...

Femida что это за программа

Femida – Automated blind-xss Search for Burp Suite

Burp Suite is most popular tool for penetration testing. Because burp suite have advance tool or plugins to perform hacking and also vulnerability scanner. This tool can be used on any services on web applications, mobile apps and more. If you are a bug hunter you must be familiar with Burp Suite.

Femida-xss (WIP)

An automated blind-xss search plugin for Burp Suite.

Femida is python plugin for Burp Suite which can automated search blind-xss vulnerability.

Installation

Clone The repository

git clone https://github.com/wish-i-was/femida.git

Add Femida blind-xss.py on Burp

  • Open Burp
  • Select Extender on menu bar
  • Click Add
  • On Extention type choose “Python”
  • And in extention file click select file and find “blind-xss.py “

How to use

Settings

First of all you need to setup your callback URL in field called “Your url” and press Enter to automatically save it inside config.py file.

After you set it up you need to fill Payloads table with your OOB-XSS vectors, so extension will be able to inject your payloads into outgoing requests. Pay attantion that you need to set alias inside your payload, so the extension will be able to get data from “Your url” field and set it directly to your payload.

See also waybackSqliScanner – Tool to Gather URLs from Wayback Machine Then Test For SQL Injection

Femida Set XSS payloads - Automated blind-xss Search for Burp Suite

Behaviours

Femida is Random Driven Extension, so every payload with “1” inside row “Active” will be randomly used during your active or passive scanning. So if you want exclude any payload or parameter/header from testing just change the “Active” value to 0.

Payloads

  • Add your payloads to the table using Upload or Add button.
  • DO NOT FORGET about parameter in your payloads.
  • When you add any data into tables, Active row will be manualy equal 1 . (mean it’s active now)
  • If you want to make it inactive – set Active row to 0

Headers & Parameters

  • You can add data manualy using Add button or in Target / Proxy / Repeater with right-click.
  • Do not forget, taht headers and parameters are case insensitive .
  • If you want to make it inactive – set Active row to 0 .

Usage

Extension is able to perform both active and passive checks.

After all is setup you can start using extension. First case is passive checks, so we will cover this process now:

  • Press button “Run proxy”, while it’s active extension is looking for configured parameters and headers. After successful find it’s put payload into it. If you are find some troubles during your testing (WAF or Errors or etc.) you can turn on button “Parallel Request” so all requests with a payload will be sent in a background as a duplicate requests with payloads, but your main session will be clear so you will be able to check that everything is correct just by monitoring debug log.

Система автоматизированного протоколирования судебных заседаний Верховного Суда Российской Федерации

В Верховном Суде Российской Федерации (далее Верховный Суд) для протоколирования судебных заседаний установлены системы технической фиксации судебных процессов «IS Mechanics SRS Femida». Первые версии системы в Верховном Суде были установлены в 2002 году в качестве опытных образцов и практически сразу получили одобрение и положительные отзывы у пользователей: секретарей судебных заседаний, помощников судей и самих судей. По их замечаниям и в соответствии с законодательством Российской Федерации в систему вносились дополнения и обновления. К началу 2007 года «IS Mechanics SRS Femida» установлена и эксплуатируется во всех залах судебных заседаний Верховного Суда. Сейчас «IS Mechanics SRS Femida» – это полностью интегрированная с делопроизводством организационная программно-аппаратная технология, обеспечивающая:

  • цифровую звукозапись всех событий в зале суда с привязкой к хронологии событий и возможностью дальнейшего воспроизведения в различных режимах, полную и точную фиксацию судебных заседаний с сохранением на сеть или DVD/CD диски;
  • объективную и качественную регистрацию событий, происходящих в зале суда и работу секретарей в рамках единой системы делопроизводства Верховного Суда и возможность создания протокола как во время судебного процесса, так и после него;
  • предоставление секретарю удобного инструмента для составления текстового протокола в цифровом виде, в режиме реального времени – «конструирование» протоколов судебных заседаний на основе:
    • шаблонов, встроенных в систему или создаваемых секретарями самостоятельно;
    • информации, полученной в ходе судебного процесса;
    • сведений, экспортированных из используемой системы делопроизводства;

    i4_400.jpg

    i5_400.jpg

    Залы судебных заседаний Верховного Суда оборудованы стационарными системами технической фиксации и протоколирования на базе персонального компьютера и аудиооборудования в зале, в состав которых входит:

    • рабочее место секретаря в зале судебных заседаний (системный блок, монитор, источник бесперебойного питания, педаль);
    • рабочее место секретаря в кабинете (педаль, наушники, сетевой адаптер, CD/DVD привод в настольном компьютере);
    • аудиосистема в зале (микрофоны, микшер, коммуникационная аудиосеть, многоканальный звуковой адаптер, педаль, наушники, электронный ключ);

    i1_400.jpg

    i2_400.jpg

    Основные принципы работы:

    При осуществлении технической фиксации судебного процесса заседание подразделяется на события с дискретизацией по времени, каждому событию соответствует определенный промежуток записи. В результате работы автоматически подготавливается прототип протокола заседания в формате MS Word, в котором в хронологической последовательности отображаются все события данного судебного процесса, действующие лица, даются короткие комментарии, сведения о составе суда, номер дела и другая необходимая дополнительная информация. При этом основная часть технических данных о судебном процессе (Ф.И.О. участников, номер дела, дата и др.) импортируется из функционирующей системы делопроизводства Верховного Суда.
    На первый взгляд, работу «IS Mechanics SRS Femida» можно сравнить с функциями обычного видеомагнитофона либо диктофона, однако ее принципиальная разница и преимущество заключаются в том, что, во-первых, запись разбивается на отрезки, соответствующие событиям судебного процесса – это позволяет в дальнейшем быстро обнаружить необходимый фрагмент (например, мы можем прослушать только высказывание защитника Иванова от 11 часов 27 минут 19 секунд) и, во-вторых, за счет использования ряда технологических возможностей, в том числе метода «шаблонного конструирования», секретарь судебного заседания может как во время судебного процесса, так и после него формировать текстовый протокол судебного заседания. При создании протокола в системе секретарь «собирает» итоговый документ из деталей, заготовленных заранее, сгенерированных системой в процессе работы и составленных вручную непосредственно в ходе судебного процесса.

    i6_400.jpg

    Система «IS Mechanics SRS Femida» проста в использовании. После проведения обучения секретари судебных заседаний практически сразу начинают работать с системой и уже даже после непродолжительного ее использования не представляют своей работы без этого высокотехнологичного инструмента.

    Причуды «Фемиды». Пишем лоадер для программ, защищенных Themida

    Themida — очень мощ­ный про­тек­тор исполня­емых фай­лов, поз­воля­ющий защитить их от нелицен­зион­ного копиро­вания и попол­зно­вений хакеров. Сегод­ня мы про­дол­жим раз­говор об этом про­тек­торе, сно­ва обсу­дим спо­собы сбро­са три­ала, а так­же напишем лоадер для обхо­да защиты.

    warning

    Статья написа­на в иссле­дова­тель­ских целях, име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Исполь­зование или рас­простра­нение ПО без лицен­зии про­изво­дите­ля может прес­ледовать­ся по закону.

    В прош­лый раз мы обсужда­ли прин­ципы внут­ренней орга­низа­ции вир­туаль­ной машины Themida. А теперь давай зак­репим получен­ные зна­ния на кон­крет­ном при­мере — поп­робу­ем оту­чить про­сить ключ пароч­ку популяр­ных при­ложе­ний фир­мы ConceptWorld. Эти при­ложе­ния пред­став­ляют собой набор мел­ких дешевых полез­няшек для работы с фай­лами, замет­ками и буфером обме­на.

    Лич­но я не сов­сем понимаю при­чину популяр­ности этих ути­лит, более того, меня бесят их назой­ливые окош­ки, бол­тающиеся на экра­не и воз­ника­ющие в самый непод­ходящий момент. Но самое раз­дра­жающее зак­люча­ется в том, что на столь прос­тые и дешевые при­ложе­ния навеси­ли столь взрос­лую защиту, в чем мож­но убе­дить­ся при помощи детек­тора про­тек­торов DetectItEasy (Die). Этот стран­ный факт мы с тобой сей­час испра­вим.

    При­ложе­ния ConceptWorld отлично подой­дут для демонс­тра­ции сла­бых мест защиты, которые мы с тобой изу­чим исклю­читель­но в ака­деми­чес­ких и иссле­дова­тель­ских целях. На вся­кий слу­чай еще раз напом­ню, что акту­аль­ная Themida не всег­да рас­позна­ется авто­мати­чес­ким ска­ниро­вани­ем, для подс­тра­хов­ки необ­ходимо под­клю­чать Nauz File Detector (NFD), который прак­тичес­ки всег­да опре­деля­ет ее пра­виль­но.

    Nauz File Detector умеет определять Themida

    Итак, нач­нем с прог­раммы RecentX. Ради эко­номии мес­та я не буду занимать­ся рек­ламой, опи­сывая, для чего она слу­жит и что уме­ет делать (тем более, сам до кон­ца это­го не понимаю). Давай сра­зу перей­ду к сути защиты. При запус­ке при­ложе­ния (а так­же пос­ле переза­пус­ка сис­темы, пос­коль­ку эта ути­лита наг­ло про­писы­вает­ся в авто­заг­рузку), в вер­хней час­ти экра­на появ­ляет­ся пять вкла­док, которые поз­воля­ют выпол­нять раз­личные дей­ствия. Тул­за отлично работа­ет 30 дней, по про­шес­твии которых прев­раща­ется в тык­ву: нажатие на любой эле­мент интерфей­са при­водит к появ­лению нас­тырно­го окош­ка с тре­бова­нием зарегис­три­ровать прог­рамму.

