Forwarded from CyberSecrets
Задача для собеседования №5
Очень простая задачка, на базовое понимания техник и их ограничений.
Сценарий:
В ходе выполнения работ было обнаружено что рабочая группа
После получения доступна на сервер
Дополнительные условия
- На всех хостах в сети установлены последние обновления.
- Есть возможность создавать объекты компьютер.
- Уровень домена – 2016.
Цель
- Получить привилегии группы
Так как задача простая решение будет опубликовано завтра.
#Внутрянка #Задачи
Очень простая задачка, на базовое понимания техник и их ограничений.
Сценарий:
В ходе выполнения работ было обнаружено что рабочая группа
EVERYONE имеет права на изменение атрибута msDS-AllowedToActOnBehalfOfOtherIdentity на сервере TERM. Так же было установлено, что группа DOMAIN USERS имеет права на получение доступа на сервер TERM по протоколу RDP. Из реестра была получена информация о возможной сессии пользователя HD-ADMIN.После получения доступна на сервер
TERM по протоколу RDP, была подтверждена активная сессия учетной записи HD-ADMIN, которая является ACCOUNT OPERATORS. Также была получена информация, что в группу локальных администраторов входит группа DOMAIN ADMINS и учетная запись компьютера TEST. В ходе получения дополнительной информации специалист установил, что хост TEST не доступен на сетевом уровне, а все члены группы DOMAIN ADMINS являются членами группы PROTECTED USERS .Дополнительные условия
- На всех хостах в сети установлены последние обновления.
- Есть возможность создавать объекты компьютер.
- Уровень домена – 2016.
Цель
- Получить привилегии группы
ACCOUNT OPERATORS.Так как задача простая решение будет опубликовано завтра.
#Внутрянка #Задачи
Forwarded from Whitehat Lab
GitHub
GitHub - Lifailon/rudocs: Large base of notes on PowerShell, Linux and DevOps tools in ru language (cheat sheets and documentation).
Large base of notes on PowerShell, Linux and DevOps tools in ru language (cheat sheets and documentation). - Lifailon/rudocs
Нашел крайне полезный, так еще и русскоязычный репозиторий
Большая база заметок по синтаксису PowerShell, командам Linux и инструментам DevOps на русском языке, собранная на пути от системного администратора Windows систем до DevOps инженера
Репозиторий содержит набор PowerShell и Bash скриптов, а также коллекцию стеков Docker Compose и манифестов Kubernetes, которые поддерживаются в актуальном состояние и эксплуатируется в домашней лаборатории
#linux #powershell #devops #docker #k8s
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Форк популярного скрипта ldapdomaindump, но только работает с ADWS
https://github.com/mverschu/adwsdomaindump
#ad #pentest #redteam #recon
https://github.com/mverschu/adwsdomaindump
#ad #pentest #redteam #recon
GitHub
GitHub - mverschu/adwsdomaindump: Active Directory information dumper via ADWS for evasion purposes.
Active Directory information dumper via ADWS for evasion purposes. - mverschu/adwsdomaindump
❤1
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда на пентесте уложил прод заказчику (уже неделю чинят)
😁1
InfoGuard Labs
CVE-2025-13176: Local Privilege Escalation in ESET Inspect EDR - InfoGuard Labs
Local Privilege Escalation (LPE) in ESET Inspect Connector for Windows via OpenSSL configuration (openssl.cnf).
Forwarded from purple shift
Недавний кейс из нашей практики — отличный пример того, как атакующие комбинируют легитимные инструменты для устойчивого удалённого доступа.
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
— VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
Также смотрите на Run-ключ:
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
— Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
После получения повышенных привилегий на хосте злоумышленники установили Velociraptor, указав в
server_urls свой C2-сервер. С этого момента дальнейшее управление системой осуществлялось уже через него. После базового Discovery они скачали Visual Studio Code (Insiders) и установили VS Code Tunnel в режиме Install as a service. Важно понимать, что под капотом это не «настоящий сервис», а запись в Run-ключе:
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run Далее — ещё немного Discovery, но уже через VS Code Server, и следующим шагом появляется Cloudflare Tunnel.
Однако и этого атакующим оказалось недостаточно: финальным штрихом стал Zoho Assist в режиме Unattended Remote Session, позволяющий подключаться к системе без какого-либо подтверждения со стороны пользователя.
Итог: четыре независимых канала удалённого доступа к одному хосту. При этом три из них — Velociraptor, VS Code Tunnel\Server и Zoho Assist — встречаются не так уж часто.
Что здесь можно детектировать?
— Velociraptor. Если вы его не используете, любое появление этого сервиса уже будет красным флагом. А если используете — контролируйте список допустимых серверов, так как обращения к посторонним
server_urls выглядят крайне подозрительно. — VS Code Tunnel. Обращайте внимание на установку сервиса, будут примерно такие команды:
code-insiders.exe tunnel --accept-server-license-terms service install
code-tunnel.exe tunnel service uninstall
Также смотрите на Run-ключ:
key: Visual Studio Code - Insiders Tunnel
value: ...\code-insiders.exe --verbose --cli-data-dir C:\Windows\system32\config\systemprofile\.vscode-insiders\cli tunnel service internal-run --log-to-file C:\Windows\system32\config\systemprofile\.vscode-insiders\cli\tunnel-service.log
И ещё обращайте внимание на активность от процессов VS Code Server, расположенных по пути
.vscode\cli\servers\ или .vscode-insiders\cli\servers\. — Cloudflare Tunnel. При старте/остановке сервиса и запуске туннеля генерируется EventID: 1 в журнале Application (Source: Cloudflared) — это удобная точка для алертов.
— Zoho Assist. Для его использования в режиме Unattended требуется запуск сервиса Zoho Assist – Unattended Support, реализованного в файле
...\ZohoMeeting\UnAttended\ZohoMeeting\ZohoURSService.exe.Forwarded from Whitehat Lab
Набор техник для получения первоначального доступа к AD инфраструктуре
The complete red team guide to Initial Access: Payload Development (DLL Sideloading, Shellcode Loaders, Syscalls), HTML Smuggling, Phishing (QR Code Quishing, Teams Phishing), AitM/MFA Bypass (Evilginx, Device Code Phishing), Password Spraying, Exploiting Public-Facing Applications, Vishing, Physical Access (Rubber Ducky, Bash Bunny), Supply Chain attacks with real-world APT case studies
Каждая техника в этом руководстве соответствует MITRE ATT&CK Tactic TA0001 Initial Access
#windows #redteam #initial #phishing #ad
Please open Telegram to view this post
VIEW IN TELEGRAM