Hackpuntes Newsletter #3

Hola de nuevo, Pentesters!! Tercera entrega de esta serie de entradas, espero que os sea de ayuda. Esta newsletter cubre la semana del 14 de octubre al 20 de octubre de 2019.

🧰 Herramienta

Brozzler

Brozzler en un rastreador web distribuido desarrollado en Python que utiliza el navegador para buscar páginas y URL con el fin de extraer enlaces. Se diferencia con otras tecnologías de rastreo al interactuar mediante el navegador real y registrar las interacciones entre los servidores web y clientes.

📝 Writeup

Microsoft Edge – Universal XSS

El Cross-Site Scripting Universal (uXSS), es una vulnerabilidad muy codiciada en los navegadores que permite a un usuario malintencionado ejecutar código malicioso desde cualquier web (es como tener un XSS en todos los sitios). Normalmente, estas vulnerabilidades tienen asociado el elemento iframe o URL.

🎬 Video

IDA Pro Tutorial – Reverse Engineering Dynamic Malware Imports

Video interesante sobre como realizar ingeniería inversa a malware con IDA Pro, está muy bien explicado y cuenta con recursos interesantes en la descripción del video.

🐛 Exploit

sudo 1.2.27 – Security Bypass

Esta vulnerabilidad descubierta por Joe Vennix en sudo, permite ejecutar comandos en el sistema como root modificando el fichero /etc/sudoers (en la mayoría de distros Linux), este fallo se puede explotar con tan solo especificar el ID de usuario «-1» o «4294967295». La vulnerabilidad ha sido asociada al CVE-2019-14287.

asciicast

💰 Bug bounty

DivulgaciónVulnerabilidadBounty
16 octubre 2019XSS vulnerable parameter in a location hash$1100
16 octubre 2019XSS on Desktop Client$1000
16 octubre 2019WebTorrent has DNS rebinding vulnerability$100
17 octubre 2019Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com
17 octubre 2019URL is vulnerable to clickjacking
17 octubre 2019Flash “local-with-filesystem” Bypass in navigateToURL$3000

Un saludos a todos y happy hacking!!

Deja tu comentario

Ir arriba