😈 [ 0xTriboulet, Steve S. ]

Use C, and some inline assembly, to create a self-extracting shellcode executable!

This solution was inspired by @hasherezade's C to Shellcode method, and was the basis for my solution to @MalDevAcademy's shellcode challenge.

Check it out!

🔗 https://steve-s.gitbook.io/0xtriboulet/just-malicious/from-c-with-inline-assembly-to-shellcode

🐥 [ tweet ]

😈 [ harmj0y, Will Schroeder - ✈ HACKER SUMMER CAMP ]

@tifkin_ , @0xdab0 , and I are very proud to announce that the alpha release of Nemesis is now public! The code is at and we have a post explaining details at 1/3

🔗 https://github.com/SpecterOps/Nemesis
🔗 https://posts.specterops.io/hacking-with-your-nemesis-7861f75fcab4

🐥 [ tweet ]

😈 [ _xpn_, Adam Chester ]

Second blog post to finish out the week. Expanding on a previous tweet to look at how LAPS 2.0 crypto works, how the PowerShell Get-LAPSADPassword cmdlet works, and provided a quick BOF to do pull and decrypt msLAPS-EncryptedPassword

🔗 https://blog.xpnsec.com/lapsv2-internals/

🐥 [ tweet ]

😈 [ zux0x3a, Lawrence ]

it is tricky to hide a payload content inside rdp connection file!, with some observation it could lead to newer technique to use.

🔗 https://0xsp.com/offensive/navigating-embedded-payload-extraction-from-rdp-files-defence-evasion/

🐥 [ tweet ]

😈 [ _EthicalChaos_, CCob🏴󠁧󠁢󠁷󠁬󠁳󠁿 ]

Thanks to everyone who came to my DEF CON talk yesterday. I should have submitted for a 45 minute talk as I didn't have time to cover the DNS update capability of gssapi-abuse tool. DNS mode is super handy if you want to apply instant updates to AD DNS

🔗 https://github.com/CCob/gssapi-abuse#dns-mode

🐥 [ tweet ]

😈 [ m417z, Michael Maltsev ]

It's common knowledge that the best source for Windows native API definitions is the collection of System Informer (formerly Process Hacker) phnt headers. Surprisingly, there were no online docs for them, so I created a simple website:

🔗 https://ntdoc.m417z.com/

🐥 [ tweet ]

😈 [ RonB_Y, Ron BY ]

Presenting my research at @defcon was incredible!
The repo for my tool #NoFilter is:

🔗 https://github.com/deepinstinct/NoFilter

The research will be published as a blog post soon
#DEFCON #DEFCON31

🐥 [ tweet ]

😈 [ assume_breach, assume_breach ]

I just published Home Grown Red Team: SMB Pivots With Havoc C2

An updated article for lateral movement with Havoc.

🔗 https://link.medium.com/Ap3Xk0HKjCb

🐥 [ tweet ]

Шпаргалка по быстрому развертыванию старой Убунты

Зачем? Статистика не врет – бо́льшая часть проломов с внешки начинается с дырявого веба. Веб же, в основном, крутится на *NIX-ах, и чаще всего, на жесть как не до конца обновленных. К сожалению (нет, на самом деле, к частью), реал-лайф отличается от CTF-таска, поэтому нестандартного SUID-ника / сплойтабельной cron-задачи / нестойкого sudo -l правила найти удается далеко не всегда, а залутаться от рута ой как хочется. Следовательно, если сходу не взлетает PwnKit, linPEAS (по секрету) запускать никто не будет, ведь ядерным сплоитом проще и быстрее.

Однако, предвосхищая контраргументы на тему небезопасности их применения, ядерные уязвимости требуют бережного использования в проде. Обычно под этим подразумевается предварительное тестирование оных на подготовленном стенде с продовым сетапом (ревизия ОС, версия ядра). На примере Убунты покажем, как быстро задеплоить такой стенд.

1. Смотрим ОС и ядро на таргете:

$ cat /etc/os-release
$ uname -a

2. Идем на old-releases.ubuntu.com и хватаем нужный ISO-шник торрентом, разворачиваем на ВМ.

3. Меняем репозитории системных пакетов на архивные:

$ sudo sed -i -re 's/([a-z]{2}\.)?archive.ubuntu.com|security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list
$ sudo apt-get update

4. Накатываем нужное ядро:

$ sudo apt-get install linux-image-$(uname -r)

5. Правим настройки GRUB, чтобы при загрузке иметь возможность свичнуть ядро:

$ gksudo gedit /etc/default/grub
--> GRUB_TIMEOUT=-1
--> #GRUB_HIDDEN_TIMEOUT=0
$ sudo update-grub
$ sudo reboot  # (on boot select the kernel from "Previous Linux versions")

6. Ставим метапакеты компиляции и gcc-multilib на случай, если древний сплоит будет собираться с -m32:

$ sudo apt-get install build-essential gcc-multilib

В среднем процесс занимает не более 15 минут вместе с загрузкой образа и адаптацией команд выше под тестируемый дистрибутив.

P. S. Если версия ОСи достаточно старая, чтобы libssl не дал скачать сорцы с Гитхаба с помощью wget/curl (i. e., не поддерживает хотя бы TLSv1.2), репозитории можно клонировать, отключив в клиенте гита проверку SSL-ей (для гетов/курлов такое не прокатит – все равно обосрутся):

$ export GIT_SSL_NO_VERIFY=1
$ git clone https://github.com/<EXP_AUTHOR>/<EXP_REPO>

Определить версию open source веб-приложения for fun and profit

Заметка, которую давно хотел оформить, дабы не потерялось (полностью скоммунизжено у @0xdf). Когда читал его врайтап по Cerberus с HTB, очень понравился раздел про определение версии веб-приложения icingaweb2 по коммитам на GH. Этот подход легко экстраполировать на любой веб, для которого есть поддерживаемая репа с исходниками.