    Зарегистрируй меня, Username!

    В этот раз я нарушу собс­твен­ные же пра­вила и нач­ну с опи­сания прин­ципа сбро­са три­ала. Если ты уже читал мои статьи, то зна­ешь, что для начала нам понадо­бит­ся прог­рамма ProcessMonitor (ProcMon). Запус­каем ее, ста­вим филь­тр на имя про­цес­са RecentX. exe и для начала ана­лизи­руем фай­ловый ввод‑вывод это­го про­цес­са при его заг­рузке.

    Это неп­росто, пос­коль­ку по сво­ей спе­цифи­ке прог­рамма обра­щает­ся чуть ли не ко всем фай­лам на жес­тком дис­ке. Одна­ко полис­тав спи­сок некото­рое вре­мя, мы натыка­емся на пос­ледова­тель­ные обра­щения к фай­лам со стран­ными неп­роиз­носимы­ми наз­вани­ями в катало­ге ProgramData .

    Странные обращения к файлам

    Поп­робу­ем уда­лить, к при­меру, файл C:\ ProgramData\ xmvkknpt. yme . Ничего не про­исхо­дит, но при переза­пус­ке прог­раммы он вос­созда­ется на том же самом мес­те. Судя по всем приз­накам, это и есть файл три­ала.

    Вни­матель­но про­ана­лизи­ровав лог ProcMon, мы обна­ружи­ваем пол­ный набор подоб­ных фай­лов. Все они находят­ся в катало­ге ProgramData : acqrldoh. otw , bgjxnlpy. hxt , lapoiwsc. hke , uhthdans. svu , vwnpbcnu. gon , xmvkknpt. yme и mntemp . При­чем вре­мя от вре­мени вмес­то фай­лов acqrldoh. otw и vwnpbcnu. gon прог­рамма ищет дру­гую пару — wspjaeoc. kjj и tvmnixvk. oib . Одна­ко даже уда­лив все фай­лы из катало­га ProgramData , удов­летво­рения мы не получим — прог­рамма упор­но про­дол­жает про­сить регис­тра­цию.

    По сво­ему пре­дыду­щему опы­ту я пом­ню, что помимо фай­лов, информа­ция о три­але обыч­но дуб­лиру­ется в реес­тре, потому начина­ем рыть в этом нап­равле­нии. Вклю­чаем в ProcessMonitor режим Show Registry Activity и начина­ем тща­тель­но и кро­пот­ливо изу­чать обра­щения прог­раммы к сис­темно­му реес­тру.

    Посмотрим, не хранит ли что-то программа в реестре?

    По­хоже, мы в беде: зацепить­ся не за что: все клю­чи реес­тра, к которым идет обра­щение, на пер­вый взгляд, ни к “Фемиде”, ни к три­алу никако­го отно­шения не име­ют — прог­рамма дела­ет что‑то свя­зан­ное с сер­тифик­тами. Что­бы раз­рулить тупико­вую ситу­ацию, нам явно пот­ребу­ются допол­нитель­ные инс­тру­мен­ты.

    Поп­робу­ем ути­литу Registry Trash Keys Finder, которая пред­назна­чена для более интеллек­туаль­ной чис­тки реес­тра. Гру­бо говоря, при помощи этой прог­раммы мож­но получить при­мер­ное пред­став­ление, какие клю­чи в реес­тре не несут полез­ной наг­рузки и каково было их изна­чаль­ное пред­назна­чение. Мы не про­гада­ли: ключ HKCU\ Software\ Classes\ CertificateAuthority. Request\ CLSID\ tkgiuafq яко­бы свя­зан­ный с сер­тифика­тами, ока­зыва­ется нап­рямую свя­зан с WinLicense. При­чем рядом рас­положе­но мно­жес­тво подоб­ных клю­чей, а мы бы на них никог­да и не подума­ли!

    Вот он, подозрительный ключ реестра

    По­мимо это­го Registry Trash Keys Finder находит в реес­тре мно­жес­тво скры­тых три­аль­ных клю­чей от дру­гих про­тек­торов. Вни­матель­но прой­дясь по логу обра­щений к реес­тру в шаговой дос­тупнос­ти от это­го мес­та, кро­ме откро­вен­но фемидов­ских клю­чей находим спи­сок фик­тивных клю­чей, мар­киру­емых прог­раммой как «Невер­ное имя для CLSID». Что инте­рес­но, вре­мя их соз­дания соот­ветс­тву­ет нашему три­алу:

    При подготовке материала использовались источники:
    https://xploitlab.com/femida-automated-blind-xss-search-for-burp-suite/
    https://vsrf.ru/about/info/systems/record_court_sessions/
    https://xakep.ru/2022/07/05/themida-2/

Добавить комментарий