Update sobre meus estudos ongoing:
- To cada vez mais obsecado por aprender mais e mais sobre Odata
- Ainda pretendo fazer um artigo sobre a falsa sensação de segurança que desenvolvedores tem sobre o uso de CryptoJS no frontend e como as pessoas usam ele para o objetivo errado: ele não nasceu pra ser uma proteção de tampering, ou que impossibilite MitM estilo TLS
Um artigo de exploração que vi agora no medium que junta exatamente esses dois temas de exploração de um banco:
https://medium.com/@_yldrm/client-side-encryption-bypass-critical-data-breach-by-manipulating-odata-queries-3abcaa81ed2e
boa leitura. Cheers🥂
- To cada vez mais obsecado por aprender mais e mais sobre Odata
- Ainda pretendo fazer um artigo sobre a falsa sensação de segurança que desenvolvedores tem sobre o uso de CryptoJS no frontend e como as pessoas usam ele para o objetivo errado: ele não nasceu pra ser uma proteção de tampering, ou que impossibilite MitM estilo TLS
Um artigo de exploração que vi agora no medium que junta exatamente esses dois temas de exploração de um banco:
https://medium.com/@_yldrm/client-side-encryption-bypass-critical-data-breach-by-manipulating-odata-queries-3abcaa81ed2e
boa leitura. Cheers🥂
Eu realmente curto muito esse grupo por que usufruo das anotações que faço aqui quando quero ver algo interessante hahaha.
Alguns highlights desse vídeo que acabei de assistir e pra variar, foi MT valendo:
* Todo mundo sabe como os sistemas deveriam funcionar (especificados nas RFCs), mas eu gosto de ver como os sistemas realmente estão se comportando. James falou que vai apresentar na blackhat conference esse ano uma ferramenta que fez com outro pesquisador que busca encontrar comportamentos anômalos em diferentes servidores e CDNs / de forma massiva.
* “Teve algum momento que estava lendo sobre HTTP response splitting e todo artigo que voce olhava para o payload tudo o que voce via era uma injecao de um cabecalho na resposta.
E nisso tem algo engraçado: porque todo mundo chama de response splitting quando se esta claramente só adicionando uma header na resposta.
Na verdade o termo foi inventado quando se injetava uma resposta inteira causando uma dessincronizacao no servidor (http desynk), mas esse conhecimento foi esquecido e o nome permaneceu o mesmo.”
E nesse gap da comunidade não entender profundamente aquele topico e provavelmente nem mesmo desenvolvedores, ele diz entao que isso chamou a atencao dele para pesquisar mais sobre o tema.
Curtiu? Já sabia essa do http response splitting?
Alguns highlights desse vídeo que acabei de assistir e pra variar, foi MT valendo:
* Todo mundo sabe como os sistemas deveriam funcionar (especificados nas RFCs), mas eu gosto de ver como os sistemas realmente estão se comportando. James falou que vai apresentar na blackhat conference esse ano uma ferramenta que fez com outro pesquisador que busca encontrar comportamentos anômalos em diferentes servidores e CDNs / de forma massiva.
* “Teve algum momento que estava lendo sobre HTTP response splitting e todo artigo que voce olhava para o payload tudo o que voce via era uma injecao de um cabecalho na resposta.
E nisso tem algo engraçado: porque todo mundo chama de response splitting quando se esta claramente só adicionando uma header na resposta.
Na verdade o termo foi inventado quando se injetava uma resposta inteira causando uma dessincronizacao no servidor (http desynk), mas esse conhecimento foi esquecido e o nome permaneceu o mesmo.”
E nesse gap da comunidade não entender profundamente aquele topico e provavelmente nem mesmo desenvolvedores, ele diz entao que isso chamou a atencao dele para pesquisar mais sobre o tema.
Curtiu? Já sabia essa do http response splitting?
Videos from day 1, June 4:
- YouTube/ Security Fest: Hackers in Fiction / John Wilander
- YouTube/ Security Fest: Is there a before and an after, or a happily ever after? / Patricia Lindén
- YouTube/ Security Fest: Finding Vulnerabilities in Apple packages at Scale / Csaba Fitzl
- YouTube/ Security Fest: Hack in a box Local Language Models for automating Red Teaming and penetration testing / Skjortan
- YouTube/ Security Fest: Plundering and pillaging password and passphrase plains for profit / Will Hunt
- YouTube/ Security Fest: Closer to 0-day - Emil Trägårdh
Videos from day 2, June 5:
- YouTube/ Security Fest: Integrating AI with Retro Hardware / A Commodore 64 LLM Module / Marek Zmysłowski, Konrad Jędrzejczyk
- YouTube/ Security Fest: Privacy, Veilid, And You / Christien ‘DilDog’ Rioux
- YouTube/ Security Fest: SonicDoor / Cracking open SonicWall’s Secure Mobile Access / Alain Mowat
- YouTube/ Security Fest: Anti-Forensics / You are doing it wrong (Believe me, I’m an IR consultant) / Stephan Berger
- YouTube/ Security Fest: Modernizing Incident Response Using Techniques that Scale / Eric Capuano, Whitney Champion
- YouTube/ Security Fest: Hack the Gap Closing the CTI Divide Between Small Teams and Big Players / Chandler McClellanhttps://m.youtube.com/watch?v=pCuFGmblha4
Update: anunciou que por padrao vai ficar 20% off até dia 30
Lembram aquele post que fiz aqui sobre a criação de túneis do Cloudflare que facilitou pra gente expor um serviço local na internet rapidamente usando um domínio trycloudflare.com para testes, como em cenários de SSRF onde precisávamos de um endpoint público sem banners ou restrições de headers?
