Fsecurity | HH

🔗Ссылка: https://github.com/S3N4T0R-0X0/Malicious-PixelCode

🔗Ссылка: https://habr.com/ru/companies/pt/articles/1037902/

🔗Ссылка: https://habr.com/ru/companies/selectel/articles/1038054/

🔗Ссылка: https://habr.com/ru/companies/solarsecurity/articles/1036814/

🔗Ссылка: https://github.com/CompassSecurity/EntraFalcon

🛰 OpenRecon v1.2.0 Обновил свой recon-toolkit. Теперь это не только сабдомены, порты, WHOIS и WAF/tech-фингерпринт, но и полноценный аудит почтовой безопасности домена за один запуск. 📖 Что нового в Mail Security: ✉️ SPF / DMARC / DKIM - параллельный брутфорс 130+ селекторов + словарь 🔐 MX с per-host проверкой STARTTLS (видно какой именно хост слабый и почему это плохо) 🛡 DNSSEC, MTA-STS, SMTP TLS-RPT, BIMI 📡 Open SMTP Relay - активная проверка по 25/tcp 📄 security.txt по RFC 9116 - Contact, Expires, HTTPS, проверка просрочки 📦 экспорт при -o: Все артефакты складываются в одну папку recon_<domain>_<дата>: сабдомены по источникам (crtsh, chaos, brute, alive), sub_ip_map, unique_ips, per-IP WHOIS через RDAP, target_networks, mail_security.{txt,json}, dkim_found, summary.{csv,json}. 🔧 Прочее: 🎨 Компактный 2-строчный баннер вместо 14-строчного ASCII-арт 🩹 WHOIS-fallback на системный whois когда python-whois падает (например на .kz с датой `2023-03-09 12:33:38 (GMT+0:00)`) ✓ Иконки ✓ ✕ ! • вместо больших эмодзи ⚙️ Флаг -t/--threads теперь реально работает 🔧 Установка / обновление:

pipx install --force git+https://github.com/cleverg0d/OpenRecon.git

🔗 https://github.com/cleverg0d/OpenRecon #tools #recon #pentest #bugbounty #osint #mailsecurity

🔗Ссылка: https://habr.com/ru/news/1038022/

🔗Ссылка: https://github.com/josephrw12/cortex-c2

🔗Ссылка: https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide

🔗Ссылка: https://github.com/kiddo-pwn/ffffirefox

🔗 Ссылка: https://github.com/k1ng0fn0th1ng/CrystalForge

GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux В открытом доступе размещён эксплоит для седьмой уязвимости (1, 2-3, 4, 5, 6) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root, перезаписав данные в страничном кэше. CVE-идентификатор ещё не присвоен, кроме кода эксплоита информации о проблеме пока нет. Исправление доступно только в виде патча, который опубликован 20 мая и 21 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны). Уязвимость присутствует в реализации технологии GRO (Generic Receive Offload), применяемой для ускорения обработки сегментированных пакетов. Уязвимость вызвана ошибкой в реализации механизма zerocopy в функции skb_gro_receive(), осуществляющей прямое изменение данных в страничном кэше для исключения лишней буферизации. При установленном флаге SKBFL_MANAGED_FRAG_REFS пропускалось сохранение ссылки на освобождаемые страницы памяти в поле shinfo->frags, после чего данное поле присоединялось к другому skb без изменения счётчика ссылок, что приводило к обращению к памяти после её освобождения (use-after-free). Проблему удалось эксплуатировать для перезаписи данных в страничном кэше, благодаря манипуляции с указателем на буфер io_uring. Атака возможна на системы с включённой подсистемой io_uring (io_uring_disabled=0). Для работы эксплоита в системе должен быть доступный на чтение исполняемый файл с флагом SUID-root. Механизм эксплуатации сводится к тому, что атакующий добивается оседания базы пользователей в страничном кэше, после чего подставляет в кэш строку "hax::0:0::/root:/bin/sh". Следом запускается команда "su hax", которая получает не оригинальную базу пользователей с накопителя, а изменённую копию с подставным логином "hax", которому выставлены права root и пустой пароль. Работа эксплоита протестирована в Ubuntu 24.04. 🔗 Ссылка: https://opennet.me/65504/

