Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/893486/

🔗Ссылка: https://habr.com/ru/companies/owasp/articles/893712/

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/893736/

Ligolo-MP - это усовершенствованная версия Ligolo-ng с архитектурой клиент-сервер, позволяющая тестировщикам совместно работать с несколькими параллельными туннелями. Она автоматически управляет всеми вашими настройками, а также предоставляет понятный графический интерфейс для отслеживания всего. 🔗Ссылка: https://github.com/ttpreport/ligolo-mp

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Новые старые связи BloodHound С выходом BloodHound CE я как-то перестал следить за тем, что нового добавляется в функционал. А зря! Просматривая новостные ленты, я обнаружил, что разработчики планируют добавить (может уже добавили) новую связь CoerceAndRelayNTLMToSMB. Эта связь показывает возможность выполнения последовательности атаки от принудительной аутентификации до NTLM Relay в SMB для получения различных учетных данных или выполнения кода на удаленном компьютере. Выполнять Relay SMB в LDAP нельзя без определенных условий. Но если есть компьютеры, которые являются локальными администраторами на других компьютерах, данная связь уже имеет смысл. Второй вариант использования этой связи, когда мы заставляем пользователей пройти принудительную аутентификацию (например, LNK файлы) и выполняем технику NTLM Relay на хосты, где они имеют привилегии локального администратора. Пойдем дальше, аналогично со связью CoerceAndRelayNTLMToSMB можно добавить связь CoerceAndRelayWebClient, которая будет показывать возможность выполнять технику Relay HTTP в LDAP. В посте про поиск компьютеров с включенным WebClient есть скрипт, который позволяет автоматизировать этот процесс и сразу выводить информацию в виде Cypher запросов. После загрузки данных можно выполнить следующий запрос, чтобы добавить новую связь:

MATCH (g:Group) WHERE g.objectid ENDS WITH "S-1-5-11"
MATCH (c:Computer) WHERE c.webclient = TRUE 
MERGE (g)-[r:CoerceAndRelayWebClient]->(c)

В этом запросе, сначала находим группу AUTHENTICATED USERS и все компьютеры, у которых запущен WebClient и устанавливаем между ними связь. В дополнение, можно добавить связь GetServiceTicket (Kerberoasting) от группы `AUTHENTICATED USERS до всех незаблокированных пользовательских учетных записей, у которых есть SPN. Cypher запрос будет следующим.

cypher
MATCH (g:Group) WHERE g.objectid ENDS WITH "S-1-5-11"
MATCH (u:User) WHERE u.hasspn = TRUE AND u.enabled = TRUE 
MATCH (g)-[r:GetServiceTicket]->(u)

Визуализация путей позволяет расширить картину инфраструктуры и найти оптимальные пути для выполнения работ. #BloodHound #Внутрянка #Cypher

🔗Ссылка: https://www.securitylab.ru/news/557605.php

Jasmin Ransomware * SQL Injection Login Bypass admin panel * How to exploit 🤌

↔️ Next.js и повреждённый middleware Раскрыли подробности новой уязвимости в Next.JS CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest, позволяющая полностью игнорировать middleware, включая проверку авторизации и перезапись путей. Как это работает Next.js использует x-middleware-subrequest для внутренних нужд: он указывает, какие middleware уже были пройдены. Однако злоумышленник может сам подставить значение, указывающее, что middleware уже обработан, и тем самым обойти все проверки.

x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

x-middleware-subrequest: src/middleware:src/middleware:src/middleware:src/middleware:src/middleware

Пример запроса:

GET /admin/dashboard HTTP/1.1
Host: vulnerable.site
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

Результат: Middleware полностью игнорируется, и запрос проходит, как будто пользователь авторизован. Другие сценарии атак 🔹CSP bypass Если middleware устанавливает Content-Security-Policy и другие заголовки - они будут проигнорированы. 🔹DoS через Cache Poisoning Например, если сайт делает rewrite на основе геолокации, можно закэшировать "пустую" или ошибочную версию страницы, нарушив доступность для других. Кого это касается Приложения, использующие middleware для авторизации или других чувствительных задач. Если middleware не используется - уязвимость малозначима (кроме DoS-сценариев). 📖 Подробнее: https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware #web #bac #cache #dos #csp

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/articles/893622/

В версии 0.3 будут реализованы "internal" листенеры, для коммуникации агентов между собой по различным каналам. В качестве примера реализован SMB beacon. В поле External отображается текущих управляющий агент и имя линка

LOL... да кто это ваш LOLRMM?! 😠 Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго 🥷 Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):

LOLRMM is a curated list of Remote Monitoring and Management (RMM) tools that could potentially be abused by threat actors. Inspired by the original LOLBAS project for tracking binaries and closely associated with LOLDrivers for malicious drivers, this project aims to assist security professionals in staying informed about these tools and their potential for misuse.

Из интересного для TH 🛡 Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша ❗️ Из интересного для Red Team 🎩 Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса 😏 🔗 Link: https://lolrmm.io/ @s0ld13r_ch

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/557562.php

🔗Ссылка: https://xakep.ru/2025/03/18/apache-tomcat-rce-attacks/

🔗 Ссылка: https://www.securitylab.ru/news/557519.php

🔗Ссылка: https://www.securitylab.ru/news/557580.php

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

CVE-2025-0927 * Affected Versions * Linux Kernel, up to 6.12.0 * Ubuntu 22.04 with Linux Kernel 6.5.0-18-generic / Большой WriteUP + Source Exploit.c - Linux kernel hfsplus slab-out-of-bounds Write UPDATE: если совсем коротко то -локальные юзеры (без особых прав) могут устанавливать произвольные файловые системы через Udisks2 из-за правил для Polkit. Включая в себя ФС, чьи монтирования обычно требуют CAP_SYS_ADMIN в init user namespace. #linux