианта тут два:
1. Машины с vulnhub.
2. Metasploitable 3С Vulnhub для проверки подойдет Typhoon, машина не самая древняя, и wazuh-agent установится без проблем.

С Metasploitable 3 всё немного сложней, но интересней. Готового образа нет, но можно собрать Ubuntu 14.04 и Windows Server 2008.
Системы не самые свежие, но плюс в том, что есть список уязвимостей, и можно проверить не только обнаружение, но и сработку на netcat, проактивные действия и всё прочее.

P.S. Можно ещё использовать docker-контейнеры с CVE, но это скорей для точечной проверки. Но тоже вариант.

Немного о забивании гвоздей микроскопом.

Чтобы не вылезая из консоли посмотреть содержимое дампа трафика в открытом виде можно использовать tcpick.

tcpick \-C \-yP \-r tcp_dump.pcapИзвлечь содержимое дампа без Wireshark тоже можно ~~не вставая с дивана~~, но уже другой утилитой - tcpxtract.

tcpxtract \-f tcp_dump.pcap

Раз пошла тема реверс-шеллов, то не могу пройти мимо revshells.com

P.S. Упоротая конструкция на PHP с эмоджи одновременно доставляет и вызывает инсульт жопы.

Линк из комментов.

penelope - хэндлер на стероидах с солидным функционалом.
- автоапгрейд шелла
- загрузка файлов в обе стороны
- загрузка скриптов (например linpeas и PowerUp)
- логировние сессий (хуяк-хуяк и райтап)
- поддержка множества сессий.

А ещё можно прикрутить его к metasploit.

Заметки на полях.
Стабилизируем reverse-shell:

На атакуемой машине запускаем что-либо из списка:

Python:
python3 \-c "import pty; pty.spawn('/bin/bash')"Ruby:
ruby \-e "exec '/bin/bash'"Perl:
perl \-e "exec '/bin/bash';"Переводим шелл в фон:
Ctrl+ZНа атакующей машине выполняем:
stty raw \-echo && fgНа атакуемой машине:
export TERM=xterm