Forwarded from haxx
🥷🏼 Всем привет. Собрал материалы с недавно прошедшей финской сесурити конфы Disobey. В основном оффенсив топики, но есть немного и про безопасную безопасность.
Will It Run? Fooling EDRs with command lines using empirical data
🎬 Видео на YouTube
Adventures in developing a C2 framework
🎬 Видео на YouTube
Infostealer - what a menace, man
🎬 Видео на YouTube
Flipping Bits: Your Credentials Are Certainly Mine
🎬 Видео на YouTube
Hunting for Attack Paths in OpenAPI Documentations
🎬 Видео на YouTube
Web security is fun (or how I stole your Google Drive files)
🎬 Видео на YouTube
Staying Sneaky in Microsoft Azure
🎬 Видео на YouTube
Living off Microsoft Copilot
🎬 Видео на YouTube
Microsoft Entra ID: Gateway to Supply Chain Attacks on a Global Scale
🎬 Видео на YouTube
Cloud Custodian Unleashed: Automate and Dominate Cloud Governance
🎬 Видео на YouTube
Email hacking, attacks and defence today
🎬 Видео на YouTube
Out of Order: protocol confusion attacks in the real world
🎬 Видео на YouTube
Navigating Chaos: A Prison's Struggle with Ransomware and Legacy Systems
🎬 Видео на YouTube
How Fast and Deliberate Swiping Gave Us Access to Very Sensitive Data
🎬 Видео на YouTube
Hacking people and organizations for greater good
🎬 Видео на YouTube
Dissecting the Cicada - In the shadow of the Black Cat
🎬 Видео на YouTube
Playing hide and seek in Java land
🎬 Видео на YouTube
Supercharging Your Security Pipeline
🎬 Видео на YouTube
Is this it: Does DevOps development style decrease the security of software?
🎬 Видео на YouTube
State of Union
🎬 Видео на YouTube
Social Engineering and elicitation techniques of hacking a human being
🎬 Видео на YouTube
Deep fake it till you make it!
🎬 Видео на YouTube
WarGames: Security in Games
🎬 Видео на YouTube
OODA Loops and Building Mental Snowmobiles
🎬 Видео на YouTube
KEYNOTE: SIGINT, COMINT, Hack it
🎬 Видео на YouTube
KEYNOTE: You're in the Army Now
🎬 Видео на YouTube
Will It Run? Fooling EDRs with command lines using empirical data
🎬 Видео на YouTube
Adventures in developing a C2 framework
🎬 Видео на YouTube
Infostealer - what a menace, man
🎬 Видео на YouTube
Flipping Bits: Your Credentials Are Certainly Mine
🎬 Видео на YouTube
Hunting for Attack Paths in OpenAPI Documentations
🎬 Видео на YouTube
Web security is fun (or how I stole your Google Drive files)
🎬 Видео на YouTube
Staying Sneaky in Microsoft Azure
🎬 Видео на YouTube
Living off Microsoft Copilot
🎬 Видео на YouTube
Microsoft Entra ID: Gateway to Supply Chain Attacks on a Global Scale
🎬 Видео на YouTube
Cloud Custodian Unleashed: Automate and Dominate Cloud Governance
🎬 Видео на YouTube
Email hacking, attacks and defence today
🎬 Видео на YouTube
Out of Order: protocol confusion attacks in the real world
🎬 Видео на YouTube
Navigating Chaos: A Prison's Struggle with Ransomware and Legacy Systems
🎬 Видео на YouTube
How Fast and Deliberate Swiping Gave Us Access to Very Sensitive Data
🎬 Видео на YouTube
Hacking people and organizations for greater good
🎬 Видео на YouTube
Dissecting the Cicada - In the shadow of the Black Cat
🎬 Видео на YouTube
Playing hide and seek in Java land
🎬 Видео на YouTube
Supercharging Your Security Pipeline
🎬 Видео на YouTube
Is this it: Does DevOps development style decrease the security of software?
🎬 Видео на YouTube
State of Union
🎬 Видео на YouTube
Social Engineering and elicitation techniques of hacking a human being
🎬 Видео на YouTube
Deep fake it till you make it!
