Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/915514/

А все свою FreeIPA обновили? Там в 4.12.4 пофиксили CVE-2025-4404, через которую аутентифицированный юзер мог сам себе доменного админа выписать. Другой службы каталогов у нас для вас нет... https://www.freeipa.org/release-notes/4-12-4.html

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/915892/

Сейчас мой краулер (https://github.com/s0i37/crawl) парсит следующие форматы: word, excel, презентации, visio, pdf - из всех этих типов умеет извлекать вложенные картинки, так же парсит все типы архивов с бесконечной вложенностью, cab/rpm/deb-пакеты, все исполняемые файлы (pe,elf), распознает текст на картинках (ru,en), в аудио (ru,en), с fps=1 распознает что есть в видео включая звук, извлекает thumbs.db, sqlite, дампы трафика, lnk-файлы, декомпилирует байткод, и логи винды evtx - одним словом всё, чаще всего лежит на шарах. И делает это все за какие то 300 строк кода на bash. А теперь благодаря специально собранному мини образу alpine, с ntfs-3g и impacket, запускаему через qemu, краулер из любого образа диска быстро и без скачивания извлечет /root/.bash_history, /home/*/.bash_history, /etc/shadow, историю браузера, а так же хэши sam и security.

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/blog/personal/SimlpeHacker/355289.php

🔗Ссылка: https://opennet.ru/63489/

🥠 Cookie Tossing: когда поддомен подбрасывает «левую» cookie Cookie Tossing — малоизвестная, но серьёзная атака. Атакующий, контролирующий поддомен (например evil.example.com), устанавливает в браузере атакуемого cookie так, чтобы она применялась ко всему родительскому домену .example.com. Когда атакуемый открывает account.example.com или любой другой поддомен, браузер автоматически отправляет поддельную cookie, и сервер может обработать именно её. Так можно, например, привязать OAuth-токен к учётной записи атакующего, сбросить настройки или подменить сессию. 📌Как это работает Атака опирается на два параметра cookie: * Domain определяет, на какие хосты отправляется cookie. Если указать Domain=example.com, она уйдёт на все поддомены. * Path задаёт, к каким URL-ам применяется cookie. Более узкий путь (/settings/account) даёт ей приоритет над cookie с общим путём (/). 📌Как браузер выбирает cookie Если в браузере есть две cookie с одинаковым именем, он включает обе в заголовок Cookie, а порядок определяется так: 1. Сначала идут cookie, чей Path точнее совпадает с путём запроса. 2. При одинаковом пути первой идёт более старая cookie. Пример:

# cookie в браузере
session_cookie=<attacker>; Domain=example.com; Path=/settings/account
session_cookie=<victim>;   Domain=example.com; Path=/

# запрос к /settings/account
Cookie: session_cookie=<attacker>; session_cookie=<victim>

Большинство приложений используют первое значение, поэтому действие выполняется от имени атакующего. 📌Когда проверять на Cookie tossing * У сайта есть поддомены, и на них можно внедрить пользовательский JS/HTML. * Сессионная cookie выдаётся на весь домен (Domain=.example.com). * Важные эндпоинты (/auth/callback, /settings/account, /billing) не защищены CSRF-токеном. * Аутентификация основана только на cookie, без дополнительного заголовка или токена. 📌Как протестировать 1. Найдите XSS на поддомене. 2. Установите cookie с нужным Domain и «узким» Path:

document.cookie = "session_cookie=attacker_val; Domain=example.com; Path=/settings/account";

3. Если атакуемый переходит на account.example.com/settings/account и приложение выполняет действие в контексте атакующего либо подменяет сессию — уязвимость подтверждена. Удачной охоты! #техники #clientside

🔗Ссылка: https://opennet.ru/63487/

🔗Ссылка: https://specterops.io/blog/2025/06/26/misconfiguration-manager-still-overlooked-still-overprivileged/

🔗Ссылка: https://www.huntress.com/blog/recutting-the-kerberos-diamond-ticket

Сразу две статьи от SpecterOps, можно считать, одна - продолжение другой. В блоге разбирают атаки на трасты AD, но с упором на BloodHound CE. 1. Good Fences Make Good Neighbors: New AD Trusts Attack Paths in BloodHound 2. Untrustworthy Trust Builders: Account Operators Replicating Trust Attack (AORTA) Даже если не собираетесь погружаться в BHCE, стоит просто бегло почитать)) #pentest #redteam #ad #trust #lateralmovement #bloodhound

🔗Ссылка: https://www.securitylab.ru/news/560744.php

🔗Ссылка: https://www.securitylab.ru/news/560746.php

<продолжение> 🔥Проблема 3. Outlook и картинки Письмо уходит, всё работает. Верстаем шаблон, отправляем и…

❗ Для защиты вашей конфиденциальности изображения не загружены

Наши картинки не отображаются. Почему? Outlook по умолчанию блокирует все внешние изображения. 💡Что делаем: Первое, что можно попробовать - Base64:

<img src="data:image/png;base64,iVBORw...">

Способ хороший и отработает на большинстве современных почтовых клиентах. Однако Outlook все равно посчитает это внешним ресурсом и заблокирует. Второй способ - Content-ID (CID). Картинку прикладываем к письму как вложение, а в HTML пишем:

