Fsecurity | HH

Web.archive.org взломан Кем и как - пока неизвестно. Антиизраильские хактивисты, которые одновременно и публично проводили DDOS на данный ресурс за поддержку Израиля утверждают, что это не они. Могли пострадать 31 миллион пользователей ресурса. Взлом подтвердили профильные ИБ-журналисты.

🔄😉 BloodHound CE v6.0.0 Большое обновление инструмента для выявления связей и построения графов в active directory. Достаточно учетной записи доменного пользователя. Отличная вещь при пентесте 🏠 AD среды. Для сбора информации используется скрипт bloodhound.py или SharpHound 🔠 The Ultimate Guide BHCE ADCS атаки: 🔠 Part 1 🔠 Part 2 🔠 Part 3 Установка: curl -L https://ghst.ly/getbhce | docker compose -f - up http://localhost:8080/ui/login Логин admin и сгенерированный пароль Обновление: Переходим в директорию с docker-compose.yml и запускаем docker compose pull && docker compose up Сбор информации: python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp В 💻 Kali устанавливается одной командой: sudo apt install bloodhound.py 💻 Home 💻 Download 🔠 Docs #bloodhound #pentest #active_directory #soft ✈️ // Pentest HaT 🎩

Исследователи F.A.C.C.T. во второй половине сентября 2024 года задетектили атаку на российскую компанию с использованием ранее неизвестного Mythic-агента, написанного на PowerShell. Обнаруженный агент получил название QwakMyAgent, поскольку после получения команды для завершения работы, он отправляет уникальную строку Qwak! на C2. QwakMyAgent - это модульный агент Mythic, который выполняет команды от C2, взаимодействуя с ним через зашифрованные в BASE64 запросы, реализуя сбор данных с зараженных систем, выполнение PowerShell-команд и отправку результатов на сервер. Причем, если агент не смог выполнить подключение к С2 заданное количество раз, агент начнет выполнять попытки подключения к следующему C2-адресу. В случае успешной регистрации, процесс исполнения агента переходит к цикличному опросу C2 для получения и выполнения команд. Изначальный вектор заражения остается неизвестным, но после компрометации хост-систем администраторов злоумышленники подключаются через системную службу WinRM и выполняют доступные по URL-ссылкам HTA-сценарии с помощью системной утилиты mshta.exe. HTA-сценарий в контексте своего исполнения создает два файла desktop.js и user.txt путем выполнения cmd.exe команд. Первый - это JavaScript-сценарий, который выполняет запуск PowerShell-сценария, расположенного в файле user.txt, который, в свою очередь, реализует загрузку и запуск следующей стадии с удаленного узла - вредоносного ПО QwakMyAgent. В ходе исследования был найден дополнительный PowerShell-сценарий, который доставлялся на зараженную систему аналогичным QwakMyAgent способом. Однако, в отличие от агента, данный сценарий имеет иные функциональные возможности. В связи с тем, что тип запроса к C2, выполняемый сценарием, соответствует тем, которые выполняются в модулях команд QwakMyAgent, ресерчеры полагают, что данный сценарий может являться интерпретацией одной из команд, получаемых от сервера. Подробности атаки и индикаторы компрометации — в отчете.

Удобная подача списка url в ffuf по очереди #ffuf #заметка

cat domains.txt | xargs -I@ sh -c 'ffuf -w wordlists.txt -u @/FUZZ -mc 200'

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🔗Ссылка: https://spy-soft.net/photon-web-crawler-osint/