🎬 Видео на YouTube
WarGames: Security in Games
🎬 Видео на YouTube
OODA Loops and Building Mental Snowmobiles
🎬 Видео на YouTube
KEYNOTE: SIGINT, COMINT, Hack it
🎬 Видео на YouTube
KEYNOTE: You're in the Army Now
🎬 Видео на YouTube
disobey.fi
Disobey - The Nordic Security Event
Forwarded from true_security
нашел и решил написать про небольшую фичу в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21
Telegraph
bitrixvm lpe из коробки
Слово bitrix уже как 3 года в переводе с молдаванского означает рукалицо. Сегодня расскажу вам про интересную фичу bitrixvm. Возможно кто то из вас с этим сталкивался, для меня это было новым. После получения доступа к серверу с bitrix мы обычно имеем права…
Forwarded from s0ld13r ch. (s0ld13r)
Подхватил у @byteoflife идею этого поста и хочу поделиться про довольно популярную технику фингерпринтинга - Favicon Hashing 😸
Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅
Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/
А касательно поста вот и сам favicon hash (FOFA)😏
FOFA выдал 20 результатов, с 4 уникальными значениями🔫
Детектнутые домены и IP🪨
144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help
@s0ld13r_ch
Цель данной техники заключается в идентификации веб страниц и приложений на основе их значка favicon, в случае если актор использует весьма заметный favicon или не поменял его при деплое C2, то можно попробовать найти его в различных поисковых системах по типу Censys, FOFA 🦅
Для снятия хэша favicon можно использовать данный ресурс: https://faviconhasher.codejavu.tech/
А касательно поста вот и сам favicon hash (FOFA)
icon_hash="-1049861794"
FOFA выдал 20 результатов, с 4 уникальными значениями
Детектнутые домены и IP
144[.]91[.]79[.]54
144[.]91[.]92[.]251
partagerapide[.]com
horusprotector[.]help
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Purple Chronicles (Feyd-Rautha Harkonnen)
Внезапная заметка, которая может помочь вам незаметно получить учетные данные доменного пользователя без необходимости взаимодействия с контроллером домена
Представьте, что вы получили доступ к какому-то сетевому устройству (пусть это будет, например, PfSense), и у вас получилось его встроенными (или не совсем) средствами записать трафик, в котором вы позже нашли успешную Kerberos аутентификацию. Выглядеть она будет так, как показано на первом скриншоте
Для восстановления пароля пользователя нас интересует этап преаутентификации (AS-REQ), где передаётся зашифрованная секретом пользователя метка времени, которая и подвергнется атаке (а секрет считается из пароля этого пользователя).
Для осуществления атаки подготавливаем среду. В качестве ОС я использую Kali, а средство, которое нам даст требуемые артефакты, — известное ПО для сетевой форензики NetworkMiner.
Первым делом устанавливаем ПО на нашу ОС. Так как NetworkMiner разработан под Windows, для его запуска на Kali используем
mono, который также нужно установить:sudo apt install -y mono-devel
wget https://www.netresec.com/?download=NetworkMiner -O ./networkminer.zip
unzip networkminer.zip
mono NetworkMiner_2-9/NetworkMiner.exe --noupdatecheck
После того, как мы успешно запустили NetworkMiner, импортируем туда файл с трафиком.
Важно: NetworkMiner не умеет обрабатывать файлы с расширением .pcapng, поэтому перед импортом файла убедитесь, что он сконвертирован в нужный формат. Сделать это можно следующим образом:
tshark -F pcap -r traffic.pcapng -w traffic.pcap
После успешного открытия файла идём во вкладку Credentials, где видим извлеченные хэши в удобном для копирования формате (второй скриншот).
Мы будем взламывать именно PreAuth-данные (
krb5pa), поэтому правой кнопкой нажимаем на хэш в NetworkMiner и копируем его в буфер обмена.Далее дело за малым: записать его в файл и натравить
HashCat или JtR для атаки:echo '$krb5pa$18$william.dupond$CATCORP.LOCAL$CATCORP.LOCALwilliam.dupond$fc8b...' > pa.hash
sudo john --wordlist=/usr/share/wordlists/rockyou.txt pa.hash
Результат успешной атаки можно наблюдать на третьем скриншоте.
И это далеко не единственный случай, когда BlueTeam инструменты помогают красным командам достичь своих целей
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM