RedTeam brazzers
22.04.202510:00
Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
18.03.202518:18
Друзья, всем прекрасный весенний вечер!
В моей голове давно была идея создания небольшого списка вариантов использования сертификатов в средах AD, помимо стандартного запроса билета и UnPAC The Hash. Так родилась небольшая статья на Medium, из которой вы узнаете про различные способы изучения полученного сертификата и нестандартные варианты его использования, как например для аутентификации по SSH или расшифровки HTTPS-траффика
Приятного чтения 🙂
https://cicada-8.medium.com/adcs-so-u-got-certificate-now-ive-got-nine-ways-to-abuse-it-861081cff082
В моей голове давно была идея создания небольшого списка вариантов использования сертификатов в средах AD, помимо стандартного запроса билета и UnPAC The Hash. Так родилась небольшая статья на Medium, из которой вы узнаете про различные способы изучения полученного сертификата и нестандартные варианты его использования, как например для аутентификации по SSH или расшифровки HTTPS-траффика
Приятного чтения 🙂
https://cicada-8.medium.com/adcs-so-u-got-certificate-now-ive-got-nine-ways-to-abuse-it-861081cff082
03.02.202518:18
Всем привет! Андрей Жуков опять радует нас годнотой! Мы не очень часто репостим каналы других авторов, однако постоянству, с которой s0i37 публикует контент, можно лишь позавидовать. Рекомендуем : )
06.01.202506:58
Всем привет!
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
Глобально существует несколько видов кейлоггеров:
- На хуках (SetWindowsHookEx()) - винда сама будет уведомлять о нажатии;
- На GetAsyncKeyState() - бесконечный опрос нажатой клавиши;
- На GetInputData() - рисуется большое окно, внутри которого идет обработка нажатий клавиш;
- На ETW (только экранная клавиатура. POC)
Мне показалось этого мало, плюс, давно хотелось поглубже изучить графику в Windows. Посему взор упал на фреймворк MS UIA (User Interface Automation). Изначально он задумывался для людей с ограниченными возможностями, чтобы разработчики ПО могли озвучивать элементы на экране или осуществлять некоторое иное представление графики. Впрочем, это не мешает использовать фреймворк для слежки за пользователями :)
С помощью MS UIA вы можете делать абсолютно любые действия. Ровно как если бы вы сидели перед компьютером собственной персоной: нажатие кнопок, работа с окнами, вызов менюшек. И самое главное, конечно, чтение текста : )
Так появился небольшой инструмент Spyndicapped и статья с описанием : )) POC успешно хватает сообщения в Telegram, Whatsapp, Slack и , вишенкой на торте, осуществляет кражу паролей из KeePass. Всё это — средствами MS UIA, что потенциально чуть более скрытно, чем ранее известные методы.
Такие дела 🙂
Параллельно получилось обрести знания в области программирования для людей с ограниченными возможностями, так что если у вас будет шабашка............... 😁
Не змаглі атрымаць доступ
да медыяконтэнту
да медыяконтэнту
22.11.202406:30
15.04.202509:50
Друзья, всем привет!
Сразу хочу попросить у вас прощения — в посте не будет технического контента.
После зимней спячки, вместе с первыми нежными весенними подснежниками, начинают появляться конференции по ИБэ. И я хотел бы вас пригласить немного погулять в Санкт-Петербурге в конце апреля! Наши друзья открывают сезон крутых движух и проводят Cyberwave 29 апреля в Планетарии №1.
На этом мероприятии я прочитаю доклад про злоупотребление символическими ссылками в винде для повышения привилегий. Мы рассмотрим Arbitrary File Delete, Read, Write, Copy, Directory Creation на примере реальных эксплойтов.
Помимо того, вы сможете услышать усатого бумыча, прекрасную Катю Тьюринг, топового багхантера Дмитрия Прохорова и двух Лёх : )
Отдельно хотел бы выделить доклад Сергея Буреева, его описание очень интригующее: "как из Coerce-атаки можно получить больше чем NetNTLM, какую роль в этом играют средства защиты и почему coerce от NT AUTHORITY\LOCAL SERVICE напрасно недооценен"
Из развлекух обещают интересную локацию, CTF-турнир и ретротехнику : )
А еще участие бесплатное 🙈
Сразу хочу попросить у вас прощения — в посте не будет технического контента.
