#digest #useful #posts
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍2
Webhook.Cool - Online Webhook Tester
Webhook.Cool is a free, online webhook tester. Receive and inspect webhooks from services like Shopify, Slack, Mailchimp, Trello, GitHub, PayPal, Discord, Jira
Подборка полезных сервисов для тестирования HTTP запросов
Пример:
curl -X POST https://gorgeous-parrot-35.webhook.cool -H "Content-Type: application/json" -d '{"hello": "world", "is_true": true}'#webhook #http #web
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥6❤1🤝1
Open-source DFIR-инструмент для анализа артефактов Linux
Ключевые возможности:
The software consists in several tabs, each of them dedicated to a given artifact category. The tabs of the GUI are as follows:
Log Parsers - parses the most common Linux logs and returns them in a CSV file easy to filter out with Excel
ELF File Analysis - Extracts strings, metadata and imported functions from an ELF executable. This also does some basic anomaly checks in the ELF sections
/Etc/Shadow - a simple /etc/shadow parser
/Etc/Passwd - a simple /etc/passwd parser
/Proc/Modules - reads the /proc/modules artifact and interprets its flags (if a module tainted the Kernel, if it is not part of the official Kernel etc.)
Proc Reconstruct - examines the /proc virtual filesystem and returns important info on memory in an easy to review GUI
Crawlers - traverses the entire artifact collection, parses several artifact types and returns the parse output in consolidated views
RPM Package Analysis - examines an RPM package and extracts scripts, metadata, hashes etc.
DEB Package Analysis - examines a DEB package and extracts scripts, metadata, hashes etc.
SQLite Extractors - extracts tables from some Linux artifacts in SQLite format
Tree View - The entire collection can be viewed in tree mode with a built-in "Notepad++ like" editor and possibility to dump data in binary format
🦔 THF
#dfir #forensics #lap
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2
Docs
Microsoft Deployment Toolkit (MDT) - Immediate Retirement Notice - Configuration Manager
Microsoft announces the immediate retirement of Microsoft Deployment Toolkit (MDT). Learn about the impact and alternative deployment solutions.
MS объявил о немедленном прекращении поддержки (вскоре перестанет быть доступен для загрузки)
Инструмент был удобен для автоматизации развёртывания и настройки операционных систем. Позволял загрузить и настроить хосты по сети (PXE)
В 2026 допустил несколько ошибок, был бесплатным, не было необходимости облачной подписки, не выгружал в облако телеметрию
В качестве альтернативы предлагаются
#windows #mdt
Please open Telegram to view this post
VIEW IN TELEGRAM
Delegations is a tool that allows you to work with all types of Kerberos delegations (unconstrained, constrained, and resource-based constrained delegations) in Active Directory
Отличный инструмент пост эксплуатации для работы со всеми видами делегирования
#windows #ad #delegations #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1🤔1
Отличный инструмент для исследования логов, особенно крайне кривых и неудобных
Проводит анализ на основе SIGMA правил (основные идут в комплекте)
Также работает с файлами .log, .xml, .json
git clone https://github.com/wagga40/Zircolite
cd Zircolite
pip3 install -r requirements.full.txt
Для Windows есть собранный бинарь
Примеры:
python3 zircolite.py --evtx system.evtx
python3 zircolite.py --evtx system.evtx --ruleset rules/rules_windows_sysmon_pysigma.json
python3 zircolite.py --events auditd.log --ruleset rules/rules_linux.json --auditd
python3 zircolite.py --events sysmon.log --ruleset rules/rules_linux.json --sysmon4linux
Обновление правил:
python3 zircolite.py -U
#dfir #forensics #zircolite #soft #python
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
❤1
Один из лучших инструментов для определения типа хеша
Поддержка 675+ хеша
Множественные улучшения (описания и исправления для JtR и HC)
Поддержка Ruby 3.4
Поддержка современных алгоритмов (SHA3, Keccak, Blake2, etc.)
Показывает формат для Hashcat и JohntheRipper
Работает как приложение и библиотека
Установка:
gem install haiti-hash
Примеры:
haiti 786a02f742015903c6c6fd852552d272912f4740e15847618a86e217f71f5419d25e1031afee585313896444934eb04b903a685b1448b755d56f701afe9be2ce
SHA-512 [HC: 1700] [JtR: raw-sha512]
SHA3-512 [HC: 17600] [JtR: raw-sha3]
SHA3-512 [HC: 17600] [JtR: dynamic_400]
Keccak-512 [HC: 18000] [JtR: raw-keccak]
BLAKE2-512 [JtR: raw-blake2]
Whirlpool [HC: 6100] [JtR: whirlpool]
Salsa10
Salsa20
Skein-512 [JtR: skein-512]
Skein-1024(512)
Библиотека:
require 'haiti'
# Instantiate a HashIdentifier object that will automatically identify
# the hash type
hi = HashIdentifier.new('786a02f742015903c6c6fd852552d272912f4740e15847618a86e217f71f5419d25e1031afee585313896444934eb04b903a685b1448b755d56f701afe9be2ce')
# Loop over the hash type candidates and retrieve data
hi.type.each do |type|
name = type.name
hashcat_id = type.hashcat
john_ref = type.john
extended = type.extended
samples = type.samples
end
#haiti #hash #soft #ruby
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
Forwarded from Threat Hunting Father 🦔
AI как Living-off-the-Land
Звучит классно?)
