Отличный инструмент для исследования логов, особенно крайне кривых и неудобных
Проводит анализ на основе SIGMA правил (основные идут в комплекте)
Также работает с файлами .log, .xml, .json
git clone https://github.com/wagga40/Zircolite
cd Zircolite
pip3 install -r requirements.full.txt
Для Windows есть собранный бинарь
Примеры:
python3 zircolite.py --evtx system.evtx
python3 zircolite.py --evtx system.evtx --ruleset rules/rules_windows_sysmon_pysigma.json
python3 zircolite.py --events auditd.log --ruleset rules/rules_linux.json --auditd
python3 zircolite.py --events sysmon.log --ruleset rules/rules_linux.json --sysmon4linux
Обновление правил:
python3 zircolite.py -U
#dfir #forensics #zircolite #soft #python
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Forwarded from RedTeam brazzers (Миша)
Всем привет!
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Делюсь с вами долгожданной третьей частью Impacket Programming Guide! В этой части мы разобрали основные концепции библиотеки, рассмотрели несколько MSRPC протоколов, а в конце я создал инструмент, который использует кастомный RPC сервер для исполнения команд, что может стать полезным для бокового перемещения : )
Помимо того, реализовал функционал скачивания/загрузки файлов, ползанья по файловой системе и все это — в интерактивном шелле!
Статья: https://medium.com/@cicada-8/impacket-developer-guide-part-3-make-your-own-lateral-movement-a2f8181f657b
POC: https://github.com/CICADA8-Research/RpcMotion
@RedTeamBro
Forwarded from CyberSecrets
Задача для собеседования №4
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
Праздники закончились и теперь можно немного размять мозги. Ниже представлен сценарий, который может встретиться в реальных проектах.
Сценарий
После сбора информации было обнаружено, что группа доменных пользователей имеет привилегии на запись в директорию групповой политики
SMB SIGNING, сама политика устанавливает smb подпись на всех хостах принадлежащие OU WORKSTATION. В OU входит рабочая станция администратора I.IVANOV.Дополнительные условия
- Есть доменная учетная запись пользователя.
- На всех хостах в сети установлены последние обновления.
- На директорию групповой политики установлено наследование.
Цель
- Получить привилегии доменного администратора.
Решение будет опубликовано через пару дней.
#Внутрянка #Задачи
❤1
Один из лучших инструментов для определения типа хеша
Поддержка 675+ хеша
Множественные улучшения (описания и исправления для JtR и HC)
Поддержка Ruby 3.4
Поддержка современных алгоритмов (SHA3, Keccak, Blake2, etc.)
Показывает формат для Hashcat и JohntheRipper
Работает как приложение и библиотека
Установка:
gem install haiti-hash
Примеры:
haiti 786a02f742015903c6c6fd852552d272912f4740e15847618a86e217f71f5419d25e1031afee585313896444934eb04b903a685b1448b755d56f701afe9be2ce
SHA-512 [HC: 1700] [JtR: raw-sha512]
SHA3-512 [HC: 17600] [JtR: raw-sha3]
SHA3-512 [HC: 17600] [JtR: dynamic_400]
Keccak-512 [HC: 18000] [JtR: raw-keccak]
BLAKE2-512 [JtR: raw-blake2]
Whirlpool [HC: 6100] [JtR: whirlpool]
Salsa10
Salsa20
Skein-512 [JtR: skein-512]
Skein-1024(512)
Библиотека:
require 'haiti'
# Instantiate a HashIdentifier object that will automatically identify
# the hash type
hi = HashIdentifier.new('786a02f742015903c6c6fd852552d272912f4740e15847618a86e217f71f5419d25e1031afee585313896444934eb04b903a685b1448b755d56f701afe9be2ce')
# Loop over the hash type candidates and retrieve data
hi.type.each do |type|
name = type.name
hashcat_id = type.hashcat
john_ref = type.john
extended = type.extended
samples = type.samples
end
#haiti #hash #soft #ruby
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
Forwarded from Threat Hunting Father 🦔
AI как Living-off-the-Land
Звучит классно?)
