Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - olafhartong/BamboozlEDR: A comprehensive ETW (Event Tracing for Windows) event generation tool designed for testing and…
A comprehensive ETW (Event Tracing for Windows) event generation tool designed for testing and research purposes. - olafhartong/BamboozlEDR
Генератор различных событий (EventID) для тестирования EDR
Microsoft-Windows-Antimalware - Threat detection events (Event ID 48)
Microsoft-Windows-Antimalware-RTP - Real-time protection events (Event IDs 27, 14)
Microsoft-Windows-LDAP-Client - LDAP search and authentication events
Microsoft-Windows-TCPIP - TCP/IP connection events
Microsoft-Windows-WMI-Activity - WMI query and execution events (Event IDs 22, 11)
Microsoft-Windows-AMSI - AMSI scan events
Microsoft-Windows-Defender - Windows Defender events (Event IDs 5000, 5001, 1116, 1117)
Microsoft-Windows-DotNETRuntime - .NET runtime events
Microsoft-Windows-Crypto-DPAPI-Events - DPAPI access events
Microsoft-Windows-Security-Auditing - Security audit events (Event ID 4688)
Microsoft-Windows-PowerShell - PowerShell commandlet and AMSI events
Microsoft-Windows-RPC - RPC function trace events (Event ID 14)
Microsoft-Windows-CodeIntegrity - Code Integrity events (Event IDs 3023, 3036, 3076, 3077)
Microsoft-Windows-AppLocker - AppLocker events (Event IDs 8003, 8004, 8006, 8007, 8021, 8022, 8024, 8025)
Microsoft-Windows-NTLM - NTLM blocking events (Event ID 8001)
#edr #golang
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Bagley's 📚 Notes
Всем 👋 ! Это Bagley
💬 Всё чаще стал замечать в тематических каналах вопросы:
💭 Чтобы облегчить задачу с поиском, поделюсь своим мнением по этому поводу (📖 Для начала ознакомиться с этим постом)
#️⃣ Литература
🔘 The Web Application Hackers Handbook
🔘 Ловушка для багов. Полевое руководство по веб-хакингу
🔘 Bug Bounty Bootcamp The Guide to Finding and Reporting Web Vulnerabilities
🔘 Bug Bounty Playbook
🔘 Bug Bounty Hunting Essentials
🔘 Web Hacking 101
🔘 The tangled Web a guide to securing modern Web applications
⚠️ Немного для мобилок
🔘 Android Security Internals
🔘 IOS Application Security
#️⃣ Методологии
🔘 Bug Hunters Methodology от JHaddix'a: Recon и App Analysis Master
🔘 ZSeanos methodology
🔘 WSTG от OWASP
#️⃣ YouTube каналы
🔘 PinkDraconian
🔘 NahamSec
🔘 Bug Bounty Reports Explained
🔘 STÖK
🔘 Rana Khalil
🔘 InsiderPhD
🔘 John Hammond
➕ множество тематических TG-каналов
➕ личные страницы исследователей, например в X
#learning
Как смочь в этом направлении. Дайте дельных советов. Очень интересная тема, но где нырять в неё чтобы не слишком глубоко было. Какую литературу почитать для хорошего фундамента можно?
хотелось бы вникнуть и научится (желательно бесплатно)
с чего начать, что почитать, где посмотреть?
#learning
Please open Telegram to view this post
VIEW IN TELEGRAM
Notes from Black Hat USA 2024:
“I hate to report it, but the Russian underground is as strong as ever”
#pentest #blackhat #blackhatusa
Please open Telegram to view this post
VIEW IN TELEGRAM
😁5
Please open Telegram to view this post
VIEW IN TELEGRAM
Продвинутый REST API фаззер с высокой скоростью работы. Строит HTML отчеты по окончании. Очень подробная документация на официальном сайте. Написан на
UPD. 13.3.2
Запуск в режиме black box:
cats --contract=openapi.yml -H "Authorization=$token" --server=https://api-url.com -b -k
Запуск в режиме context mode:
cats --contract=openapi.yaml --server=http://localhost:8080 --headers=headers.yml --refData=referenceData.yml
Запуск в режиме continuous fuzzing:
cats random --contract=openapi.yaml --server=http://localhost:8080 -H "API-KEY=$token" --mc 500 --path "/users/auth" -X POST --stopAfterTimeInSec 10
📚 Тестируем Github API с CATS
#soft #cats #java #fuzzer #web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from 1N73LL1G3NC3
Collect infrastructure and permissions data from vCenter and export it as a BloodHound‑compatible graph using Custom Nodes/Edges
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍2🔥1
Forwarded from CyberSecrets
Задача для собеседования №3
Давно не было задачек для собеседования.
