RedTeam brazzers

Кросс-сессионная активация или захватываем сессию пользователя без RemotePotato0, TGSThief, mimikatz и Process Injection! Давным-давно я писал о способе злоупотребления интерфейсом IHxHelpPaneServer. Однако вы когда в последний раз использовали моникеры? И я давным-давно... Поэтому нужно было найти альтернативный способ исполнения кода в сессии другого пользователя, забыв про все техники внедрения. Если посмотреть на код RemotePotato0 или RemoteKrbRelay , то можно заметить использование недокументированных интерфейсов ISpecialSystemProperties и IStandartActivator. Причем не сказать, что их использование довольно редкое. Их можно встретить в любой программе, которая позволяет стащить учётные данные (имеет переключатель -session). Сами по себе, они позволяют контролировать сессию, в которой создавать COM-объект. Ранее мы ловили от них только аутентификацию, но что мешает соединить использование этих интерфейсов с описанным в SeMishaPrivilege COM-классом IHxHelpPaneServer? Конечно же ничего! И я написал небольшой POC, который выложил на GitHub . Если вам интересно подробно окунуться в принцип работы инструмента, то советую обратить внимание на нашу статью на medium :)

🆕Все читали в новостях шумную новость про новый rockyou 2024🆕 https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ Мы его скачали, немного отфильтровали, а теперь делимся с Вами результатами 😎 ZIP-архив в 45 гигов в распакованном виде выдаёт текстовый файл размером 155 ГБ. При открытии с помощью less будет уведомление, что он выглядит как бинарный файл. В нём по какой-то причине добавлено приличное количество мусора... Вычистив его, получаем на выходе файл размером в 144 ГБ. Но даже в нём, достаточно бесполезных строк (Хотя если кому надо, можем выложить и его). Отфильтровали ещё немного, оставив только строки без пробелов длиной от 8 до 40 символов и вуаля - 25 гигабайт приемлемого вордлиста). Пользуйтесь 🔥

В данный момент тоже занимаюсь этим вордлистом. В словаре действительно много мусора, поэтому спасибо ребятам за проделанную работу. Если моя версия будет сильно отличаться, то тоже выложу))

Всем доброго вторника! Помните, друзья, как круто было, когда вышел KrbRelay , a за ним KrbrelayUp? Казалось, что в тот день эксплуатация AD перевернулась с ног на голову. Или с головы на ноги.... :)) Не суть!) Недавно я выкладывал статью, в которой постарался максимально просто описать процесс ретрансляции керберос аутентификации. Но ещё раньше появились интересные атаки: CertifiedDCOM и SilverPotato . Была лишь одна проблема - нет POCов. А что делают студенты, когда нет POCов? Правильно! Их пишут :)) Поэтому хочу вам с радостью представить тулзу RemoteKrbRelay, которая не просто совмещает в себе и SilverPotato и CertifiedDCOM, а является полноценным фреймворком для обнаружения уязвимых DCOM-обьектов! Я добавил чекер, который выводит абсолютно всю информацию о DCOM-объектах системы в удобно читаемом виде (csv / xlsx). Помимо этого, присутствует встроенный функционал кросс-сессионной активации. Представляете? Есть два компьютера. На одном вы, а на втором ДА. И вы можете со своего компьютера триггерить керберос аутентификацию ДА, абсолютно удаленно!) 🙂 Что ж, отмечу, что это лишь minimal POC и ему ещё есть куда расти :) Например, я пока не допилил функционал по релею керберос аутентификации из OXID Initial Resolution Request (а там вообще-то RPC_C_IMP_LEVEL_IMPERSONATE🤫). Впрочем, я готов принимать PR :))

Иногда при реализации бизнес-рисков требуется осуществить компрометацию какой-либо учетной записи. Для этого чаще всего атакующие пытаются дернуть нужную учетку, украв ее сессию. Однако вопрос — как эту самую сессию обнаружить? Существует как давно известные способы, тот же Invoke-UserHunter, а еще и с флагом -Stealth (держитесь девчонки, я у мамы ред тимер :D). Или же crackmapexec с его --sessions или --loggedon-users. Есть еще варианты от лица непривилегированного пользователя: Get-LoggedOn.py , Get-UserSession2.ps1 . Как видите, разгуляться есть где. Давным-давно в браззерсе поднимался вопрос, а можно ли искать сессии пользователей через логи? На тот момент был POC через wmiquery.py, однако при достаточно большом количестве логов на DC тулза начинала работать невозможно долго (от 500шт и более уже валилась). Я решил развить эту тему и начал копаться. Обнаружил: существует два протокола MS-EVEN и MS-EVEN6 , с помощью которых можно получить доступ к логам на целевом устройстве удаленно. Так родился инструмент LogHunter.py , который, используя под капотом один impacket, может удаленно подтягивать логи с целевого сервера. Параллельно в режиме реального времени оператор может анализировать уже поступившие логи с целью поиска сессии пользователя. Инструмент осуществляет извлечение логов с EventID 4624, 4768, 4672, 4769. Эти события содержат достаточно информации для определения компьютера, на котором у пользователя есть сессия. Для поиска по поступившим логам я предоставил скрипт find.sh , а пример использования можно даже увидеть на YouTube. Из прав можно абузить пользователей с группой Performance Log Users, ЛА или ДА :DDDD Главное — чтобы у него был доступ к логам системы.

Относительно недавно вышла атака Browser In The Browser, эмулирующая легитимное окошко входа в какое-либо приложение. Например, в Office365. Чуть позже подобный трюк был осуществлен и в атаке PWAs Phishing, но вам не кажется, что почему-то все забыли про Browser In the Middle (BiTM)? В атаке BiTM мы не создаем фейковый веб-сайт, не эмулируем ничего вредоносного. Мы поднимаем злой браузер 😈 В этот самый злой браузер могут быть внедрены любые средства слежения: кейлоггер, граббер куки, вредоносные плагины — всё, что душа пожелает. В свою очередь, в злом браузере открыта ссылка на легитимный веб-сайт. На тот же Office365. Поэтому нам не нужно осуществлять никакого копирования целевого веб-сайта. Атакуемый пользователь также получает URL, а при переходе по этому URL устанавливается невидимое VNC-соединение с нашим злым браузером. В свою очередь, злой браузер отображает пользователю легитимную страничку входа. Но логирует абсолютно все нажатые клавиши, крадет куки. Очевидным плюсом, отличающим BiTM от PWA и BiTB является возможность обхода двухфакторной аутентификации, что очень важно при фишинге. Ведь, повторюсь, злой браузер указывает на легитимную страницу аутентификации. Соответственно, при вводе верной пары логина-пароля появится требование 2FA. А прохождение 2FA также будет осуществлено через наш злой браузер. Остается лишь захватить куки, либо закрыть VNC-соединение и пользоваться через злой браузер сессией пользователя как ни в чем не бывало. Атака достаточно хорошо документирована и почитать подробнее можно тут: - https://mrd0x.com/bypass-2fa-using-novnc/ - https://bleekseeks.com/blog/novnc-and-browser-in-the-browser-phishing-attack-pocexplained - https://link.springer.com/article/10.1007/s10207-021-00548-5 Помимо этого, существует полноценный фреймворк, ускоряющий развертывание всех компонентов, необходимых для BiTM фишинга: - https://github.com/fkasler/cuddlephish - https://posts.specterops.io/phishing-with-dynamite-7d33d8fac038 - документация

Недавно появился довольно любопытный способ бокового перемещения, основанный на злоупотреблении любопытным механизмом, именуемым .NET Profilers. Оригинальный ресерч можно почитать тут Для неискушенных отмечу, что это специальная библиотека DLL, которая может использоваться в качестве отладчика, либо утилиты для диагностики процесса, работающего на платформе CLR. Сам механизм достаточно простой: библиотека подписывается на определенные события и CLR-платформа вызывает определенные функции в этой библиотеке при срабатывании этих самых событий (функции, которые дергаются, называются коллбеками). Злоупотребление механизмом заключалось в том, что для загрузки этой DLL в процесс требуется установка определенных переменных среды : - COR_ENABLE_PROFILING - в 1. То есть, включить механизм. - COR_PROFILER - опциональный параметр, можно устанавливать левые данные. Передается в загружаемую DLL и содержит ClSID COM-класса. По задумке разработчиков, загружаемая DLL-библиотека может использовать это значение для проверки, нужную либу подгружает ли CLR. Так как эта библиотека может быть не той библиотекой без нужного функционала СОМ-сервера. - COR_PROFILER_PATH - путь к подгружаемой DLL Исследователями было обнаружено, что в качестве COR_PROFILER_PATH можно указывать путь в том числе и на WebDAV-шару, как следствие, в целевой процесс будет подгружена библиотека с удаленного сервера, что и позволит осуществить боковое перемещение. Однако, в ходе тестов я обнаружил, что метод почему-то работает с одними .NETовскими процессами, а с другими нет. Казалось бы, почему? Ответ прост — эти переменные среды характерны именно для .NET Framework. В случае, если атакуемый процесс сделан под .NET Core, то следует использовать иные переменные среды, а именно: - CORECLR_ENABLE_PROFILING – устанавливаем в единичку - CORECLR_PROFILER – ставим произвольное значение. GUID какой-нибудь левый засунуть можно. - CORECLR_PROFILER_PATH – путь до Profiler DLL. Подробнее можно почитать по ссылке на оригинальный ресерч и ресурсам ниже: - https://docs.newrelic.com/docs/apm/agents/net-agent/other-installation/understanding-net-agent-environment-variables/ - https://learn.microsoft.com/en-us/dotnet/core/runtime-config/debugging-profiling - https://learn.microsoft.com/en-us/dotnet/framework/unmanaged-api/profiling/setting-up-a-profiling-environment