После зимней спячки, вместе с первыми нежными весенними подснежниками, начинают появляться конференции по ИБэ. И я хотел бы вас пригласить немного погулять в Санкт-Петербурге в конце апреля! Наши друзья открывают сезон крутых движух и проводят Cyberwave 29 апреля в Планетарии №1.
На этом мероприятии я прочитаю доклад про злоупотребление символическими ссылками в винде для повышения привилегий. Мы рассмотрим Arbitrary File Delete, Read, Write, Copy, Directory Creation на примере реальных эксплойтов.
Помимо того, вы сможете услышать усатого бумыча, прекрасную Катю Тьюринг, топового багхантера Дмитрия Прохорова и двух Лёх : )
Отдельно хотел бы выделить доклад Сергея Буреева, его описание очень интригующее: "как из Coerce-атаки можно получить больше чем NetNTLM, какую роль в этом играют средства защиты и почему coerce от NT AUTHORITY\LOCAL SERVICE напрасно недооценен"
Из развлекух обещают интересную локацию, CTF-турнир и ретротехнику : )
А еще участие бесплатное 🙈
17.02.202509:01
Всем привет!
Количество статей про Kerberos Relay увеличивается непропорционально слабо, в отличие от количества вопросов по этой теме. Поэтому я принял решение сделать небольшую карту, с помощью которой можно подобрать инструмент, подходящий именно вам, исходя из конкретной ситуации.
Карту в полном формате и с кликабельными ссылками можно найти тут:
https://github.com/CICADA8-Research/Penetration/tree/main/KrbRelay%20MindMap
Всем удачного понедельника 🙂
Количество статей про Kerberos Relay увеличивается непропорционально слабо, в отличие от количества вопросов по этой теме. Поэтому я принял решение сделать небольшую карту, с помощью которой можно подобрать инструмент, подходящий именно вам, исходя из конкретной ситуации.
Карту в полном формате и с кликабельными ссылками можно найти тут:
https://github.com/CICADA8-Research/Penetration/tree/main/KrbRelay%20MindMap
Всем удачного понедельника 🙂
29.01.202513:40
Всем привет, на днях в достаточно подробном исполнении появилась еще одна вариация атаки Kerberos Relay. Этот пост для тех, кто окончательно запутался и не знает, с чего начать изучение всего обилия инструментов и статей.
Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.
В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.
Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.
Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.
Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.
Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.
Вернемся к DNS. Зона может быть настроена с флагом
Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.
Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.
Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.
В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.
Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.
Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.
Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.
Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.
Вернемся к DNS. Зона может быть настроена с флагом
ZONE_UPDATE_UNSECURE , что разрешает обновления без аутентификации. В таком случае мы можем осуществить MiTM и перехватить AP-REQ креды, идущие на какие-либо службы. Соответственно, сделать релей на эти службы и получить к ним доступ. POC называется KrbJack. Он автоматизирует весь цикл атаки: сначала подменяет IP-адреса, потом слушает пакеты и, если обнаруживает аутентификацию по керберосу или NTLM, то пытается отрелеить ее на шару ADMIN$ с последующим деплоем шелла. Тулзу можно использовать и просто для обновлений записей анонимно. Пример использования в репозитории.Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.
Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.
31.12.202410:19
Всем привет!
Стремительно летят последние часы уходящего года, все радостно режут салаты и ходят по гулянкам 🙂
Верим, что за год у вас получилось добиться большего, чем прибавления ещё одной единички к возрасту.
Мы искренне рады, что браззерс активно и постоянно развивается. За год вышло 105 постов , а значит, что мы радовали вас чуть чаще , чем раз в четыре дня!
