Топ98 на htb
А шо? звучит хайпово

Могли хотя бы сделать нормальный значок, а то качество тупо 144p

Анализ Инструмента PassTheCert

В современном цифровом ландшафте безопасность систем Active Directory стоит на переднем плане, так как это ключевой элемент инфраструктуры многих организаций. Однако, сложность и динамичность среды AD также создают уязвимости, которые злоумышленники могут использовать для своей выгоды. Одним из инструментов, позволяющих исследовать и тестировать безопасность AD, является PassTheCert.

PKINIT и Современная Аутентификация

PKINIT - это механизм предварительной аутентификации в протоколе Kerberos, использующий X.509 сертификаты для обеспечения безопасности процесса аутентификации. Этот метод может быть использован для захвата учётных данных, таких как Ticket Granting Ticket (TGT) или его хэш. PKINIT также связан с методами аутентификации на базе умных карт.

Роль LDAP и Гибкость PassTheCert

Не все контроллеры доменов поддерживают PKINIT, что может быть обусловлено отсутствием Smart Card Logon. В таких случаях, инструменты, использующие протокол LDAP, могут предоставить альтернативный способ аутентификации с использованием клиентских сертификатов. Один из таких инструментов - PassTheCert.

PassTheCert: Атаки и Возможности

PassTheCert - инструмент, разработанный для выполнения атак на безопасность в средах AD, используя X.509 сертификаты. Вот несколько векторов атак, доступных с помощью этой утилиты:

1. Предоставление прав DCSync: Атака на извлечение данных из контроллера домена, включая хэши паролей.

2. Модификация атрибута msDS-AllowedToActOnBehalfOfOtherIdentity: Расширение привилегий путем действия от имени другой учётной записи.

3. Добавление компьютера в домен: Создание возможности для атак расширения контроля над доменом, например для выполнения RBCD-атак.

4. Сброс пароля учётной записи: Требует определенных прав, например, User-Force-Change-Password.

Пример использования PassTheCert для сброса пароля учётной записи:

python3 passthecert.py -dc-ip {dc_ip} -action modify_user -crt user.crt -key user.key -domain corp.com -target test -new-pass

Upd. Вдохновился этим постом

Методы туннелирования:

Перемещение между хостами в разделенной сети может представлять собой задачу с определенными сложностями. Например, возникают ситуации, когда необходимый для выполнения работы хост находится в другой сегментированной подсети, и доступ к нему ограничен правилами межсетевого экрана. Также бывает, что доступ разрешен только с определенных адресов. Для решения этой проблемы было разработано большое количество утилит:

1. Proxychains - уверен, что для него не требуется разъяснений
2. Shadowsocks-Windows - shadowsocks на C#
3. Gost - китайский аналог Chisel, с большей функциональностью
4. Bore - утилита, написанная на Rust
5. FRP - опять Go, тут уже позволяет нам использовать какой-то конфиг файл, token/oidc аутентификация, bandwidth лимит, поддержка KCP/QUIC и много чего другого.
6. Mubeng - хороша для ротации IP
7. proxy.py - классная утилита, написанная на Python
8. nc - оказалось, что у netcat'a есть флаг --ssl позволяющий зашифровывать трафик
9. Chisel - очень популярный инструмент, написанный на Go, пользуюсь им чаще всего

Так как мне больше всего нравится chisel, то рассмотрим его:

Chisel представляет собой инструмент, который обеспечивает создание безопасного сетевого туннеля между двумя устройствами. Этот инструмент позволяет обходить ограничения сетевых настроек и передавать информацию через зашифрованный канал. Он может быть использован для получения доступа к удаленным ресурсам через защищенное соединение, обхода ограничений, налагаемых межсетевыми экранами и файрволами, а также для обеспечения безопасности при подключении к сетям через ненадежные каналы. Иногда бывают проблемы с утилитой, если версии на хостовой и удаленной машине отличаются, поэтому советую использовать и там, и там одну версию

Примеры использования Chisel:

1. Настройка сервера Chisel на своей машине:

./chisel server -p <порт> --reverse
   

Эта команда запускает Chisel сервер на своей машине, который ожидает входящие подключения на указанном порту.

2. Создание туннеля с помощью клиента Chisel на удаленной машине:

./chisel client <свой_адрес>:<порт> R:<локальный_порт>:<удаленный_адрес_туннеля>:<удаленный_порт>
   

3. Создание прокси

./chisel client <свой_адрес>:<порт> R:socks

Кроме того, если первоначальный доступ был получен к windows-тачке, то можно рассмотреть такой вариант

В таком случае удобно использовать инструмент portproxy в netsh. Для настройки этого механизма требуются привилегии локального администратора, и также необходимо, чтобы была активирована служба iphlpsvc. Для проверки статуса этой службы можно воспользоваться командой:

Get-Service iphlpsvc

Правила проброса портов можно настраивать как между адресами IPv4, так и IPv6. Для этого предусмотрены параметры v4tov6, v6tov4, v4tov4 и v6tov6.

