Способы получения учетных данных без взаимодействия с процессом lsass.exe

Продолжаю свой небольшой курс лекций, который я с радостью читаю в университете :) На этот раз решил подсветить и обратить внимание на варианты извлечения учётных данных без взаимодействия с процессом lsass.exe. Изначально презентация создавалась под субботнюю встречу DC7499, но записей оттуда пока что нет, поэтому я прочитал материал ещё раз, ведь тема действительно важная и может когда-нибудь спасти проект :)

С записью можно ознакомиться вот тут:
https://vk.com/video-210214143_456239063?list=07690309879b933b1b

это не база, это базище😂

https://github.com/fortra/impacket/pull/1719
дамп sam/system/security через shadowcopy

эту фичу можно использовать для получения кред из lsass в совокупности с описанными тут методами
P.S. сидел собирал собирал инфу а snovvcrash все уже давно описал =/

VPN

Разбираем различные методы обнаружения IP-адресов VPN от таких провайдеров, как NordVPN или ExpressVPN.

https://ipapi.is/blog/systematic-vpn-detection.html

Большой список VPN exit NODE

Private: @CrackCloudRobot
Crypto Wares: @CryptoWares
Other projects: @MalwareLinks

У меня в подписчиках точно есть те кому нужен обновляемый список public vpn exit nodes в soc, забирайте.

Так сказать, свой standoff

CVE-2024-4956 - Unauthenticated Path Traversal in Nexus Repository Manager 3
Работает…проверено…

https://github.com/gmh5225/CVE-2024-4956

На этой неделе по некоторым телеграм каналам расходился инструмент EDRaser , судя по описанию: "EDRaser - это мощный инструмент для удаленного удаления журналов доступа, журналов событий Windows, баз данных и других файлов на удаленных компьютерах. Он предлагает два режима работы: автоматический и ручной."
По факту это
- флудер http запросов со сменой useragent
- флудер сообщений по syslog (хотя там гордо написано "Deletes syslog from Linux machines running Kaspersky EDR without being.")
- не понятно что делает с виндовыми логами, особо улыбнула строка: INVOKE_MIMIKATZ_STR = base64.b64decode("QWRkLU1lbWJlciBOb3RlUHJvcGVydHkgLU5hbWUgVmlydHVhbFByb3RlY3QgLVZhbHVlICRWaXJ0dWFsUHJvdGVjdA==").decode() где в base64 засунули команду: "Add-Member NoteProperty -Name VirtualProtect -Value $VirtualProtect" и полное отсутствие аутентификации.
ну и т.д.
Короче, очередной fake tools ) не тратьте на него свое время.

CVE-2024-26229 Windows LPE (PoC)

Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code in the csc.sys driver

Сидел вчера я значит вечером и почему то решил сдать crte. Как полагается, я не готовился, не открывал лабы и не читал книгу.
Я уже как то раз так сдавал oscp, было весело.

На экзамен ушло около 10 часов.
Для тех кто перед выбором курса/экзамена: после сдачи osep кажется детской шалостью. Материал в osep,crto,crte примерно одного наполнения. Если выбирать из этих трех, советую osep.
1) Osep - web, Linux, Microsoft ad, bypass av, mssql, чуть чуть кубера + только бесплатные с2
2) Crto - Microsoft ad, mssql, bypass av + только кобальт
3) Crte - Microsoft ad, mssql, bypass av + только бесплатные с2

Печально что нет ничего по контейнерам и другим субд. Ну для контейнеров поиграть можно на стендах standoff365.

Veeam красавцы, один jwt secret на всех. И это они заботятся о сохранности наших данных:)))
Техническое описание: https://summoning.team/blog/veeam-recovery-Orchestrator-auth-bypass-CVE-2024-29855/

Всем доброго вторника! Помните, друзья, как круто было, когда вышел KrbRelay , a за ним KrbrelayUp? Казалось, что в тот день эксплуатация AD перевернулась с ног на голову. Или с головы на ноги.... :)) Не суть!)

Недавно я выкладывал статью, в которой постарался максимально просто описать процесс ретрансляции керберос аутентификации. Но ещё раньше появились интересные атаки: CertifiedDCOM и SilverPotato . Была лишь одна проблема - нет POCов. А что делают студенты, когда нет POCов? Правильно! Их пишут :))

Поэтому хочу вам с радостью представить тулзу RemoteKrbRelay, которая не просто совмещает в себе и SilverPotato и CertifiedDCOM, а является полноценным фреймворком для обнаружения уязвимых DCOM-обьектов!

Я добавил чекер, который выводит абсолютно всю информацию о DCOM-объектах системы в удобно читаемом виде (csv / xlsx). Помимо этого, присутствует встроенный функционал кросс-сессионной активации.

Представляете? Есть два компьютера. На одном вы, а на втором ДА. И вы можете со своего компьютера триггерить керберос аутентификацию ДА, абсолютно удаленно!) 🙂

Что ж, отмечу, что это лишь minimal POC и ему ещё есть куда расти :) Например, я пока не допилил функционал по релею керберос аутентификации из OXID Initial Resolution Request (а там вообще-то RPC_C_IMP_LEVEL_IMPERSONATE🤫). Впрочем, я готов принимать PR :))

При всем уважении, этому уже много лет... Джеты зачем же так. Не обязательно vm, просто нужно быть ..... чтобы оставить скрипт восстановления в корне..я так лился лет 5 назад, коллеги не дадут соврать, оно есть в словарях для фазинга веба.. https://jetcsirt.su/bulletins-page/kritichnaya-uyazvimost-v-1c-bitriks-virtualnaya-mashina-vmbitrix-/

Давно хотел написать, но чет забывал.
Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то внутренней безопасностью, у вас есть крутые кадры, только почему-то пентест вы своими силами своей же инфраструктуры не можете сделать. Весь рынок вы учите как строить иб, но у себя вы его так же почему то построить не можете. И т.д.

А я мля... говорил🙈 ушатали аванпост в хвост и гриву

Всем привет! В продолжение темы про NetNTLM-хешики, кражу сессий и эксплойты :))

Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.

Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....

Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.

"I played with the Desktop Wallpaper and was able to change the desktop background image of Adminstrator"

Поэтому приходится вскрывать карты :)

Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.

Способ до установки июньского фикса KB5040434 будет работать безотказно.

Демо можно найти тут