Шпаргалка по быстрому развертыванию старой Убунты

Зачем? Статистика не врет – бо́льшая часть проломов с внешки начинается с дырявого веба. Веб же, в основном, крутится на *NIX-ах, и чаще всего, на жесть как не до конца обновленных. К сожалению (нет, на самом деле, к частью), реал-лайф отличается от CTF-таска, поэтому нестандартного SUID-ника / сплойтабельной cron-задачи / нестойкого sudo -l правила найти удается далеко не всегда, а залутаться от рута ой как хочется. Следовательно, если сходу не взлетает PwnKit, linPEAS (по секрету) запускать никто не будет, ведь ядерным сплоитом проще и быстрее.

Однако, предвосхищая контраргументы на тему небезопасности их применения, ядерные уязвимости требуют бережного использования в проде. Обычно под этим подразумевается предварительное тестирование оных на подготовленном стенде с продовым сетапом (ревизия ОС, версия ядра). На примере Убунты покажем, как быстро задеплоить такой стенд.

1. Смотрим ОС и ядро на таргете:

$ cat /etc/os-release
$ uname -a

2. Идем на old-releases.ubuntu.com и хватаем нужный ISO-шник торрентом, разворачиваем на ВМ.

3. Меняем репозитории системных пакетов на архивные:

$ sudo sed -i -re 's/([a-z]{2}\.)?archive.ubuntu.com|security.ubuntu.com/old-releases.ubuntu.com/g' /etc/apt/sources.list
$ sudo apt-get update

4. Накатываем нужное ядро:

$ sudo apt-get install linux-image-$(uname -r)

5. Правим настройки GRUB, чтобы при загрузке иметь возможность свичнуть ядро:

$ gksudo gedit /etc/default/grub
--> GRUB_TIMEOUT=-1
--> #GRUB_HIDDEN_TIMEOUT=0
$ sudo update-grub
$ sudo reboot  # (on boot select the kernel from "Previous Linux versions")

6. Ставим метапакеты компиляции и gcc-multilib на случай, если древний сплоит будет собираться с -m32:

$ sudo apt-get install build-essential gcc-multilib

В среднем процесс занимает не более 15 минут вместе с загрузкой образа и адаптацией команд выше под тестируемый дистрибутив.

P. S. Если версия ОСи достаточно старая, чтобы libssl не дал скачать сорцы с Гитхаба с помощью wget/curl (i. e., не поддерживает хотя бы TLSv1.2), репозитории можно клонировать, отключив в клиенте гита проверку SSL-ей (для гетов/курлов такое не прокатит – все равно обосрутся):

$ export GIT_SSL_NO_VERIFY=1
$ git clone https://github.com/<EXP_AUTHOR>/<EXP_REPO>

Определить версию open source веб-приложения for fun and profit

Заметка, которую давно хотел оформить, дабы не потерялось (полностью скоммунизжено у @0xdf). Когда читал его врайтап по Cerberus с HTB, очень понравился раздел про определение версии веб-приложения icingaweb2 по коммитам на GH. Этот подход легко экстраполировать на любой веб, для которого есть поддерживаемая репа с исходниками.

1. Клонируем репозиторий и собираем статистику по наиболее часто редактируемым файлам из публично доступной директории (для примера – public/):

$ for f in `find public/ -type f`; do echo "$f: `git log --oneline "$f" | wc -l`"; done | sort -nrk2 > /tmp/files_stat && head /tmp/files_stat

2. Запоминаем первый такой файл с наибольшим числом изменений по всем коммитам:

$ TARGET_FILE=`head -1 /tmp/files_stat | awk -F: '{print $1}'`
$ TARGET_FILE_BASENAME=`basename $TARGET_FILE`

3. Проходим по всей истории коммитов и в каждом считаем MD5 для этого файла:

$ for hash in `git log --oneline $TARGET_FILE | awk '{print $1}'`; do (git checkout "$hash"; echo "$hash: `md5sum $TARGET_FILE`") 2>/dev/null | tee -a "/tmp/$TARGET_FILE_BASENAME.md5"; done
$ git reset --hard && git checkout main

4. Качаем искомый файл с целевого веба, для которого мы хотим определить версию, и ищем его хеш среди посчитанных на шаге 3:

$ grep `curl -sSLk "https://example.com/$TARGET_FILE" | md5sum | awk '{print $1}'` "/tmp/$TARGET_FILE_BASENAME.md5"

5. Идем в историю коммитов и ищем признаки, которые спалят версию прилы (дата коммита, информация в CHANGELOG[.]md, описаниях и т. д.). При необходимости повторяем для других файлов с целью объединения результатов и сужения списка потенциально подходящих версий:

$ git log $TARGET_FILE

Источник:

🔗 https://0xdf.gitlab.io/2023/07/29/htb-cerberus.html

😈 [ TrustedSec, TrustedSec ]

Ever have correlation issues within Detection Engineering? Not sure how to perform correlation or the value? @jsecurity101 @4ndr3w6S @exploitph discuss their approach to correlation by focusing on #Kerberos-based attacks in our newest blog. @Binary_Defense

🔗 https://hubs.la/Q01_j8WZ0

🐥 [ tweet ]

😈 [ pdiscoveryio, ProjectDiscovery.io ]

8 cool recon techniques for beginner hackers 😎👇

Featuring:
🌀 dnsx
🌀 uncover
🌀 naabu

Read this 👇

🔗 https://infosecwriteups.com/cool-recon-techniques-every-hacker-misses-1c5e0e294e89

🐥 [ tweet ]

😈 [ ShitSecure, S3cur3Th1sSh1t ]

Pentest/Red-Team tip: Never trust in BH-Information if you didn't enumerate them with an administrative user. Session infos are not complete, Local Group information may be missing. Low priv users cannot enumerate that anymore for updated systems. 🧐

🐥 [ tweet ]

😈 [ NaisuBanana, nanaisu🍌 ]

This week I deployed BloodHound Community Edition - I wrote down some things I found missing in the docs and added a few notes about best practices and things to consider:

🔗 https://blog.spookysec.net/Deploying-BHCE/

🐥 [ tweet ]

😈 [ mpgn_x64, mpgn ]

It's sunday ☀️ ! Best day to announce a new module just landed on CrackMapExec, allowing you to retrieve cleartext passwords on IIS Application Pool by @Shad0wCntr0ller ! 🚀

Just git pull the master branch 🔄

Now what if the application run as gMSA ? 🔽🔽🔽

🐥 [ tweet ]

😈 [ naksyn, Diego Capriotti ]

My @x33fcon talk has been published!

If you prefer reading, here's the blogpost:
Thanks to all the hard-worker x33fcon organizers for such an awesome conference, definitely my best conf experience to date.

🔗 https://www.youtube.com/watch?v=_TEnBLt2JF4&t=5s
🔗 https://www.naksyn.com/edr%20evasion/2023/06/01/improving-the-stealthiness-of-memory-injections.html

🐥 [ tweet ][ quote ]

😈 [ _xpn_, Adam Chester ]

I've dumped a quick noscript to show how IIS decrypts AppPool credentials. Uses iisCngWasKey stored in C:\ProgramData\Microsoft\Crypto\Keys, derives a key and decrypts with BCryptDecrypt. Crypto logic is in inetsrv\nativerd.dll.

🔗 https://github.com/xpn/RandomTSScripts/tree/master/apppoolcreddecrypt

🐥 [ tweet ]

😈 [ _nwodtuhs, Charlie Bromberg « Shutdown » ]

Thanks to @snovvcrash for bumping it, ThePorgs/Impacket now merged , a PR waiting since Oct 2022, effectively fixing Kerberos auth for tstool[.]py

⏩ installed by default on

🔗 https://github.com/fortra/impacket/pull/1420
🔗 https://github.com/ThePorgs/impacket
🔗 http://exegol.rtfd.io

🐥 [ tweet ]

@nopernik форсим твои труды в массы 🙏🏻

😈 [ jsecurity101, Jonny Johnson ]

[New Blog]

I recently took a bit of a dive into DLL Hijacking/Proxying and decided to do a write-up explaining the nuances of the different hijack techniques. Cool queries at the end for detections/threat hunts too 🙂

🔗 https://www.binarydefense.com/resources/blog/demystifying-dll-hijacking-understanding-the-intricate-world-of-dynamic-link-library-attacks/

🐥 [ tweet ]

😈 [ PenTestPartners, Pen Test Partners ]

Following his #DEFCON31 #DC31 talk our @_EthicalChaos_ has written a follow up including further research on abusing mixed vendor Kerberos stacks, so that any user can be spoofed against any service hosted over GSSAPI

🔗 https://forum.defcon.org/node/245708
🔗 https://www.pentestpartners.com/security-blog/a-broken-marriage-abusing-mixed-vendor-kerberos-stacks/

🐥 [ tweet ]

😈 [ rootsecdev, rootsecdev ]

> Ну вот и дождались... Теперь в Excel доступен python 🫣

If folks are concerned about this, blueteamers can just do a GPO preference with the following reg key and just get on with life:

reg add HKCU\software\policies\microsoft\office\16.0\excel\security /v PythonFunctionWarnings /t REG_DWORD /d 2 /f

🔗 https://support.microsoft.com/en-us/office/data-security-and-python-in-excel-33cc88a4-4a87-485e-9ff9-f35958278327

🐥 [ tweet ]

😈 [ _barbhack_, Barbhack ]

Exploitation de DNS insecure updates & Hijzck Kerberos en MiTM

🔗 https://github.com/almandin/krbjack

🐥 [ tweet ]

😈 [ rootsecdev, rootsecdev ]

I know its old but its still awesome to see a meterpreter shell spawning with PowerLessShell. No powershell process is being spawned in Task Manager.

