MSSQL - Privilege escalation from
📕 Research
NT SERVICE\MSSQLSERVER to NT AUTHORITY\SYSTEM without SeImpersonatePrivilege📕 Research
xct’s blog
MSSQL Silver Tickets and Token Privileges
I ran into an interesting situation while reviewing Signed on HackTheBox: We get MSSQL access through a silver ticket, which leads to admin privileges on the MSSQL service - but the service account had been stripped of all useful privileges.
❤2😁1
Forwarded from SecuriXy.kz
🚨 CVE-2026-1529 | Keycloak | CVSS 8.1 High
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
Forwarded from Pwn3rzs
PingCastle_Pro_v3.5.0.37_Cracked_Pwn3rzs.7z
52.3 MB
This is Pingcastle 3.5.0.37 Pro (Cracked)
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Password : Pwn3rzs_202601100818
Forwarded from pwned?
Вот пример интересного IDOR
В примерах к IDOR часто описывают что-то типа
Если ни один из очевидных методов не сработал, стоит изучить сервис и найти методы, связанные с этой сущностью. Вот прекрасный пример: https://hackerone.com/reports/2950536
1. Прогнозирование ID
В современных приложениях всё реже встречаются целочисленные идентификаторы, но это не приговор. Важно убедиться, что идентификатор действительно непредсказуемый. Вот тут автор приводит ссылку на методологию генерации ID в Salesforce: https://blog.hypn.za.net/2022/11/12/Hacking-Salesforce-backed-WebApps/
2. Эксплуатация уязвимого контроллера
На портале есть уязвимый Apex-контроллер с функцией
Злоумышленник, используя предсказанный ID чужого вложения и свой собственный ID, отправляет запрос к этому контроллеру.
В результате контроллер создает копию чужого защищенного файла, но привязывает её к учетной записи злоумышленника. После того как копия файла оказалась привязана к аккаунту злоумышленника, он может скачать её через стандартный механизм, так как теперь формально является её владельцем.
В примерах к IDOR часто описывают что-то типа
GET /api/v1/user/1/document/1. Тут всё логично: мы, конечно, попробуем перебрать чужие документы. Но что, если на GET запрос возвращается ошибка доступа? Это не повод отчаиваться. Не забываем про CRUD — даже если в интерфейсе нет красивых кнопочек, возможно, на сервере есть обработчик, и, что важнее, он может не проверять права доступа.Если ни один из очевидных методов не сработал, стоит изучить сервис и найти методы, связанные с этой сущностью. Вот прекрасный пример: https://hackerone.com/reports/2950536
1. Прогнозирование ID
В современных приложениях всё реже встречаются целочисленные идентификаторы, но это не приговор. Важно убедиться, что идентификатор действительно непредсказуемый. Вот тут автор приводит ссылку на методологию генерации ID в Salesforce: https://blog.hypn.za.net/2022/11/12/Hacking-Salesforce-backed-WebApps/
2. Эксплуатация уязвимого контроллера
На портале есть уязвимый Apex-контроллер с функцией
cloneAttachment. Эта функция предназначена для копирования вложений, но не проверяет должным образом права доступа.Злоумышленник, используя предсказанный ID чужого вложения и свой собственный ID, отправляет запрос к этому контроллеру.
В результате контроллер создает копию чужого защищенного файла, но привязывает её к учетной записи злоумышленника. После того как копия файла оказалась привязана к аккаунту злоумышленника, он может скачать её через стандартный механизм, так как теперь формально является её владельцем.
Forwarded from SecuriXy.kz
📘 Red Team Infrastructure: Самый полный гайд 2026 года по созданию устойчивой и скрытой инфраструктуры для Red Team: от домена до стабильных beacon‑ов.
Ключевые элементы:
📌 прогрев и подготовка домена
📌 CDN‑Relay через Microsoft / AWS / Google
📌 многоуровневый Redirector
📌 изоляция Team Server + Malleable‑профиль
🔗Ссылка: https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/
🎣 Дополнительно (фишинговая инфраструктура с нуля):
https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/#phase-11-phishing-infrastructure
⚙️ автоматизация всей схемы через Terraform:
https://blog.malicious.group/automating-c2-infrastructure-with-terraform-nebula-caddy-and-cobalt-strike/#tldr
#redteam #Infrastructure #cybered #apt
Ключевые элементы:
📌 прогрев и подготовка домена
📌 CDN‑Relay через Microsoft / AWS / Google
📌 многоуровневый Redirector
📌 изоляция Team Server + Malleable‑профиль
🔗Ссылка: https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/
🎣 Дополнительно (фишинговая инфраструктура с нуля):
https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/#phase-11-phishing-infrastructure
⚙️ автоматизация всей схемы через Terraform:
https://blog.malicious.group/automating-c2-infrastructure-with-terraform-nebula-caddy-and-cobalt-strike/#tldr
#redteam #Infrastructure #cybered #apt
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from InfoSec VK Hub
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM