infosec
44.7K subscribers
851 photos
45 videos
86 files
1.19K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Преобрести рекламное размещение: https://telega.in/c/it_secur
Download Telegram
👨🏻‍💻 Бесплатные курсы по изучению Win Server.

Курсы Server 2016 (70-740):
Урок 1 (Сертификация);
Урок 2 (Планирование);
Урок 3 (Подготовка к установке системы);
Урок 4 (Установка сервера 2016);
Урок 5 (Установка Server Core);
Урок 6 (Конфигурация Server Core);
Урок 7 (Ввод серверов в домен);
Урок 8 (ISE - Integrated Scripting Environment);
Урок 9 (DSC - Desired State Configuration);
Урок 10 (Лицензии);
Урок 11 (Upgrade & migration);
Урок 12 (Контроллер домена);
Урок 13 (DHCP Server);
Урок 14 (Миграция);
Урок 15 (Диски).

Курсы Server 2016 (70-741):
Урок 1 (Обзор DNS);
Урок 2 (Роли DNS сервера);
Урок 3 (DNS Conditional forwarder);
Урок 4 (DNS root hints);
Урок 5 (Обзор DNS записей);
Урок 6 (Проверка DNS записей);
Урок 7 (Обзор зон DNS);
Урок 8 (DNS PTR Records);
Урок 9 (DNS Round Robin);
Урок 10 (DNS Delegation).

Курсы Server 2016 (70-742):
Урок 1 (Active Directory Overview and Install);
Урок 2 (Read Only DC and Removing DCs);
Урок 3 (Install from Media and DC Upgrades);
Урок 4 (Flexible Single Master Operator Roles);
Урок 5 (Configure Domain Controller Cloning);
Урок 6 (Troubleshooting Active Directory);
Урок 7 (Create, Copy, Configure Users and Computers);
Урок 8 (Joining computer to a domain);
Урок 9 (Automate the Creation of AD Account);
Урок 10 (Account lockout policy).

#Windows #ИБ
👨‍💻 Эксплуатация Windows AD и справочник по командам.

• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках.

• Делюсь ссылками на полезный справочник для эксплуатации win #AD, который включает в себя следующую информацию:

Обход PowerShell AMSI;
PowerShell one-liners;
Перечисления (Enumeration);
AD Enumeration с помощью PowerView;
AppLocker;
Ограниченный языковой режим PowerShell;
LAPS;
Боковое перемещение (Lateral Movement);
Боковое перемещение с помощью PowerView;
BloodHound;
Kerberoasting;
AS-REP roasting;
Token Manipulation;
Боковое перемещение с помощью Rubeus;
Боковое перемещение с помощью Mimikatz;
Выполнение команды с запланированными задачами;
Выполнение команд с помощью WMI;
Выполнение команд с помощью PowerShell Remoting;
Неограниченное делегирование;
Ограниченное делегирование;
Ограниченное делегирование на основе ресурсов;
Злоупотребление доверием к домену;
MSSQL и боковое перемещение;
Групповые политики и боковое перемещение;
Privilege Escalation;
PowerUp;
UAC Bypass;
Persistence;
Startup folder;
Domain Persistence;
Mimikatz skeleton key attack;
Права DCSync с помощью PowerView;
Domain Controller DSRM admin;
Изменение дескрипторов безопасности для удаленного доступа к WMI;
Изменение дескрипторов безопасности для удаленного доступа PowerShell;
Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
DCShadow;
Постэксплуатация;
LSASS protection;
Дамп учетных данных с помощью Mimikatz;
Злоупотребление DPAPI с помощью Mimikatz;
Dumping secrets without Mimikatz;
Windows Defender evasion;
Chisel proxying;
Juicy files;

#AD #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
👩‍💻 Windows PowerShell 5. Часть 1.

• Мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

Введение в Windows PowerShell 5;
Инструменты Windows PowerShell 5;
Команды и командлеты;
Получение справки;
Основы синтаксиса;
Кавычки, экранирование и комментарии;
Дополнительные сведения о синтаксисе;
Конвейерная обработка;
Форматирование вывода;
Типы данных;
Строки;
Числа;
Словари и хеш-таблицы;
Массивы и последовательности;
Литеральные типы;
Конвертация типов;
Арифметические операторы;
Операторы присваивания;
Операторы сравнения;
Операторы сравнения и коллекции;
Операторы сравнения шаблона;
Регулярные выражения;
Операторы управления текстом;
Логические и побитовые операторы;
Методы Where() и ForEach();
Операторы для работы с типами;
Унарные операторы;
Операторы группировки и подвыражения;
Операторы массивов;
Многомерные массивы;
Операторы вызова свойств;
Операторы вызова методов;
Оператор форматирования;
Операторы перенаправления;
Переменные;
Синтаксис имен переменных;
Командлеты для работы c переменными;
Сплаттинг переменных;
Условное выражение (if);
Циклы while и do;
Цикл for;
Цикл foreach;
Выражения break и continue;
Выражение switch;
Сложные сравнения внутри switch.