🔗 https://github.com/Mr-Un1k0d3r/PowerLessShell

🐥 [ tweet ]

Друзья! Книга "Физические атаки с использованием хакерских устройств" наконец вышла и доступна для заказа (https://bhv.ru/product/hakerstvo-fizicheskie-ataki-s-ispolzovaniem-hakerskih-ustrojstv/). Работа начатая еще в далеком 2020 году как презентация для научно технического совета, развитая в 10 отдельных статей и затем объединенная в единый документ, наконец закончена. Благодаря финансовой поддержки компании УЦСБ книга выходит в цветном формате с множеством фотографий, цветных листингов кода и конфигов.
О чем книга.
При тестировании на проникновение физические атаки не обязательно могут быть связаны с грубой силой. Для потенциального злоумышленника, подошедшего максимально близко к своим целям, существует целое множество атак, часть из которых широкой публике почти не известна.
А широкое распространение беспроводных технологий позволяет атакующему выполнить проникновение даже не преодолевая физический периметр, действуя уже по модели внешнего нарушителя.
В книге показано на что способен киберпреступник, замотивированный настолько, чтобы оказаться в зоне действия беспроводных сетей, или даже ещё ближе... Что киберпреступник, находящийся так близко располагает куда большими возможностями, нежели развивая свои атаки из сети интернет.
Книга состоит из трех частей:
- В первой части показаны наиболее актульные вектора атак с непосредственным физическим доступом.
- Во второй части атаки станут удаленными, применяемыми уже по радиоканалу, с расстояния от нескольких до десятков метров. И таких атак как ни странно будет гораздо больше.
- В третьей части акцент сделан уже не на атаки, а на физические импланты - специальные устройства, поддерживающие удаленный доступ в различных обстоятельствах.
Книга покажет что:
- оперативная память может быть достаточно просто украдена с заблокированного компьютера вместе со всеми секретами и паролями, даже если диск зашифрован
- сетевой трафик может быть снят прямо с провода простыми электрическими клеммами
- обычная свиду флешка может быть не тем чем кажется и при подключении способна скомпрометировать любой компьютер за секунду
- с заблокированного компьютера можно перехватить сетевой трафик и чувствительные данные используя для этого только USB
- как длительные по времени атаки на беспроводные сети могут быть эффективно произведены с помощью обычных одноплатных ПК
- а молниеносные атаки на беспроводные технологии могут быть совершены с летящего дрона, который управляется злоумышленником за сотни километров
- обычный человек со смартфоном в руке может взломать практически любую современную компанию за секунду
- как с помощью одноплатного ПК незаметно вклиниться между сетевыми устройствами, с тем что бы предоставить удаленный доступ
- как 4G модем может быть использован для удаленного доступа к физически изолированному компьютеру
- и наконец как обычный минителефон легким движением руки может превратиться в шпионское устройство
На протяжении 300 страниц вы не встретите ни одной атаки с ноутбука - только телефон (nethunter, shark jack), одноплатники (pineapple, bash bunny, packet squirrel), ардуино (rubber ducky), флешка, дроны и 4g модемы (lan turtle).
В ходе повествования читатель ни раз заметит, что реальный взлом с телефоном или другими девайсами может не сильно отличаться от того что представлено в играх Watch Dogs или сериале Mister Robot.
Книга одинаково хорошо подойдет как людям не очень хорошо разбирающимся в технике благодаря множеству наглядных цветных фото реальных атак и стендов, так и искушенных умов которые подчерпнут много полезного из не менее красочных цветных листингов кода и конфигов.
И наконец книга просто обязательна к прочтению каждому сотруднику службы безопасности каждой компании. Ведь данная книга - это самый лучший способ открыть глаза на актуальные угрозы современного цифрового мира, что позволит сделать каждую компанию и весь мир хоть чуточку но безопаснее.

😈 [ an0n_r0, an0n ]

found Mimikatz dpapi::chrome (for decrypting chrome/msedge secrets) fails with No Alg/Key handle error now. seems to be the encrypted_key parser from the Local State file is broken. no worries, it is possible to feed it with the encrypted_key directly, here is what I mean.

🐥 [ tweet ]

😈 [ nickvourd, NCV ]

Hello World! This Supernova Beta version... This tool was designed by @nickvourd, @Papadope9 and @IAMCOMPROMISED... Soon the official release...

🔗 https://github.com/nickvourd/Supernova

🐥 [ tweet ]

😈 [ MDSecLabs, MDSec ]

In our latest post, @breakfix details how we were able to publish a malicious VSCode extension to the marketplace and leverage it for initial access during a red team

🔗 https://www.mdsec.co.uk/2023/08/leveraging-vscode-extensions-for-initial-access/
🔗 https://vimeo.com/853281700?share=copy

🐥 [ tweet ]