💻 Windows Inter Process Communication A Deep Dive Beyond the Surface

Подборка статей по IPC (англ.)

➡️ Part 1
➡️ Part 2
➡️ Part 3
➡️ Part 4
➡️ Part 5

#windows #ipc #rpc

✈️ Whitehat Lab 💬Chat

📡 WSUS: твой сервер обновлений или хакерский шлюз?

Lorenzo Meacci разобрал, как WSUS превращается в хакерский хайвей для LPE, lateral movement и C2-доставки. Windows Server 2022 под ударом, и вот почему админам пора пить кофе покрепче. 🍺

Как ломают WSUS:
1️⃣ MITM + ARP Spoof = Game Over
Забыл HTTPS? Поздравляю, через HTTP твой WSUS качает фейковый .cab с PsExec. Новый юзер в local admins? Легко.
💥 Pro tip: без TLS твой WSUS — это просто хакерский FTP.

2️⃣ WSUS Admin Abuse? Пфф, детская шалость
С доступом к WSUS (SharpWSUS или консоль) пихаем "легит" апдейт: net user eviladmin /add. Аппрувим и вуаля — клиент выполняет. HTTPS? Не спасает, подпись никто не проверяет.

3️⃣ LPE через сам WSUS
WSUS-сервер в GPO как клиент? Загружаем "обновление", триггерим вручную — получаем SYSTEM shell.

4️⃣ Stealth Payloads для OPSEC
Забудь шумный PsExec. Берем ADCS, запрашиваем код-сигн сертификат, подписываем свой шелл, п(sign) → pywsus → reverse shell. EDR спит, ведь сертификат "легит". 😉

5️⃣ NTLM Relay + RBCD = DCSync
Перехватываем NTLM, релеим на ADCS (ESC8) или цепляем RBCD через msDS-AllowedToActOnBehalfOfOtherIdentity. Итог? Полный домен твой

🧨 Реальность:
Работает, если GPO кривые, HTTP включен, а ADCS открыт для всех. Но если звёзды сошлись — ты уже в DC, пока Blue Team ищет логи.

🛡 Detection:
- Event ID 364, wusa.exe, подозрительные .cab — лови в SIEM.
- GPO: бан для "intranet signed updates".
- HTTPS only, аудит аппрувов, лок на WSUS Admin.
- EDR/XDR с нормальным мониторингом certsrv и net user.

📖 https://lorenzomeacci.com/wsus-exploitation-all-you-need-to-know
🦔 THF

💻 Golden dMSA: What Is dMSA Authentication Bypass?

🔗 Golden dMSA

This tool exploits a new attack against delegated Managed Service Accounts called the "Golden DMSA" attack. The technique allows attackers to generate passwords for all associated dMSAs offline

💻 PoC

#redteam #pentest #dmsa #windows #ad

✈️ Whitehat Lab 💬Chat

Good news, free TI, give me two 🎧

Threat Intelligence in ANY.RUN continues to evolve — not only by adding more features, but by making the right ones easier to use. We’ve simplified access to ANY.RUN Threat Intelligence with a free version of TI Lookup.  
You now can explore Public Samples, TTPs, Suricata rules, and malware trends inside our Threat Intelligence product in a cleaner, faster way. 
It’s about putting existing value in the right place, for the right audience. For analysts and teams starting with ANY.RUN in a Threat Intelligence context, this is a much better entry point. 
It’s a step to help you do less — so you can focus on more. 

🔗 https://any.run/cybersecurity-blog/threat-intelligence-lookup-new-plan/

🦔 THF

😈 Repeater Strike: manual testing, amplified

В этой статье мы представляем Repeater Strike - новое расширение Burp Suite на базе AI, предназначенное для автоматизации поиска IDOR и подобных уязвимостей

🔗 PortSwigger

#portswigger #web #burp

✈️ Whitehat Lab 💬Chat