#Курс #RU #Windows #PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
👩‍💻 Windows PowerShell 5. Часть 2.

• Вторая часть мини-курса, которая описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

Расширенные возможности выражения switch;
Командлет ForEach-Object;
Командлет Where-Object;
Основы функций;
Параметры функций;
Настройка параметров функций;
Переключатели функций;
Получение значений из функций;
Использование функций в конвейере;
Определение функций в сессии;
Область действия переменных в функциях;
Скрипты;
Передача аргументов скриптам;
Выход из скриптов;
Область действия переменных в скриптах;
Управление скриптами;
Продвинутые функции и скрипты;
Атрибут CmdletBinding в функциях и скриптах;
Атрибут OutputType в функциях и скриптах;
Атрибуты параметров в функциях и скриптах;
Псевдонимы параметров в функциях и скриптах;
Проверка параметров в функциях и скриптах;
Динамические параметры в функциях и скриптах;
Значение параметров по умолчанию;
Документирование функций и скриптов;
Основы модулей;
Работа с модулями;
Создание модулей скриптов.

#Курс #RU #Windows #PowerShell
Please open Telegram to view this post
VIEW IN TELEGRAM
😈 Эксплуатация Windows AD и справочник по командам.

• Эксплуатация
представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Сегодня, я поделюсь с тобой ссылкой на отличный Cheat Sheet для эксплуатации win #AD.

Что включает в себя справочник:
Обход PowerShell AMSI;
PowerShell one-liners;
Перечисления (Enumeration);
AD Enumeration с помощью PowerView;
AppLocker;
Ограниченный языковой режим PowerShell;
LAPS;
Боковое перемещение (Lateral Movement);
Боковое перемещение с помощью PowerView;
BloodHound;
Kerberoasting;
AS-REP roasting;
Token Manipulation;
Боковое перемещение с помощью Rubeus;
Боковое перемещение с помощью Mimikatz;
Выполнение команды с запланированными задачами;
Выполнение команд с помощью WMI;
Выполнение команд с помощью PowerShell Remoting;
Неограниченное делегирование;
Ограниченное делегирование;
Ограниченное делегирование на основе ресурсов;
Злоупотребление доверием к домену;
MSSQL и боковое перемещение;
Групповые политики и боковое перемещение;
Privilege Escalation;
PowerUp;
UAC Bypass;
Persistence;
Startup folder;
Domain Persistence;
Mimikatz skeleton key attack;
Права DCSync с помощью PowerView;
Domain Controller DSRM admin;
Изменение дескрипторов безопасности для удаленного доступа к WMI;
Изменение дескрипторов безопасности для удаленного доступа PowerShell;
Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
DCShadow;
Постэксплуатация;
LSASS protection;
Дамп учетных данных с помощью Mimikatz;
Злоупотребление DPAPI с помощью Mimikatz;
Dumping secrets without Mimikatz;
Windows Defender evasion;
Chisel proxying;
Juicy files.

#AD #ИБ #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
👩‍💻 Затыкаем рот Windows 10.

• На хабре опубликована полезная статья, в которой вы найдете полезные скрипты, советы и reg-файлы для отключения обновления, синхронизаций, телеметрии и т.д.

➡️ https://habr.com/post/778466/

• А если вы используете Windows 11, Win Server 2016 или 2019, то вот вам инструкция от майков: https://learn.microsoft.com/

• P.S. Всегда помните, что любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Перечисленные способы не исключение.

• Правильная стратегия «затыкания рта Windows» должна быть следующей:

- Полностью обновить ОС.
- Инсталляция и настройка требуемых сторонних программ.
- Отключение «паразитного» сетевого трафика.

#Windows #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👨‍💻 50 Methods For Lsass Dump.

• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.

• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.

• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.

• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002

#Red_Team #Пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
📚 Серия уроков по пакету утилит SysInternals.

Набор инструментов SysInternals — это набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях:

- Что такое инструменты SysInternals и как их использовать?
- Знакомство с Process Explorer;
- Использование Process Explorer для устранения неполадок и диагностики;
- Понимание Process Monitor;
- Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра;
- Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО.

#SysInternals #Windows #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
🔐 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

#Windows #AV #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
👩‍💻 Уроки форензики. Большой гид по артефактам Windows

• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:

Typical Forensic investigation flow.

• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.

• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.

• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.

• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.

#Форензика
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉 С юбилеем, Ubuntu.

• 20 октября 2004 года — день, полностью перевернувший представление человечества об операционных системах семейства #Linux. Ровно 20 лет назад никому не известная компания Canonical представила миру основанный на Debian дистрибутив GNU/Linux, получивший название Ubuntu, что в переводе с языка зулу означает «человечность».

• Сегодня этот дистрибутив лидирует по популярности среди других реализаций Linux не только на настольных ПК и ноутбуках, составляя уверенную конкуренцию #Windows, но и занимает первое место в списке самых популярных ОС для веб-серверов.

• Официальный символ Ubuntu называется «круг друзей», и представляет собой стилизованное изображение трех человек, взявшихся за руки. Он символизирует надежность, свободу и сотрудничество, и демонстрирует сообщество, члены которого поддерживают друг друга. К слову, на обложке бесплатного компакт-диска с самой первой версией Ubuntu была размещена фотография взявшихся за руки людей (на фото) — видимо, чтобы прояснить для пользователей идею логотипа системы.

• И вот еще один забавный факт: новые версии этой ОС выходят раз в полгода, причем помимо номерного обозначения они имеют и кодовое название. Эти имена берутся не с потолка: название каждой версии Ubuntu состоит из двух слов, причем первое – это прилагательное, а второе — вымирающий вид животных или мифический персонаж. Причем первые буквы этих двух слов всегда одинаковы — например, Gutsy Gibbon (Героический гиббон) или Oneiric Ocelot (Мечтательный оцелот). Тема обоев Рабочего стола также соответствует мотивам животного или персонажа, выбранного для кодового имени текущей версии Ubuntu.

#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉 15 лет назад появилась Windows 7.

• Кстати, завтра своё день рождение отмечает Windows 7. Именно 22 октября 2009 года эта ОС появилась на свет и до сих пор считается одной из самых надежных версий Windows, которая работает на миллионах компьютеров до сих пор.

• Еще на этапе бета-тестирования стало очевидно, что новая редакция Windows станет прямой наследницей Vista: отличий от нее в первых публичных бетах было немного. Поначалу разработчики даже не удалили из системы боковую панель: из существенных модификаций можно было заметить разве что смену ядра на версию 6.1, и то, что разработчики полностью выпилили классическое представление Главного меню, неизменно присутствовавшее в составе ОС еще со времен Windows 95.

• В Windows 7 milestone 2 видимых изменений тоже оказалось относительно немного: все основные новшества прятались «под капотом». Бета-тестеры заметили, что кнопка «свернуть все окна» перекочевала в правую часть Панели задач, а также то, что в эту сборку впервые был интегрирован Windows PowerShell в качестве компонента системы. Незначительные косметические изменения коснулись Проводника, а Главное меню обрело привычный пользователям Windows 7 вид.

• На этапе Milestone 3 (а именно, в сборке 6748) разработчики наконец-то убрали с Рабочего стола ненужную боковую панель. Система стала понемногу обретать черты окончательной версии, но до финишной ленточки было еще очень далеко — около года. «Супербар» в Windows 7 Milestone 3 уже был включен по умолчанию, при этом пользователи, что называется, «распробовали» новинку: окна сворачиваются в «Супербар» в виде квадратной кнопки, и, следовательно, занимают значительно меньше места по сравнению с прямоугольными кнопками в Vista. При этом появившаяся в Windows 7 группировка задач позволяет сэкономить еще больше пространства при открытии нескольких окон одного приложения (в предыдущих сборках количество открытых окон демонстрировалось цифрой, в Milestone 3 появились эскизы).

• Основное приложение Windows — файловый менеджер Проводник — тоже изрядно переработали. Самым удобным и простым в использовании Проводник был в Windows 2000: слева древовидная структура диска, справа – содержимое текущей папки, сверху – кнопки управления файловыми объектами и командное меню. В Windows Vista разработчики удалили в Проводнике возможность навигации при помощи адресной строки, а панель древовидной структуры файловых объектов сделали так, что полностью просмотреть весь список стало невозможным, потому что он не умещается в отведенное ему пространство. Ну, а в Проводнике Windows 7 исчезли кнопки инструментальной панели и командная панель, содержащая меню «Файл», «Вид» и т. д.

• Официальная бета-версия Windows 7 выглядела в целом так же, как последовавший меньше года спустя релиз. Здесь разработчики добавляли только новые функциональные возможности: режим восстановления системы в случае аварийной загрузки, был внесен ряд незначительных изменений в интерфейс стандартных приложений.

• Вместо нескольких кнопок выключения в Главном меню появилась одна стандартная. По умолчанию ей назначена функция «Shut down» (выключение компьютера), но по желанию пользователя эта функция может быть сменена на «Log off», «Restart», «Switch User» или «Hibernate», в зависимости от того, какой режим применяется в системе чаще. Windows PowerShell в бета-версии «семерки» заменили на PowerShell 2.0.

• Незадолго до публикации RTM — окончательной версии для сборщиков компьютеров — Microsoft выкатила Release Candidate. Эта сборка Windows 7 уже обрела окончательный вид. Финальный релиз Windows 7 поступил в продажу 22 октября 2009 года. Сначала пользователи приняли систему скептически: еще были свежи воспоминания о вышедшей за два года не слишком удачной Windows Vista. Но вскоре стало понятно, что Windows 7 — это значительный шаг вперед: система оказалась быстрой, стабильной и поддерживала огромный арсенал современного оборудования. Несмотря на то, что с тех пор на свет появилось еще четыре поколения Windows, «семерку» до сих пор не торопятся списывать в утиль.

#Windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM