⚙️ CVE-2025-21204 - Windows Update Stack LPE

Повышение привилегий (LPE) в 💻 Windows системах. После установки штатных апдейтов у некоторых пользователей появилась директория C:\inetpub, обычно используется в рамках работы веб-сервера IIS, у меня например появилась. Это если что такой фикс от микрософт 😁 и удалять ее не стоит.

😉 Research
😉 PoC

#windows #lpe #poc

✈️ Whitehat Lab

🎩 🗂 Доклады с конференции Black Hat Asia 2025

⌨️

DriveThru Car Hacking Fast Food, Faster Data Breach
KernJC Automated Vulnerable Environment Generation for Linux Kernel Vulnerabilities
vCenter Lost How the DCERPC Vulnerabilities Changed the Fate of ESXi
etc.

😹 Home
😹 Download

#pentest #blackhat #blackhatasia

✈️ Whitehat Lab

🔄 🏃 adPEAS v0.8.27

Отличный инструмент для поиска и сбора информации в 🏠 Active Directory

Представлен в 2х вариантах, стандарт и лайт

Полная версия имеет встроенный модуль SharpHound для сбора информации в 😉 Bloodhound

UPD. Добавили поддержку модуля для Bloodhound CE

Стандартный запуск:

Import-Module .\adPEAS.ps1
Invoke-adPEAS

Доступные модули:

Domain - поиск базовой информации о контроллерах домена, сайтов, трастов и стандартных парольных политиках

Rights - поиск различных прав, например LAPS, DCSync и т.д.

GPO - базовая информация о групповых политиках

ADCS - информация о центрах сертификации

Creds - ASREPRoast, Kerberoasting, GroupPolicies, Netlogon скрипты, LAPS, gMSA и т.д.

Delegation - поиск делегирования, например ограниченное делегирование, неограниченное делегирование и RBCD (Resource Based Constrained Delegation) для компьютеров и учетных записей

Accounts - информация об аккаунтах

Computer - AD DS, AD CS, Exchange серверы и т.д.

BloodHound - сборщик данных для BH

Варианты запуска:

Invoke-adPEAS -Domain 'contoso.com' -Outputfile 'C:\temp\adPEAS_outputfile' -NoColor

Invoke-adPEAS -Domain 'contoso.com' -Server 'dc1.contoso.com'

Определенная УЗ:

$SecPassword = ConvertTo-SecureString 'Passw0rd1!' -AsPlainText -Force

$Cred = New-Object System.Management.Automation.PSCredential('contoso\johndoe', $SecPassword)

Invoke-adPEAS -Domain 'contoso.com' -Cred $Cred

Модули:

Invoke-adPEAS -Module Domain

Invoke-adPEAS -Module Rights

Invoke-adPEAS -Module GPO

Invoke-adPEAS -Module ADCS

Invoke-adPEAS -Module Creds

Invoke-adPEAS -Module Delegation

Invoke-adPEAS -Module Accounts

Invoke-adPEAS -Module Computer

Invoke-adPEAS -Module Bloodhound -Scope All

💻 Home

#soft #powershell #activedirectory #enumeration

✈️ Whitehat Lab

💻 Windows sudo v1.0.1

Новый инструмент в 💻 Windows 11 (24H2 и новее), позволяющий выполнять команды с правами администратора

Включение:

Параметры > Система > Для разработчиков > Включить sudo

Поддерживает 3 режима работы:

--new-window - в новом окне

--inline - в текущем окне

--disable-input - в текущем окне с отключенным вводом в целевое приложение

По умолчанию работает в режиме нового окна, изменить значение:

# forceNewWindow, disableInput, normal
sudo config --enable normal

sudo netstat -ab

Есть принципиальные отличия от runas:

sudo работает только с правами администратора и использует UAC для подтверждения
sudo не поддерживает выполнение команд от имени других пользователей
sudo может выполняться в текущем сеансе консоли (в зависимости от режима), тогда как runas всегда запускает новый процесс

Банальная унификация, sudo app.exe гораздо привычнее чем runas /user:Администратор "C:\path\app.exe"

Почему я об этом решил написать ? Все таки, это стандартная утилита с довольно интересным и опасным функционалом и я уверен что, мы слышим о ней далеко не в последний раз 😅

UPD. Ключи реестра:

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sudo" /v Enabled
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sudo" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sudo" /v Enabled /t REG_DWORD /d 0 /f

😉 Sudo for Windows
💻 Github

#windows #sudo

✈️ Whitehat Lab

⚙️ CVE-2025-34028 - Commvault Pre-Authenticated RCE

Path traversal уязвимость приводящая к выполнению произвольного кода (RCE) без аутентификации

▪️Отправляется HTTP-запрос на /commandcenter/deloyWebpackage.do, в результате чего Commvault получит ZIP-файл с внешнего сервера
▪️Содержимое архива разгружается во временный каталог
▪️Параметр ServicePack для path traversal в предварительно аутентифицированный каталог на сервере, например ../../Reports/MetricsUpload/shell
▪️SSRF через /commandcenter/deployWebpackage.do
▪️RCE через /reports/MetricsUpload/shell/.tmp/dist-cc/dist-cc/shell.jsp

Рейтинг CVSS - 9.0

Уязвимость устранена в версии 11.38

➡️ Research
➡️ Vendor
💻 PoC

#cve #rce #poc

✈️ Whitehat Lab

🖥️ LLMs.txt generator v2

Генератор .txt файлов для обучения LLM

Можно добавить llmstxt.new перед любым URL, например - https://www.llmstxt.new/https://szybnev.cc

Есть API:

# Start LLMs.txt generation
curl -X POST "https://api.firecrawl.dev/v1/llmstxt" \
  -H "Authorization: Bearer your_api_key" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://example.com",
    "maxUrls": 2,
    "showFullText": true
  }'

# Check generation status
curl -X GET "https://api.firecrawl.dev/v1/llmstxt/job_id" \
  -H "Authorization: Bearer your_api_key"

from firecrawl import FirecrawlApp

# Initialize the client
firecrawl = FirecrawlApp(api_key="your_api_key")

# Generate LLMs.txt with polling
results = firecrawl.generate_llms_text(
    url="https://example.com",
    max_urls=2,
    show_full_text=True
)

# Access generation results
if results.success:
    print(f"Status: {results.status}")
    print(f"Generated Data: {results.data}")
else:
    print(f"Error: {results.error}")

😉 LLMstxt
📔 Docs

#llm

✈️ Whitehat Lab

🔄 💻 PsMapExec v0.7.5

Отличный инструмент для пост эксплуатации в 💻 Active Directory, написанный на PowerShell.

UPD. Начиная с версии 0.6.0, PsMapExec больше не имеет каких-либо внешних зависимостей, кроме модуля Amnesiac.
PsMapExec теперь можно запускать в ограниченных средах, таких как экзаменационные лаборатории или машины CTF

Текущая поддержка методов (протоколов):

🔵RDP
🔵SessionHunter
🔵SMB
🔵SMB Signing
🔵Spraying
🔵VNC
🔵WinRM
🔵WMI
🔵MSSQL
🔵Kerberoast

Реализованные модули:

🔵 Amnesiac - выполнение Amnesiac C2 пейлоадов
🔵 ConsoleHistory - история в PowerShell
🔵 Files - файлы в типичных директориях
🔵 KerbDump - дамп Kerberos билетов
🔵 eKeys - дамп ключей (Mimikatz)
🔵 LogonPasswords - дамп logon passwords (Mimikatz)
🔵 LSA - дамп LSA (Mimikatz)
🔵 NTDS - реализация DCsync
🔵 SAM - дамп SAM

Запуск из памяти:

IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PME-Scripts/main/Invoke-NETMongoose.ps1");IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PsMapExec/main/PsMapExec.ps1")

Примеры:

# Текущий пользователь
PsMapExec -Targets All -Method [Method]

# С паролем
PsMapExec -Targets All -Method [Method] -Username [Username] -Password [Password]

# С хешем
PsMapExec -Targets All -Method [Method] -Username [Username] -Hash [RC4/AES256]

# С билетом
PsMapExec -Targets All -Method [Method] -Ticket [doI.. OR Path to ticket file]

# Дамп SAM файла
PsMapExec -Targets DC.domain.local -Method SMB -Ticket [Base64-Ticket] -Module SAM

# Kerberoasting
PsMapExec -Method Kerberoast -ShowOutput

# Использование модулей
PsMapExec -Targets All -Method [Method] -Module [Module]

😹 Github
📔 Documentation

#soft #pentest #powershell #psmapexec #redteam #windows

✈️ Whitehat Lab

🖥 uv v0.6.16

Все еще используете pip ? Тогда мы идем к вам!

Для себя, относительно недавно открыл сей прекрасный инструмент, пользоваться pipx и уже тем более pip более не предоставляется возможным 😅

Что же это такое ?

Это современный, сверхбыстрый менеджер пакетов и проектов для 🐍 Python, написанный на 🖼️ Rust. Он призван заменить почти все привычные инструменты: pip, pipx, poetry, pyenv, twine, virtualenv и даже менеджеры версий Python.

Кто будет писать в лс с вопросами и там будет, что-то вроде pip install ... буду бить по рукам 😂 направлять сюда

Установка в 🐧 Linux:

curl -LsSf https://astral.sh/uv/install.sh | sh

Установка в 💻 Windows:

powershell -ExecutionPolicy ByPass -c "irm https://astral.sh/uv/install.ps1 | iex"

Хотел было написать подробную заметку, но нашел уже готовую статью

📝 Быстрый старт в мир Python окружений с uv
💻 Home
📔 Docs

#python #uvx #venv

✈️ Whitehat Lab

💻 Цикл статей по Active Directory

Ребят, нашел для вас неплохую подборку материалов по AD, да, местами используется устаревший софт, например crackmapexec, но база никуда не делась, все подробно и понятно, рекомендую к прочтению и освоению 👍

Part 1 | Trees, Forest and Trust Relations
Part 2 | Access Control, Users, KRGBT, Golden ticket attack
Part 3 | Recon with AD Module, Bloodhound, PowerView & Adalanche
Part 4 | LLMNR Poisoning
Part 5 | Lateral Movement, Privilege Escalation & Tools
Part 6 | Domain persistence and cross forest attacks
Part 7 | Abusing Misconfigured Templates (ESC1)

#windows #activedirectory #pentest #redteam

✈️ Whitehat Lab

🕸 humble v1.48

Хороший анализатор HTTP заголовков

В 🐧 Kali есть в репозиториях:

sudo apt install humble

Использование:

python3 humble.py -u https://www.spacex.com

💻 Home

#humble #web #pentest

✈️ Whitehat Lab

🔄😉 BloodHound CE v7.3.0

Обновление инструмента для выявления связей и построения графов в 💻 Active Directory. Достаточно учетной записи доменного пользователя.
Отличный инструмент при пентесте 🏠 AD среды.
Для сбора информации используются коллекторы bloodhound-ce или SharpHound

UPD. Patch notes

Установка:

curl -L https://ghst.ly/getbhce | docker compose -f - up

https://localhost:8080/ui/login

Логин admin и сгенерированный пароль

Для обновления переходим в директорию с docker-compose.yml и запускаем:



docker compose pull && docker compose up

Сбор информации:

python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp

Neo4j запросы:

# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description

# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p

# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c

# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p

Подробный гайд:

➡️ The Ultimate Guide BHCE
➡️ Адаптация на русском

ADCS атаки:

➡️ Part 1
➡️ Part 2
➡️ Part 3

Ссылки:

💻 Home
💻 Download
➡️ Docs

#bloodhound #pentest #active_directory #soft #bhce

✈️ Whitehat Lab

Не мое, орфография автора и прочее сохранено, за исключением пары слов, чтобы влезло в картинку

✈️ Whitehat Lab