Всем привет) давно хотел начать вести в паблике какой-нибудь проект, и вот решил сейчас модно писать публичный С2. Идей много, что из этого получится, пока не знаю... может так ничего и не выйдет, а вдруг будет (надеюсь) как с Empire - его кто-то начнет дописывать.

Так как софт будет публичный, а я не особо программист, то буду рад помощи не только в рефакторинге кодовой базы, написании модулей, расширений, но и к идеям для улучшений. Например, дизайн, алгоритмы, поиск багов, да и просто указать на востребованность какого-то функционала.

Теперь обращаюсь к тем, кто хочет поучаствовать, а также кому просто интересно следить за проектом. Вот канал и группа(по ссылке)... Спама на канале будет много: размышления, опросы и т.п.

Всем привет, в связи с тем что последнее время приходится часто пентестить FreeIPA мы начали разрабатывать либу по типу impacket заточенную под особенности ипы. Пока начали реализовывать kerberos и написали пок для CVE-2024-3183. Если у кого-то будет желание как-то помочь в разработке - welcome.

https://github.com/c2micro/ipapocket

неплохой такой weakpass3 )) .....а не пароль

Living Off the Living Off the Land

Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.

О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.

Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS

Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking

Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут

Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках

Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины

Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD

жизная жиза

листая старенький айпад наткнулся я на цены flipper zero.
Честно сказать, я слегка удивился стоимости 30к за этот девайс.
Вспомнилось мне, что без дела и абсолютно не интересный мне флиппер лежит в шкафу.
Собственно вот, отдам флиппер (чуть чуть поцарапался пластик над экраном) в хорошие руки с пересылкой по РФ тому кто назовёт максимальное количество рабочих утилит и сервисов для туннелинга (ngrok, zrok, chisel и тд).
Писать в бота @flipper_zer0_bot
форматом:
название - линк

итоги подведу 18 ноября. 😜

P.S. не нужно отправлять результаты работы нейронок))) еще и с нерабочими линками

Конкурс закончен, Artur Lukianov отпишите в личку.
Кто то присылал все что можно было получить через chatgpt, не проверяя что шлет....

В этом посте кратко познакомимся с инструментом atexec-pro (https://github.com/Ridter/atexec-pro). Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ.

Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)

Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через powershell -enc.
5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.

Что в итоге имеем на хосте?

Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи

Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку <StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary> в поле TaskContent.
4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля script_block_text.

Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://t.me/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.


#rpc #atexec #schtasks

С наступающим новым годом. Работы было много, времени для постов мало, извините:)
Будьте здоровы и счастливы. 🍾🍾🍾

Давно ничего не писал, много работы и всяких забот.
Кто знает меня давно, в курсе про моё резко негативное отношение к баг баунти... Но случилось то что случилось, в конце прошлой недели с ребятами залетели на бб по недопустимым событиям где нужно заниматься взломом, а не дрочью клиент сайд уязвимостей. Новая тема называется кибериспытаниями.
За несколько дней взяли две инфраструктуры и реализовали недопустимые события. Эмоции после участия в таком движе очень положительные, есть ощущение что ты делаешь реально полезное дело за адекватные деньги (1 млн за реализацию недопустимого события).
Так как тема новая, есть достаточное количество косяков и непонимания своих нсов со стороны заказчиков. Будем надеяться что тема взлетит, все не скатится в багбаунти, безопасность восторжествует. Ждем новые программы и адекватные НС(не как у позитива). Аминь.

нашел и решил написать про небольшую фичу (lpe) в BitrixVM:
https://telegra.ph/bitrixvm-lpe-iz-korobki-02-21

https://t.me/detectioneasy классный канал про обнаружение

В последнее время стали пугать страшными уязвимостями с утечками ntlm хэшей. Не совсем понятно с чем связана эта истерия, жили же до этого как то.... По следам уже нашумевшей по всем иб чатикам CVE-2025-24071 (с рейтингом аж целых 7.5) ловите видос от меня с очередным "зиродеем" ntlm hash leak через lnk файл. Этого добра в винде навалом