Сценарий:
В ходе изучения инфраструктуры было обнаружено, что группа
Дополнительные условия:
- Есть учетные данные от пользователя
- В инфраструктуре нет дополнительных настроек безопасности все по умолчанию.
- Функциональный уровень домена - 2016
Цель:
Получить привилегии группы
Решение:
По умолчанию все доменные пользователи и компьютеры входят в группу `AUTHENTICATED USERS`. Таким образом есть возможно менять атрибуты для объекта компьютер `SRV-02`. Функциональный уровень домена позволяет выполнять технику Shadow Credentials. Получаем TGT билет Kerberos для `SRV-02` и теперь есть возможность изменять ACL для OU `OU_SERVICE`. Добавляем права `GenericAll` пользователю `PENTESTER` над объектом `OU_SERVICE`, а также меняем наследование OU, чтобы получить права `GenericAll` над всеми объектами, входящих в эту OU. Еще раз выполняем технику Shadow Credentials и получаем контроль над учетной записью `SVC_BACKUP`, которая является членом целевой группы `SERVER_ADMINS`.
#Внутрянка #Задачи
Давно не было задачек для собеседования.
Сценарий:
В ходе изучения инфраструктуры было обнаружено, что группа
AUTHENTICATED USERS имеет права GenericWrite над объектом компьютер SRV-02. Сам объект компьютера имеет права WriteDacl над OU OU_SERVICE. Учетная запись SVC_BACKUP является дочерним объектом OU OU_SERVICE, а также членом группы SERVER_ADMINS.Дополнительные условия:
- Есть учетные данные от пользователя
PENTESTER- В инфраструктуре нет дополнительных настроек безопасности все по умолчанию.
- Функциональный уровень домена - 2016
Цель:
Получить привилегии группы
SERVER_ADMINS.Решение:
#Внутрянка #Задачи
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
Тут отчет и инфографика от интерпола подъехали
Что по цифрам ?
Удалось вернуть более $97млн, правда украдено было чуть побольше, $484млн😱
Такая скоординированная операция на криптоскам и ransomware ребят из африканских стран
Ладно, всем хороших выходных, можно бахнуть, но главное не
#ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Начались отборы на Kuban CTF, если кто принимает участие, пишите в чат, интересно 😱
#ctf
Please open Telegram to view this post
VIEW IN TELEGRAM
A chained technique has been identified that allows a local, unprivileged attacker to achieve silent privilege escalation to administrator by bypassing protections enforced by Elastic Defend v9.0.4. The method leverages a trusted auto-elevated Windows binary (fodhelper.exe) in conjunction with a registry hijack and COM object execution, resulting in arbitrary code execution at elevated privileges - without triggering a UAC prompt or EDR detection
#uac #bypass #windows #lpe
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤1
GitHub
GitHub - synacktiv/GroupPolicyBackdoor: Group Policy Objects manipulation and exploitation framework
Group Policy Objects manipulation and exploitation framework - synacktiv/GroupPolicyBackdoor
Инструмент пост эксплуатации для различных манипуляций с GPO. Написан на
Впервые представлена на DEFCON 33
Примеры:
#backup
python3 gpb.py restore backup -d 'corp.com' -o './my_backups' --dc ad01-dc.corp.com -u 'john' -p 'Password1!' -n 'TARGET_GPO'
#inject
python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'
Пример ini:
[MODULECONFIG]
name = Scheduled Tasks
type = computer
[MODULEOPTIONS]
task_type = immediate
program = cmd.exe
arguments = /c "whoami > C:\Temp\poc.txt"
[MODULEFILTERS]
filters =
[{
"operator": "AND",
"type": "Computer Name",
"value": "ad01-srv1.corp.com"
}]
GPO creation, deletion, backup and injections
Various injectable configurations, with, for each, customizable options (see list in the wiki)
Possibility to remove injected configurations from the target GPO
Possibility to revert the actions performed on client devices
GPO links manipulation
GPO enumeration / user privileges enumeration on GPOs
#gpo #redteam #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
1
На этой карте перечислены основные методы обхода AV/EDR
По ссылке ниже в высоком разрешение и версия в pdf
#av #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Forwarded from APT
🎯 SpearSpray
Advanced password spraying tool for Active Directory environments. Combines LDAP user enumeration with intelligent pattern-based password generation. Uses Kerberos pre-authentication and leverages user-specific data (pwdLastSet, displayName) to create personalized passwords per user.
