APT

Kanalga Telegram’da o‘tish

This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat

Ko'proq ko'rsatish

Rossiya45 663 Texnologiyalar & Aralashmalar8 841...

📈 Telegram kanali APT analitikasi

APT (@apt_notes) Ingliz til segmentidagi kanali faol ishtirokchi. Hozirda hamjamiyat 14 653 obunachidan iborat bo'lib, Texnologiyalar & Aralashmalar toifasida 8 841-o'rinni va Rossiya mintaqasida 45 663-o'rinni egallagan.

📊 Auditoriya ko‘rsatkichlari va dinamika

невідомо sanasidan buyon loyiha tez o‘sib, 14 653 obunachiga ega bo‘ldi.

11 Iyun, 2026 dagi oxirgi ma’lumotlarga ko‘ra kanal barqaror faollikka ega. Oxirgi 30 kunda obunachilar soni 406 ga, so‘nggi 24 soatda esa 16 ga o‘zgardi va umumiy qamrov yuqori darajada qolmoqda.

Tasdiqlash holati: Tasdiqlanmagan
Jalb etish (ER): Auditoriya o‘rtacha 48.83% darajada jalb etiladi. Nashrdan keyingi dastlabki 24 soatda kontent odatda umumiy obunachilar sonining N/A% ini tashkil etuvchi reaksiyalarni to‘playdi.
Post qamrovi: Har bir post o‘rtacha 7 154 marta ko‘riladi; birinchi sutkada odatda 0 ta ko‘rish yig‘iladi.
Reaksiyalar va o‘zaro ta’sir: Auditoriya faol: har bir postga o‘rtacha 18 ta reaksiya keladi.

📝 Tavsif va kontent siyosati

Muallif resursni shaxsiy fikrni ifoda etish maydoni sifatida ta’riflaydi:
“This channel discusses: — Offensive Security — RedTeam — Malware Research — OSINT — etc Disclaimer: t.me/APT_Notes/6 Chat Link: t.me/APT_Notes_PublicChat”

Yuqori yangilanish chastotasi (oxirgi ma’lumot 12 Iyun, 2026 da olingan) sababli kanal doimo dolzarb va katta qamrovli bo‘lib qoladi. Analitika auditoriya kontent bilan faol hamkorlik qilishini, uni Texnologiyalar & Aralashmalar toifasidagi muhim ta’sir nuqtasiga aylantirishini ko‘rsatadi.

14 653

Obunachilar

+1624 soatlar

+1087 kunlar

+40630 kunlar

7 154

Post ko'rishlar

Ma'lumot yo'q24 soatlar

Ma'lumot yo'q48 soatlar

48.83%

Muloqot nisbati

Ma'lumot yo'q

Kuniga postlar

Ads index

beta

Postlar arxiv

14 658

Repost from 1N73LL1G3NC3

RecycledInjector Native Syscalls Shellcode Injector (Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails. To remain stealthy and keep entropy on the final executable low, do ensure that shellcode is always loaded externally since most AV/EDRs won't check for signatures on non-executable or DLL files anyway.

14 658

Repost from Cybred

Интересная особенность, связанная с парсингом кук. Некоторые серверы, такие как Jetty или Undertow, в своей работе реализуют спецификацию RFC2965, в которой есть необычная реализация синтаксического анализа. Если Jetty примет на вход

Cookie: search_history="lolkek; JSESSIONID=1337; asdf=end";

То такой заголовок будет разобран как одна кука search_history со значением lolkek; JSESSIONID=1337; asdf=end, вместо трех отдельных. Если Jetty видит значение, которое начинается с двойных кавычек, то он будет пытаться прочитать строку до тех пор, пока не увидит закрывающую кавычку, даже если на пути встретится точка с запятой. Опасно это тем, что если search_history где-то рендерится на странице, то ее можно будет использовать для эксфильтрации любой куки (например, JSESSIONID) с флагом HttpOnly. Для этого нужно будет найти XSS и проэксплуатировать ее, записав в search_history двойные кавычки, чтобы оставшаяся часть заголовка отобразилась на странице. К этому восприимчивы Jetty, Undertow, TomCat, Python Zope и любые другие серверы и фреймворки, которые руководствуются RFC2616, когда парсят строки. Библиотека http.cookies для Python, а именно классы BaseCookie и SimpleCookie тоже реализуют эту спеку. Ее используют aiohttp, cherrypy, web.py, bottle, webob (Pyramid, TurboGears).