Мы благодарим всех, кто активно отвечает на вопросы в чате, помогает создавать контент или даже просто ставит реакции на пост — это очень важно 🙂
Мы желаем вам успехов не только в профессиональной сфере, но и в личной жизни. Пусть найдутся ответы на все вопросы, получится достичь всех, даже самых смелых целей, обрести спокойствие и уверенность в будущем, которой порой так не хватало в старом году.
С праздником, друзья 👋
Стремительно летят последние часы уходящего года, все радостно режут салаты и ходят по гулянкам 🙂
Верим, что за год у вас получилось добиться большего, чем прибавления ещё одной единички к возрасту.
Мы искренне рады, что браззерс активно и постоянно развивается. За год вышло 105 постов , а значит, что мы радовали вас чуть чаще , чем раз в четыре дня!
Мы благодарим всех, кто активно отвечает на вопросы в чате, помогает создавать контент или даже просто ставит реакции на пост — это очень важно 🙂
Мы желаем вам успехов не только в профессиональной сфере, но и в личной жизни. Пусть найдутся ответы на все вопросы, получится достичь всех, даже самых смелых целей, обрести спокойствие и уверенность в будущем, которой порой так не хватало в старом году.
С праздником, друзья 👋
22.11.202406:30
Мы уже много раз говорили про проблемы с NetNTLMv1 (1, 2, 3), поэтому давайте сегодня разберемся все таки от куда они берутся и ответим еще на пару вопросов.
Включение и отключение NetNTLMv1 аутентификации управляется через политику (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: LAN Manager authentication level). Политика может быть локальной или групповой, так же устанавливает значение реестра MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel в 4,0 или 4,1
4,0 - Отправляет LM и NTLM ответы
4,1 - Отправляет LM и NTLM, использует NTLMv2 если поддерживается
Следовательно, если есть возможность, то стоит прочитать данный ключ реестра через службу удаленного реестра на всех машинах в домене... но есть ли способ проще?
На самом деле есть! В больших корпоративных сетях данная настройка скорее всего будет раскатываться через групповую политику, а групповая политика будет храниться на контроллерах домена и доступна для чтения всем пользователям.
Более того, с помощью групповых политик можно применить данную настройку не ко всему домену, а например к маленькой группе машин, объеденных в OU.
Специально для поиска таких GPO вы можете использовать инструмент GPOHunter https://github.com/PShlyundin/GPOHunter.
P.S. инструмент еще будет дорабатываться, но уже сейчас, помимо NetNTLMv1, он поможет найти вам GPO хранящие пароль локальных УЗ (MS14-025), а так же выявит использование reversible encryption и к кому оно применяется.
Включение и отключение NetNTLMv1 аутентификации управляется через политику (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: LAN Manager authentication level). Политика может быть локальной или групповой, так же устанавливает значение реестра MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel в 4,0 или 4,1
4,0 - Отправляет LM и NTLM ответы
4,1 - Отправляет LM и NTLM, использует NTLMv2 если поддерживается
Следовательно, если есть возможность, то стоит прочитать данный ключ реестра через службу удаленного реестра на всех машинах в домене... но есть ли способ проще?
На самом деле есть! В больших корпоративных сетях данная настройка скорее всего будет раскатываться через групповую политику, а групповая политика будет храниться на контроллерах домена и доступна для чтения всем пользователям.
Более того, с помощью групповых политик можно применить данную настройку не ко всему домену, а например к маленькой группе машин, объеденных в OU.
Специально для поиска таких GPO вы можете использовать инструмент GPOHunter https://github.com/PShlyundin/GPOHunter.
P.S. инструмент еще будет дорабатываться, но уже сейчас, помимо NetNTLMv1, он поможет найти вам GPO хранящие пароль локальных УЗ (MS14-025), а так же выявит использование reversible encryption и к кому оно применяется.
08.04.202508:37
Всем привет!
Обычно zabbix связан с базой PostgreSQL или MySQL. В некоторых случаях у вас может появиться возможность подключения к хосту, на котором эта самая база крутится. В таком случае вы сможете захватить весь Zabbix.