Pois é, os atacantes estão utilizando essa mesmíssima funcionalidade do Cloudflare para se camuflar na confiabilidade dessa organização para hospedar seus payloads maliciosos e infraestrutura de comando e controle, tornando a detecção e o bloqueio de suas atividades bem mais complicados para as equipes de defesa.
A campanha SERPENTINE#CLOUD exemplifica isso: e-mails de phishing com ZIPs contêm arquivos .LNK disfarçados. Estes, ao abertos, baixam um Windows Script File (WSF) de um WebDAV em subdomínio Cloudflare Tunnel. O WSF aciona um .BAT de outro domínio Cloudflare, que exibe um PDF chamariz, verifica AV, e baixa/executa loaders Python. Esses loaders usam o empacotador Donut para injetar RATs (como AsyncRAT, Revenge RAT) diretamente na memória, evadindo detecção.
Usar *.trycloudflare.com é estratégico: o tráfego pela infraestrutura legítima do Cloudflare dificulta a distinção entre atividades benignas e maliciosas, permitindo contornar bloqueios de URL/domínio e operar sem C2 tradicional. A campanha (EUA, UK, DE, etc.) evoluiu de arquivos .URL para .LNK e já foi associada à distribuição de GuLoader, PureLogs Stealer, Remcos RAT e XWorm.
Pois é, os atacantes estão utilizando essa mesmíssima funcionalidade do Cloudflare para se camuflar na confiabilidade dessa organização para hospedar seus payloads maliciosos e infraestrutura de comando e controle, tornando a detecção e o bloqueio de suas atividades bem mais complicados para as equipes de defesa.
A campanha SERPENTINE#CLOUD exemplifica isso: e-mails de phishing com ZIPs contêm arquivos .LNK disfarçados. Estes, ao abertos, baixam um Windows Script File (WSF) de um WebDAV em subdomínio Cloudflare Tunnel. O WSF aciona um .BAT de outro domínio Cloudflare, que exibe um PDF chamariz, verifica AV, e baixa/executa loaders Python. Esses loaders usam o empacotador Donut para injetar RATs (como AsyncRAT, Revenge RAT) diretamente na memória, evadindo detecção.
Usar *.trycloudflare.com é estratégico: o tráfego pela infraestrutura legítima do Cloudflare dificulta a distinção entre atividades benignas e maliciosas, permitindo contornar bloqueios de URL/domínio e operar sem C2 tradicional. A campanha (EUA, UK, DE, etc.) evoluiu de arquivos .URL para .LNK e já foi associada à distribuição de GuLoader, PureLogs Stealer, Remcos RAT e XWorm.
https://thehackernews.com/2025/06/new-malware-campaign-uses-cloudflare.html
E não tinha como eu adicionar nenhum bot no grupo. Também, o grupo tinha muitos arquivos pesados e eu não queria baixar todos eles para só depois coletar as linhas que me interessavam.
Então criei uma ferramenta para atender essa minha necessidade e tô compartilhando o código para caso alguém precise:
https://github.com/zeroc00I/ztelegramDownloader
Salve galera,
Abrimos a funcionalidade de comentários para gerar mais engajamento entre vocês nos posts aqui =)
Para inicio, quem quiser deixar seu Linkedin para se conectar com os outros, pode deixar no comentário aqui
Abrimos a funcionalidade de comentários para gerar mais engajamento entre vocês nos posts aqui =)
Para inicio, quem quiser deixar seu Linkedin para se conectar com os outros, pode deixar no comentário aqui
Dahora, legal.
Pois saiba que o subfinder recebeu a poucas horas mais uma fonte para coleta (passiva) de subdomínios, o pugrecon (https://pugrecon.com/), do Celesian https://github.com/c3l3si4n
E o que isso quer dizer, zeroc00i?
Quer dizer que aquele seu alvo, se você rodar um subfinder novamente pode ser que tenham novos subdomínios que nem você nem outras pessoas já encontraram :), o que aumenta suas chances de encontrar novas vulnerabilidades.
Link do repositório do subfinder: https://github.com/projectdiscovery/subfinder
tmj
Kali lançou nova versão
Link para o post original no linkedin: https://www.linkedin.com/posts/bir4_kali-linux-hacking-activity-7340405912244752384-mwwW
Assista no youtube: https://www.youtube.com/watch?v=hTABFFFoKJc&feature=youtu.be
Link para o post original no linkedin: https://www.linkedin.com/posts/amrelsagaei_secmeet-amrsec-bugbounty-activity-7340392720814804992-11f-