Вот и разговор с https://t.me/s0ld13r_ch был довольно интересным на эту тему, в результате дискуссии родился проект, LOLAI нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI проект для тех кто хочет чтобы за него все сделал AI
LOLAI это база знаний которая описывает:
• векторы атак с использованием ИИ агентов
• способы злоупотребления легитимными агентами и API
• detection opportunity / hunting use cases
Если есть интересный агент который можно использовать для Red Team/Adversary Emulation, feel free to contribute будем только рады☺️
Ну а пока читай что мы собрали и пробуй хантить в своей инфраструктуре 😈
🖱 🔜 lolai-project.github.io
🦔 THF
Максимальный репост друзья, дадим жизнь проекту‼️
Звучит классно?)
Вот и разговор с https://t.me/s0ld13r_ch был довольно интересным на эту тему, в результате дискуссии родился проект, LOLAI нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI проект для тех кто хочет чтобы за него все сделал AI
LOLAI это база знаний которая описывает:
• векторы атак с использованием ИИ агентов
• способы злоупотребления легитимными агентами и API
• detection opportunity / hunting use cases
Если есть интересный агент который можно использовать для Red Team/Adversary Emulation, feel free to contribute будем только рады
Ну а пока читай что мы собрали и пробуй хантить в своей инфраструктуре 😈
Максимальный репост друзья, дадим жизнь проекту
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤7
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Новый сканер для обнаружения уязвимостей к NTLM релеям
https://github.com/depthsecurity/RelayKing-Depth/
Есть статья в блоге: https://www.depthsecurity.com/blog/introducing-relayking-relay-to-royalty/
#soft #git #ad #pentest #relay
https://github.com/depthsecurity/RelayKing-Depth/
* Сканирует по SMB, LDAP/S, MSSQL, HTTP/S, RPC, WinRM
* Находит WebDAV WebClient, CVE-2025-33073 (NTLM reflection), NTLMv1 + всякие PrinterBug, PetitPotam и т.п.
* Поддерживает аудит всего домена
* Составляет список таргетов для ntlmrelayx и других софтин.
* Сохраняет отчет в plaintext/JSON/CSV/Markdown
Есть статья в блоге: https://www.depthsecurity.com/blog/introducing-relayking-relay-to-royalty/
#soft #git #ad #pentest #relay
🤝4✍3
Forwarded from CyberSecrets
Поиск доступа по RDP на терминальные сервера
Терминальные сервера могут предоставлять доступ в другие сегменты сети, которые не доступны из пользовательской сети, на терминальных серверах можно обнаружить интересные файлы и скрипты, на серверах чаще всего антивирус настроен менее жестко и можно найти исключения для запуска приложений. Даже если на терминальном сервере не удалось повысить привилегии он может стать плацдармом для дальнейшего выполнения проекта.
Можно посмотреть в Bloodhound связь
Члены группы удаленных столов могут удаленно выполнять команду
В PowerView есть функция
Если нам нужно получить только список уникальных компьютеров обработку вывода можно изменить на
Если нет возможности запустить PowerView, то можно использовать команду qwinsta в цикле по всем серверам.
Создадим скрипт, который выберет из домена все активные компьютеры с операционной системой
Стоит помнить, что администраторы могут настроить доступ к терминальному серверу только по порту 3389, все остальные порты будут не доступны и в этом случае описанный выше метод не сработает.
#Внутрянка #ActiveDirectory
Терминальные сервера могут предоставлять доступ в другие сегменты сети, которые не доступны из пользовательской сети, на терминальных серверах можно обнаружить интересные файлы и скрипты, на серверах чаще всего антивирус настроен менее жестко и можно найти исключения для запуска приложений. Даже если на терминальном сервере не удалось повысить привилегии он может стать плацдармом для дальнейшего выполнения проекта.
