RedTeam brazzers

И на последок немного личного в публичное пространство :) Мало кто знает, но я отец троих детей и разумеется без поддержки моей замечательной жены такой поездки никогда бы не состоялось. А ещё низкий поклон всем любителям бургеров. Любите и цените близких и друзей! Всем лучи бобра ❤️

Ну вот и все

Сегодня занятие было построено уникально и крайне интересно. Началось оно с того, что нам объявили: в новой виртуальной машине установлена версия Windows с уязвимым драйвером, а сама уязвимость датируется 2023 годом. Затем в специальных веб-архивах мы нашли все версии этого драйвера и скачали следующую после текущей. Таким образом, у нас на руках оказались два драйвера - уязвимый из предоставленной ОС и драйвер с исправлением. С помощью бинарного сравнения в Ghidra мы нашли ту самую строчку, которую исправили в новой версии. И все 100% сегодняшнего занятия мы занимались реверс-инжинирингом. Мы пытались понять, на что влияет эта строчка, как до неё добраться, какие структуры надо скрафтить и что именно это исправление чинит. Закончилось текущее задание тем, что мы успешно реализовали примитив чтения памяти. Завтра продолжим - получим примитив записи в память и повышение привилегий через эту уязвимость. Как видите, занятие построено очень правдоподобно и позволяет реализовать настоящий 1day exploit - на мой взгляд, это очень классно. Ещё сегодня лекцию читал преподаватель, который вёл нам первый и второй день, и сегодня я понял, что вчера был не сложный материал - просто был не тот преподаватель. Сегодняшний инструктор за один день умудрился не только рассказать новую тему и провести много демонстраций, но ещё и вкратце пересказать весь вчерашний день - стало гораздо понятнее. В общем, от преподавателя зависит очень многое, и моё мнение о курсе формируется всё лучше и лучше. Завтра - финальный день, и как раз перед самолётом я запишу итоговое видео, где отвечу на главные вопросы, которые мне задавали в личных сообщениях, и сформирую окончательную картину для тех, кто интересуется этим курсом или хотел бы его пройти. #OSEE #AWE

OSEE coin

Сегодня мне всё-таки удалось отлично выспаться, и на курс я пришёл с полными силами. Где-то после первого часа занятий мне в голову забрела шальная идея - а что если попробовать порешать extra mile? И я начал. Спустя 30 минут у меня практически был рабочий Proof of Concept. На тот момент я ещё не знал, что загнал себя в ловушку, и мне еще придется переделывать весь эксплойт, но первый успех меня сильно подбодрил, и я решил переть до конца. К четырём часам дня у меня уже был рабочий эксплойт, который выполнял все необходимые действия и полностью соответствовал исходному техническому заданию. Ещё час я потратил на наведение красоты, и в 18:00, когда закончились занятия, отдал задание на проверку. Я был первым и единственным, кто закончил эту extra mile. Чтобы убедиться, что задание сделал именно я сам, инструктор задал мне дополнительные вопросы, обозначил глобальную проблему в моём эксплойте и предложил её исправить. Решение я придумал на словах, потратил ещё 15 минут времени инструктора и согласовал, что именно мне нужно доделать. Таким образом, нежданно-негаданно, у меня практически в кармане оказалась монетка, на которую ещё утром я даже близко не рассчитывал, а вчера так вообще с ней попрощался. По ощущениям я оторвался достаточно далеко от всей остальной группы в этом задании, и это не может не радовать. Но есть и пагубный эффект от этой самодеятельности - я практически полностью прослушал все сегодняшние лекции и пропустил две большие темы. Одна из них точно будет на экзамене и точно понадобится при эксплуатации в ядре. Однако я отношусь к этому как к активностям на конференции: материалы у меня никто не забирает, а как и на любой конференции, всегда есть запись, и интересующую лекцию можно посмотреть позже. Так и пропущенные темы я смогу спокойно проработать вручную уже дома. Сейчас я немного передохнул, у меня есть пара часов до сна, и я планирую закончить задание. Надеюсь, завтра приду пораньше, к самому началу занятий, и смогу получить свою монетку 💲

Мой путь начинается здесь🔥

Я прибыл в Сингапур и готов к учёбе. Пожалуй, в этом посте я напишу про структуру курса. Итак, с завтрашнего дня на протяжении 5 дней у меня будут очень интенсивные занятия с 9 утра до 18 вечера. Если этого будет недостаточно, то в свободное время в гостинице можно самостоятельно решить задание с повышенной сложностью и получить памятную монету и номерную монету от kali.org. Завтра утром мне выдадут все необходимые виртуальные машины и учебные материалы в бумажном виде. После очного курса у меня будет ровно год на самостоятельную подготовку, потому что понять и осознать весь предоставленный материал за 5 дней физически невозможно. В течение этого года я могу решать задания ещё раз и выполнять те самые упражнения с повышенной сложностью самостоятельно. И наконец, третий и последний этап — в течение этого года надо запланировать дату сдачи экзамена и попробовать сдать его с первой попытки. Если не получится с первой, то будет ещё несколько попыток за дополнительную стоимость.

