Fsecurity | HH

Был обновлен Obsidian Pentest 👾 Также были немного обновлены: 1. ArsenalKit 2. Ximera-Browser Приятного изучения 📖

🔗Ссылка: https://habr.com/ru/companies/yadro/articles/930674/

У SpecterOps очередная крутая статья про сбор данных из ADWS. https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/ Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена. #ad #pentes #redteam #enum #bloodhound #soap

Уязвимости типа Pass Back: что это такое и насколько опасны 🧐 Есть целый класс уязвимостей, которые на первый взгляд выглядят безобидно, и даже уровень опасности у них низкий или средний. Но если разобраться в нюансах, то все уже не кажется таким безобидным. Примером такой уязвимости является LDAP Pass Back (CVE-2024-32122), которую зарегистрировал ведущий специалист отдела наступательной безопасности PT ESC Владислав Дриев совместно со специалистом по анализу защищенности УЦСБ Олегом Лабынцевым. Эта уязвимость позволяет получить учетные данные (УД) от LDAP в открытом виде (зачастую это УЗ AD), злоумышленнику нужно лишь частично изменить конфигурацию коннектора. Уязвимость встречается в разных видах и в самых разных устройствах и программных продуктах. Атакующий может получить УД в открытом виде или в виде хеша с захваченного устройства или софта. Ярким примером таких устройств, конечно, являются МФУ, но точно не ограничиваемся только ими. Уязвимыми также могут быть домофоны, камеры, сетевое оборудование. Если говорить про ПО, то чаще всего это CMS. В чем конкретно проблема 🤔 Проблема в том, что атакующий может влиять на конфигурацию устройства, в которой есть УД. Чтобы было еще понятнее, приведем пример. Настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы динамически загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные документы в сетевую папку. Далее рассмотрим ситуацию, когда атакующий смог получить доступ к веб-интерфейсу с помощью УД по умолчанию. В таком случае он может попробовать изменить IP-адрес конфигурации, которая содержит УД, поменяв в ней IP-адрес на подконтрольный ему. Что это даст и почему это вообще возможно? Опыт показывает, что в большинстве случаев смена только IP-адреса в конфигурации разрешена. Соответственно, УД будут использованы валидные. Таким образом, злоумышленник сможет получить обращение с корректными учетными данными на свой IP-адрес, где сможет достать их из трафика либо в открытом виде, либо в виде хеша. • SMTP (без TLS) зачастую позволяет получить УД в открытом виде. • LDAP позволяет получить данные в открытом виде. • SMB позволяет получить хеш (часто NetNTLMv1, с которого можно выполнить NTLM Relay). • другое (УД для IP-телефонии, которые обернуты в Base64). Что здесь небезопасного, ведь доступ ко всем конфигам скрыт за аутентификацией? Да, но не всегда все так. Способы получения доступа к конфигурациям: • УД по умолчанию. • IDOR (выделен отдельно от уязвимостей, потому что встречается часто). • Уязвимость для получения доступа к веб-интерфейсу администратора. Еще есть случаи, когда на устройстве работает несколько администраторов, у них разные роли, но при этом каждый может получить доступ к УД коннекторов через такой нехитрый способ. Так или иначе атакующий получит доступ к устройству. После этого скомпрометирует УД и начнет развивать атаки на смежные сервисы, в частности на AD. Кроме того, среди этого всего бывают уникальные и выдающиеся случаи: • CMS работает с учетной записью администратора домена. • МФУ работает с учетной записью администратора домена. В итоге уязвимость низкого или среднего уровня опасности может стать звеном в цепочке компрометации всей инфраструктуры. Итак, как этого избежать 🧐 Самый простой способ — при любом изменении конфигурации УД запросить ввести их заново. Если конфигурацию меняет администратор, для него это не будет проблемой. А если атакующий, то он ничего не получит. Понятно, что на софт не всегда можно повлиять, тогда перед тем, как войти под своей УЗ на какое-то новое устройство, можно самостоятельно проверить, как оно ведет себя с разными конфигурациями, нет ли возможности извлечь УД из него. Более того, такие УЗ следует ограничивать в правах, брать на мониторинг. Если от имени УЗ началась разведка в домене — это явный признак компрометации устройства. Ну и конечно, нужно защищать устройства и ПО: менять пароли по умолчанию, регулярно устанавливать обновления. #CVE #offensive @ptescalator