Можно посмотреть в Bloodhound связь
CanRDP, которая устанавливается из групповых политик, но доступы могут предоставляться через другие механизмы управления, например, SCCM или вручную. Для проверки доступа по протоколу RDP обычно используются средства для перебора паролей типа hydra или собственные разработки. Но есть другой способ.Члены группы удаленных столов могут удаленно выполнять команду
qwinsta.exe на сервере, например, qwinsta.exe /server:term.domain.local. Эта возможность связана с работой службы терминалов через вызов процедур. Для аутентификации используется Kerberos.В PowerView есть функция
Get-NetRDPSessions (аналог qwinsta), которая позволяет получить список сессий на удаленном хосте:Get-DomainComputer -LDAPFilter "(operatingsystem=*Windows Server*)(!userAccountControl:1.2.840.113556.1.4.803:=2)" |Get-NetRDPSession|ft -AutoSize
Если нам нужно получить только список уникальных компьютеров обработку вывода можно изменить на
Get-DomainComputer -LDAPFilter "(operatingsystem=*Windows Server*)(!userAccountControl:1.2.840.113556.1.4.803:=2)" |Get-NetRDPSession|Select-Object ComputerName -Unique
Если нет возможности запустить PowerView, то можно использовать команду qwinsta в цикле по всем серверам.
Создадим скрипт, который выберет из домена все активные компьютеры с операционной системой
Windows Server. И затем выполним команду qwinsta /server:$ComputerName. Так как в первую очередь нас интересует только доступ, то мы не будем разбирать вывод самой команды.function Invoke-CheckRDPAccess {
$searcher = [adsisearcher]'(&(objectCategory=computer)(operatingsystem=*Windows Server*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))'
$searcher.PageSize = 1000
$comps=$searcher.FindAll()
foreach ($comp in $comps)
{
$ComputerName = $comp.Properties["name"][0].ToLower()
$ComputerName
if (Test-Connection -ComputerName $ComputerName -Count 1 -Quiet)
{
# Запускаем qwinsta
$processInfo = New-Object System.Diagnostics.ProcessStartInfo
$processInfo.FileName = "qwinsta.exe"
$processInfo.Arguments = "/server:$ComputerName"
$processInfo.RedirectStandardOutput = $true
$processInfo.RedirectStandardError = $true
$processInfo.UseShellExecute = $false
$processInfo.CreateNoWindow = $true
$process = New-Object System.Diagnostics.Process
$process.StartInfo = $processInfo
$process.Start() | Out-Null
$output = $process.StandardOutput.ReadToEnd()
$errorOutput = $process.StandardError.ReadToEnd()
$process.WaitForExit()
if($process.ExitCode -eq 0 -and $output)
{
Write-Host -ForegroundColor Green "You have RDP access to $ComputerName"
# Если нужно получить список сессий раскомментировать следующую строку
# $output
}
}
}
}Стоит помнить, что администраторы могут настроить доступ к терминальному серверу только по порту 3389, все остальные порты будут не доступны и в этом случае описанный выше метод не сработает.
#Внутрянка #ActiveDirectory
🔥2👍1
Вышел релиз лучшего open-source C2
* DNS/DoH листенер для beacon
* Мультилистенеры в gopher
* Система Events/Hooks
* Новый тип экстендеров - service
Обзоры
UPD 1.1:
Изменения
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make gcc g++ g++-mingw-w64
wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
# for windows 7 support by gopher agent
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
sudo mv /tmp/go-win7 /usr/lib/
sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev
make server-ext
make client
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥3
Today, NTLM is classified as deprecated. Deprecated features remain available, but no longer receive updates or enhancements and may be removed in a future release. Despite its deprecated status, NTLM continues to be prevalent in environments where modern protocols, such as Kerberos, are not feasible due to legacy dependencies, network limitations, or ingrained application logic. The ongoing use of NTLM exposes organizations to the following risks:
#windows #ad #ntlm
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Datadog
Elevate AWS threat detection with Stratus Red Team | Datadog
Learn how you can emulate common attack techniques directly in your cloud environment with our new open source Stratus Red Team project.
A core challenge for threat detection engineering is reproducing common attacker behavior. Several open source and commercial projects exist for traditional endpoint and on-premise security, but there is a clear need for a cloud-native tool built with cloud providers and infrastructure in mind
#redteam #golang #threat #detect
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Инструмент для аудита разрешений в
доступом (ACL – Access Control List)
Написан на
SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.
Разрешения, которые нам интересны:
GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteProperty - запись определенного свойства
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу
Работает в GUI или консольном режимах:
Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1
.\ADACLScan.ps1
.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}
Экспорт в xls, csv, html
Большое количество возможностей
#adaclscanner #powershell #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Дамп LSASS через подписанные уязвимые драйвера
Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities
#soft #windows #lsass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤔1
Cyera
Cellbreak: Grist’s Pyodide Sandbox Escape and the Data-at-Risk Blast Radius | Cyera Research Labs
Cyera Research Labs discovered that under certain configurations, a malicious spreadsheet formula could break out of its intended sandbox and gain control over the system running it. In other words, something that looks like data could behave like code execution.…
CVSS 9.1
One malicious formula can turn a spreadsheet into a Remote Code Execution (RCE) beachhead. This sandbox escape lets a formula author execute OS commands or run host‑runtime JavaScript, collapsing the boundary between “cell logic” and host execution
#cve #python #grist #poc
Please open Telegram to view this post
VIEW IN TELEGRAM