Разумеется, самый интересный вопрос - это подготовка. Расскажу немного о себе. С 2010 года я активно играл в CTF, а с 2013 года решал задания в категориях pwn и слова SEH, ROP-gadget, DEP и ASLR для меня не были пустым звуком. Поэтому в 2018 году, когда я готовился к OSCE, в материалах курса для меня совсем не было новых тем - я с уверенностью решал задания с ROP-цепочками и знал, как обходить DEP и ASLR. Но тем не менее я не знал технику egg-hunter и у меня практически не было опыта в pwn под Windows (причиной тому всё тот же опыт CTF). На экзамене задание было настолько сложным, что я смог сдать его только со второго раза. В 2024 году я сдавал OSED - на этом курсе для меня совсем не было ничего нового, и экзамен я успешно сдал с первого раза. Но с AWE история совсем другая. Во-первых, там всё будет на 64-битной ОС, и опыт в CTF и предыдущие навыки мне не сильно помогают, а во-вторых, бо́льшая часть курса посвящена эксплуатации в ядре, а опыта в этом у меня совсем нет! Я, конечно, почитал материалы, но ничего не попробовал руками, поэтому готовность к этому курсу я оцениваю на 5/10. Вторая составляющая, которая для меня будет очень серьёзным вызовом, - это знание английского. На данный момент я недавно перешёл с A2 на B1, но это общий английский. В своей профессиональной области я увереннее говорю и лучше понимаю, но, тем не менее, языковой барьер останется для меня большой проблемой. По совокупности оценок уровень своей подготовки я могу оценить на 4/10. Это точно не будет для меня лёгкой прогулкой, но я очень настойчивый и о сертификате OSEE мечтал много лет. Полностью подготовиться к курсу AWE у меня бы точно не получилось, да и не надо, наверное.

О чём вообще курс AWE? В линейке сертов OffSec есть OSED (Offensive Security Exploit Developer), и он уже исходя из названия учит делать бинарные эксплойты в Windows. Но на самом деле полученные знания из данного сертификата не применимы в жизни как минимум потому, что там вся разработка эксплойтов идёт под устаревшую 32-битную Windows с частью отключённых защит. Тем не менее это очень хороший входной сертификат для изучения базовых бинарных уязвимостей и навыков разработки шеллкодов. Все, кто хоть когда-нибудь сдавал OSED, с уверенностью скажут, что это сложный и интересный челлендж, но точно не применим в повседневной работе пентестера. Курс AWE раскрывает уже более продвинутые уязвимости (Use After Free, Type Confusion) и, самое главное, на самых последних и актуальных версиях Windows со всеми включёнными защитами. А также бо́льшая часть курса погружает студентов в эксплуатацию на уровне ring0 (на уровне ядра). Темы курса AWE не являются секретными, и почитать о них вы можете на сайте (https://www.offsec.com/courses/exp-401/). Таким образом, курс AWE сложен именно за счёт своей актуальности.

Сегодня я получил подтверждение на прохождение с 4 по 8 мая обучения в рамках курса AWE (Advanced Windows Exploitation). Что это за курс и сертификат? Как вы знаете, у компании Offensive Security есть линейка курсов, и они имеют коды PEN-200 (OSCP), PEN-300 (OSEP), WEB-300 (OSWE), EXP-301 (OSED). Первая цифра в числе означает сложность. У OffSec есть только один сертификат с кодом 400 - это OSEE. Они заявляют этот сертификат как самый сложный в своей линейке. Владельцев данного сертификата не так много, например, в РФ всего один человек на данный момент (если не прав, поправьте). Всё упирается не только в сложность сертификата, но ещё и в то, что это единственный курс, который необходимо проходить очно. С 2019 года, когда я сдал OSCE old, моей навязчивой мечтой (мои бывшие коллеги не дадут соврать) стало получение OSEE. И вот спустя 7 лет я лечу в Сингапур на первую и самую ответственную часть данного курса - очное обучение. В чате проходил опрос, который показал, что людям эта тема интересна, и я постараюсь рассказать свой путь от первого лица. Enjoy! :)