🔗 Source:
https://github.com/sikumy/spearspray
#ad #password #spraying #kerberos #bloodhound
Advanced password spraying tool for Active Directory environments. Combines LDAP user enumeration with intelligent pattern-based password generation. Uses Kerberos pre-authentication and leverages user-specific data (pwdLastSet, displayName) to create personalized passwords per user.
🔗 Source:
https://github.com/sikumy/spearspray
#ad #password #spraying #kerberos #bloodhound
👍4🔥2❤1
Обзоры
UPD 0.8:
Изменения
Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal
sudo apt install mingw-w64 make
wget https://go.dev/dl/go1.24.4.linux-amd64.tar.gz -O /tmp/go1.24.4.linux-amd64.tar.gz
sudo rm -rf /usr/local/go /usr/local/bin/go
sudo tar -C /usr/local -xzf /tmp/go1.24.4.linux-amd64.tar.gz
sudo ln -s /usr/local/go/bin/go /usr/local/bin/go
sudo apt install gcc g++ build-essential cmake libssl-dev qt6-base-dev qt6-websockets-dev qt6-declarative-dev
git clone https://github.com/Adaptix-Framework/AdaptixC2.git
cd AdaptixC2
make server
make extenders
make client
cd dist
chmod +x ssl_gen.sh
./ssl_gen.sh
./adaptixserver -profile profile.json
./AdaptixClient
#adaptixc2 #redteam #soft
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍2
Semperis
Meet Silver SAML: Golden SAML in the Cloud | Semperis
Semperis researchers have discovered Silver SAML: a new application of Golden SAML that can be exploited in Entra ID and without AD FS.
SAMLSmith is a C# tool for generating custom SAML responses and implementing Silver SAML and Golden SAML attacks
#saml #cloud
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from ESCalator
Полезный пятничный пост 🫥
В ходе исследования угроз часто возникает потребность срочно изучить вредоносный файл/URL/домен. В этом посте мы собрали инструменты, которые у нас всегда под рукой для экспресс‑анализа.
Онлайн‑песочницы позволяют загрузить вредоносный файл в изолированную среду и наблюдать за его активностью:
Проверка доменов и вредоносных URL:
IoT‑поисковики сканируют IPv4‑пространство с разной частотой и собирают сетевую информацию о хостах. С помощью этих сервисов можно узнать, какие сервисы запущены или какие порты открыты на хостах без активного взаимодействия с ними:
Важно помнить, что, загружая файл на такие ресурсы (особенно в их бесплатных версиях), вы отправляете его в публичный доступ, где с ним могут взаимодействовать не только создатели сервиса, но и другие пользователи.
А какими инструментами для экспресс‑анализа пользуетесь вы? Делитесь в комментариях ✍🏼
#tip
@ptescalator
В ходе исследования угроз часто возникает потребность срочно изучить вредоносный файл/URL/домен. В этом посте мы собрали инструменты, которые у нас всегда под рукой для экспресс‑анализа.
Онлайн‑песочницы позволяют загрузить вредоносный файл в изолированную среду и наблюдать за его активностью:
https://any.run
https://www.virustotal.com
https://tria.ge
https://www.hybrid-analysis.com
https://analyze.intezer.com
https://capesandbox.com/analysis/
https://www.joesandbox.com
https://app.docguard.io/
Проверка доменов и вредоносных URL:
https://www.browserling.com/
https://urlscan.io/
https://urlhaus.abuse.ch/browse/
https://www.greynoise.io/
https://urlquery.net/
https://any.run
https://www.virustotal.com
IoT‑поисковики сканируют IPv4‑пространство с разной частотой и собирают сетевую информацию о хостах. С помощью этих сервисов можно узнать, какие сервисы запущены или какие порты открыты на хостах без активного взаимодействия с ними:
https://en.fofa.info/
https://search.censys.io/
https://www.zoomeye.ai/
https://www.shodan.io/
https://www.criminalip.io/
https://search.onyphe.io/
https://www.binaryedge.io/
Важно помнить, что, загружая файл на такие ресурсы (особенно в их бесплатных версиях), вы отправляете его в публичный доступ, где с ним могут взаимодействовать не только создатели сервиса, но и другие пользователи.
А какими инструментами для экспресс‑анализа пользуетесь вы? Делитесь в комментариях ✍🏼
#tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥1
LDAP браузер написанный на
What started out as a GUI test and something to muck about with has sort of grown arms and legs. As it stands this is a cross platform GUI app for browsing LDAP and will direct YOLO into a Neo4J database, it comes with LDAP/LDAPS browsing capabilites, it'll run standalone and you can modify it how you like
#pyldapgui #ad
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🤔1