TECHCOMMUNITY.MICROSOFT.COM
Active Directory Hardening Series - Part 7 – Implementing Least Privilege | Microsoft Community Hub
Hi all! Jerry here again to continue the AD hardening series. This time I want to address the concept of least privilege as it applies to Active...
В дополнение к этому скрипту
Официальные статьи от MS с подробным описанием и рекомендациями по настройке
#windows #ad #hardening #smb #ntlm
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
#digest #useful #posts
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥1
MS выкатили бесплатный курс по Model Context Protocol (MCP) для начинающих
MCP предназначен для унификации взаимодействия между клиентскими приложениями и AI-моделями. Курс предоставляет систематизированную программу обучения, включающую практические примеры кода на популярных языках программирования, таких как C#, Java, JavaScript, TypeScript и Python
Разделен на 10 модулей, от основ и до лучших практик:
Модули 1-2 - введение в MCP, ключевые концепции, настройка среды, запуск первых серверов и клиентов, а также базовые вопросы безопасности
Модуль 3 - подробное пошаговое руководство по созданию и интеграции рабочего MCP-сервера и клиента с поддержкой LLM, настройкой в Visual Studio Code, тестированием и развёртыванием
Модули 4-5 - SDK, отладка и тестирование, механизмы масштабирования, корпоративная интеграция, аутентификация, стратегии маршрутизации и расширенные вопросы безопасности
Модули 6-10 - реальные задачи внедрения, performance tuning, лучшие практики, примеры из практики и практический семинар по созданию сервера с AI Toolkit
Доступно подробное
Пример MCP сервера на
#!/usr/bin/env python3
import asyncio
from mcp.server.fastmcp import FastMCP
from mcp.server.transports.stdio import serve_stdio
# Create a FastMCP server
mcp = FastMCP(
name="Calculator MCP Server",
version="1.0.0"
)
@mcp.tool()
def add(a: float, b: float) -> float:
"""Add two numbers together and return the result."""
return a + b
@mcp.tool()
def subtract(a: float, b: float) -> float:
"""Subtract b from a and return the result."""
return a - b
@mcp.tool()
def multiply(a: float, b: float) -> float:
"""Multiply two numbers together and return the result."""
return a * b
@mcp.tool()
def divide(a: float, b: float) -> float:
"""
Divide a by b and return the result.
Raises:
ValueError: If b is zero
"""
if b == 0:
raise ValueError("Cannot divide by zero")
return a / b
if __name__ == "__main__":
# Start the server with stdio transport
asyncio.run(serve_stdio(mcp))
#mcp #llm #course
Please open Telegram to view this post
VIEW IN TELEGRAM
1🌚1
🦙 BruteForceAI v1.0.0
Автоматизированный AI LLM брутфорсер
Поддерживает локальную LLM(Ollama), так и облачную(Groq)
Вчера провел тестирование, и на примере Ollama покажу как установить и запустить на💻 Windows
Нам понадобится:
➡️ Ollama - OllamaSetup.exe
➡️ playwright
➡️ requests
➡️ PyYAML
Установка:
Для проверки работоспособности:
Работает в 2х режимах: анализ и атака
Указываем ссылки с формами авторизации и он сам соберет все необходимые данные для проведения последующей атаки
Подготовим необходимые файлы:
Тестирование проводил на классическом DVWA (admin:password по умолчанию)
Приступим:
Используйте
Все данные сохраняет в bruteforce.db используя SQLite3, для очистки
💻 Repo
P.S. Пользоваться сам конечно же не буду 😅 Но может кому-то это будет полезно и интересно
#llm #bruteforce #ai #pentest #web
✈️ Whitehat Lab 💬 Chat
Автоматизированный AI LLM брутфорсер
Поддерживает локальную LLM(Ollama), так и облачную(Groq)
Вчера провел тестирование, и на примере Ollama покажу как установить и запустить на
Нам понадобится:
Установка:
pip install PyYAML
pip install requests
pip install pytest-playwright
playwright install chromium
git clone https://github.com/MorDavid/BruteForceAI.git
cd .\BruteForceAI\
# Ставим Ollama из setup файла
ollama serve
ollama pull llama3.2:3b
ollama run llama3.2
Для проверки работоспособности:
curl http://localhost:11434/api/generate -d '{"model":"llama3.2", "prompt":"Hello"}'Работает в 2х режимах: анализ и атака
Указываем ссылки с формами авторизации и он сам соберет все необходимые данные для проведения последующей атаки
Подготовим необходимые файлы:
targets.txt
usernames.txt
passwords.txt
Тестирование проводил на классическом DVWA (admin:password по умолчанию)
Приступим:
python .\BruteForceAI.py analyze --urls .\targets.txt --llm-provider ollama --llm-model llama3.2 --force-reanalyze
python .\BruteForceAI.py attack --urls .\targets.txt --usernames .\usernames.txt --passwords .\passwords.txt --force-retry --dom-threshold 25
Интересная опция --dom-threshold со значением по умолчанию 100, конкретно на примере DVWA при успешном логине мы получаем 38 и соответственно он пройдет мимо и не отметит результат как успешный, потому указал вручную --dom-threshold 25
Используйте
--debug и --verbose для подробного вывода и отладкиВсе данные сохраняет в bruteforce.db используя SQLite3, для очистки
python .\BruteForceAI.py clean-dbP.S. Пользоваться сам конечно же не буду 😅 Но может кому-то это будет полезно и интересно
#llm #bruteforce #ai #pentest #web
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3🔥1
Forwarded from Just Security
Zero-day в SharePoint (CVE‑2025‑53770)
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
• Сохраняется файл
• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
• Вторая волна: IP
Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
• Referer
• GET
4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
/_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx.• Сохраняется файл
spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE.• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
107.191.58.76 (~18 июля, 18:06 UTC)• Вторая волна: IP
104.238.159.149 (~19 июля, 07:28 UTC)Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
/layouts/15/ToolPane.aspx?DisplayMode• Referer
/layouts/SignOut.aspx• GET
/layouts/15/spinstall0.aspx4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
Eye Research
SharePoint Under Siege: ToolShell Exploit (CVE-2025-49706 & CVE-2025-49704)
On the evening of July 18, 2025, Eye Security was the first in identifying large-scale exploitation of a new SharePoint remote code execution (RCE) vulnerability chain in the wild. Read how we found it & what we did afterwards.
❤1👍1
GitHub
GitHub - ZephrFish/CVE-2025-53770-Scanner: ToolShell scanner - CVE-2025-53770 and detection information
ToolShell scanner - CVE-2025-53770 and detection information - ZephrFish/CVE-2025-53770-Scanner
A comprehensive security scanner designed to identify SharePoint instances vulnerable
to CVE-2025-53770, which involves a deserialization vulnerability in SharePoint's
ExcelDataSet component that allows remote code execution and machine key extraction
This scanner incorporates real-world attack patterns observed in active exploitation
campaigns and provides detailed confidence scoring based on machine key extraction,
secondary payload deployment, and SharePoint component processing indicators
JSON Output (-o results.json)
[
{
"host": "sharepoint.example.com",
"url": "https://sharepoint.example.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx",
"scan_time": "2025-07-21T10:30:00.123456",
"vulnerable": true,
"status_code": 200,
"response_size": 15432,
"error": null,
"response_time": 1.23
}
]
#sharepoint #scanner #cve #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
Автор статьи демонстрирует, как искать признаки присутствия злоумышленника (persistence) в Linux с помощью open source инструментов и стандартных средств ОС
Рассмотренные методы сохранения доступа:
▪️ SSH Keys▪️ Crontab▪️ Bashrc▪️ APT▪️ Privileged user & SUID bash▪️ Malicious Systemd▪️ Hunting LKM Rootkits▪️ LD_PRELOAD rootkit▪️ PAM Backdoor▪️ ACL▪️ init.d▪️ Motd▪️ Mount process for hide any pid▪️ Webshells▪️ rc.local
#linux #persistence #threathunting
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2
Developer-friendly local tool for testing LLM applications
😉 Test your prompts and models with automated evaluations😉 Secure your LLM apps with red teaming and vulnerability scanning😉 Compare models side-by-side😉 Automate checks in CI/CD😉 Share results with your team
#llm #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
codebattle.hexlet.io
Hexlet Codebattle • Game for programmers
Free online game for programmers. No ads, registration from github. Solve Tasks with the bot, friends or random players.
В свое время пользовался Codewars, огромное количество задач различных сложностей
#coder #codewars #coderun #programming
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Всех причастных с днем! 🥳🥳🥳
Сегодня пятница, всем разрешаю бахнуть пивка, главное холодненького🍺 🍺 🍺
#sysadm
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10
Forwarded from Ralf Hacker Channel (Ralf Hacker)
У SpecterOps очередная крутая статья про сбор данных из ADWS.
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
SpecterOps
Make Sure to Use SOAP(y) - An Operators Guide to Stealthy AD Collection Using ADWS - SpecterOps
Learn how to perform stealthy recon of Active Directory environments over ADWS for Red Team Assessments
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
NetExec: Enumerate Logged-On Users with the Remote Registry Service
Session enumeration is only possible with admin privileges? That is a problem of the past thanks to the new --reg-sessions core functionality of NetExec. SID values are the registry hives from NTUSER.dat which are loaded/unloaded depending on the user being logged in or not.
Blog: Session Enumeration Through Remote Registry
Session enumeration is only possible with admin privileges? That is a problem of the past thanks to the new --reg-sessions core functionality of NetExec. SID values are the registry hives from NTUSER.dat which are loaded/unloaded depending on the user being logged in or not.
Blog: Session Enumeration Through Remote Registry
👍6❤1🔥1