Для иллюстрации, давайте рассмотрим пример проброса порта для WIN-RM:

netsh interface portproxy add v4tov4 listenaddress=your-ip listenport=1337 connectaddress=192.168.1.1 connectport=5985

С помощью следующей команды можно подключиться к WIN-RM:

mstsc.exe /v:your-ip:1337

Список правил проброса портов можно посмотреть с помощью команды:

netsh interface portproxy show all

Изменить настройки проброса портов можно с помощью команды set, заменив параметр add в команде.

После завершения работ рекомендуется удалить правило проброса портов:

netsh interface portproxy delete v4tov4 listenport=1337 listenaddress=your-ip

Если было создано несколько правил, то их можно удалить сразу(не советую так делать, тк будут удаленно ВСЕ правила, а не только недавно созданные):

netsh interface portproxy reset

В данном посте автор привел более расширенный список утилит для туннелирования трафика

Где-то год назад друг рассказывал мне про namespace'ы в UNIX-системам. И я наконец-то созрел для минидоклада на этот счет

Несколько недель назад нашел account takeover на web.archive. И решил поделиться информацией об этом

Сегодня встретился с TeamCity, уязвимым к CVE-2023-42793, и по этой причине написал 2 PoC'a: один для создания учётной записи администратора, второй под rce.
Небольшой ресерч насчет этой уязвимости в посте Monkey Hacker.

Вчера прилетел на гитхабе пул-реквест на один из репозиториев, и я решил почитать предложенные исправления.
Оказалось, что codespaces (встроенный функционал) позволяет получить сервер с минимальными мощностями.
Таким образом, можно получить себе тачку с зарубежным белым IP-адресом.
Прочитать подробнее можно тут.

В прошлый раз я разобрал способ получения VPS с помощью codespace.
В этой статье описал еще несколько способов получения доступа к VPS/VDS

BounceBack - мощный, настраиваемый и конфигурируемый реверс-прокси с функцией WAF для скрытия вашей C2/phishing/etc-инфраструктуры от блютима, песочниц, сканеров и т.д. По этой причине под капотом используется анализ трафика в реальном времени с помощью различных фильтров и их комбинаций.

Для удобства автор оставил в репе списки блокируемых слов и фильтрацию IP-адресов.

Вчера закончился standoff, это были увлекательные 4 дня. ШО по вулнам?
Что-то было очень простым: выкачать .git и по коммитам найти path traversal и remote file inclusion в rce
Что-то достаточно странным: фаззинг директорий и php rce с помощью метода PUT
Была также база: SSTI в шаблонизаторе Jinja2 с неплохим blacklist'ом
Помимо этого была еще куча векторов в банковском сегменте (я был за него ответственным), но чет не получилось докрутить
Хотелось бы поблагодарить всю команду Invuls за классное времяпрепровождение

Недавно решил пройти задачи, связанные с client-side на rootme.
Первым типом таких тасков выбрал XSS. Поэтому в этой статье кратко рассказал о разновидностях этой атаки и продемонстрировал решение Self XSS - DOM Secrets

godfuzz3r несколько месяцев назад написал плагин для бурпа, который декодит unicode

Встретились под Новый год в одном из московских баров :)

Обновленный состав BTS Invuls

Всем привет, это последний пост в уходящем году. Поздравляю всех с наступающим Новым Годом!

Хотелось бы кратко подвести итоги
2023 был достаточно интересным и насыщенным на события:
Познакомился с большим количеством крутых людей и специалистов в ИБ
Присоединился в Invuls и поиграл с ними в standoff 12
Организовал и провел Hack in 15 minutes на OFFZONE
Ну и всякого по мелочи

Надеюсь, что в следующем году не буду пропадать надолго и постить хотя бы раз в месяц (но это не точно)

Еще раз поздравляю с наступающим Новым Годом (или с наступившим, зависит от часового пояса) и желаю всем удачи и успехов!

Upd. Спасибо большое за подписки, не ожидал, что так быстро 1000 наберется
👉👈

В прошлый раз скинул презентацию о namespace'ах.
В этот подготовил мини-доклад о побеге из докера, который слегка расширяет информацию на hacktricks'е

Всем привет!

Спустя более двух лет канал преодолел порог в 1000 подписчиков (еще в ноябре прошлого года), и это заслуживает особого внимания!

В связи с этим организую стрим. Проведем его вместе с @CuriV (автор канала @pathsecure) и познакомимся друг с другом.

📆 Дата: 21 января (воскресенье)
🕒 Время: 16:00 по Московскому времени

🎙 Что ждет вас:

• Ретроспектива пути: Поделюсь своей историей – от того, как всё начиналось, до того, кем являюсь сегодня.

• Обратная связь: Приглашаю вас высказать свои мысли, идеи и пожелания относительно ресерчей, постов и контента.

• Ответы на вопросы: Буду на связи, готовый ответить на все ваши вопросы. Что вас волнует?