Алгоритм прост:
1. Вам следует получить доступ к базе, которая связана с Zabbix. Например, если вы получили RCE на Linux-сервере и смогли, допустим, повыситься до root, то переключайте контекст на пользователя postgres и аутентифицируйтесь на базе через psql. По умолчанию ph_hba.conf пустит вас без аутентификации.
2. Затем подключайтесь к базе zabbix
3. Теперь вам можно создавать собственного суперадмин-пользователя. Отмечу, что в базах MySQL и Postgres синтаксис команды будет немного отличаться. Для корректности добавления проверяйте необходимые для заведения поля вот так:
После чего добавляем собственного админ-пользователя:
4. Логинимся в Zabbix через главную страницу
Обычно zabbix связан с базой PostgreSQL или MySQL. В некоторых случаях у вас может появиться возможность подключения к хосту, на котором эта самая база крутится. В таком случае вы сможете захватить весь Zabbix.
Алгоритм прост:
1. Вам следует получить доступ к базе, которая связана с Zabbix. Например, если вы получили RCE на Linux-сервере и смогли, допустим, повыситься до root, то переключайте контекст на пользователя postgres и аутентифицируйтесь на базе через psql. По умолчанию ph_hba.conf пустит вас без аутентификации.
su postgres2. Затем подключайтесь к базе zabbix
psql> \c zabbix3. Теперь вам можно создавать собственного суперадмин-пользователя. Отмечу, что в базах MySQL и Postgres синтаксис команды будет немного отличаться. Для корректности добавления проверяйте необходимые для заведения поля вот так:
select * from users;После чего добавляем собственного админ-пользователя:
# Хеш bcrypt UNIX, база Postgres (pentest:pentest)4. Логинимся в Zabbix через главную страницу
09.02.202508:32
Всем привет!
Недавно вышел интересный разбор LPE-уязвимости CVE-2024-12754 через AnyDesk. Разбор подробный, однако без POC. Поэтому надо исправлять :)
Сам механизм повышения привилегий основывается на возможности контроля целевого файла, который копируется в доступную для чтения низкопривилегированного пользователя директорию.
Нам остается лишь заставить AnyDesk, работающий от лица системы, прочитать файл, недоступный нам. Автор в статье использует чтение SAM из Shadow Copy.
Разработку, тестирование и отладку я проводил на AnyDesk версии 8.0.10, которую качал отсюда.
Вы можете сами попробовать POCнуть эту уязвимость, используя набор инструментов от Google Project Zero.
Моя реализация доступна здесь. Она осуществляет чтение произвольного файла, после чего копирует его содержимое на рабочий стол текущему пользователю.
Хоть Windows и активно продвигает механизм защиты, именуемый RedirectionTrust, предотвращающий переход по ссылкам, созданными не администраторами, однако эта митигация зачастую не распространяется на службы, которые были разработаны сторонними компаниями. Причина проста: разработчики не знают о ней и забывают применить, отсюда и появляется возможность LPE.
Демо можно посмотреть здесь
Недавно вышел интересный разбор LPE-уязвимости CVE-2024-12754 через AnyDesk. Разбор подробный, однако без POC. Поэтому надо исправлять :)
Сам механизм повышения привилегий основывается на возможности контроля целевого файла, который копируется в доступную для чтения низкопривилегированного пользователя директорию.
Нам остается лишь заставить AnyDesk, работающий от лица системы, прочитать файл, недоступный нам. Автор в статье использует чтение SAM из Shadow Copy.
Разработку, тестирование и отладку я проводил на AnyDesk версии 8.0.10, которую качал отсюда.
Вы можете сами попробовать POCнуть эту уязвимость, используя набор инструментов от Google Project Zero.
Моя реализация доступна здесь. Она осуществляет чтение произвольного файла, после чего копирует его содержимое на рабочий стол текущему пользователю.
Хоть Windows и активно продвигает механизм защиты, именуемый RedirectionTrust, предотвращающий переход по ссылкам, созданными не администраторами, однако эта митигация зачастую не распространяется на службы, которые были разработаны сторонними компаниями. Причина проста: разработчики не знают о ней и забывают применить, отсюда и появляется возможность LPE.
Демо можно посмотреть здесь
22.01.202517:01
Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.
Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?
1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.
2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)
Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:
Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.
Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?
1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.
2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)
Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:
git clone https://github.com/hashcat/hashcat && cd hashcatДля атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.
24.12.202408:35
Всем привет!
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
NT AUTHORITY\SYSTEM. Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
# Извлечение из реестраХочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
15.11.202406:29
Всем привет!
С каждым днем лица людей на улице все более сердитые и угрюмые, кое-где успел выпасть снег, а некогда теплые осенние вечера сменились тоскливыми снежными сумерками.
В такое время очень не хватает хорошего списка LPE эксплойтов под винду.
К великому сожалению, я не смог обнаружить актуальный поддерживаемый список сплойтов 2023-2024 годов, впрочем, благодаря каналу 1N73LL1G3NC3, который был предательски снесен администрацией Telegram, у меня получалось достаточно оперативно пополнять свой небольшой лист с гитхабовскими POC.
Поэтому я принял решение о создании своего списка с LPE сплойтами под винду. Получилось собрать практически все POCи, которые выходили с 2023 года.
Ознакомиться можно тут:
https://github.com/MzHmO/Exploit-Street
С каждым днем лица людей на улице все более сердитые и угрюмые, кое-где успел выпасть снег, а некогда теплые осенние вечера сменились тоскливыми снежными сумерками.
В такое время очень не хватает хорошего списка LPE эксплойтов под винду.
К великому сожалению, я не смог обнаружить актуальный поддерживаемый список сплойтов 2023-2024 годов, впрочем, благодаря каналу 1N73LL1G3NC3, который был предательски снесен администрацией Telegram, у меня получалось достаточно оперативно пополнять свой небольшой лист с гитхабовскими POC.
Поэтому я принял решение о создании своего списка с LPE сплойтами под винду. Получилось собрать практически все POCи, которые выходили с 2023 года.
Ознакомиться можно тут:
https://github.com/MzHmO/Exploit-Street
27.03.202512:08
LAPS v2
Как-то незаметно прошло обновление в 2023 году:
- Windows Server 2022 – KB5025230
- Windows Server 2019 – KB5025229
Но оно раз и навсегда изменило LAPS, который мы знали. Давайте вспомним как работал LAPS раньше.
Был скрипт, который расширял схему AD и добавлял атрибуты ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime, атрибут ms-Mcs-AdmPwd хранил пароль локальной учетной записи в открытом виде, но доступ к данному атрибуту имели только специально назначенные пользователи и, в принципе, данный механизм успешно справлялся со своей задачей... но все поменялось. Теперь схема расширяется и добавляются новые атрибуты:
- msLAPS-PasswordExpirationTime
- msLAPS-Password
- msLAPS-EncryptedPassword
- msLAPS-EncryptedPasswordHistory
- msLAPS-EncryptedDSRMPassword
- msLAPS-EncryptedDSRMPasswordHistory
Если явно отключить шифрование, то теперь пароль будет хранится в атрибуте msLAPS-Password с тем же механизмом, как и было ранее - но думаю такую настройку не получится встретить в живых инфраструктурах. Поэтому нас интересует атрибут msLAPS-EncryptedPassword - этот атрибут может читать любой пользователь, но ВНИМАНИЕ расшифровать его и получить пароль могут только специально назначенные пользователи. Давайте разберемся, что надо сделать, что бы расшифровать пароль:
1. Извлечение зашифрованного блоба из атрибута msLAPS-EncryptedPassword
2. Декодирование CMS (Cryptographic Message Syntax) для получения данных шифрования
3. Использование GKDI (Group Key Distribution Interface) для получения ключа
4. Создание Security Descriptor для авторизации запроса ключа
5. Подключение по RPC к сервису GKDI на контроллере домена
6. Получение группового ключа (Group Key)
7. Вычисление KEK (Key Encryption Key)
8. Расшифровка CEK (Content Encryption Key)
9. Расшифровка самого пароля
10. Извлечение пароля из JSON-структуры в UTF-16LE кодировке
Если вам явно не назначены права на чтение LAPS с помощью командлета Set-LapsADReadPasswordPermission, то на 5 шаге вы получите отказ.
