Pentest Planet #8 - Vulnerabilidad en Kubernets, Incident Response Playbooks

🐞 Bugs and 🧰 Tools

• 📎 Dirty Pipe Vulnerability

• 📎 Firefox Relay es presentado por Firefox para generar alias de correos

• 📎 Plataformas de Bug Bounty niegan pagos por la Guerra

• 📎 Paquetes de Python fueron comprometidos

• 📎 Qubit Finance sufrió una perdida de Criptomonedas

• 📎 Lapsu$ filtro información de los Empleados de Nvidia

• 📎 Ejecución de código arbitraria en CRI-O Kubernets fue descubierto por CrowdStrike

• 📎 Se descubre una vulnerabilidad SQLi en Moodle

• 📎 Otro paquete NPM con cambios no controlados

🧰 Tools

• Public Playbooks - Contains all the Incident Response Playbooks and Workflows of Company's SOC.

• El plugin Param Miner de Burp Suite cuenta ya con Documentacion oficial.

• Si terminas todo el laboratorio Web Academy de Burp Suite se te habilitará un laboratorio especial "Mystery"

• scant3r herramienta de automatización para detección de vulnerabilidades.

• SwaggerHole A python3 script searching for secret on swaggerhub

🕸️ Web Infra Mobile Hacks

• Tutoriales de Reversing

• From XSS to RCE (dompdf 0day)

• AutoWarp: Critical Cross-Account Vulnerability in Microsoft Azure Automation Service

• How I was able to find 50+ Cross-site scripting (XSS) Security Vulnerabilities on Bugcrowd Public Program?

• Browser In The Browser (BITB) Attack

📓 Writeup Bounty

• How Did I Leak 5.2k Customer Data From a Large Company? (via Broken Access Control)

• SQL Injection at Spotify

• The story of 3 bugs that lead to Unauthorized RCE — Pascom Systems

• I have Found Microsoft Subdomain Website database list, database username, password

• XSS through base64 encoded JSON

⏪ Video Tutorial de la Semana

La semana que paso se tuvo la RootedCon en el cual Tarlogic presento una charla, en el cual realizan un hackeo a los contadores inteligentes de Energía Eléctrica, pueden ver todo este proceso en el siguiente enlace.

Los contadores inteligentes llevan siendo una realidad los últimos años ya no solo en las viviendas de nueva construcción, sino también en instalaciones más antiguas en las que -por imperativo legal- se han tenido que renovar sus aparatos de medición. En particular, y en arreglo a la orden IRC/3860/2007 del 28 de diciembre, todos los contadores eléctricos en suministros con una potencia contratada de hasta 15 kW deberían haberse sustituido por equipos que permitan la discriminación horaria y la telegestión antes del 31 de diciembre del 2018. Integrados estos en el concepto de redes eléctricas inteligentes (smart grids), la informatización de la infraestructura de distribución eléctrica supone a la par que una oportunidad para mejorar la eficiencia de la gestión […]

🏠 Home

La semana pasada el blog sufrió un gran cambio que fue la ausencia de las entradas, esto fue debido a que operaron a mi madre, y la mente estaba algo o mejor dicho, bastante ocupado por ello no me dio para escribir, pero si contamos con una buena noticia, la cual es que empezamos a realizar los Streams en Twitch ¿Nos regalas un Follow?

• Cambios en los post diarios del blog

Esta semana de manera especial, porque estaré de vacaciones, estaremos con LIVES todos los días con el siguiente detalle de temas a tratar.

🐛 Sin bugs no hay pega, avanzando con LazyPAD

• Lunes 8:00 PM GMT -4

C2 y CMATRIX, ejecutando y revisando C&C

• Martes 8:00 PM GMT -4

Exegol Framework

• Miércoles 8:00 PM GMT -4

Tema por definir

• Jueves 8:00 PM GMT -4

Jugando con L3M0N en Android

• Viernes 8:00 PM GMT -4

Aprendiendo Go (Por confirmar con invitado)

• Sábado 8:00 PM GMT -4

Después de esta semana estaremos con el siguiente horario.

• Lunes 8:00 PM GMT -4

• Miércoles 8:00 PM GMT -4

• Sábado 9:00 PM GMT -4

Nos vemos el próximo domingo con PENTEST PLANET.

Un saludo.

Jose