Fsecurity | HH pinned «⚠️Ссылка: https://www.kali.org/blog/new-kali-archive-signing-key/»
Как вам такой подарок ? 🤔
Anonymous Poll
30%
Супер 😁
30%
Этот ваш kali... А я говорил... 🤬
10%
Пофиг, у меня Arch 😎
0%
😐
30%
* узнать ответы * 🍷
Forwarded from Whitehat Lab
HACKLIDO
Pentesting Active Directory - Part 5 | Lateral Movement, Privilege Escalation & Tools
Let’s learn about Lateral movement, privilege escalation and some amazing tools that you can add to your arsenal Introduction Once inside the network, t...
Ребят, нашел для вас неплохую подборку материалов по AD, да, местами используется устаревший софт, например crackmapexec, но база никуда не делась, все подробно и понятно, рекомендую к прочтению и освоению
Part 1 | Trees, Forest and Trust Relations
Part 2 | Access Control, Users, KRGBT, Golden ticket attack
Part 3 | Recon with AD Module, Bloodhound, PowerView & Adalanche
Part 4 | LLMNR Poisoning
Part 5 | Lateral Movement, Privilege Escalation & Tools
Part 6 | Domain persistence and cross forest attacks
Part 7 | Abusing Misconfigured Templates (ESC1)
#windows #activedirectory #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XRP
В NPM-пакете xrpl выявлен вредоносный код (CVE-2025-32965), отправляющий на внешний сервер мастер-ключи от криптокошельков и закрытые ключи криптовалют. Пакет xrpl позиционируется как официально рекомендованная библиотека (xrpl.js) для взаимодействия JavaScript…
🔗Ссылка:
https://opennet.ru/63145/
https://opennet.ru/63145/
Forwarded from Whitehat Lab
Хороший анализатор HTTP заголовков
В
sudo apt install humble
Использование:
python3 humble.py -u https://www.spacex.com
#humble #web #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пакет Безопасности
Поиск работы в ИБ
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится👍
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Написал тут для вас (и не только) новую статейку о том, какие этапы ждут того, кто планирует начать искать работу в ИБ. Чтиво подойдет как для матерых специалистов, так и для тех, кто только заглядывает в этот чудный мир кибербезопасности.
Жестокие блиц-скрининги, торги за оффер, детектор лжи и всё в этом духе. Статья логично дополняет и продолжает тему прошлой про написание лучшего резюме в галактике.
Ну а вот и сама статья – ссылка
Лайк, шер, репост, как говорится
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Whitehat Lab
Обновление инструмента для выявления связей и построения графов в
Отличный инструмент при пентесте
Для сбора информации используются коллекторы bloodhound-ce или SharpHound
UPD. Patch notes
Установка:
curl -L https://ghst.ly/getbhce | docker compose -f - up
http://localhost:8080/ui/login
Логин admin и сгенерированный пароль
Для обновления переходим в директорию с docker-compose.yml и запускаем:
docker compose pull && docker compose up
Сбор информации:
python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp
Neo4j запросы:
# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset
# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset
# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description
# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p
# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c
# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p
Подробный гайд:
ADCS атаки:
Ссылки:
#bloodhound #pentest #active_directory #soft #bhce
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Заметки Слонсера (Slonser)
Последнее время начали распространять довольно странный материал, примеров много но прикреплю один - https://t.me/innostage_group/2274
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
На web.telegram.org включен
Браузер будет пытаться всегда установить соединение через
4.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:
https://web.telegram.org/#/login?auth_token=eyJhbGciOi...
И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )
А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.
Мошенники создают специально подготовленные веб-сайты, содержащие
внедрённый JavaScript-код, который автоматически извлекает токен из
URL-адреса после перенаправления на web.telegram.org.
.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)
2.
Расширения, установленные в браузере пользователя, отслеживают все
посещаемые URL. При обнаружении параметра auth_token= происходит
автоматическое извлечение токена и его передача на сервер
злоумышленника.
Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.
3.
В незашифрованных или скомпрометированных сетях злоумышленники
используют MITM-атаки, прокси-перехват, DNS-спуфинг и другие методы
для анализа трафика и перехвата авторизационных токенов.
На web.telegram.org включен
Upgrade-Insecure-Requests: 1
Браузер будет пытаться всегда установить соединение через
https, что уменьшает возможность атаки в публичных сетях. Ну и остальное тоже не очень релевантно, реально украсть аккаунт на расстоянии невозможно4.
Заражённые приложения могут получить доступ к истории браузера,
системным логам или оперативной памяти, откуда извлекаются токены.
Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак
5.
При краткосрочном несанкционированном доступе к разблокированному
устройству, злоумышленник может вручную открыть ссылку во
встроенном браузере Telegram и скопировать токен из адресной строки.
Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.
В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте
Telegram
Innostage
⚡️В браузере Telegram нашли опасную уязвимость
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
Знакомый прислал в мессенджере сообщение со ссылкой, и вы её открыли? Это могла быть ссылка на голосование, опрос, регистрацию или любую другую привычную страницу. Но если она была вредоносной и открылась во…
Forwarded from Whitehat Lab
Start.me
Forensics - Start.me
A startpage with online resources about Forensics, created by Dillon Bowe.
Стартовая страница с инструментами и материалами по DFIR
Некоторые инструменты:
P.S.
Задать вопрос: @wh_feedback_bot
Чат: @whitehat_chat
#dfir #forensics
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Adaptix Framework
Если кто не заметил, в предыдущем посте приводился пример с новым агентом.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.
Как видно на этих скринах, gopher работает и в Linux, и в MacOS. Пока у него будет ограниченный функционал, так как больше интересовал момент интеграции нового агента в уже существующую инфраструктуру C2.