Вот и разговор с https://t.me/s0ld13r_ch был довольно интересным на эту тему, в результате дискуссии родился проект, LOLAI нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI проект для тех кто хочет чтобы за него все сделал AI
LOLAI это база знаний которая описывает:
• векторы атак с использованием ИИ агентов
• способы злоупотребления легитимными агентами и API
• detection opportunity / hunting use cases
Если есть интересный агент который можно использовать для Red Team/Adversary Emulation, feel free to contribute будем только рады☺️
Ну а пока читай что мы собрали и пробуй хантить в своей инфраструктуре 😈
🖱 🔜 lolai-project.github.io
🦔 THF
Максимальный репост друзья, дадим жизнь проекту‼️
Звучит классно?)
Вот и разговор с https://t.me/s0ld13r_ch был довольно интересным на эту тему, в результате дискуссии родился проект, LOLAI нечто похожее на LOLBins / LOLBAS / LOLDrivers.
LOLAI проект для тех кто хочет чтобы за него все сделал AI
LOLAI это база знаний которая описывает:
• векторы атак с использованием ИИ агентов
• способы злоупотребления легитимными агентами и API
• detection opportunity / hunting use cases
Если есть интересный агент который можно использовать для Red Team/Adversary Emulation, feel free to contribute будем только рады
Ну а пока читай что мы собрали и пробуй хантить в своей инфраструктуре 😈
Максимальный репост друзья, дадим жизнь проекту
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤7
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Новый сканер для обнаружения уязвимостей к NTLM релеям
https://github.com/depthsecurity/RelayKing-Depth/
Есть статья в блоге: https://www.depthsecurity.com/blog/introducing-relayking-relay-to-royalty/
#soft #git #ad #pentest #relay
https://github.com/depthsecurity/RelayKing-Depth/
* Сканирует по SMB, LDAP/S, MSSQL, HTTP/S, RPC, WinRM
* Находит WebDAV WebClient, CVE-2025-33073 (NTLM reflection), NTLMv1 + всякие PrinterBug, PetitPotam и т.п.
* Поддерживает аудит всего домена
* Составляет список таргетов для ntlmrelayx и других софтин.
* Сохраняет отчет в plaintext/JSON/CSV/Markdown
Есть статья в блоге: https://www.depthsecurity.com/blog/introducing-relayking-relay-to-royalty/
#soft #git #ad #pentest #relay
🤝4✍3
Forwarded from CyberSecrets
Поиск доступа по RDP на терминальные сервера
Терминальные сервера могут предоставлять доступ в другие сегменты сети, которые не доступны из пользовательской сети, на терминальных серверах можно обнаружить интересные файлы и скрипты, на серверах чаще всего антивирус настроен менее жестко и можно найти исключения для запуска приложений. Даже если на терминальном сервере не удалось повысить привилегии он может стать плацдармом для дальнейшего выполнения проекта.
Можно посмотреть в Bloodhound связь
Члены группы удаленных столов могут удаленно выполнять команду
В PowerView есть функция
Если нам нужно получить только список уникальных компьютеров обработку вывода можно изменить на
Если нет возможности запустить PowerView, то можно использовать команду qwinsta в цикле по всем серверам.
Создадим скрипт, который выберет из домена все активные компьютеры с операционной системой
Стоит помнить, что администраторы могут настроить доступ к терминальному серверу только по порту 3389, все остальные порты будут не доступны и в этом случае описанный выше метод не сработает.
#Внутрянка #ActiveDirectory
Терминальные сервера могут предоставлять доступ в другие сегменты сети, которые не доступны из пользовательской сети, на терминальных серверах можно обнаружить интересные файлы и скрипты, на серверах чаще всего антивирус настроен менее жестко и можно найти исключения для запуска приложений. Даже если на терминальном сервере не удалось повысить привилегии он может стать плацдармом для дальнейшего выполнения проекта.
