Ralf Hacker Channel

Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.

Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?

1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.

2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)

Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:

git clone https://github.com/hashcat/hashcat && cd hashcat
git checkout 5236f3bd7 && make
./hashcat -m31300

Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.

Довольно интересная статья про более скрытное выполнении CLR сборок (в том числе C# утилит) в памяти с обходом AMSI и без патчей либы в памяти.

https://securityintelligence.com/x-force/being-a-good-clr-host-modernizing-offensive-net-tradecraft/

#redteam #bypass #maldev

CVE-2024-43468: ConfigMgr/SCCM 2403 Unauth SQLi to RCE

PATCHED: Oct 8, 2024

Exploit: https://github.com/synacktiv/CVE-2024-43468

Blog: https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections

#git #exploit #ad #rce #sccm #pentest #redteam

GodPotato на Rust нужен кому-нибудь?))

https://github.com/safedv/RustPotato

Пусть будет...

#potato #pentest #redteam #git

Просто новость: в NetExec добавили аутентификацию по сертификату... классно же)

#pentest #soft #ad

Эта работа заслуживает внимание! Если кратко, то механизм MS UIA позволяет читать любые текстовые значения на экране, открывать меню, закрывать окна, ну и все такое)) А раз он дает такие возможности, то этим нужно пользоваться... Как пример, PoC от @Michaelzhm:

https://github.com/CICADA8-Research/Spyndicapped

Не думаю, что на данную технику вообще есть какие-то детекты. Все подробности в блоге.

#redteam #pentest #spyware

Поздравляю всех с наступающим (а кого-то уже с наступившим) Новым годом🎉 Желаю всем найти под ёлкой веру в себя и в свои идеи, идти к своим целям без тревоги и опасений (но даже если они есть - все равно идти😉). Проживать каждый день с интересом и любить то, что делаешь❤️

Всем спасибо)

Коллектор сессий из SCCM для BloodHound

https://github.com/CrowdStrike/sccmhound

#ad #pentest #bloodhound

Много же кто знает про софт, вроде DefenderCheck, который позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу)

Вот еще одна альтернатива, написанная на golang:

https://github.com/gatariee/gocheck

#av #maldev

Тут pe-sieve обновился)

#blueteam #maldev

@snovvcrash про свой опыт использования Timeroasting написал. Почитайте, есть интересные моменты.

https://snovvcrash.rocks/2024/12/08/applicability-of-the-timeroasting-attack.html

#pentest #redteam #ad

CVE-2024-38193: Windows LPE

PATCHED: August 13, 2024

https://github.com/Nephster/CVE-2024-38193

Upd.: https://github.com/killvxk/CVE-2024-38193-Nephster

P.S. Протестил на Win11, работает

#git #exploit #lpe #pentest #redteam

Для эксплуатации BYOVD. Но не создает службу напрямую, а делает это через запись в реестре HKLM SYSTEM\CurrentControlSet\Services и вызов NtLoadDriver.

https://github.com/ioncodes/SilentLoad

#pentest #redteam #bypass

Почему я люблю смотреть отчеты? Например из этого можно взять мануал вот такую картинку))

#pentest #redteam #av #report

Kerberos Relay and Forwarder for (Fake) SMB MiTM Server

https://github.com/decoder-it/KrbRelayEx

Наконец-то)))

#pentest #ad #relay

CVE-2024-48990: Linux LPE via needrestart

PATCHED: Nov 19, 2024

PoC: https://github.com/makuga01/CVE-2024-48990-PoC

Info: https://www.qualys.com/2024/11/19/needrestart/needrestart.txt

P.S. Хоть для привеска и нужно дожидаться запуска needrestart (который стартует, например, при apt upgrade), патчу всего три дня, и он еще не добавлен во все репы Debian)

#exploit #pentest #redteam #lpe #linux

Если есть любители пореверсить, или может кому просто интересна эта тема, то вот вам годнота)) В этом видосе реверсят нагрузку BruteRatel C4

https://youtu.be/-X1n3BEfzv8

Да и по плейлисту много хороших разборов))

#reverse #video

🚨 Fortinet FortiManager Unauthenticated RCE (CVE-2024-47575)

The remote code execution vulnerability in FortiManager allows attackers to perform arbitrary operations by exploiting commands via the FGFM protocol, circumventing authentication. Referred to as FortiJump, this vulnerability provides unauthorized access to FortiManager, enabling control over FortiGate devices by taking advantage of insufficient security in command handling and device registration processes.

🛠 Affected Versions:

FortiManager 7.6.0
FortiManager 7.4.0 through 7.4.4
FortiManager 7.2.0 through 7.2.7
FortiManager 7.0.0 through 7.0.12
FortiManager 6.4.0 through 6.4.14
FortiManager 6.2.0 through 6.2.12
FortiManager Cloud 7.4.1 through 7.4.4
FortiManager Cloud 7.2.1 through 7.2.7
FortiManager Cloud 7.0.1 through 7.0.12
FortiManager Cloud 6.4

🔗 Research:
https://labs.watchtowr.com/hop-skip-fortijump-fortijumphigher-cve-2024-23113-cve-2024-47575/

🔗 Source:
https://github.com/watchtowrlabs/Fortijump-Exploit-CVE-2024-47575

#fortinet #fortimanager #fgfm #unauth #rce

Очень хороший материал про Process Injection в Linux. С кодом, схемами и картами памяти)

https://www.akamai.com/blog/security-research/the-definitive-guide-to-linux-process-injection

#redteam #maldev

Попалась на глаза python версия шарповой утилиты Seatbelt

https://github.com/0xthirteen/Carseat

#git #pentest #ad

Питонячий скрипт для работы с реестром через WMI StdRegProv

https://github.com/0xthirteen/reg_snake

#evasion #pentest #redteam #lateral

Weakpass

Ресурс с огромной коллекцией словарей для брутфорса от моего бывшего коллеги Ивана Юшкевича, который используют в своей повседневной работе многие пентестеры по всему миру😎 теперь позволяет удобно искать значения по хешам (NTLM,MD5,SHA1,SHA256) в удобном и приятном веб-интерфейсе🔥

Все это доступно любому желающему абсолютно бесплатно, без ограничений на количество и надоедливых капчей. К тому же стоит отметить что поиск осуществляется исключительно client-side, ничего не отправляется на backend приложения.

У сервиса есть API для автоматизации и интеграции в собственные инструменты. А также ничего не мешает выгрузить все словари для создания внутренних инструментов для регулярных проверок на соответствие парольной политике вашей компании, чтобы больше никаких Companyname2024! или Winter2024! не использовались в качестве значений пароля для доменных учетных записей пользователей.

Так, новая техника инъекции в процессы - Early Cascade Injection.

Ну и ресерч достаточно подробный)

https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/

#redteam #maldev #bypass

Интересные у них отчеты, люблю такое чтиво и всем рекомендую) и атакерам, и защитникам))

https://t.me/s3Ch1n7/427

#report

Забыл написать, тут же ESC15 появился))

https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc

Для поиска в BloodHound CE:

MATCH p=(:Base)-[:Enroll|AllExtendedRights]->(ct:CertTemplate)-[:PublishedTo]->(:EnterpriseCA)-[:TrustedForNTAuth]->(:NTAuthStore)-[:NTAuthStoreFor]->(:Domain)
WHERE ct.enrolleesuppliessubject = True
AND ct.authenticationenabled = False AND ct.requiresmanagerapproval = False
AND ct.schemaversion = 1
RETURN p

И заодно нашел скрипт для патча:
https://github.com/JonasBK/Powershell/blob/master/Remediate-ESC15.ps1

#pentest #redteam #adcs

🛠 Всем привет. Я тут допилил тулу для рекона на основе информации из Azure (без аутентификации).

Смысл в том, чтобы доставать из ажура домены и инфу по тенанту (например какой у таргета SSO).

Давно хотел сделать такой аналог AADInternals, но без смс, регистрации, пауэршелла, дополнительных зависимостей. Только статический бинарник, только хардкор.

Тула поддерживает STDIN/STDOUT, поэтому можно использовать ее в пайплайнах с другими вещами, например от ProjectDiscovery.