14 658

🎭 BOFMask BOFMask is a tool designed to conceal Cobalt Strike's Beacon payload while executing a Beacon Object File (BOF). By applying a XOR mask and modifying memory protection settings, BOFMask enables users to execute BOFs without exposing Beacon, thereby avoiding detection by EDR products that scan system memory. Research: https://securityintelligence.com/posts/how-to-hide-beacon-during-bof-execution/ Source: https://github.com/xforcered/bofmask #cobaltstrike #bof #sleepmask #redteam

14 658

👻 The Phantom Credentials of SCCM If an Active Directory account has ever been configured as an NAA, the credentials may persist on former clients. Not only can we query the credential blobs from WMI, we can also retrieve previously used account blobs from the CIM repository, even if the computer is no longer a client. https://posts.specterops.io/the-phantom-credentials-of-sccm-why-the-naa-wont-die-332ac7aa1ab9 #ad #credentials #sccm #nna #wmi

14 658

Repost from Offensive Xwitter

😈 [ mpgn_x64, mpgn ] 3, 2, 1 CrackMapExec 6.0.0 is now public ! 🎉 So much new features and fix that I've made a blogpost for it ▶️ Special thanks to @_zblurx @MJHallenbeck & @al3x_n3ff for their indefectible support & contributions ! 🍻 🔗 https://wiki.porchetta.industries/news/a-new-home 🐥 [ tweet ]

14 658

Repost from RedTeam brazzers

Кража KeyTab. Во время тестирования на проникновение часто встречаются системы Linux с настроенным Keytab. Keytab хранит пары принципала кербероса и его зашифрованных ключей. С помощью этих зашифрованных ключей можно получить TGT. В результате чего появляется возможность запросить TGT на имя принципала без ввода пароля. Kerberos на Linux уже далеко не редкость - гетерогенные сети становятся все более популярными по ряду причин. Например, может быть такой сценарий, что на Linux бекапится содержимое какой-либо шары, при этом получить доступ к этой шаре могут только пользователи домена. В таком случае пишется простенький скрипт на баш, в котором реализуется логика по запросу TGT тикета на основе KeyTab, а затем копирования файлов с шары. Причем для периодичности запуска скрипт добавляется в crontab. Нам, как атакующим, конечно же, интересен процесс запроса TGT билета на основе KeyTab. Для этого можно использовать команду kinit со следующим синтаксисом:

kinit –kt <keytab> <принципал>

Например, если файл /tmp/admin.keytab служит для аутентификации пользователя admin@OFFICE.LOCAL , то делаем вот так: kinit -kt /tmp/admin.keytab admin@OFFICE.LOCAL Остается лишь одна проблема - обнаружение самих KeyTab файлов. Конечно, можно ручками через find искать эти файлы, потом также муторно проверять разрешения на них, что не есть хорошо. Поэтому я накалякал следующий командлет, который автоматически найдет все .keytab файлы , а затем подсветит интересные разными цветами: 1. Зеленым подсвечиваются те файлы, которые принадлежат текущему пользователю. 2. Желтым подсвечиваются те файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь не имеет достаточных прав (чтение/запись) на этот самый KeyTab. 3. Наконец, красным подсвечиваются файлы, которые принадлежат пользователю, отличному от текущего, при этом текущий пользователь имеет достаточные права на этот самый KeyTab.

find / -iname '*.keytab' -type f -exec ls -l {} \; 2>/dev/null | awk -v user="$(whoami)" 'BEGIN { FS = OFS = " "; red = "\033[31m"; yellow = "\033[33m"; green = "\033[32m"; reset = "\033[0m" } { if ($3 == user && $9 ~ /.keytab$/) { printf green } else if ($3 != user && $9 ~ /.keytab$/ && $1 ~ /^-.w.r../) { printf red } else if ($3 != user && $9 ~ /.keytab$/ && ($1 !~ /^.w.r../ || $1 !~ /^-.w../)) { printf yellow } print $0; printf reset }'

14 658

Repost from 1N73LL1G3NC3

CVE-2023-20178 Cisco AnyConnect LPE When a user connect to vpn, vpndownloader.exe process is started in background and it will create directory in c:\windows\temp with default permissions in following format: <random numbers>.tmp After creating this directory vpndownloader.exe will check if that directory is empty and if its not it will delete all files/directories in there. This behaviour can be abused to perform arbitrary file delete as NT Authority\SYSTEM account.

14 658

Repost from SHADOW:Group

🔐nOAUTH | Захват аккаунта через Microsoft OAuth На сайтах, где идентификация идет по Email и есть возможность войти через Microsoft OAuth есть риск захвата аккаунта. Дело в том, что Azure не проверяет установленную в аккаунте почту, что позволяет вам указать почту жертвы и войти на уязвимый сайт через OAUTH от ее имени. - Жертва регается на сайте через свою почту. - Заходим в Azure AD и меняем свою почту на почту жертвы. - Заходим на сайт через Microsoft OAuth и получаем доступ к аккаунту жертвы. Видео PoC #web #ato #oauth

14 658

Repost from 1N73LL1G3NC3

Obfuscated LSASS dumper command A quick walkthrough for a obfuscated PowerShell LSASS dump command via comsvcs.dll.

