Forwarded from Know Your Adversary
Всем привет!
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
Если мы хотим найти попытки выгрузки
Увидимся завтра!
English version
Сегодня мы рассмотрим технику OS Credential Dumping: NTDS (T1003.003). Уверен, вы видели, как злоумышленники используют
esentutl для получения копии NTDS.dit, но что насчёт wbadmin?Думаю, вы видели много отчётов о недавних атаках с использованием программы-вымогателя Akira, связанных с SonicWall. Согласно этому отчёту, злоумышленник использовал
wbadmin для выгрузки NTDS.dit, а также файлов реестра SYSTEM и SECURITY:"C:\Windows\system32\wbadmin.exe" start backup -backupTarget:\\localhost\c$\ProgramData\ -include:C:\Windows\NTDS\NTDS.dit C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SECURITY -quiet
Если мы хотим найти попытки выгрузки
NTDS.dit, можем использовать следующий запрос:event_type: "processcreatewin"
AND
proc_file_path: "wbadmin.exe"
AND
cmdline: "ntds.dit"
Увидимся завтра!
English version
👍5❤1
image_2025-08-19_11-24-19.png
94.2 KB
боролись с мошенниками...боролись и заборолись )) скам через max уже тут, тот самый безопасный max =/
😁10
Чтение sam/system/... прямым чтением с диска
https://github.com/Workday/raw-disk-parser
https://github.com/Workday/raw-disk-parser
GitHub
GitHub - Workday/raw-disk-parser: A tool to interact with Windows drivers to perform a raw disk read and parse out target files…
A tool to interact with Windows drivers to perform a raw disk read and parse out target files without calling standard Windows file APIs - Workday/raw-disk-parser
🔥1
Forwarded from Адовый UX
This media is not supported in your browser
VIEW IN TELEGRAM
Компания Мираторг запустила сервис по пробиву данных
😁59🔥8
ну комменты как бы говорят сами за себя)))) походу очередной взлом кремля (https://t.iss.one/true_sec/133)
😁11🔥7
Давно не писал — работа, работа.
Наткнулся на одну штуку (https://github.com/craviee/zabbix-temperature-monitor-windows) и решил написать про персист через неё. Часто Zabbix-агенты используются с каким-то дополнительным ПО; это дополнительное ПО, так же как и агент на Windows, зачастую запускается от имени SYSTEM.
Утилита OpenHardwareMonitor используется для сбора метрик о состоянии железа и отлично подходит под DLL-hijacking. Подробности — на скрине: пути, куда можно положить DLL c именем atiadlxx.dll и оставаться в закрепе от SYSTEM (все пути из $PATH).
Наткнулся на одну штуку (https://github.com/craviee/zabbix-temperature-monitor-windows) и решил написать про персист через неё. Часто Zabbix-агенты используются с каким-то дополнительным ПО; это дополнительное ПО, так же как и агент на Windows, зачастую запускается от имени SYSTEM.
Утилита OpenHardwareMonitor используется для сбора метрик о состоянии железа и отлично подходит под DLL-hijacking. Подробности — на скрине: пути, куда можно положить DLL c именем atiadlxx.dll и оставаться в закрепе от SYSTEM (все пути из $PATH).
👍13🔥6
Forwarded from Cybred
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
🔥2❤1
lpe через ненастроенный zabbix agent.
Если в файле конфигурации (zabbix_agentd.conf) в директиве Server указан адрес 127.0.0.1 (иногда его оставляют с реальным адресом zabbix server через запятую), то существует возможность локально через zabbix_get выполнять различные запросы к ОС.
В linux это, как правило, пользователь zabbix (а там иногда sudoers, запуски всяких bash скриптов и тп),
в Windows это system. А дальше уже смотрим приколы с ключами
проверил на большом количестве компаний, в 90% случаев запуск zabbix_agent в windows от "nt authority\система" или "nt authority\system".
примеры команд:
Если в файле конфигурации (zabbix_agentd.conf) в директиве Server указан адрес 127.0.0.1 (иногда его оставляют с реальным адресом zabbix server через запятую), то существует возможность локально через zabbix_get выполнять различные запросы к ОС.
В linux это, как правило, пользователь zabbix (а там иногда sudoers, запуски всяких bash скриптов и тп),
в Windows это system. А дальше уже смотрим приколы с ключами
проверил на большом количестве компаний, в 90% случаев запуск zabbix_agent в windows от "nt authority\система" или "nt authority\system".
примеры команд:
zabbix_get.exe -s 127.0.0.1 -k "system.run[whoami]"
zabbix_get.exe -s 127.0.0.1 -k "vfs.file.contents[C:\temp\test.txt]"
🔥12❤3
Forwarded from Репорты простым языком
PT SWARM
Blind trust: what is hidden behind the process of creating your PDF file?
Every day, thousands of web services generate PDF (Portable Document Format) files—bills, contracts, reports. This step is often treated as a technical routine, “just convert the HTML,” but in practice it’s exactly where a trust boundary is crossed. The renderer…
🚨 Слепая вера в PDF: что творится под капотом генерации твоих "безопасных" файлов
Исследователи из PT SWARM покопались в популярных библиотеках для конвертации HTML в PDF — и нашли там настоящий зоопарк уязвимостей.🔥 😵💫13 багов + 6 миссконфигов🔥🔥 в семи либах: TCPDF, html2pdf, jsPDF, mPDF, snappy, dompdf и OpenPDF.
Что может пойти не так, когда твой сервер жрёт пользовательский HTML и спитит PDF (чеки, отчёты, инвойсы)?
• Path traversal: Вставляешь в img src хитрый путь — и в PDF улетают твои приватные файлы с сервера (привет, утечка PII).
• Deserialization гадости: Сериализуешь объект — и сервер начинает удалять произвольные файлы. DoS в один клик.
• SSRF в полный рост: Библиотеки сами бегают по указанным URL, включая internal 127.0.0.1. Сканируй сеть, тяни метаданные — всё дела.
• ReDoS и бесконечные циклы: Один кривой data: URL — и CPU сервера уходит в стратосферу.
Особенно "весело" в TCPDF (≤6.8.2), html2pdf (≤5.3.0) и jsPDF (3.x). Многие баги уже пофикшены в новых версиях, но миссконфиги (типа allow remote images или local file access) — это intentional фичи, которые нужно выключать вручную.
Вывод простой: никогда не доверяй пользовательскому HTML на этапе генерации PDF. Санитайзьте, валидируйте пути/URL, отключите всё лишнее, обновляйтесь.
Полный разбор с PoC и примерами: https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
Не генерируйте PDF из непроверенного ввода без паранойи — иначе получите сюрприз в проде. 🔒
Исследователи из PT SWARM покопались в популярных библиотеках для конвертации HTML в PDF — и нашли там настоящий зоопарк уязвимостей.
Что может пойти не так, когда твой сервер жрёт пользовательский HTML и спитит PDF (чеки, отчёты, инвойсы)?
• Path traversal: Вставляешь в img src хитрый путь — и в PDF улетают твои приватные файлы с сервера (привет, утечка PII).
• Deserialization гадости: Сериализуешь объект — и сервер начинает удалять произвольные файлы. DoS в один клик.
• SSRF в полный рост: Библиотеки сами бегают по указанным URL, включая internal 127.0.0.1. Сканируй сеть, тяни метаданные — всё дела.
• ReDoS и бесконечные циклы: Один кривой data: URL — и CPU сервера уходит в стратосферу.
Особенно "весело" в TCPDF (≤6.8.2), html2pdf (≤5.3.0) и jsPDF (3.x). Многие баги уже пофикшены в новых версиях, но миссконфиги (типа allow remote images или local file access) — это intentional фичи, которые нужно выключать вручную.
Вывод простой: никогда не доверяй пользовательскому HTML на этапе генерации PDF. Санитайзьте, валидируйте пути/URL, отключите всё лишнее, обновляйтесь.
Полный разбор с PoC и примерами: https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
Не генерируйте PDF из непроверенного ввода без паранойи — иначе получите сюрприз в проде. 🔒
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍1