Obfuscated LSASS dumper command

A quick walkthrough for a obfuscated PowerShell LSASS dump command via comsvcs.dll.

CVE-2023-20178 Cisco AnyConnect LPE

When a user connect to vpn, vpndownloader.exe process is started in background and it will create directory in c:\windows\temp with default permissions in following format: <random numbers>.tmp After creating this directory vpndownloader.exe will check if that directory is empty and if its not it will delete all files/directories in there. This behaviour can be abused to perform arbitrary file delete as NT Authority\SYSTEM account.

Кража KeyTab.

Во время тестирования на проникновение часто встречаются системы Linux с настроенным Keytab. Keytab хранит пары принципала кербероса и его зашифрованных ключей. С помощью этих зашифрованных ключей можно получить TGT. В результате чего появляется возможность запросить TGT на имя принципала без ввода пароля. Kerberos на Linux уже далеко не редкость - гетерогенные сети становятся все более популярными по ряду причин. Например, может быть такой сценарий, что на Linux бекапится содержимое какой-либо шары, при этом получить доступ к этой шаре могут только пользователи домена. В таком случае пишется простенький скрипт на баш, в котором реализуется логика по запросу TGT тикета на основе KeyTab, а затем копирования файлов с шары. Причем для периодичности запуска скрипт добавляется в crontab.

Нам, как атакующим, конечно же, интересен процесс запроса TGT билета на основе KeyTab. Для этого можно использовать команду kinit со следующим синтаксисом:
kinit –kt <keytab> <принципал>

Например, если файл /tmp/admin.keytab служит для аутентификации пользователя [email protected] , то делаем вот так:
kinit -kt /tmp/admin.keytab [email protected]

Остается лишь одна проблема - обнаружение самих KeyTab файлов. Конечно, можно ручками через find искать эти файлы, потом также муторно проверять разрешения на них, что не есть хорошо. Поэтому я накалякал следующий командлет, который автоматически найдет все .keytab файлы , а затем подсветит интересные разными цветами:
1. Зеленым подсвечиваются те файлы, которые принадлежат текущему пользователю.
2. Желтым подсвечиваются те файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь не имеет достаточных прав (чтение/запись) на этот самый KeyTab.
3. Наконец, красным подсвечиваются файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь имеет достаточные права на этот самый KeyTab.

find / -iname '*.keytab' -type f -exec ls -l {} \; 2>/dev/null | awk -v user="$(whoami)" 'BEGIN { FS = OFS = " "; red = "\033[31m"; yellow = "\033[33m"; green = "\033[32m"; reset = "\033[0m" } { if ($3 == user && $9 ~ /.keytab$/) { printf green } else if ($3 != user && $9 ~ /.keytab$/ && $1 ~ /^-.w.r../) { printf red } else if ($3 != user && $9 ~ /.keytab$/ && ($1 !~ /^.w.r../ || $1 !~ /^-.w../)) { printf yellow } print $0; printf reset }'

😈 [ mpgn_x64, mpgn ]

3, 2, 1 CrackMapExec 6.0.0 is now public ! 🎉

So much new features and fix that I've made a blogpost for it ▶️


Special thanks to @_zblurx @MJHallenbeck & @al3x_n3ff for their indefectible support & contributions ! 🍻

🔗 https://wiki.porchetta.industries/news/a-new-home

🐥 [ tweet ]

👻 The Phantom Credentials of SCCM

If an Active Directory account has ever been configured as an NAA, the credentials may persist on former clients. Not only can we query the credential blobs from WMI, we can also retrieve previously used account blobs from the CIM repository, even if the computer is no longer a client.

https://posts.specterops.io/the-phantom-credentials-of-sccm-why-the-naa-wont-die-332ac7aa1ab9

#ad #credentials #sccm #nna #wmi

🎭 BOFMask

BOFMask is a tool designed to conceal Cobalt Strike's Beacon payload while executing a Beacon Object File (BOF). By applying a XOR mask and modifying memory protection settings, BOFMask enables users to execute BOFs without exposing Beacon, thereby avoiding detection by EDR products that scan system memory.

Research:
https://securityintelligence.com/posts/how-to-hide-beacon-during-bof-execution/

Source:
https://github.com/xforcered/bofmask

#cobaltstrike #bof #sleepmask #redteam

Интересная особенность, связанная с парсингом кук. Некоторые серверы, такие как Jetty или Undertow, в своей работе реализуют спецификацию RFC2965, в которой есть необычная реализация синтаксического анализа.

Если Jetty примет на вход

Cookie: search_history="lolkek; JSESSIONID=1337; asdf=end";

То такой заголовок будет разобран как одна кука search_history со значением lolkek; JSESSIONID=1337; asdf=end, вместо трех отдельных. Если Jetty видит значение, которое начинается с двойных кавычек, то он будет пытаться прочитать строку до тех пор, пока не увидит закрывающую кавычку, даже если на пути встретится точка с запятой.