14 658

Repost from 1N73LL1G3NC3

Exposing hidden risks through ACLs in Active Directory The abuse of misconfigured Access Control Lists is nothing new. However, it is still one of the main ways of lateral movement and privilege escalation within an active directory domain.

14 658

☁️ Obtaining Domain Admin from Azure AD by abusing Cloud Kerberos Trust In this blog we will look at how this trust can be abused by an attacker that obtains Global Admin in Azure AD, to elevate their privileges to Domain Admin in environments that have the Cloud Kerberos Trust set up. Since this technique is a consequence of the design of this trust type, the blog will also highlight detection and prevention measures admins can implement. https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust #ad #azure #kerberos #research

14 658

🔥 VMware vRealize Network Insight — Pre-authenticated RCE (CVE-2023-20887) This post will examine the exploitation process of CVE-2023-20887 in VMware Aria Operations for Networks (formerly known as vRealize Network Insight). This vulnerability comprises a chain of two issues leading to Remote Code Execution (RCE) that can be exploited by unauthenticated attackers. Exploit: https://github.com/sinsinology/CVE-2023-20887 Research: https://summoning.team/blog/vmware-vrealize-network-insight-rce-cve-2023-20887/ #VMware #vRealize #rce #cve

14 658

Repost from linkmeup

Отлично! Теперь шелл можно и через SMS пропихнуть. Пока безопасники бьются с DLP, настраивают политики и заливают порты эпоксидкой, просто отправь SMS на номер.TCPoverSMS, my ass. https://github.com/persistent-security/SMShell

14 658

🦾 SharpTerminatator Terminate AV/EDR Processes using kernel driver. SharpTerminatator is a C# port of ZeroMemoryEx's art piece called Terminator. It can be used with Cobalt Strike's execute-assembly or as a standalone executable. https://github.com/mertdas/SharpTerminator #av #edr #cobaltstrike #csharp

14 658

Repost from Волосатый бублик

#ad #relay #webdav #ldap [ DavRelayUp ]

A  port of #KrbRelayUp with modifications to allow for NTLM relay from WebDAV to LDAP and abuse #RBCD in order achieve #LPE in domain-joined windows workstations where LDAP signing is not enforced.

Thanks to: Руслан https://github.com/Dec0ne/DavRelayUp

14 658

🎯 GitLab CE/EE Path Traversal Vulnerability (CVE-2023-2825) On May 23, 2023, GitLab released version 16.0.1, which addressed a critical vulnerability, CVE-2023-2825, impacting both the Community Edition (CE) and Enterprise Edition (EE) version 16.0.0. This vulnerability enables unauthenticated users to read arbitrary files by exploiting a path traversal bug. Additionally, an unauthenticated malicious user can leverage a path traversal vulnerability to read arbitrary files on the server if there is an attachment present in a public project nested within a minimum of five groups. Shodan Dork:

application-77ee44de16d2f31b4ddfd214b60b6327fe48b92df7054b1fb928fd6d4439fc7e.css

Research: https://labs.watchtowr.com/gitlab-arbitrary-file-read-gitlab-cve-2023-2825-analysis/ PoC: https://github.com/Occamsec/CVE-2023-2825 #gitlab #path #traversal #poc #cve

14 658

Repost from Offensive Xwitter

😈 [ kleiton0x7e, Kleiton Kurti ] We took a Cobalt Strike profile, modified it, and bypassed Crowdstrike & Sophos without encrypting the shellcode. Also bypassed all published YARA rules, sleep detections, and string detections around a CS beacon. Blog: https://t.co/m7FNOwV6Nx #CyberSecurity #redteam #infosec 🔗 https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/ 🐥 [ tweet ]

14 658

🔀 Direct Syscalls vs Indirect Syscalls This post discusses Indirect Syscalls as a solution to eliminate indicators of compromise and avoid detection by EDRs. Indirect Syscalls allow the execution of Syscall and Return statements in the memory of ntdll.dll, which is the usual behavior in Windows. https://redops.at/en/blog/direct-syscalls-vs-indirect-syscalls #maldev #syscall #edr #bypass

14 658

Repost from Ralf Hacker Channel

Для получения паролей пользователей SSH в открытом виде https://github.com/jm33-m0/SSH-Harvester #redteam #pentest #creds #git

14 658

Repost from 1N73LL1G3NC3

CVE-2023-32233 LPE In the Linux kernel through 6.3.1, a use-after-free in Netfilter nf_tables when processing batch requests can be abused to perform arbitrary read and write operations on kernel memory. Unprivileged local users can obtain root privileges. This occurs because anonymous sets are mishandled. Once the PoC is started on a vulnerable system, it may leave that system in an unstable state with corrupted kernel memory. We strongly recommend to test the PoC on a dedicated system to avoid potential data corruptions.