Forwarded from RedTeam brazzers (Миша)
Всем привет, на днях в достаточно подробном исполнении появилась еще одна вариация атаки Kerberos Relay. Этот пост для тех, кто окончательно запутался и не знает, с чего начать изучение всего обилия инструментов и статей.
Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.
В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.
Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.
Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.
Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.
Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.
Вернемся к DNS. Зона может быть настроена с флагом
Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.
Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.
Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.
В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.
Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.
Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.
Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.
Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.
Вернемся к DNS. Зона может быть настроена с флагом
ZONE_UPDATE_UNSECURE , что разрешает обновления без аутентификации. В таком случае мы можем осуществить MiTM и перехватить AP-REQ креды, идущие на какие-либо службы. Соответственно, сделать релей на эти службы и получить к ним доступ. POC называется KrbJack. Он автоматизирует весь цикл атаки: сначала подменяет IP-адреса, потом слушает пакеты и, если обнаруживает аутентификацию по керберосу или NTLM, то пытается отрелеить ее на шару ADMIN$ с последующим деплоем шелла. Тулзу можно использовать и просто для обновлений записей анонимно. Пример использования в репозитории.Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.
Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.
Forwarded from SecuriXy.kz
🚨 Active Directory Privilege Escalation (CVE-2025-21293) - CVSS 8.8
🔍 Критическая уязвимость в службах Active Directory Domain Services, позволяет злоумышленникам с низкими привилегиями получить административный доступ к домену, что ставит под угрозу безопасность всей инфраструктуры.
Группа “Network Configuration Operators” имеет право CreateSubKey в реестре Windows для служб DnsCache и NetBT. Это позволяет создавать подпараметры в реестре этих служб. Используя эту возможность, злоумышленник может зарегистрировать собственные счетчики производительности (Performance Counters), что в конечном итоге позволяет выполнить произвольный код с привилегиями системы (NT\SYSTEM).
🛡 Рекомендации: Для защиты от этой уязвимости рекомендуется ограничить права группы “Network Configuration Operators” и установить соответствующие обновления безопасности от Microsoft.
PoC: https://birkep.github.io/posts/Windows-LPE/
🔍 Критическая уязвимость в службах Active Directory Domain Services, позволяет злоумышленникам с низкими привилегиями получить административный доступ к домену, что ставит под угрозу безопасность всей инфраструктуры.
Группа “Network Configuration Operators” имеет право CreateSubKey в реестре Windows для служб DnsCache и NetBT. Это позволяет создавать подпараметры в реестре этих служб. Используя эту возможность, злоумышленник может зарегистрировать собственные счетчики производительности (Performance Counters), что в конечном итоге позволяет выполнить произвольный код с привилегиями системы (NT\SYSTEM).
🛡 Рекомендации: Для защиты от этой уязвимости рекомендуется ограничить права группы “Network Configuration Operators” и установить соответствующие обновления безопасности от Microsoft.
PoC: https://birkep.github.io/posts/Windows-LPE/
A tale of mediocracy
Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2025-21293)
Introduction
Top 10 web hacking techniques of 2024 by PortSwigger
Читать: https://portswigger.net/research/top-10-web-hacking-techniques-of-2024
Читать: https://portswigger.net/research/top-10-web-hacking-techniques-of-2024
Forwarded from AP Security
#web #pentest
Directory-Traversal-Payloads
Агрегированный с разных ресурсов список (17 тысяч строк) нагрузок для эксплуатации LFI.
Directory-Traversal-Payloads
Агрегированный с разных ресурсов список (17 тысяч строк) нагрузок для эксплуатации LFI.
GitHub
Directory-Traversal-Payloads/payloads.txt at main · ifconfig-me/Directory-Traversal-Payloads
List of Directory Traversal/LFI Payloads Scraped from the Internet - ifconfig-me/Directory-Traversal-Payloads
👍1
Forwarded from offsec notes
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Descriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)Csacyber
Pentesting Keycloak Part 1: Identifying Misconfiguration Using Risk Management Tools
Keycloak is an open-source Identity and Access Management (IAM) solution. It allows easy implementation of single sign-on for web applications and APIs.
Forwarded from APT
🖼 AnyDesk — Local Privilege Escalation (CVE-2024-12754)
A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.
🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754
#windows #anydesk #lpe #cve
A vulnerability in AnyDesk allows low-privileged users to perform arbitrary file read and copy operations with NT AUTHORITY\SYSTEM privileges. Exploitation is possible by manipulating the background image, creating symbolic links, and leveraging ShadowCopy, granting access to SAM, SYSTEM, and SECURITY files, ultimately leading to privilege escalation to administrator.
🔗 Source:
https://mansk1es.gitbook.io/AnyDesk_CVE-2024-12754
#windows #anydesk #lpe #cve
❤2
Forwarded from 1N73LL1G3NC3
Blindsight
Red teaming tool to dump LSASS memory, bypassing basic countermeasures. It uses Transactional NTFS (TxF API) to transparently scramble the memory dump, to avoid triggering AV/EDR/XDR.
The tool will write a scrambled dump to disk, in order to prevent detection of the LSASS memory dump by some anti-malware products. There are many possible ways to thwart detection: I chose to simply XOR the dump with a hardcoded key. To recover the original memory dump, you can run blindsight.exe again on your own machine passing the scrambled dump file as input.
Blog post: https://security.humanativaspa.it/an-offensive-rust-encore
Red teaming tool to dump LSASS memory, bypassing basic countermeasures. It uses Transactional NTFS (TxF API) to transparently scramble the memory dump, to avoid triggering AV/EDR/XDR.
The tool will write a scrambled dump to disk, in order to prevent detection of the LSASS memory dump by some anti-malware products. There are many possible ways to thwart detection: I chose to simply XOR the dump with a hardcoded key. To recover the original memory dump, you can run blindsight.exe again on your own machine passing the scrambled dump file as input.
Blog post: https://security.humanativaspa.it/an-offensive-rust-encore
Forwarded from Ralf Hacker Channel (Ralf Hacker)
BI.ZONE опубликовали Threat Zone 2025 - большое ежегодное исследование ландшафта киберугроз в России и СНГ.
В нём были сделаны выводы о ключевых особенностях атак в 2024-м году, наиболее атакуемые отрасли и популярные методы получения первоначального доступа во внутреннюю сеть.
Помимо этого, в исследовании опубликовали хактивность ряда APT-группировок.
В нём были сделаны выводы о ключевых особенностях атак в 2024-м году, наиболее атакуемые отрасли и популярные методы получения первоначального доступа во внутреннюю сеть.
Помимо этого, в исследовании опубликовали хактивность ряда APT-группировок.
Forwarded from Что-то на пентестерском
В 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели
Проблема связана с файлами в папке/ајах/, расположенной в корневой директории сайта:
Эти скрипты используют небезопасную функцию unserialize() в PHР, что позволяет злоумышленникам отправлять вредоносные POST-запросы.
В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 5af47f5502b6.php
ЧТНП | #веб
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🤯1
Forwarded from Offensive Xwitter
This media is not supported in your browser
VIEW IN TELEGRAM
😈 [ Wietze @Wietze ]
🚀 Today I'm launching ArgFuscator: an open-source platform documenting command-line obfuscation tricks AND letting you generate your own
🔥 68 executables supported out of the box - use right away, make tweaks, or create your own
👉 Now available at
🔗 http://argfuscator.net
🐥 [ tweet ]
🚀 Today I'm launching ArgFuscator: an open-source platform documenting command-line obfuscation tricks AND letting you generate your own
🔥 68 executables supported out of the box - use right away, make tweaks, or create your own
👉 Now available at
🔗 http://argfuscator.net
🐥 [ tweet ]
Forwarded from Системные логи
Одним из ключевых шагов в разведке при работе с новым приложением является сбор API-эндпоинтов из JavaScript-файлов. 💻
Существует множество методов для автоматизации сбора эндпоинтов, и одним из самых простых и удобных способов является использование закладок🗓
Ниже представлю один из таких скриптов, который поможет вам эффективно собирать API-эндпоинты.
1️⃣ Добавьте новую закладку на панель инструментов вашего браузера.
2️⃣ Замените URL-адрес закладки фрагментом кода JavaScript, представленным выше.
3️⃣ Перейдите на целевую страницу и нажмите на закладку. Скрипт запустится в вашем браузере, открывая ранее неизвестные конечные точки прямо на странице.
Существует множество методов для автоматизации сбора эндпоинтов, и одним из самых простых и удобных способов является использование закладок
Ниже представлю один из таких скриптов, который поможет вам эффективно собирать API-эндпоинты.
javascript:(function(){var scripts=document.getElementsByTagName("script"),regex=/(?<=(\"|\'|\`))\/[a-zA-Z0–9_?&=\/\-\#\.]*(?=(\"|\'|\`))/g;const results=new Set;for(var i=0;i<scripts.length;i++){var t=scripts[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();This media is not supported in your browser
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Недавно вышел интересный разбор LPE-уязвимости CVE-2024-12754 через AnyDesk. Разбор подробный, однако без POC. Поэтому надо исправлять :)
Сам механизм повышения привилегий основывается на возможности контроля целевого файла, который копируется в доступную для чтения низкопривилегированного пользователя директорию.