Опасно это тем, что если search_history где-то рендерится на странице, то ее можно будет использовать для эксфильтрации любой куки (например, JSESSIONID) с флагом HttpOnly. Для этого нужно будет найти XSS и проэксплуатировать ее, записав в search_history двойные кавычки, чтобы оставшаяся часть заголовка отобразилась на странице.

К этому восприимчивы Jetty, Undertow, TomCat, Python Zope и любые другие серверы и фреймворки, которые руководствуются RFC2616, когда парсят строки. Библиотека http.cookies для Python, а именно классы BaseCookie и SimpleCookie тоже реализуют эту спеку. Ее используют aiohttp, cherrypy, web.py, bottle, webob (Pyramid, TurboGears).

RecycledInjector

Native Syscalls Shellcode Injector

(Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails.
To remain stealthy and keep entropy on the final executable low, do ensure that shellcode is always loaded externally since most AV/EDRs won't check for signatures on non-executable or DLL files anyway.

🎯 Meterpreter vs Modern EDR

This blog post explains how making minor adjustments to the Meterpreter shellcode dropper can effectively evade modern EDRs. Three modifications are employed on the Meterpreter reference dropper. These modifications involve encrypting the Meterpreter shellcode using the XOR algorithm, incorporating valid metadata via a manifest file, and relocating the Meterpreter shellcode from the .text section to the .data section.

https://redops.at/en/blog/meterpreter-vs-modern-edrs-in-2023

#av #edr #meterpreter #xor #cpp

100 Methods for Container Attacks(RTC0010)

Container escape, tampering, insecure orchestration and etc.

🔥 Shodan is giving away a $5 Membership subscription
The sale lasts until July 17 23:59 UTC

https://twitter.com/shodanhq/status/1680723526494609409

Пора пилить свой Shodan ^_^

⛓ Divide and Rule — AMSI Bypass

By spliiting well known PowerShell scripts, e.g. an AMSI Bypass, we can directly bypass Windows Defender or get at least the line, where the detection occurs. Outcome: Several AMSI Bypasses and two scripts:

- One to split PowerShell snippets in multiple lines
- A second script to run all the files in an Oneliner, XOR obfuscated

https://badoption.eu/blog/2023/07/15/divideconqer.html

#amsi #av #bypass #powershell

Если есть привилегия SeTcbPrivilege (а локальный админ может ее активировать), то можно запросить TGS билет для любого авторизованного в системе пользователя без указания его пароля. Интересный сценарий...

https://github.com/foxlox/GIUDA

#ad #pentest #redteam #soft #git

TGSThief

I think a lot of people have seen the project GIUDA . It is an interesting way to get the TGS of a user whose logon session is just present on the computer. The problem is that its code is written in Pascal, so I had to rewrite the project in C++.

How to use:
Just run the tool and select the desired logon session! The tool will automatically escalate privileges and request a TGS.

Advantages:
- We do not need to run the code on behalf of the system. Run the program as a local administrator, the privilege escalation will happen automatically.
- I also added SPN validation through regex, so there is less chance of making a mistake and not getting TGS.
- The TGS ticket is optionally injected into the logon session where the tool is running. The TGS ticket is simply output in base64 for convenience, and only embedded if required.
- It is not necessary to run the tool ten times to see the LUID. You can now select the LUID you want from the drop down list.

Thanks to: @Michaelzhm

🔑 WSPCoerce

You can use the Windows Search Protocol to coerce authentication from hosts running the Windows Search Service (Win10/11 only by default) as a regular domain user.

https://github.com/slemire/WSPCoerce

#ad #relay #mswsp #poc

🔨KRBUACBypass

By adding a KERB-AD-RESTRICTION-ENTRY to the service ticket, but filling in a fake MachineID, we can easily bypass UAC and gain SYSTEM privileges.

Research:
https://www.tiraniddo.dev/2022/03/bypassing-uac-in-most-complex-way.html

Source:
https://github.com/wh0amitz/KRBUACBypass

#ad #kerberos #uac #bypass

Ⓜ️ Metabase Pre-auth RCE

Earlier this week, it was reported that Metabase open source before 0.46.6.1 and Metabase Enterprise before 1.46.6.1 has a vulnerability that allows attackers to execute arbitrary commands on the server, at the server's privilege level. Authentication is not required for exploitation. This vulnerability was designated as CVE-2023-38646.

Research:
https://blog.calif.io/p/reproducing-cve-2023-38646-metabase

PoC:
https://gist.github.com/testanull/a7beb2777bbf550f3cf533d2794477fe

#metabase #cve #poc #rce

🍅 S4UTomato — Escalate Service Account To LocalSystem via Kerberos

Learn how to leverage Kerberos for privilege escalation in a Windows domain environment using virtual accounts with the help of Resource-based Constrained Delegation, Shadow Credentials, and Tgtdeleg techniques.

https://github.com/wh0amitz/S4UTomato

#ad #privesc #kerberos #windows