🔗Ссылка: https://opennet.ru/63628/

Продолжаем тему с AxScript. В расширение, где реализован BOF token make, можно добавить код (скрин 1), который создаст в меню сессий пункт "Access" -> "Make token" (Скрин 2). При выборе "Make token" откроется диалоговое окошко для ввода учетных данных и выбора типа логона для токена, при этом их можно выбрать из менеджера учетных данных (скрин 3). В итоге будет выполнен BOF token make. Ну и информация о новом токене будет добавлена в столбец User таблицы сессий (скрин 4)

🔗Ссылка: https://xakep.ru/2016/03/24/pentester-fuckups/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.securitylab.ru/news/561694.php

Как быстро закрыть "зависшую" SSH-сессию? Иногда SSH-сессия зависает: сервер не отвечает, а ты в тупике. Не спеши закрывать терминал - у SSH есть скрытый выход.

~.

Это мгновенно завершит SSH-сессию, даже если сервер "молчит". Работает без Ctrl+C, kill и прочих обходных путей. Другие escape-последовательности в SSH:

~.    — завершить соединение
~^Z   — приостановить ssh
~#    — показать список порт-форвардов
~C    — открыть встроенную командную строку
~R    — запросить повторную генерацию ключей (rekey)
~~    — отправить символ тильда (~)
~?    — показать справку

CVE-2025-32023: Критическая уязвимость в Redis и Valkey #redis #valkey #брокерсообщений #СУБД Обнаружена критическая уязвимость в популярных СУБД Redis и Valkey, потенциально приводящая к удаленному выполнению кода через переполнение буфера в HyperLogLog операциях. ➡️Технические детали Тип уязвимости: Integer Overflow to Buffer Overflow (CWE-680) CVSS Score: 7.0 HIGH Вектор атаки: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H ➡️Затронутые версии Redis: >= 2.8 до 8.0.3, 7.4.5, 7.2.10, 6.2.19 Valkey: до 8.1.3, 8.0.4 ➡️Корень проблемы Уязвимость находится в обработке HyperLogLog структур данных в файле src/hyperloglog.c. При итерации по sparse HLL кодировке происходит переполнение целочисленной переменной int i, которая отслеживает общую длину. Проблемный код в функции hllMerge():

while(p < end) {
    if (HLL_SPARSE_IS_ZERO(p)) {
        runlen = HLL_SPARSE_ZERO_LEN(p);
        i += runlen;  // Переполнение здесь!
        p++;
    }
    // ...
    while(runlen--) {
        if (regval > max[i]) max[i] = regval;  // Out-of-bounds write
        i++;
    }
}

➡️Механизм эксплуатации 1. Создание malformed HLL: Злоумышленник создает специально сформированную HyperLogLog структуру с некорректными run lengths 2. Integer overflow: Сумма run lengths превышает максимальное значение int, вызывая переполнение в отрицательную область 3. Out-of-bounds write: Отрицательное значение i позволяет записывать данные за пределы выделенного буфера 4. RCE: Перезапись критических структур данных приводит к выполнению произвольного кода ➡️Детали эксплуатации (по данным PoC) Стандартная схема эксплуатации Redis: 1. Коррупция sds объекта в jemalloc heap для увеличения его длины 2. Спрей embstr объектов для создания fake module объекта 3. Дамп heap через поврежденный sds объект для поиска целевого embstr и утечки адресов 4. Создание fake module объекта в целевом embstr объекте 5. Удаление fake module объекта, вызывающее деструктор и получение RCE Функции под угрозой ▪️hllMerge() - stack-allocated HLL структуры ▪️hllSparseToDense() - heap-allocated HLL структуры ▪️Все операции с HyperLogLog командами (PFADD, PFCOUNT, PFMERGE) ➡️Условия эксплуатации ▪️Аутентифицированный доступ к Redis/Valkey ▪️Возможность выполнения HyperLogLog команд ▪️Отсутствие ACL ограничений на HLL команды ➡️Защитные меры 1. Обновление до исправленных версий: Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+ Valkey 8.1.3+, 8.0.4+ 2. Временное решение через ACL:

# Запретить HyperLogLog команды
ACL SETUSER username -pfadd -pfcount -pfmerge

3. Мониторинг подозрительной активности: ▪️Аномальные HyperLogLog операции ▪️Неожиданные падения Redis процессов ▪️Попытки выполнения HLL команд с большими данными 4. Сетевые ограничения: ▪️Ограничение доступа к Redis только доверенным источникам ▪️Использование Redis AUTH и ACL систем ▪️Мониторинг сетевого трафика к Redis портам ➡️Первоисточники: 🔗GitHub Security Advisory 🔗PoC 🔗NVD 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🔗Ссылка: https://habr.com/ru/companies/pt/articles/929628/

BloodHound Legacy и HoundLoader (demo) В своей работе я использую BloodHound Legacy. Для меня этот инструмент очень удобный и понятный. Так же у меня есть возможность менять его под свои желания. С выходом BloodHound CE поддержка BloodHound Legacy была остановлена. И тут самой большой проблемой стала возможность загружать данные из SharpHound новой версии (частично изменился формат JSON файлов). В принципе, мне достаточно старой версией SharpHound для сбора основной информации об инфраструктуре Active Directory, а остальные данные при необходимости загружаю с помощью скриптов. Сейчас новая версия SharpHound собирает большое количество полезной информации, и я уже начал задумываться о переходе на BloodHound CE. Попробовав его пару раз, пришел к выводу, что мне неудобно в нем работать. При всей красоте построения графов и наличия нормальной строки для Cypher запросов остальное вызывает у меня отторжение, возможно, дело привычки. Год назад мне пришла мысль, а что, если загружать данные в BloodHound CE потом делать резервную копию базы данных и переносить ее в BloodHound Legacy. Метод, надо признать, не самый лучший, но вариант рабочий. Однако, данные резервной копии будут содержать узлы и связи, которые BloodHound Legacy не умеет отображать, но добавить их в код не большая проблема. (Тут должна была быть реклама =)) Месяц назад мои коллеги из отдела разработки (Аркадий, привет!) для своих нужд выдернули из исходников BloodHound CE функции парсера и загрузчика данных SharpHound и собрали приложение, которое получило название HoundLoader. Приложение показало хорошие результаты, но опять не без косяков. Постоянно просить разработчиков что-то добавлять или менять мне не хотелось, а go я не знаю. Поэтому я решил погрузиться в исходные коды BloodHound Legacy, чтобы понять, как он добавляет данные в neo4j. Никогда не понимал, зачем собирать данные в JSON чтобы потом их парсить в Cypher и уже загружать данные в базу. Почему сразу не сохранять данные в виде Cypher запросов? Но надо признать, алгоритм достаточно простой и тут возник вопрос обновлять JS в BloodHound Legacy или сделать все с нуля. Читать и изменять чужой код занятие непростое, поэтому я принял решение написать HoundLoader на PowerShell. Данные нормально, загружаются в базу, но еще не тестировались на больших инфраструктурах. И есть большая задача по установке связей между объектами после загрузки данных. Пока моя версия BloodHound Legacy и HoundLoader находятся на стадии тестирования и доработки, но надеюсь осенью поделиться своими наработками с сообществом. #BloodHound #Powershell

Metasploit Module Released to Exploit SharePoint 0-Day Vulnerabilities

This (draft) pull request adds an exploit module for the recent unauthenticated RCE exploit chain affecting Microsoft SharePoint Server via CVE-2025-53770 and CVE-2025-53771 (which are patch bypasses of two recent vulns CVE-2025-49704 and CVE-2025-49706). This module is based on the zero-day exploit that was caught in-the-wild circa July 19, 2025. A single HTTP request of the exploit was posted here (https://gist.github.com/gboddin/6374c04f84b58cef050f5f4ecf43d501).

#Sharepoint #InsecureDeserialization #RCE #CVE_2025_53770 #CVE_2025_53771 #MetaSploit #Rapid7 Link to Rapid7 Github 🔗 @hackern0tes

#Мем

🔗Ссылка: https://www.securitylab.ru/news/561664.php

🔗Ссылка: https://opennet.ru/63621/

🔗Ссылка: https://www.securitylab.ru/news/561661.php

💻 FLOSS v3.1.1 Кроссплатформенный инструмент для статического анализа, автоматического извлечения и деобфускации строк из бинарных файлов. Если по простому, то это strings на стероидах 👍😅 💻 Repo 💻 Usage 💻 Releases #floss #strings #reverse ✈️ Whitehat Lab 💬Chat