А теперь самое интересное, буквально пару недель назад по ИБ пабликам прошла информация о новом инструменте goLAPS, для извлечения пароля LAPS и, о чудо, инструмент написан буквально 2-3 недели назад и он не поддерживает LAPSv2, он работает только со старым LAPS. Хорошо, в посте про инструмент было написано "The tools is inspired in pyLAPS. (https://github.com/p0dalirius/pyLAPS)" и этот инструмент тоже не поддерживает LAPSv2.
И тогда я решил проверить все инструменты что знаю и посмотреть, какие из них адаптированы к новому LAPSv2:
❌ LAPSToolkit.ps1
❌ LDAPPER
❌ NetExec ("LAPS password is encrypted and currently CrackMapExec doesn't support the decryption...")
❌ pyLAPS
❌ Get-LAPSPasswords
❌ LAPSDumper
✅ ldap_shell
✅ impacket
Думаю со временем ситуация будет исправляться, а пока советую использовать ldap_shell ☺️
Как-то незаметно прошло обновление в 2023 году:
- Windows Server 2022 – KB5025230
- Windows Server 2019 – KB5025229
Но оно раз и навсегда изменило LAPS, который мы знали. Давайте вспомним как работал LAPS раньше.
Был скрипт, который расширял схему AD и добавлял атрибуты ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime, атрибут ms-Mcs-AdmPwd хранил пароль локальной учетной записи в открытом виде, но доступ к данному атрибуту имели только специально назначенные пользователи и, в принципе, данный механизм успешно справлялся со своей задачей... но все поменялось. Теперь схема расширяется и добавляются новые атрибуты:
- msLAPS-PasswordExpirationTime
- msLAPS-Password
- msLAPS-EncryptedPassword
- msLAPS-EncryptedPasswordHistory
- msLAPS-EncryptedDSRMPassword
- msLAPS-EncryptedDSRMPasswordHistory
Если явно отключить шифрование, то теперь пароль будет хранится в атрибуте msLAPS-Password с тем же механизмом, как и было ранее - но думаю такую настройку не получится встретить в живых инфраструктурах. Поэтому нас интересует атрибут msLAPS-EncryptedPassword - этот атрибут может читать любой пользователь, но ВНИМАНИЕ расшифровать его и получить пароль могут только специально назначенные пользователи. Давайте разберемся, что надо сделать, что бы расшифровать пароль:
1. Извлечение зашифрованного блоба из атрибута msLAPS-EncryptedPassword
2. Декодирование CMS (Cryptographic Message Syntax) для получения данных шифрования
3. Использование GKDI (Group Key Distribution Interface) для получения ключа
4. Создание Security Descriptor для авторизации запроса ключа
5. Подключение по RPC к сервису GKDI на контроллере домена
6. Получение группового ключа (Group Key)
7. Вычисление KEK (Key Encryption Key)
8. Расшифровка CEK (Content Encryption Key)
9. Расшифровка самого пароля
10. Извлечение пароля из JSON-структуры в UTF-16LE кодировке
Если вам явно не назначены права на чтение LAPS с помощью командлета Set-LapsADReadPasswordPermission, то на 5 шаге вы получите отказ.
А теперь самое интересное, буквально пару недель назад по ИБ пабликам прошла информация о новом инструменте goLAPS, для извлечения пароля LAPS и, о чудо, инструмент написан буквально 2-3 недели назад и он не поддерживает LAPSv2, он работает только со старым LAPS. Хорошо, в посте про инструмент было написано "The tools is inspired in pyLAPS. (https://github.com/p0dalirius/pyLAPS)" и этот инструмент тоже не поддерживает LAPSv2.
И тогда я решил проверить все инструменты что знаю и посмотреть, какие из них адаптированы к новому LAPSv2:
❌ LAPSToolkit.ps1
❌ LDAPPER
❌ NetExec ("LAPS password is encrypted and currently CrackMapExec doesn't support the decryption...")