🔗Ссылка: https://xakep.ru/2024/10/07/silentcryptominer/

🔗Ссылка: https://xakep.ru/2024/10/07/cups-for-ddos/

🔗Ссылка: https://habr.com/ru/companies/ruvds/articles/848162/

Всех с понедельничним обзором картошек!!! :) Зачастую наличие привилегии SeImpersonatePrivilege ведет к повышению привилегий до системы. Однако я нигде не видел достаточно структурированной информации, в которой описывались бы не сами инструменты, а общий принцип их работы. Пора исправлять :) Концептуально потатосы можно разделить на: - DCOM-Based - огромная часть сплойтов абузит именно DCOM. Там в нескольких местах у нас вылезает аутентификация, выстраивается контекст, и из него уже можно извлечь токен. Примерно того же принципа придерживается и Krb Relay-штуки. Разве что мы там ловим тикет и идем с ним куда-нибудь, а здесь мы атакуем локальную систему. Как — узнаете уже очень скоро :)) Прошу прощения, видос с UnderConf задерживается, но я уже активно занимаюсь перегонкой материала в текстовый формат на хабре, с добавлением всяких штучек-дрючек :) Сюда входят JuicyPotatoNG, RottenPotato, LonelyPotato, JuicyPotato, RemotePotato, SweetPotato, GodPotato, RoguePotato, LocalPotato - Через кражу токена. Но это более редкий чейн, если у нас есть еще и SeDebugPrivilege, то мы можем стащить с любого чужого процесса токен и нацепить на свой пейлоад через CreateProcessWithTokenW(). POC - Захват WPAD-аутентификации с NTLM Reflection атакой. Метод был пропатчен в MS16-075. Впрочем, POC HotPotato есть. - Злоупотребление кешем LSA. Для предотвращения атак NTLM Reflection майкрософты придумали ввести некоторый список ресурсов, который хранился внутри LSA. Все заключалось в том, что LSASS стал хранить в кэше список всех недавно выданных NTLM Challenges с соответствующей службой, чтобы обнаружить попытки NTLM Reflection. Собственно, проводя сопоставление между челленджем и службой, на которой происходит аутентификация, можно было определить атаку. Косяк заключался в том, что кеш имел достаточно маленькое время жизни (300 секунд), после чего очищался. Хакеру оставалось разве что подождать это время, после чего дернуть LSA и эскалироваться. POC называется GhostPotato. Метод тоже уже пропатчен. - Злоупотребление функциями имперсонации. В OSEP с нами делились сплойтом PrintSpoofer. Кто забыл, это вариант эксплуатации SeDebug через вызов функции принтера, которая принимает конкретную конечную точку — именованный канал (пайп). Хакер поднимал собственный пайп, триггерил функцией систему , и система приходила на пайп. Хакеру оставалось разве что вызвать ImpersonateNamedPipeClient() для захвата учетной записи. Мало кто знает, но есть и другие уязвимые службы! DiagTrack — DiagTrackEop, RasMan service — RasmanPotato, AzureAttestService — magicAzureAttestService. Но не пайпами едиными. В COM тоже есть функция по имперсонации, называется CoImpersonateClient(), ею злоупотребляли в DCOMPotato . Наконец, есть и более общий вариант, который лишь поднимает службы HTTP и SMB. Как заставить систему зайти на них — дело ваше. В случае HTTP отдастся 401 запрос с захватом аутентификации, в случае SMB — имперсонация. Такая картошка называется GenericPotato

Безопасность API Как сказал однажды один умный человек, "Надо знать прошлое, чтобы понимать настоящее и предвидеть будущее", так что сегодня делюсь с вами полезными историческими данными по безопасности API от некой Escape Security Research team – ссылка Там есть информация по инцидентам, векторам атак и уязвимостям API. На настольную книгу не тянет, но разок пробежаться точно будет полезно. Ну и в дополнение ловите модель угроз для всё тех же API (а вот такого я еще не видел) – ссылка #SecArch #AppSec #Pentest Твой Пакет Знаний | Кибербезопасность

🔗Ссылка: https://habr.com/ru/companies/kaspersky/articles/845458/

🔗Ссылка: https://www.securitylab.ru/news/552809.php

🔗Ссылка: https://github.com/jasonxtn/Lucille

🔗Ссылка: https://github.com/jasonxtn/Argus

🔗Ссылка: https://www.hackingarticles.in/a-detailed-guide-on-rustscan/

🔗Ссылка: https://habr.com/ru/companies/ru_mts/articles/848524/

🔗Ссылка: https://github.com/cyberark/kubesploit

🔗Ссылка: https://spy-soft.net/wifipumpkin-nethunter-android/

🔗Ссылка: https://habr.com/ru/companies/ru_mts/articles/848208/