Нам остается лишь заставить AnyDesk, работающий от лица системы, прочитать файл, недоступный нам. Автор в статье использует чтение SAM из Shadow Copy.
Разработку, тестирование и отладку я проводил на AnyDesk версии 8.0.10, которую качал отсюда.
Вы можете сами попробовать POCнуть эту уязвимость, используя набор инструментов от Google Project Zero.
Моя реализация доступна здесь. Она осуществляет чтение произвольного файла, после чего копирует его содержимое на рабочий стол текущему пользователю.
Хоть Windows и активно продвигает механизм защиты, именуемый RedirectionTrust, предотвращающий переход по ссылкам, созданными не администраторами, однако эта митигация зачастую не распространяется на службы, которые были разработаны сторонними компаниями. Причина проста: разработчики не знают о ней и забывают применить, отсюда и появляется возможность LPE.
Демо можно посмотреть здесь
Недавно вышел интересный разбор LPE-уязвимости CVE-2024-12754 через AnyDesk. Разбор подробный, однако без POC. Поэтому надо исправлять :)
Сам механизм повышения привилегий основывается на возможности контроля целевого файла, который копируется в доступную для чтения низкопривилегированного пользователя директорию.
Нам остается лишь заставить AnyDesk, работающий от лица системы, прочитать файл, недоступный нам. Автор в статье использует чтение SAM из Shadow Copy.
Разработку, тестирование и отладку я проводил на AnyDesk версии 8.0.10, которую качал отсюда.
Вы можете сами попробовать POCнуть эту уязвимость, используя набор инструментов от Google Project Zero.
Моя реализация доступна здесь. Она осуществляет чтение произвольного файла, после чего копирует его содержимое на рабочий стол текущему пользователю.
Хоть Windows и активно продвигает механизм защиты, именуемый RedirectionTrust, предотвращающий переход по ссылкам, созданными не администраторами, однако эта митигация зачастую не распространяется на службы, которые были разработаны сторонними компаниями. Причина проста: разработчики не знают о ней и забывают применить, отсюда и появляется возможность LPE.
Демо можно посмотреть здесь
Forwarded from Pentester
#GitHub Entreprise Server SAML authentication bypass (CVE-2025-23369) exploit
https://github.com/hakivvi/cve-2025-23369
https://github.com/hakivvi/cve-2025-23369
GitHub
GitHub - hakivvi/CVE-2025-23369: GitHub Entreprise Server SAML authentication bypass (CVE-2025-23369) exploit
GitHub Entreprise Server SAML authentication bypass (CVE-2025-23369) exploit - hakivvi/CVE-2025-23369
Forwarded from 1N73LL1G3NC3
🍊 Psexecsvc
A python implementation of PSExec's native service implementation.
You will often see EDR’s block wmiexec.py and psexec.py but they won’t always block PsExecSVC.py because it relies on a legitimate and trusted tool (the PsExeSVC.exe binary)!
Blog: PsExec’ing the right way and why zero trust is mandatory
In this blog post, we’ll have a glimpse at how PsExec.exe works, we’ll write a python script that allows us to act as a legitimate PsExec.exe client and finally, we’ll see why zero trust is a core requirement of cybersecurity.
A python implementation of PSExec's native service implementation.
You will often see EDR’s block wmiexec.py and psexec.py but they won’t always block PsExecSVC.py because it relies on a legitimate and trusted tool (the PsExeSVC.exe binary)!
Blog: PsExec’ing the right way and why zero trust is mandatory
In this blog post, we’ll have a glimpse at how PsExec.exe works, we’ll write a python script that allows us to act as a legitimate PsExec.exe client and finally, we’ll see why zero trust is a core requirement of cybersecurity.
🔥2
Forwarded from cKure
■■■■□ CVE-2024-55591: Fortinet warns of new zero-day exploited to hijack firewalls.
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-zero-day-exploited-to-hijack-firewalls/
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-zero-day-exploited-to-hijack-firewalls/
BleepingComputer
Fortinet discloses second firewall auth bypass patched in January
Fortinet has disclosed a second authentication bypass vulnerability that was fixed as part of a January 2025 update for FortiOS and FortiProxy devices.