❌ pyLAPS
❌ Get-LAPSPasswords
❌ LAPSDumper
✅ ldap_shell
✅ impacket
Думаю со временем ситуация будет исправляться, а пока советую использовать ldap_shell ☺️
Пераслаў з:
s0i37_channel
03.02.202518:18
Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
18.01.202510:25
Windows Theme Spoofing
В Windows существуют специальные файлы тем с одноименным расширением
Фактически, это был Built-In Loader. Все основывалось на том, что Explorer.exe, обнаруживая в файле темы специальную ссылку на файл стилей (
На этом исследования Windows Themes не закончились и обнаружилась новая уязвимость — утечка NetNTLM-хеша без необходимости открытия файла тем. Достаточно было зайти в папку с правильно сгенерированным файлом и хеш был в наших руках. Язве был назначен идентификатор CVE-2024-21320, а POC можно найти тут.
Эти две уязвимости могут отлично работать в чейне с Smuggling-техниками.
Патч на CVE-2024-21320 заключался во внедрении проверки на UNC путь функцией
Так родилась CVE-2024-38030, подробного ее разбора не было, но появился POC.
MS чуть исправила функцию и, казалось бы, на этом все, однако, приключения не закончились, и появилась CVE-2025-21308. На нее пока нет ни разбора, ни POCа, но что-то мне подсказывает, что вновь появился способ обхода проверки на UNC путь :)
В Windows существуют специальные файлы тем с одноименным расширением
.themes. Они позволяют кастомизировать систему, применяя новые раскраски, цветовые палитры, шрифты и обои. В 2023 году вышел POC на уязвимость themebleed (POC2), которая как-то не была оценена по достоинству.Фактически, это был Built-In Loader. Все основывалось на том, что Explorer.exe, обнаруживая в файле темы специальную ссылку на файл стилей (
msstyles) , осуществит удаленную загрузку DLL с именем, оканчивающемся на _vrf.dll. Была, конечно, осуществлена проверка подписи, но эту проверку обошли с помощью атаки TOCTOU (Time of Check - Time of Use). При первом обращении на подконтрольный атакующему SMB-сервер происходила передача легитимной библиотеки DLL для осуществления проверок подписи, однако за первым запросом следовал второй (после успешной проверки), на который уже отдавалась вредоносная библиотека. На этом исследования Windows Themes не закончились и обнаружилась новая уязвимость — утечка NetNTLM-хеша без необходимости открытия файла тем. Достаточно было зайти в папку с правильно сгенерированным файлом и хеш был в наших руках. Язве был назначен идентификатор CVE-2024-21320, а POC можно найти тут.
Эти две уязвимости могут отлично работать в чейне с Smuggling-техниками.
Патч на CVE-2024-21320 заключался во внедрении проверки на UNC путь функцией
PathIsUnc() — если путь был на сетевую шару, то Explorer.exe не пытался подгрузить файлы для файла темы. Однако исследователи нашли способ обхода (благодаря статье Google Project Zero), указав UNC Path в ином формате: \??\UNC\ip\share. Так родилась CVE-2024-38030, подробного ее разбора не было, но появился POC.
MS чуть исправила функцию и, казалось бы, на этом все, однако, приключения не закончились, и появилась CVE-2025-21308. На нее пока нет ни разбора, ни POCа, но что-то мне подсказывает, что вновь появился способ обхода проверки на UNC путь :)
19.12.202414:00
Всё чаще на проектах встречаю 2FA на критичных серверах , на которые хочется войти именно по RDP, например, Kaspersky Security Center. Наиболее популярное решение, встречаемое мною, это Multifactor. На одном из последних проектов с коллегой мы попали как раз в такую ситуацию - у нас уже были права админа домена, но по RDP не зайти, пришлось искать пути обхода.
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.
Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.
reg.py domain.local/pentest@ksc01 -k -no-pass add -keyName 'HKCR\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}' -v 'NetworkBypassList' -vt REG_SZ -vd 10.10.10.11,10.10.8.22Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)
Паказана 1 - 19 з 19
Увайдзіце, каб разблакаваць больш функцый.