Можно посмотреть в Bloodhound связь
CanRDP, которая устанавливается из групповых политик, но доступы могут предоставляться через другие механизмы управления, например, SCCM или вручную. Для проверки доступа по протоколу RDP обычно используются средства для перебора паролей типа hydra или собственные разработки. Но есть другой способ.Члены группы удаленных столов могут удаленно выполнять команду
qwinsta.exe на сервере, например, qwinsta.exe /server:term.domain.local. Эта возможность связана с работой службы терминалов через вызов процедур. Для аутентификации используется Kerberos.В PowerView есть функция
Get-NetRDPSessions (аналог qwinsta), которая позволяет получить список сессий на удаленном хосте:Get-DomainComputer -LDAPFilter "(operatingsystem=*Windows Server*)(!userAccountControl:1.2.840.113556.1.4.803:=2)" |Get-NetRDPSession|ft -AutoSize
Если нам нужно получить только список уникальных компьютеров обработку вывода можно изменить на
Get-DomainComputer -LDAPFilter "(operatingsystem=*Windows Server*)(!userAccountControl:1.2.840.113556.1.4.803:=2)" |Get-NetRDPSession|Select-Object ComputerName -Unique
Если нет возможности запустить PowerView, то можно использовать команду qwinsta в цикле по всем серверам.
Создадим скрипт, который выберет из домена все активные компьютеры с операционной системой
Windows Server. И затем выполним команду qwinsta /server:$ComputerName. Так как в первую очередь нас интересует только доступ, то мы не будем разбирать вывод самой команды.function Invoke-CheckRDPAccess {
$searcher = [adsisearcher]'(&(objectCategory=computer)(operatingsystem=*Windows Server*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))'
$searcher.PageSize = 1000
$comps=$searcher.FindAll()
foreach ($comp in $comps)
{
$ComputerName = $comp.Properties["name"][0].ToLower()
$ComputerName
if (Test-Connection -ComputerName $ComputerName -Count 1 -Quiet)
{
# Запускаем qwinsta
$processInfo = New-Object System.Diagnostics.ProcessStartInfo
$processInfo.FileName = "qwinsta.exe"
$processInfo.Arguments = "/server:$ComputerName"
$processInfo.RedirectStandardOutput = $true
$processInfo.RedirectStandardError = $true
$processInfo.UseShellExecute = $false
$processInfo.CreateNoWindow = $true
$process = New-Object System.Diagnostics.Process
$process.StartInfo = $processInfo
$process.Start() | Out-Null
$output = $process.StandardOutput.ReadToEnd()
$errorOutput = $process.StandardError.ReadToEnd()
$process.WaitForExit()
if($process.ExitCode -eq 0 -and $output)
{
Write-Host -ForegroundColor Green "You have RDP access to $ComputerName"
# Если нужно получить список сессий раскомментировать следующую строку
# $output
}
}
}
}Стоит помнить, что администраторы могут настроить доступ к терминальному серверу только по порту 3389, все остальные порты будут не доступны и в этом случае описанный выше метод не сработает.
#Внутрянка #ActiveDirectory
🔥2👍1
Вышел релиз лучшего open-source C2
* DNS/DoH листенер для beacon
* Мультилистенеры в gopher
* Система Events/Hooks
* Новый тип экстендеров - service
Обзоры
UPD 1.1:
Изменения
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make gcc g++ g++-mingw-w64
wget https://go.dev/dl/go1.25.4.linux-amd64.tar.gz -O /tmp/go1.25.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.25.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
# for windows 7 support by gopher agent
git clone https://github.com/Adaptix-Framework/go-win7 /tmp/go-win7
sudo mv /tmp/go-win7 /usr/lib/
sudo apt install gcc g++ build-essential make cmake mingw-w64 g++-mingw-w64 libssl-dev qt6-base-dev qt6-base-private-dev libxkbcommon-dev qt6-websockets-dev qt6-declarative-dev
make server-ext
make client
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥3
Today, NTLM is classified as deprecated. Deprecated features remain available, but no longer receive updates or enhancements and may be removed in a future release. Despite its deprecated status, NTLM continues to be prevalent in environments where modern protocols, such as Kerberos, are not feasible due to legacy dependencies, network limitations, or ingrained application logic. The ongoing use of NTLM exposes organizations to the following risks:
#windows #ad #ntlm
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Datadog
Elevate AWS threat detection with Stratus Red Team | Datadog
Learn how you can emulate common attack techniques directly in your cloud environment with our new open source Stratus Red Team project.
A core challenge for threat detection engineering is reproducing common attacker behavior. Several open source and commercial projects exist for traditional endpoint and on-premise security, but there is a clear need for a cloud-native tool built with cloud providers and infrastructure in mind
#redteam #golang #threat #detect
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Инструмент для аудита разрешений в
доступом (ACL – Access Control List)
Написан на
SACL - список используемый для аудита доступа к данному объекту.
DACL - список указывающий права пользователей и групп на действия с данным объектом.
Разрешения, которые нам интересны:
GenericAll - полные права на объект
GenericWrite - редактировать атрибуты объекта
WriteOwner - изменить владельца объекта
WriteProperty - запись определенного свойства
WriteDACL - редактировать ACE объекта
AllExtendedRights - расширенные права на объект
ForceChangePassword - сменить пароль объекта
Self - возможность добавить себя в группу
Работает в GUI или консольном режимах:
Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/canix1/ADACLScanner/refs/heads/master/ADACLScan.ps1' -OutFile ADACLScan.ps1
.\ADACLScan.ps1
.\ADACLScan.ps1 -Base (Get-ADRootDSE).defaultNamingContext -Owner -Scope subtree -Filter '(objectClass=*)' | Where-Object {$_.Access -eq 'Owner'}
Экспорт в xls, csv, html
Большое количество возможностей
#adaclscanner #powershell #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Дамп LSASS через подписанные уязвимые драйвера
Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities
#soft #windows #lsass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤔1
Cyera
Cellbreak: Grist’s Pyodide Sandbox Escape and the Data-at-Risk Blast Radius | Cyera Research Labs
Cyera Research Labs discovered that under certain configurations, a malicious spreadsheet formula could break out of its intended sandbox and gain control over the system running it. In other words, something that looks like data could behave like code execution.…
CVSS 9.1
One malicious formula can turn a spreadsheet into a Remote Code Execution (RCE) beachhead. This sandbox escape lets a formula author execute OS commands or run host‑runtime JavaScript, collapsing the boundary between “cell logic” and host execution
#cve #python #grist #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
Большая подборка поисковиков, которые будут полезны ИТ специалистам, поиск по различным устройствам, эксплоитам, уязвимостям, исходным кодам и т.д.
Постоянно пользуюсь сам:
#search #security #servers #exploit
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1
Forwarded from DUCKERZ
Зима в самом разгаре, а значит настало время для DUCKERZ CTF, онлайн соревнования по информационной безопасности от нашей команды.
Участвовать могут все желающие независимо от уровня подготовки, а призы получат топ 3 команды.
Собирайте свою команду, тренируйтесь на нашей платформе, обсуждайте задания и предстоящий ивент в нашем чате.
Все анонсы и апдейты будем публиковать в нашем канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
PortSwigger Research
Top 10 web hacking techniques of 2025
Welcome to the Top 10 Web Hacking Techniques of 2025, the 19th edition of our annual community-powered effort to identify the most innovative must-read web security research published in the last year
This year, the community nominated 63 pieces of research as contenders. This is significantly fewer than the crazy 121 submissions last time, possibly because we collectively got distracted by AI. That said, it's back in line with historical nomination numbers from 2022 and 2023
#burp #web #portswigger
Please open Telegram to view this post
VIEW IN TELEGRAM
AD лаба от авторов NetExec с доступными райтапами, подойдет новичкам для изучения основных техник, неплохая история для тех, кто хочет вкатиться в изучение AD
Главная цель - стать доменным администратором
После окончания установки перезагрузить все машины, дабы выкинуть из памяти (lsass) лишние пароли
Originally featured in the lehack 2025 CTF, this lab is now available for free to everyone! In this lab, you’ll explore how to use the powerful tool NetExec to efficiently compromise an Active Directory domain during an internal pentest.
The ultimate goal? Become Domain Administrator by following various attack paths, using nothing but NetExec! and Maybe BloodHound (Why not?)
#windows #lab #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7❤2👍2🤝1