APT

RecycledInjector Native Syscalls Shellcode Injector (Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails. To remain stealthy and keep entropy on the final executable low, do ensure that shellcode is always loaded externally since most AV/EDRs won't check for signatures on non-executable or DLL files anyway.

Интересная особенность, связанная с парсингом кук. Некоторые серверы, такие как Jetty или Undertow, в своей работе реализуют спецификацию RFC2965, в которой есть необычная реализация синтаксического анализа. Если Jetty примет на вход

Cookie: search_history="lolkek; JSESSIONID=1337; asdf=end";

То такой заголовок будет разобран как одна кука search_history со значением lolkek; JSESSIONID=1337; asdf=end, вместо трех отдельных. Если Jetty видит значение, которое начинается с двойных кавычек, то он будет пытаться прочитать строку до тех пор, пока не увидит закрывающую кавычку, даже если на пути встретится точка с запятой. Опасно это тем, что если search_history где-то рендерится на странице, то ее можно будет использовать для эксфильтрации любой куки (например, JSESSIONID) с флагом HttpOnly. Для этого нужно будет найти XSS и проэксплуатировать ее, записав в search_history двойные кавычки, чтобы оставшаяся часть заголовка отобразилась на странице. К этому восприимчивы Jetty, Undertow, TomCat, Python Zope и любые другие серверы и фреймворки, которые руководствуются RFC2616, когда парсят строки. Библиотека http.cookies для Python, а именно классы BaseCookie и SimpleCookie тоже реализуют эту спеку. Ее используют aiohttp, cherrypy, web.py, bottle, webob (Pyramid, TurboGears).

🎭 BOFMask BOFMask is a tool designed to conceal Cobalt Strike's Beacon payload while executing a Beacon Object File (BOF). By applying a XOR mask and modifying memory protection settings, BOFMask enables users to execute BOFs without exposing Beacon, thereby avoiding detection by EDR products that scan system memory. Research: https://securityintelligence.com/posts/how-to-hide-beacon-during-bof-execution/ Source: https://github.com/xforcered/bofmask #cobaltstrike #bof #sleepmask #redteam

👻 The Phantom Credentials of SCCM If an Active Directory account has ever been configured as an NAA, the credentials may persist on former clients. Not only can we query the credential blobs from WMI, we can also retrieve previously used account blobs from the CIM repository, even if the computer is no longer a client. https://posts.specterops.io/the-phantom-credentials-of-sccm-why-the-naa-wont-die-332ac7aa1ab9 #ad #credentials #sccm #nna #wmi

😈 [ mpgn_x64, mpgn ] 3, 2, 1 CrackMapExec 6.0.0 is now public ! 🎉 So much new features and fix that I've made a blogpost for it ▶️ Special thanks to @_zblurx @MJHallenbeck & @al3x_n3ff for their indefectible support & contributions ! 🍻 🔗 https://wiki.porchetta.industries/news/a-new-home 🐥 [ tweet ]

Кража KeyTab. Во время тестирования на проникновение часто встречаются системы Linux с настроенным Keytab. Keytab хранит пары принципала кербероса и его зашифрованных ключей. С помощью этих зашифрованных ключей можно получить TGT. В результате чего появляется возможность запросить TGT на имя принципала без ввода пароля. Kerberos на Linux уже далеко не редкость - гетерогенные сети становятся все более популярными по ряду причин. Например, может быть такой сценарий, что на Linux бекапится содержимое какой-либо шары, при этом получить доступ к этой шаре могут только пользователи домена. В таком случае пишется простенький скрипт на баш, в котором реализуется логика по запросу TGT тикета на основе KeyTab, а затем копирования файлов с шары. Причем для периодичности запуска скрипт добавляется в crontab. Нам, как атакующим, конечно же, интересен процесс запроса TGT билета на основе KeyTab. Для этого можно использовать команду kinit со следующим синтаксисом: kinit –kt <keytab> <принципал> Например, если файл /tmp/admin.keytab служит для аутентификации пользователя admin@OFFICE.LOCAL , то делаем вот так: kinit -kt /tmp/admin.keytab admin@OFFICE.LOCAL Остается лишь одна проблема - обнаружение самих KeyTab файлов. Конечно, можно ручками через find искать эти файлы, потом также муторно проверять разрешения на них, что не есть хорошо. Поэтому я накалякал следующий командлет, который автоматически найдет все .keytab файлы , а затем подсветит интересные разными цветами: 1. Зеленым подсвечиваются те файлы, которые принадлежат текущему пользователю. 2. Желтым подсвечиваются те файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь не имеет достаточных прав (чтение/запись) на этот самый KeyTab. 3. Наконец, красным подсвечиваются файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь имеет достаточные права на этот самый KeyTab. find / -iname '*.keytab' -type f -exec ls -l {} \; 2>/dev/null | awk -v user="$(whoami)" 'BEGIN { FS = OFS = " "; red = "\033[31m"; yellow = "\033[33m"; green = "\033[32m"; reset = "\033[0m" } { if ($3 == user && $9 ~ /.keytab$/) { printf green } else if ($3 != user && $9 ~ /.keytab$/ && $1 ~ /^-.w.r../) { printf red } else if ($3 != user && $9 ~ /.keytab$/ && ($1 !~ /^.w.r../ || $1 !~ /^-.w../)) { printf yellow } print $0; printf reset }'

CVE-2023-20178 Cisco AnyConnect LPE When a user connect to vpn, vpndownloader.exe process is started in background and it will create directory in c:\windows\temp with default permissions in following format: <random numbers>.tmp After creating this directory vpndownloader.exe will check if that directory is empty and if its not it will delete all files/directories in there. This behaviour can be abused to perform arbitrary file delete as NT Authority\SYSTEM account.

🔐nOAUTH | Захват аккаунта через Microsoft OAuth На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта. Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени. - Жертва регается на сайте через свою почту. - Заходим в Azure AD и меняем свою почту на почту жертвы. - Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы. Видео PoC #web #ato #oauth

Obfuscated LSASS dumper command A quick walkthrough for a obfuscated PowerShell LSASS dump command via comsvcs.dll.

Exposing hidden risks through ACLs in Active Directory The abuse of misconfigured Access Control Lists is nothing new. However, it is still one of the main ways of lateral movement and privilege escalation within an active directory domain.

☁️ Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust In this blog we will look at how this trust can be abused by an attacker that obtains Global Admin in Azure AD, to elevate their privileges to Domain Admin in environments that have the Cloud Kerberos Trust set up. Since this technique is a consequence of the design of this trust type, the blog will also highlight detection and prevention measures admins can implement. https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust #ad #azure #kerberos #research

🔥 VMware vRealize Network Insight — Pre-authenticated RCE (CVE-2023-20887) This post will examine the exploitation process of CVE-2023-20887 in VMware Aria Operations for Networks (formerly known as vRealize Network Insight). This vulnerability comprises a chain of two issues leading to Remote Code Execution (RCE) that can be exploited by unauthenticated attackers. Exploit: https://github.com/sinsinology/CVE-2023-20887 Research: https://summoning.team/blog/vmware-vrealize-network-insight-rce-cve-2023-20887/ #VMware #vRealize #rce #cve

​Отлично! Теперь шелл можно и через SMS пропихнуть. Пока безопасники бьются с DLP, настраивают политики и заливают порты эпоксидкой, просто отправь SMS на номер.TCPoverSMS, my ass. https://github.com/persistent-security/SMShell

🦾 SharpTerminatator Terminate AV/EDR Processes using kernel driver. SharpTerminatator is a C# port of ZeroMemoryEx's art piece called Terminator. It can be used with Cobalt Strike's execute-assembly or as a standalone executable. https://github.com/mertdas/SharpTerminator #av #edr #cobaltstrike #csharp

#ad #relay #webdav #ldap [ DavRelayUp ]

A  port of #KrbRelayUp with modifications to allow for NTLM relay from WebDAV to LDAP and abuse #RBCD in order achieve #LPE in domain-joined windows workstations where LDAP signing is not enforced.

Thanks to: Руслан https://github.com/Dec0ne/DavRelayUp

🎯 GitLab CE/EE Path Traversal Vulnerability (CVE-2023-2825) On May 23, 2023, GitLab released version 16.0.1, which addressed a critical vulnerability, CVE-2023-2825, impacting both the Community Edition (CE) and Enterprise Edition (EE) version 16.0.0. This vulnerability enables unauthenticated users to read arbitrary files by exploiting a path traversal bug. Additionally, an unauthenticated malicious user can leverage a path traversal vulnerability to read arbitrary files on the server if there is an attachment present in a public project nested within a minimum of five groups. Shodan Dork: application-77ee44de16d2f31b4ddfd214b60b6327fe48b92df7054b1fb928fd6d4439fc7e.css Research: https://labs.watchtowr.com/gitlab-arbitrary-file-read-gitlab-cve-2023-2825-analysis/ PoC: https://github.com/Occamsec/CVE-2023-2825 #gitlab #path #traversal #poc #cve

😈 [ kleiton0x7e, Kleiton Kurti ] We took a Cobalt Strike profile, modified it, and bypassed Crowdstrike & Sophos without encrypting the shellcode. Also bypassed all published YARA rules, sleep detections, and string detections around a CS beacon. Blog: https://t.co/m7FNOwV6Nx #CyberSecurity #redteam #infosec 🔗 https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/ 🐥 [ tweet ]

🔀 Direct Syscalls vs Indirect Syscalls This post discusses Indirect Syscalls as a solution to eliminate indicators of compromise and avoid detection by EDRs. Indirect Syscalls allow the execution of Syscall and Return statements in the memory of ntdll.dll, which is the usual behavior in Windows. https://redops.at/en/blog/direct-syscalls-vs-indirect-syscalls #maldev #syscall #edr #bypass

Для получения паролей пользователей SSH в открытом виде https://github.com/jm33-m0/SSH-Harvester #redteam #pentest #creds #git

CVE-2023-32233 LPE In the Linux kernel through 6.3.1, a use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary read and write operations on kernel memory. Unprivileged local users can obtain root privileges. This occurs because anonymous sets are mishandled. Once the PoC is started on a vulnerable system, it may leave that system in an unstable state with corrupted kernel memory. We strongly recommend to test the PoC on a dedicated system to avoid potential data corruptions.