Всем привет! В продолжение анализа на очереди первый по популярности протокол, используемый в NXC, это SMB. В нем принцип определения привилегированности учетной записи основан на подключении к пайпу \svcctl поверх установленного SMB-соединения с последующей попыткой открытия менеджера управления службами с SC_MANAGER_ALL_ACCESS, что, само собой, разрешено только высокопривилегированной УЗ, ведь это право дает полный доступ до управления службами на конечном устройстве. Для подключения используются функции из протокола MS-SCMR, а именно OpenScManager(). Отмечу, что подключение к svcctl может оказаться роковым в вопросах уклонения от обнаружения (ведь его используют и psexec.py и smbexec.py), поэтому алгоритм следует поменять. Мы поверх SMB соединения можем подключиться к любому другому пайпу, который имеет какой-нибудь контроль доступа. Можно попробовать и более экзотичные варианты по типу попытки дропа файла на C$. Но мой выбор остановился на протоколе MS-EVEN6. Причем именно его шестой версии потому, что обычный MS-EVEN, который я использовал тут подключается поверх пайпа \pipe\eventlog, а некоторые детектят таким образом коерс через Coercer. Поэтому я переделал функцию под MS-EVEN6, который поддерживает подключение через обычный TCP-коннект. Можно увидеть мой код тут А как бы меняли логику Вы? @RedTeambro

Всем привет! Розыгрыш подошел к концу, поздравляю победителей. Свяжусь с каждым в личке. Ничего оплачивать не нужно!!:)

Всем привет! Продолжая посты про архитектуру netexec, следует обратить внимание на алгоритм определения привилегированной учетной записи (надпись Pwn3d!) поверх разных протоколов. Начнем с протокола LDAP. Логика взаимодействия с протоколами находится внутри папки ./nxc/protocols: - smb.py/ldap.py/ftp.py/... - обвязки под протоколы; - Папки smb/ldap/ftp/... - дополнительный функционал протокола (не путать с модулями). Например, исполнение команд поверх SMB через -X whoami --exec-method atexec, в ./nxc/protocols/smb/atexec.py будет лежать логика atexec.py, либо --bloodhound поверх протокола LDAP. Каждый протокол NXC сделан достаточно шаблонно, он должен реализовывать следующие функции: - create_conn_obj() - осуществляет подключение к целевому протоколу нужного компьютера; - enum_host_info() - позволяет получить информацию поверх этого протокола об устройстве, например, имя хоста и домена; - print_host_info() - отображает данные из enum_host_info(); - check_if_admin() - решает, выводить или нет надпись Pwn3d!; - *_login() - реализация аутентификации поверх различных протоколов. Посмотрим подробнее, что делает NXC для определения привилегированной УЗ поверх LDAP. Для этого проваливаемся в ./nxc/protocols/ldap.py. С целью наглядности, а также чтобы подсветить потенциальные детекты LDAP-запросов, которые отправляет «стоковый» NXC, добавил логирование в функцию search(). 1. Сначала отправляется следующий запрос

(userAccountControl:1.2.840.113556.1.4.803:=8192), base_dn=DC=example,DC=local, attributes=['objectSid']

этот запрос позволяет обнаружить контроллеры домена (UF_TRUST_ACCOUNT), чтобы по их SID получить SID домена. Пример ответа:

[{'objectSid': 'S-1-5-21-1234567890-1234567890-1234567890-1001'}]

2. Затем по найденному ObjectSid идет получение названий привилегированных групп по типу Domain Admins, Enterprise Admins:

Запрос: (|(objectSid=S-1-5-21-1234567890-1234567890-1234567890-512)(objectSid=S-1-5-21-1234567890-1234567890-1234567890-519)(objectSid=S-1-5-21-1234567890-1234567890-1234567890-544)(objectSid=S-1-5-32-549)(objectSid=S-1-5-32-551)), base_dn=DC=example,DC=local, attributes=['distinguishedName']

Ответ: [{'distinguishedName': 'CN=Server Operators,CN=Builtin,DC=example,DC=local'}, {'distinguishedName': 'CN=Backup Operators,CN=Builtin,DC=example,DC=local'}, {'distinguishedName': 'CN=Domain Admins,CN=Users,DC=example,DC=local'}, {'distinguishedName': 'CN=Enterprise Admins,CN=Users,DC=example,DC=local'}]

3. Наконец, NXC получает членов этих групп и проверяет, нет ли нашей УЗ в них. Если есть, значит, у нас Pwn3d! (в данном случае УЗ попадает в поле sAMAccountName):

Запрос: (&(objectCategory=user)(sAMAccountName=administrator)(|(memberOf:1.2.840.113556.1.4.1941:=CN=Server Operators,CN=Builtin,DC=example,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=Backup Operators,CN=Builtin,DC=example,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=Domain Admins,CN=Users,DC=example,DC=local)(memberOf:1.2.840.113556.1.4.1941:=CN=Enterprise Admins,CN=Users,DC=example,DC=local)(primaryGroupID=512)(primaryGroupID=519)(primaryGroupID=544)(primaryGroupID=549)(primaryGroupID=551))), base_dn=DC=example,DC=local, attributes=[]

Ответ: [{'objectClass': ['top', 'person', 'organizationalPerson', 'user'], 'cn': 'Administrator', ......