Сегодня расскажем ещё одну поучительную историю из практики наших пентестов. Однажды на проекте мы сами себе создали задачу: у нас было RCE от SYSTEM на контроллере домена, но мы не хотели создавать новые учетные записи или добавлять существующие в администраторы домена. А получить привилегии админа было нужно. Мы придумали несколько решений, и хотя не все они сработали, это был интересный опыт. Условия задачи: — Есть исполнение на доменном хосте от SYSTEM и NT-хеш пароля этого хоста. — Есть привилегии администратора домена в корневом домене в другом лесу AD (двухстороние трасты). — Есть RCE на контроллере домена (уязвимость в Veritas Backup Exec Agent). Не очень удобно исполнять команды (нет вывода), но можно читать и записывать файлы, запись через экплойт очень медленная. — Есть возможность подключения по SSH на linux-хост (без root-а). — Настрой на то, что чем меньше изменений и чем меньше придется чистить затем заказчику, тем лучше. Варианты решения: 1. Запустить агента Mythic — c SYSVOL на контроллере домена в другом лесу. Результат: ошибка Access Denied. — загрузить файл с агентом Mythic через эксплойт. Результат: запустить удалось, но правила файрвола не позволили установить ни bind, ни реверс-соединение. 2. Получить сертификат — выгрузить сертификат с приватным ключом из хранилища (командлеты Get-ChildItem -Path Cert:\CurrentUser\My\ для получения списка и Export-PfxCertificate для экспорта). Результат: не было сертификатов, для которых разрешен экспорт приватного ключа. — запросить новый сертификат. Результат: проанализировали шаблоны сертификатов и не нашли такого, чтобы контроллер мог запросить сертификат, использовать его для аутентификации и с возможностью экспорта приватного ключа. 3. Unconstrained delegation Так как уже были привилегии админа домена в другом лесу, а для контроллеров домена настроено неограниченное делегирование, можно было бы попробовать. Но в trustAttributes не было флага, разрешающего делегирование. Так что даже не пробовали. 4. Прочитать пароль LAPS Некоторые учетные записи компьютеров имели много привилегий (например, Exchange-сервера или центр сертификации) и получение привилегий админов на этих хостах могло бы помочь продвинуться дальше. Но модули с командлетами Get-LapsADPassword и Get-AdmPwdPassword не были установлены. 5. Релеи Это была скоре абстрактная идея. Linux-хостов с root-ом не было, и освобождать 445 порт на доменном хосте не хотелось. А служба WebClient для коерса на другой порт на контроллере не была установлена. Кроме того, на LDAP требовалась подпись, а шаблонов сертификатов, подходящих для ESC8, не было. 6. Сохранить учетные данные из реестра С помощью reg save или Silent Harvester можно было получить учетные данные из реестра. Получили бы NT-хеш контроллера домена и могли бы сделать DCSync. Но пришлось бы сохранять файлы в SYSVOL, чтобы получить к ним доступ с имеющейся учеткой. 7. Resource-based Constrained Delegation Так как у нас была скомпрометированная учетная запись хоста (её NT-хеш), удалось провести атаку на ограниченное делегирование на основе ресурсов. Модифицировать msDS-AllowedToActOnBehalfOfOtherIdentity учетной записи контроллера:

Set-ADComputer -Identity DC_Name -Properties PrincipalsAllowedToDelegateToAccount owned$

И затем сгенерировать TGS с имперсонацией учетной записи администратора домена или другого контроллера домена. Результат: успех. 8. Rubeus и т.п. Можно было бы загрузить на контроллер Rubeus или другие утилиты для дампа Kerberos-билетов, но после проверки идеи (1) мы поняли, что загрузить файл будет непросто. Мораль: Даже очень простая (на первый взгляд) задача "от RCE на контроллере до администратора домена" может иметь множество решений, если не пойти по первому пришедшему на ум пути.

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Всем хак! 👋 Некоторое время я отсутствовал — были непростые дни, потому что я сдавал экзамен CPTS от HackTheBox. Но главная цель этого поста — поблагодарить тех, кто поддерживал меня по‑разному. Каждый из вас знает, за что ему спасибо 👾 Огромная благодарность: - Lolichka - Hermano - Arrsi - .Morttyyy - TryNet - Ohiko P.S. Ваша помощь бесценна — спасибо! Также печальная новость: сервер наших партнёров Linux Team внезапно исчез — прошу вас заглянуть к ним и поддержать в восстановлении Отдельное спасибо всему сообществу Fsecurity 🫡

🚨Обнаружена Уязвимость в модуле для CMS Bitrix «INTEC:Ядро» от разработчика "INTEC". BDU пока нет, но судя по оперативной реакции, предположу что уязвимость Критическая. Я не разработчик и наверное что-то не понимаю в безопасном написании кода, но возможно стоит на админских эндпоинтах использовать админскую проверку prolog_admin_before.php вместо обычной prolog_before.php. (Bitrix-аутентификация администратора не проверяется. Скрипт контейнера сохраняется в БД и выполняется через eval() при рендере страницы.) Уязвимый модуль установлен на более чем 1000 ресурсах. Рекомендуют: ➡️ Восстановить резервную копию сайта от 27.04.2026 или более ранней даты. ➡️ Установить последние обновления (актуальная версия 1.2.30) модуля Intec.Core. ➡️ Обновить систему 1С-Битрикс до последней актуальной версии. 💫 @pentestnotes

🔗Ссылка: https://codeby.net/threads/sotsial-naya-inzheneriya-metody-atak-i-prakticheskaya-zashchita.92632/

Ресурс redteam.community продолжает развиваться, и вот недавно там появился раздел с конференциями, где собирают все доклады с прошедших ивентов, и есть анонсы на будущие)) Еще там много других ресурсов, лаб, а в разработке новые разделы, так что можно следить) #info

👉🏻

👈🏻