Ставим Python без Python На последней тусовке True0xA3 мы, сидя теплым московским вечером на скамейке, обсуждали Pyramid. Вне всяких сомнений, тулзой стали пользоваться все чаще и чаще. Первопричина тому — Python теперь можно занести на хост как Standalone-бинарь. Возможно ли обойтись и без этого? ДА! Итак, многие языки программирования предоставляют возможность компиляции/интерпретации кода других языков, используя специальные библиотеки. Считай, такие встроенные BYOI-методы. CSharp — не исключение. Для шарпов существует достаточно много библиотек для интерпретации Python-кода, например, Python.Runtime или же IronPython. Предлагаю остановиться на последнем, ведь он первым засветился в репорте об атаке APT-группировки. Наша задача — слинковать проект с целевой библиотекой, а затем засунуть либу в скомпилированный ехешник. Первая задача решается через управление пакетами NuGet в VIsual Studio, а вторая любым удобным инструментом для управления зависимостями, например, dnMerge. Начнем, сначала открываем CSharp проект. И устанавливаем IronPython, как показано на фото 1. Затем можно написать простейший код, выполняющий всеми любимый Hello World. Успешность работы демонстрируется на фото 2. Обратите внимание, что из подобного окружения могут быть доступны далеко не все модули Python. Перечислить доступные модули можно вот так. Впрочем, ограниченное количество модулей никак не мешает атакующим использовать подобный механизм в качестве лоадера, ведь есть доступ к модулю clr, с помощью которого можно динамически загружать и исполнять .NET-сборки. Такой лоадер с примером кода был описан тут. А здесь пример кода, в котором, благодаря модулю clr импортировался CSharp (питовноский os недоступен) неймспейс System.IO и происходила работа с файлами. Убедившись, что код работает, добавляйте NuGet-пакет dnMerge и компильте в Release. На выходе получите ехешник (достаточно большого размера!) с встроенным интерпретатором Python (демо на 3 фотке)

Продолжаем тему с извлечением учетных данных без взаимодействия с LSASS. Знали ли вы, что в системе Windows присутствует привилегия, которая позволяет извлекать учетные данные в открытом виде? И имя её: SeTrustedCredmanAccessPrivilege Если открыть документацию MSDN, то там написано, что эта привилегия позволяет:

Access Credential Manager as a trusted caller

То есть, получать доступ к Credential Manager. Казалось бы, зачем нам эта привилегия, если учетные данные из Credential Manager можно извлекать и просто путем злоупотребления DPAPI? Однако, не все так просто. Для добавления данных в Credential Manager используется API CredWrite() . Учетные данные чаще всего пушатся как CRED_TYPE_DOMAIN_PASSWORD. На этот тип данных распространяется небольшое ограничение: LSASS не дает извлекать поле CredentialBlob, содержащее учетные данные, если они были добавлены как CRED_TYPE_DOMAIN_PASSWORD . Буквально, поле CredentialBlob, которое можно получить через функцию CredRead() или CredEnumerate(), будет пустым. Так вот, привилегия SeTrustedCredmanAccessPrivilege позволяет обходить это ограничение и извлекать учетные данные в чистом виде. С помощью этой привилегии у нас появляется возможность обращаться к API CredBackupCredentials() и дампить учетные данные. Данные будут записаны в файл, который возможно расшифровать через DPAPI и получить доступ к паролям. Подробнее об этом прекрасном механизме написано тут , а вот некоторые POCи, которые осуществляют автоматическое извлечение: - https://github.com/leftp/BackupCreds - https://github.com/jsecu/CredManBOF/blob/main/CredMan.c Помните, что необязательно иметь эту привилегию, ведь мы можем динамически ее навесить на токен процесса и все равно сдампить креды. В таком случае флоу атаки следующий: берем ЛА -> добавляем в токен SeTrustedCredmanAccessPrivilege -> обращаемся к API -> получаем креды