Выглядит это безобразие так:

📖 Установка:

go install -v github.com/haxxm0nkey/azhunt@latest

или через репу

git clone https://github.com/haxxm0nkey/azhunt.git
cd azhunt
go build
mv azhunt /usr/local/bin/
azhunt 

⚙️ Режимы работы:

Базовый режим - тащит и инфу по тенанту и домены.

azhunt -d microsoft.com

Режим для интеграции с другими тулами (-silent)

azhunt -d microsoft.com -silent

Есть вывод в JSON, в файл, чтение доменов из файла.

🔗 Где исходники, Билли?
https://github.com/haxxm0nkey/azhunt

Хорошей пятницы вам!

CVE-2024-47176, CVE-2024-47076, CVE-2024-47175, CVE-2024-47177: Linux OpenPrinting CUPS RCE

blog: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

PoC: https://github.com/RickdeJager/cupshax

patch:

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

#exploit #git #pentest #redteam

Bypass LSA protection using the BYODLL technique

https://github.com/itm4n/PPLrevenant

#pentest #redteam #bypass

🖥 Veeam Backup & Response — RCE (CVE-2024-40711)

A critical deserialization vulnerability in .NET Remoting has been discovered in Veeam Backup & Replication, allowing unauthenticated remote code execution (RCE). The flaw affects versions 12.1.2.172 and earlier.

🔗 Research:
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/

🔗 Source:
https://github.com/watchtowrlabs/CVE-2024-40711

#veeam #backup #deserialization #unauth #rce

Specterops продолжает пиарить показывать фичи BloodHound CE, и на этот раз разбирает техники ESC6, ESC9 и ESC10 для ADCS))

https://posts.specterops.io/adcs-attack-paths-in-bloodhound-part-3-33efb00856ac

P.S. заметил, что предыдущие две статьи не кидал. Исправляюсь: раз и два

👩‍💻 Nagios XI — RCE

Nagios XI 2024R1.01 has a vulnerability in the monitoringwizard.php component, allowing authenticated SQL injection (CVE-2024-24401) that lets attackers create an admin account and remote code execution.

🔗 Source:
https://github.com/MAWK0235/CVE-2024-24401

#nagios #sql #rce #privesc #poc #exploit

🖊️Семантические уязвимости в серверах Apache

В связи с недавно прошедшими мероприятиями и моим отпуском не было времени упомянуть некоторые крутые недавно опубликованные доклады. И к одному из таких относится ресерч старины Orange Tsai, в ходе которого было найдено сразу несколько CVE и различных мисконфигов в серверах Apache.

Странно, что никто об этом еще не написал, так как материал очень интересный и я всем рекомендую ознакомиться с оригиналом по ссылке. Я также набросал несколько шаблонов для Nuclei на основе этого доклада, которые вы можете доработать или использовать как есть на своих целях (закину их в комменты под постом).

#web #apache #cve

Всем привет! Давным-давно появился инструмент msi_search, который создали mandiant для анализа установленных MSI-файлов на системе. Впоследствии эти файлы можно было выкачать и проанализировать на предмет уязвимостей. Подобный вектор привеска достаточно не самый примитивный и обычный, однако, я не раз встречал интересные инсталляторы, которые нужно было как-то сломать :)

Сам формат MSI предательски похож на формат SQL, что упрощало написание автоматизированного чекера на уязвимости. Так родился инструмент MyMSIAnalyzer , я научил его:
- Обнаруживать оставленные учетные данные внутри MSI-файла
- Анализировать CustomActions на предмет наличия действий, исполняемых от лица системы
- Проверять возможность перезаписи CustomActions, что может использоваться как для повышения привилегий, так и закрепления
- Проверка сигнатур (нужно в контексте MST Backdoor), а также отдельная программа для обнаружения GUI внутри MSI, ведь в таком случае возможно осуществить побег в cmd.exe через запуск explorer.exe

Полный разбор MSI-файлов как вектора повышения привилегий я выложил на medium. Приятного чтения :))

Уже не новость, что Notion уходит, вот альтернатива)

https://github.com/toeverything/AFFiNE

Кто пользуется, накидайте фидбек в комменты))

#notes #git #soft