Полный текст ответа: https://gist.github.com/MzHmO/c9f5206112f09801b4478c725f1df2a4 Наконец, если на отправленный третий запрос поступал ответ, значит, пользователь привилегированный. Отсюда у нас вылезает три потенциально интересных IOC'а в LDAP-запросах, которые можно отслеживать и детектировать. Отмечу, что алгоритм не самый идеальный и его можно упростить, запрашивая сразу memberOf текущего пользователя, после чего извлекать objectSid полученных групп и по RID проверять их на привилегированность - будет два запроса LDAP. Пойдем еще дальше и исключим из этой цепочки objectSid, забив в NXC строки "Domain Admins"/"Администраторы домена" и проверять их, в таком случае будет всего один LDAP-запрос вместо трех.

Всем привет! Пусть и с некоторым опозданием, но мы решили впервые в истории канала сделать небольшой розыгрыш) В прошлом году вышло очень много книг у подписчиков нашего канала. Это не может не радовать! Как вы все знаете, лучший подарок — книга! Поэтому мы приняли решение разыграть эти книги среди подписчиков. В розыгрыше участвуют: 2 книги «Хакерская самооборона» Андрея Жукова, 2 книги «Идём по киберследу» Дмитрия Неверова и 2 книги «Windows глазами хакера». Каждая из книг подписана лично автором и содержит дружеское наставление своему владельцу для успешного следования по пути в ИБэ :) Условия просты: 1. Нажать кнопку "Участвовать" Однако рекомендую также подписаться на каналы авторов этих книг: @RedTeambro, @cyb3r53cr3t5, @s0i37_channel Участников: Призовых мест: 5 (одному месту достанется две книги сразу!) Дата розыгрыша: 10:00, 21.03.2026 MSK (14 дней) Отмечу, что это не является рекламой ни книг, ни авторов, ни их каналов.

А теперь предлагаю осуществить эмуляцию APT-группировки. Научим netexec действовать как Lazarus :) Netexec предоставляет модульную архитектуру, мы можем достаточно просто расширить его функционал. Давайте научим NXC тырить tdata с компьютеров в домене. Nxc предоставляет пример модуля тут. Нам достаточно заполнить основную информацию: - name - имя модуля; - description - описание модуля; - supported_protocols - протокол, поверх которого работает модуль. В зависимости от этого будет различаться connection object, поверх которого идет взаимодействие с целевой службой; - category - категория модуля. может быть для перечисления, извлечения учетных данных, повышения привилегий. Сами модули должны быть помещены в директорию modules внутри папки .nxc. Затем нужно реализовать несколько основных функций: - on_login() - функция вызывается при успешной аутентификации на хосте. То есть, креды валидные. Однако, этот метод вызывается также если креды НЕ указаны, либо они пустые (Null Creds); - on_admin_login() - функция вызывается, если у переданных учетных данных есть права админа на целевой службе. Регулируется переменной `self.admin_privs`. Значение переменной выставляется по уникальной для каждого протокола логике. Например, в случае SMB NXC пытается получить доступ SC_MANAGER_ALL_ACCESS внутри функции check_if_admin; - options() - в этой функции делаем парсинг опций, которые были переданы в модуль. Передача в модуль в таком формате:

-M abcd -o TARGET=admin ACTION=delete 

В CME также была поддержка функций on_request()/on_response()/on_shutdown(), но в NXC удалена поддержка этих функций. Посмотреть примеры реализации можно в CME. Для кражи сессии телеграм достаточно подключаться к шарам и осуществлять поиск папки tdata. Отмечу, что уже был POC на кражу tdata, но давайте избежим примитивов исполнения powershell-командлетов и сделаем все поверх SMB-соединения. Логика моего модуля достаточно проста: 1. По умолчанию идет поиск папки tdata внутри папки C:\Users, можно путь переопределить через SEARCH_DIR переменную. Отмечу, что в коде идет получение всех шар, изначальная логика была в полном облутывании хостовой системы в попытке найти tdata на всех доступных дисковых шарах, но этот вариант крайне медленный и не очень оптимальный по ресурсам. 2. При обнаружении папки tdata идет копирование ее на локальное устройство в папку .nxc/.loot/telegram/<ip>.tg 3. Затем мы можем взять tdata, скачать Telegram Portable и вставить tdata в корневую директорию Telegram Portable. И получить доступ к чужой сессии, запустив TG Portable! Отмечу, что если пользователь использует блокировку TG по пин-коду (НЕ облачный пароль, а именно пин от приложения), то Telegram попросит нас ввести этот пин-код при входе в аккаунт Код скрипта я прикрепил здесь. А после получения доступа в TG вы можете поискать, например, ovpn-конфиги :) @RedTeambro