Шпаргалка по быстрому развертыванию старой Убунты

Зачем? Статистика не врет – бо́льшая часть проломов с внешки начинается с дырявого веба. Веб же, в основном, крутится на *NIX-ах, и чаще всего, на жесть как не до конца обновленных. К сожалению (нет, на самом деле, к частью), реал-лайф отличается от CTF-таска, поэтому нестандартного SUID-ника / сплойтабельной cron-задачи / нестойкого sudo -l правила найти удается далеко не всегда, а залутаться от рута ой как хочется. Следовательно, если сходу не взлетает PwnKit, linPEAS (по секрету) запускать никто не будет, ведь ядерным сплоитом проще и быстрее.

Однако, предвосхищая контраргументы на тему небезопасности их применения, ядерные уязвимости требуют бережного использования в проде. Обычно под этим подразумевается предварительное тестирование оных на подготовленном стенде с продовым сетапом (ревизия ОС, версия ядра). На примере Убунты покажем, как быстро задеплоить такой стенд.

1. Смотрим ОС и ядро на таргете:

$ cat /etc/os-release
$ uname -a

2. Идем на old-releases.ubuntu.com и хватаем нужный ISO-шник торрентом, разворачиваем на ВМ.

3. Меняем репозитории системных пакетов на архивные:

$ sudo sed -i -re 's/([a-z]{2}\.)?archive.ubuntu.com|security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list
$ sudo apt-get update

4. Накатываем нужное ядро:

$ sudo apt-get install linux-image-$(uname -r)

5. Правим настройки GRUB, чтобы при загрузке иметь возможность свичнуть ядро:

$ gksudo gedit /etc/default/grub
--> GRUB_TIMEOUT=-1
--> #GRUB_HIDDEN_TIMEOUT=0
$ sudo update-grub
$ sudo reboot  # (on boot select the kernel from "Previous Linux versions")

6. Ставим метапакеты компиляции и gcc-multilib на случай, если древний сплоит будет собираться с -m32:

$ sudo apt-get install build-essential gcc-multilib

В среднем процесс занимает не более 15 минут вместе с загрузкой образа и адаптацией команд выше под тестируемый дистрибутив.

P. S. Если версия ОСи достаточно старая, чтобы libssl не дал скачать сорцы с Гитхаба с помощью wget/curl (i. e., не поддерживает хотя бы TLSv1.2), репозитории можно клонировать, отключив в клиенте гита проверку SSL-ей (для гетов/курлов такое не прокатит – все равно обосрутся):

$ export GIT_SSL_NO_VERIFY=1
$ git clone https://github.com/<EXP_AUTHOR>/<EXP_REPO>

🪄 Red Wizard

This tool automates the deployment of a comprehensive infrastructure with redirectors, backend systems, phishing relays, OSINT machines, and more. It is designed to be user-friendly, providing wizards to walk administrators and Red Team operators through the deployment process. The infrastructure is also self-documenting, making the sharing of all relevant details to the team of operators an effortless task.

🌐 Details:
https://www.secura.com/blog/red-wizard-1

#redteam #relay #infrastructure #phishing

⚛️ Nuclei Templates AI Generator

Nuclei Template Editor - AI-powered hub to create, debug, scan, and store templates. Covering a wide array of vulnerabilities using public templates & rich CVE data.

📝 Note:
Current focus is HTTP, more protocols coming soon

🌐 Source:
https://templates.nuclei.sh
https://docs.nuclei.sh/editor

#nuclei #template #generator

Недавно нашел интересную функцию DebugActiveProcess , которая позволяет текущему процессу стать дебаггером (обрабатывать всякие дебаг события) для другого процесса. Ну и в голову пришла идея: "А что если применить это на powershell и обрабатывать LOAD_DLL_DEBUG_EVENT, перехватывать загрузку amsi.dll и патчить ее на лету?" . Таким образом родился проект DebugAmsi , который позволяет запускать процесс powershell.exe с автоматическим патчем amsi. Причем я постарался избавить Вас от нужды чистки строк, обфускации их и прочей жести. В файлике strhide реализован алгоритм по шифрованию всех строк проекта во время компиляции с помощью XOR. Алгоритм вынесен в два отдельных милых макроса - h() (для шифрования ASCII строк) и hW() (для шифрования юникода).

Пользуйтесь на здоровье😚

⚔️ GitLab CE/EE Preauth RCE (CVE-2021-22205)

An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a remote command execution.

❗️Affect Versions:

>=11.9, <13.8.8
>=13.9, <13.9.6
>=13.10, <13.10.3

🌐 Source:
https://github.com/inspiringz/CVE-2021-22205

#gitlab #rce #cve

WinRAR <= 6.22: code execution PoC

https://github.com/b1tg/CVE-2023-38831-winrar-exploit

#git #exploit #pentest #redteam #fishing #initial

Хорошая статья от MDSec, как они "редтимили" разработчиков. Наиболее интересный момент - это разработка и публикация вредоносного расширения VSCode для фишинга и получения первоначального доступа.

https://www.mdsec.co.uk/2023/08/leveraging-vscode-extensions-for-initial-access/

#redteam #pentest #pishing #initial

CVE-2023-28229

Service Elevation of Privilege Vulnerability in Windows CNG Key Isolation

https://github.com/Y3A/CVE-2023-28229

Reference: https://whereisk0shl.top/post/isolate-me-from-sandbox-explore-elevation-of-privilege-of-cng-key-isolation

🔄 Active Directory GPOs through NTLM relaying, and more!

Learn about a attack vector that exploits GPOs through NTLM relaying, potentially allowing unauthenticated attackers to abuse.

🌐 Source:
https://www.synacktiv.com/publications/gpoddity-exploiting-active-directory-gpos-through-ntlm-relaying-and-more

#ad #gpo #relay #ntlm

😈 [ Clandestine @akaclandestine ]

𝘼𝙑/𝙀𝘿𝙍 𝙀𝙫𝙖𝙨𝙞𝙤𝙣 | 𝙈𝙖𝙡𝙬𝙖𝙧𝙚 𝘿𝙚𝙫𝙚𝙡𝙤𝙥𝙢𝙚𝙣𝙩 👾

🔗 Part 1 - https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af5

🔗 Part 2 - https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db354

🔗 Part 3 - https://medium.com/@0xHossam/unhooking-memory-object-hiding-3229b75618f7

🔗 Part 4 - https://medium.com/@0xHossam/av-edr-evasion-malware-development-p-4-162662bb630e

🐥 [ tweet ]

Caro-Kann

Encrypted shellcode Injection to avoid Kernel triggered memory scans

https://github.com/S3cur3Th1sSh1t/Caro-Kann

😈 POSTDump

This is the C# / .NET implementation of the ReactOS minidump function (like nanodump), thus avoiding call to the Windows API MiniDumpWriteDump function.

🚀 Key Features:

— Usage of indirect syscall along with halo's gate technic to retrieve syscalls IDs
— No memory Allocation/Protection call is performed for indirect syscall, instead, free RWX codecave found in the current process are used
— ETW patching
— No call to MiniDumpWriteDump

🌐 Source:
https://github.com/YOLOP0wn/POSTDump

#windows #lsass #dump #syscall #reactos

⚙ WTS API Wasteland — Token Impersonation In Another Level

A new research about a technique for lateral movement by stealing tokens while abusing the RPC named pipe \\pipe\LSM_API_service

🌐 PoC:
https://github.com/OmriBaso/WTSImpersonator

📝 Research:
https://medium.com/@omribaso/wts-api-wasteland-remote-token-impersonation-in-another-level-a23965e8227e

#ad #windows #token #impersonate

CVE-2023-29357: Microsoft SharePoint Server Elevation of Privilege

https://github.com/Chocapikk/CVE-2023-29357/tree/main

#exploit #pentest #redteam #git

⚙️ Windows LPE in driver MSKSSRV.SYS

CVE-2023-29360 is a Local Privilege Escalation (LPE) vulnerability found in the mskssrv driver. It allows attackers to gain direct access to kernel memory by exploiting improper validation of a user-supplied value.

🌐 PoC:
https://github.com/Nero22k/cve-2023-29360

📝 Research:
https://big5-sec.github.io/posts/CVE-2023-29360-analysis/

#windows #lpe #driver #mskssrv

➡️ Local Admin to Domain Admin

Ask a TGS on behalf of another user without password.

Scenario: you are Local Administrator and there is a logged User you want to Impersonate!

🌐 Source:
https://github.com/foxlox/GIUDA

#ad #kerberos #tgs #perl

🔒 Protected Users and xfreerdp

By default xfreerdp does not support Kerberos authentication. As such you'll have to recompile it specifying the WITH_GSSAPI option. Also you'll need the libkrb5-dev package to handle TGT/ST requests :)

#ad #kerberos #xfreerdp #redteam

NetExec

This tool is based on CrackMapExec and was originally created by bytebleeder and maintained by mpgn over the years, shout out to them! With the retirement of mpgn, we decided to maintain the tool NetExec, formerly known as CrackMapExec, as a completely free open source tool.

Today will be our first release of NetExec version 1.0.0

NetExec wiki