Forwarded from s0i37_channel
Но если же хакер извлечёт все захваченные handshake, то он сбрутит все теже самые пароли что мы отправляли в радиоэфир (скрин).
Нам ни чего не мешает отправить сотни, тысячи таких handshake. Каждый из подобранных паролей это трата времени хакера на проверку актуальности.
Отправка заведомо брутабельного handshake лишь одна из тактик. Которая может найти применение если защищаемая wifi сеть имеет слабый пароль. Так мы хотя-бы имеем шанс затерять реальный подобранный handshake среди сотен фейковых.
Другой же тактикой может быть отправка не брутабельных handshake. Ведь каждый такой хэш поставленный на брутфорс снижает общую производительность, снижая тем самым и шансы на успешность взлома легитимного handshake.
Наконец отправка любого (брутабельного или нет) фейкового handshake в туже секунду что и отправка deauth пакетов не даст хакеру понимания был ли захвачен легитимный handshake или нет.
Нам ни чего не мешает отправить сотни, тысячи таких handshake. Каждый из подобранных паролей это трата времени хакера на проверку актуальности.
Отправка заведомо брутабельного handshake лишь одна из тактик. Которая может найти применение если защищаемая wifi сеть имеет слабый пароль. Так мы хотя-бы имеем шанс затерять реальный подобранный handshake среди сотен фейковых.
Другой же тактикой может быть отправка не брутабельных handshake. Ведь каждый такой хэш поставленный на брутфорс снижает общую производительность, снижая тем самым и шансы на успешность взлома легитимного handshake.
Наконец отправка любого (брутабельного или нет) фейкового handshake в туже секунду что и отправка deauth пакетов не даст хакеру понимания был ли захвачен легитимный handshake или нет.
Forwarded from REDtalk (Alexey)
Привет! ⌨️
Когда-то давно я делал🔗 пост про сертификаты и замочек в браузере слева от адресной строки. В комментариях был вопрос про виды защит браузера от mitm-атак. Не прошло и года (прошло), как я сделал стенд для их проверки. Далее покажу простой перехват https-трафика практически без использования специализированных инструментов, а также посмотрим на сработки встроенных механизмов защиты в браузер.
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет😏
Когда-то давно я делал
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
[Windows10] - (ens37)[Linux](ens33) - [Интернет] # роутер используется для MITM-атак.
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
# Включаем редирект
echo 1 > /proc/sys/net/ipv4/ip_forward
# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Создаем NAT и перенаправление трафика между интерфейсами
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A FORWARD -i ens37 -o ens33 -j ACCEPT
iptables -A FORWARD -i ens33 -o ens37 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Ставим ip-адрес на ens37. ens33 Получает его по dhcp
ip addr add 10.13.37.10/24 dev ens37
# Примечание. NetworkManager может сбрасывать заданный адрес, поэтому
# на время эксперимента его лучше отключить
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
# Редиректим любой 443 порт на 127.0.0.1:443
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 443 -j REDIRECT --to-port 443
# Запускаем mitmproxy на прослушку и редирект трафика на read.pyfffe.site и смотрим на вывод
# 212.67.10.54 это ip read.pyfffe.site
mitmproxy -p 443 --mode reverse:https://212.67.10.54:443 --showhost --ssl-insecure
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем хак 👾
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
❤1
www.opennet.ru
Опубликована платформа Node.js 25.0.0
Состоялся релиз Node.js 25.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 25.0 отнесён к промежуточным веткам, сопровождение которых осуществляется в течение 7 месяцев (до июня 2026 года). В ближайшие дни будет завершена стабилизация…
🔗Ссылка:
https://opennet.ru/64077/
https://opennet.ru/64077/
www.opennet.ru
Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО
Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки…
🔗Ссылка:
https://opennet.ru/64079/
https://opennet.ru/64079/
Forwarded from AP Security
#soc #tools
Windows Security Events Terminal🔍
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
🌟 Ознакомиться с исходниками утилиты можно по следующей ссылке.
Windows Security Events Terminal
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
Forwarded from purple shift
Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
А вот как выглядит теперь событие 4887 при таком запросе:
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д. А вот как выглядит теперь событие 4887 при таком запросе:
Certificate Services approved a certificate request and issued a certificate.
Request ID: 79
Requester: ESSOS\daenerys.targaryen
Attributes:
ccm:meereen.essos.local
Disposition: 3
SKI: 93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09
Subject: CN=daenerys.targaryen, CN=Users, DC=essos, DC=local
Subject Alternative Name:
Other Name:
Principal Name=viserys.targaryen
Certificate Template: ESC1
Serial Number: 200000004f317b974a5431d29a00000000004f
Authentication Service: Kerberos
Authentication Level: Privacy
DCOMorRPC: DCOM
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
CertSerialNumber). К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.