Forwarded from s0ld13r ch. (s0ld13r)
LOL... да кто это ваш LOLRMM?! 😠
Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго🥷
Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):
Из интересного для TH🛡
Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша❗️
Из интересного для Red Team🎩
Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса😏
🔗 Link: https://lolrmm.io/
@s0ld13r_ch
Последние тенденции крутятся вокруг легитимного или условно легитимного софта, именуемых как LOL (Living of the Land). Данную технику часто применяют Threat Actor'ы, чтобы немного поиграть на нервишках SOC и оставаться в сети максимально долго
Я уже обозревал некоторые проекты по типу LOLC2, а комьюнити уже выкатило огромный список RMM инструментов (по типу AnyDesk/TeamViewer):
LOLRMM is a curated list of Remote Monitoring and Management (RMM) tools that could potentially be abused by threat actors. Inspired by the original LOLBAS project for tracking binaries and closely associated with LOLDrivers for malicious drivers, this project aims to assist security professionals in staying informed about these tools and their potential for misuse.
Из интересного для TH
Собрали 272 индикаторов инструментов для удаленного администрирования, что позволит обогатить данные в правилах и с большей долей вероятности поймать плохиша
Из интересного для Red Team
Список инструментов которые можно использовать и тихо сидеть в сетке не вызывая шума под носом у Антивируса
🔗 Link: https://lolrmm.io/
@s0ld13r_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Adaptix Framework
В версии 0.3 будут реализованы "internal" листенеры, для коммуникации агентов между собой по различным каналам. В качестве примера реализован SMB beacon.
В поле External отображается текущих управляющий агент и имя линка
В поле External отображается текущих управляющий агент и имя линка
Forwarded from SHADOW:Group
Раскрыли подробности новой уязвимости в Next.JS
CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest, позволяющая полностью игнорировать middleware, включая проверку авторизации и перезапись путей.Как это работает
Next.js использует
x-middleware-subrequest для внутренних нужд: он указывает, какие middleware уже были пройдены. Однако злоумышленник может сам подставить значение, указывающее, что middleware уже обработан, и тем самым обойти все проверки.x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
x-middleware-subrequest: src/middleware:src/middleware:src/middleware:src/middleware:src/middleware
Пример запроса:
GET /admin/dashboard HTTP/1.1
Host: vulnerable.site
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
Результат: Middleware полностью игнорируется, и запрос проходит, как будто пользователь авторизован.
Другие сценарии атак
Если middleware устанавливает Content-Security-Policy и другие заголовки - они будут проигнорированы.
Например, если сайт делает rewrite на основе геолокации, можно закэшировать "пустую" или ошибочную версию страницы, нарушив доступность для других.
Кого это касается
Приложения, использующие middleware для авторизации или других чувствительных задач. Если middleware не используется - уязвимость малозначима (кроме DoS-сценариев).
📖 Подробнее:
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
#web #bac #cache #dos #csp
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Proxy Bar
Forwarded from CyberSecrets
Новые старые связи BloodHound
С выходом BloodHound CE я как-то перестал следить за тем, что нового добавляется в функционал. А зря! Просматривая новостные ленты, я обнаружил, что разработчики планируют добавить (может уже добавили) новую связь
Пойдем дальше, аналогично со связью
В этом запросе, сначала находим группу
В дополнение, можно добавить связь
Визуализация путей позволяет расширить картину инфраструктуры и найти оптимальные пути для выполнения работ.
#BloodHound #Внутрянка #Cypher
С выходом BloodHound CE я как-то перестал следить за тем, что нового добавляется в функционал. А зря! Просматривая новостные ленты, я обнаружил, что разработчики планируют добавить (может уже добавили) новую связь
CoerceAndRelayNTLMToSMB. Эта связь показывает возможность выполнения последовательности атаки от принудительной аутентификации до NTLM Relay в SMB для получения различных учетных данных или выполнения кода на удаленном компьютере. Выполнять Relay SMB в LDAP нельзя без определенных условий. Но если есть компьютеры, которые являются локальными администраторами на других компьютерах, данная связь уже имеет смысл. Второй вариант использования этой связи, когда мы заставляем пользователей пройти принудительную аутентификацию (например, LNK файлы) и выполняем технику NTLM Relay на хосты, где они имеют привилегии локального администратора. Пойдем дальше, аналогично со связью
CoerceAndRelayNTLMToSMB можно добавить связь CoerceAndRelayWebClient, которая будет показывать возможность выполнять технику Relay HTTP в LDAP. В посте про поиск компьютеров с включенным WebClient есть скрипт, который позволяет автоматизировать этот процесс и сразу выводить информацию в виде Cypher запросов. После загрузки данных можно выполнить следующий запрос, чтобы добавить новую связь:
MATCH (g:Group) WHERE g.objectid ENDS WITH "S-1-5-11"
MATCH (c:Computer) WHERE c.webclient = TRUE
MERGE (g)-[r:CoerceAndRelayWebClient]->(c)
В этом запросе, сначала находим группу
AUTHENTICATED USERS и все компьютеры, у которых запущен WebClient и устанавливаем между ними связь.В дополнение, можно добавить связь
GetServiceTicket (Kerberoasting) от группы `AUTHENTICATED USERS до всех незаблокированных пользовательских учетных записей, у которых есть SPN. Cypher запрос будет следующим.cypher
MATCH (g:Group) WHERE g.objectid ENDS WITH "S-1-5-11"
MATCH (u:User) WHERE u.hasspn = TRUE AND u.enabled = TRUE
MATCH (g)-[r:GetServiceTicket]->(u)
Визуализация путей позволяет расширить картину инфраструктуры и найти оптимальные пути для выполнения работ.
#BloodHound #Внутрянка #Cypher
Ligolo-MP - это усовершенствованная версия Ligolo-ng с архитектурой клиент-сервер, позволяющая тестировщикам совместно работать с несколькими параллельными туннелями. Она автоматически управляет всеми вашими настройками, а также предоставляет понятный графический интерфейс для отслеживания всего.
🔗Ссылка:
https://github.com/ttpreport/ligolo-mp
🔗Ссылка:
https://github.com/ttpreport/ligolo-mp
GitHub
GitHub - ttpreport/ligolo-mp: Multiplayer pivoting solution
Multiplayer pivoting solution. Contribute to ttpreport/ligolo-mp development by creating an account on GitHub.