1. Клонируем репозиторий и собираем статистику по наиболее часто редактируемым файлам из публично доступной директории (для примера – public/):

$ for f in `find public/ -type f`; do echo "$f: `git log --oneline "$f" | wc -l`"; done | sort -nrk2 > /tmp/files_stat && head /tmp/files_stat

2. Запоминаем первый такой файл с наибольшим числом изменений по всем коммитам:

$ TARGET_FILE=`head -1 /tmp/files_stat | awk -F: '{print $1}'`
$ TARGET_FILE_BASENAME=`basename $TARGET_FILE`

3. Проходим по всей истории коммитов и в каждом считаем MD5 для этого файла:

$ for hash in `git log --oneline $TARGET_FILE | awk '{print $1}'`; do (git checkout "$hash"; echo "$hash: `md5sum $TARGET_FILE`") 2>/dev/null | tee -a "/tmp/$TARGET_FILE_BASENAME.md5"; done
$ git reset --hard && git checkout main

4. Качаем искомый файл с целевого веба, для которого мы хотим определить версию, и ищем его хеш среди посчитанных на шаге 3:

$ grep `curl -sSLk "https://example.com/$TARGET_FILE" | md5sum | awk '{print $1}'` "/tmp/$TARGET_FILE_BASENAME.md5"

5. Идем в историю коммитов и ищем признаки, которые спалят версию прилы (дата коммита, информация в CHANGELOG[.]md, описаниях и т. д.). При необходимости повторяем для других файлов с целью объединения результатов и сужения списка потенциально подходящих версий:

$ git log $TARGET_FILE

Источник:

🔗 https://0xdf.gitlab.io/2023/07/29/htb-cerberus.html

😈 [ TrustedSec, TrustedSec ]

Ever have correlation issues within Detection Engineering? Not sure how to perform correlation or the value? @jsecurity101 @4ndr3w6S @exploitph discuss their approach to correlation by focusing on #Kerberos-based attacks in our newest blog. @Binary_Defense

🔗 https://hubs.la/Q01_j8WZ0

🐥 [ tweet ]

😈 [ pdiscoveryio, ProjectDiscovery.io ]

8 cool recon techniques for beginner hackers 😎👇

Featuring:
🌀 dnsx
🌀 uncover
🌀 naabu

Read this 👇

🔗 https://infosecwriteups.com/cool-recon-techniques-every-hacker-misses-1c5e0e294e89

🐥 [ tweet ]

😈 [ ShitSecure, S3cur3Th1sSh1t ]

Pentest/Red-Team tip: Never trust in BH-Information if you didn't enumerate them with an administrative user. Session infos are not complete, Local Group information may be missing. Low priv users cannot enumerate that anymore for updated systems. 🧐

🐥 [ tweet ]

😈 [ NaisuBanana, nanaisu🍌 ]

This week I deployed BloodHound Community Edition - I wrote down some things I found missing in the docs and added a few notes about best practices and things to consider:

🔗 https://blog.spookysec.net/Deploying-BHCE/

🐥 [ tweet ]

😈 [ mpgn_x64, mpgn ]

It's sunday ☀️ ! Best day to announce a new module just landed on CrackMapExec, allowing you to retrieve cleartext passwords on IIS Application Pool by @Shad0wCntr0ller ! 🚀

Just git pull the master branch 🔄

Now what if the application run as gMSA ? 🔽🔽🔽

🐥 [ tweet ]

😈 [ naksyn, Diego Capriotti ]

My @x33fcon talk has been published!

If you prefer reading, here's the blogpost:
Thanks to all the hard-worker x33fcon organizers for such an awesome conference, definitely my best conf experience to date.

🔗 https://www.youtube.com/watch?v=_TEnBLt2JF4&t=5s
🔗 https://www.naksyn.com/edr%20evasion/2023/06/01/improving-the-stealthiness-of-memory-injections.html

🐥 [ tweet ][ quote ]

😈 [ _xpn_, Adam Chester ]

I've dumped a quick noscript to show how IIS decrypts AppPool credentials. Uses iisCngWasKey stored in C:\ProgramData\Microsoft\Crypto\Keys, derives a key and decrypts with BCryptDecrypt. Crypto logic is in inetsrv\nativerd.dll.

🔗 https://github.com/xpn/RandomTSScripts/tree/master/apppoolcreddecrypt

🐥 [ tweet ]

😈 [ _nwodtuhs, Charlie Bromberg « Shutdown » ]

Thanks to @snovvcrash for bumping it, ThePorgs/Impacket now merged , a PR waiting since Oct 2022, effectively fixing Kerberos auth for tstool[.]py

⏩ installed by default on

🔗 https://github.com/fortra/impacket/pull/1420
🔗 https://github.com/ThePorgs/impacket
🔗 http://exegol.rtfd.io

🐥 [ tweet ]

@nopernik форсим твои труды в массы 🙏🏻

😈 [ jsecurity101, Jonny Johnson ]

[New Blog]

I recently took a bit of a dive into DLL Hijacking/Proxying and decided to do a write-up explaining the nuances of the different hijack techniques. Cool queries at the end for detections/threat hunts too 🙂

🔗 https://www.binarydefense.com/resources/blog/demystifying-dll-hijacking-understanding-the-intricate-world-of-dynamic-link-library-attacks/

🐥 [ tweet ]