<img src="cid:image.jpg">

⸻ На этом все друзья! 🙂 А с какими проблемами сталкивались вы ? Делитесь в комментариях, обсудим вместе. 🤗 Ну и по традиции не забудьте подписаться на канал, если еще этого не сделали. И до новых встреч! #redteam

Всем привет! ❤️ Немного про социалочку. Когда проводишь проекты по социотехническому тестированию, нередко сталкиваешься с кучей технических нюансов. ❗️Это и попадание в списки подозрительных ресурсов, если вы случайно выкинули GoPhish наружу. ❗️И фильтрация писем почтовыми шлюзами. ❗️И особенности отображения у разных почтовых клиентов. Сегодня поговорим о том, с чем реально можно сталкнуться на практике. Особенно это актуально, если вы делаете такое впервые. 🔥Проблема 1. Как не попасть в списки злых хацкеров Если просто открыть GoPhish в интернет, то через какое-то время ваш IP будет помечен как подозрительный. 💡Что делаем: Используем связку из нескольких Nginx-прокси: • наружу отдаётся только IP внешнего прокси; • весь трафик уходит по VPN на внутренний сервер с GoPhish; • админка доступна только из VPN. Если не хочется поднимать VPN: На сервере с GoPhish закрываем 443 порт снаружи, кроме ip нашего прокси:

sudo iptables -I DOCKER-USER -p tcp --dport 443 ! -s <proxy_ip> -j DROP

В конфиге Nginx дополнительно прописываем кому можно обращаться к нашей фишинговой странице:

allow <proxy_ip>;
deny all;

Админку вешаем на 127.0.0.1 и подключаемся так:

ssh -L 8080:127.0.0.1:8080 user@server_with_gophish

Остается только настроить SSL для нашего фишингового домена. Теперь GoPhish не светится наружу, и мы спим спокойно. 🔥Проблема 2. Спам-фильтры и почтовые шлюзы Немного теории: • SPF — указывает, какие IP могут отправлять письма от имени домена. • DKIM — добавляет цифровую подпись к письмам. • DMARC — объединяет SPF и DKIM, говорит, что делать с письмами, которые не проходят проверки. Если вы некорректно настроите данные dns записи, то письма просто не дойдут до адресата. 💡Что делаем: Используем SMTP-сервисы с хорошей репутацией. Например, VK WorkSpace. Схема такая: • Подключаем фишинговый домен; • Сервис формирует SPF/DKIM/DMARC; • Копируем записи в DNS. Теперь письма проходят по всем стандартам (но это не точно). Но даже если всё идеально настроено, то ваши фишинговые письма могут быть заблокированы на почтовых шлюзах. Причина - Email-заголовки. Далее рассмотрим на примере с GoPhish: Еще немного теории. Сильно не пинайте - это важно для понимания: • Message-ID - уникальный идентификатор письма, формируется клиентом или сервером, помогает отслеживать сообщения и выстраивать цепочки переписки. • X-Mailer - указывает на почтовую платформу или внутренний ID отправителя. Именно они могут стать причиной того, что ваши фишинговы письма не дойдут до цели.

X-Mailer: gophish
Message-ID: <1743...@hostname>

X-Mailer палит GoPhish сразу. Message-ID генерируется с hostname контейнера или вашего сервера на котором крутиться GoPhish. Почтовые шлюзы могут блокировать письма, если видят несоответствие между Message-ID и доменами из SPF, DKIM, DMARC. 💡Что делаем: SMTP Relay с Postfix. GoPhish остаётся «тупым». Он просто отправляет письмо. А контейнер с Postfix: 1. Принимает письмо; 2. Переписывает заголовки; 3. Отправляет дальше на сторонний SMTP - сервис (в нашем случае VK Workspace) Файл smtp_header_checks:

/^Message-ID:/ REPLACE Message-ID: <CAFEBABE.20250324T1830@your_domain>

PS: X-Mailer можно убрать и через GUI GoPhish. А вот Message-ID просто так не убрать. Письма доходят, заголовки чистые. Все счастливы. #redteam

🔗Ссылка: https://habr.com/ru/companies/yandex/articles/911866/

PERSISTENCE Идея — использовать мало-заметный WinAPI-вызов RegisterApplicationRestart, который штатно предназначен для перезапуска «упавших» приложений, но в связке с «правильным» завершением системы можно превратить его в механизм персистентности. Для срабатывания перезапуска необходимо, чтобы перед выключением или рестартом был вызван ExitWindowsEx с флагом EWX_RESTARTAPPS (или InitiateShutdown c SHUTDOWN_RESTARTAPPS) — обычное «клик-по-Shutdown» этого не делает. Признаки: Появление ключей HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Application Restart #<n> сразу после начала выключения. Наличие структуры WER_PEB_HEADER_BLOCK в PEB процесса. https://blog.phantomsec.tools/phantom-persistence "Phantom Persistence | PhantomSec Blog"

CVE-2025-49144 * Notepad++ v8.8.1 * SYSTEM-level POC #win #lpe

🔗Ссылка: https://habr.com/ru/articles/920250/