Форк знаменитой утилиты certipy with many open pull requests merged, made compatible with each other, and tested

https://github.com/zimedev/certipy-merged

Missing PRs:
211: fix ESC1 false positive
229: add smime extensions support (somehow does not work completely with certipy auth)

Merged PRs:
231: add ldap simple auth
228: add ESC15
226: fix ESC1 false positive
225: fix to solve SID overwrite errors
222: fix to allow certificate names with slashes or parentheses
210: add cross domain authentication
209: accept tgs other than HOST/target@domain
203: check web enrollment for https
201: add dcom support
200: add possibility to add more than 1 keycredential and correctly list them
198: add ldap-port option
196: add ESC13
193: add whencreated and whenmodified for templates
183: hidden import (pycryptodomex)

P.S. главное, что tested...

#soft #pentest #adcs #ad

CVE-2024-48990: Linux LPE via needrestart

PATCHED: Nov 19, 2024

PoC: https://github.com/makuga01/CVE-2024-48990-PoC

Info: https://www.qualys.com/2024/11/19/needrestart/needrestart.txt

P.S. Хоть для привеска и нужно дожидаться запуска needrestart (который стартует, например, при apt upgrade), патчу всего три дня, и он еще не добавлен во все репы Debian)

#exploit #pentest #redteam #lpe #linux

Kerberos Relay and Forwarder for (Fake) SMB MiTM Server

https://github.com/decoder-it/KrbRelayEx

Наконец-то)))

#pentest #ad #relay

Почему я люблю смотреть отчеты? Например из этого можно взять мануал вот такую картинку))

#pentest #redteam #av #report

Для эксплуатации BYOVD. Но не создает службу напрямую, а делает это через запись в реестре HKLM SYSTEM\CurrentControlSet\Services и вызов NtLoadDriver.

https://github.com/ioncodes/SilentLoad

#pentest #redteam #bypass

CVE-2024-38193: Windows LPE

PATCHED: August 13, 2024

https://github.com/Nephster/CVE-2024-38193

Upd.: https://github.com/killvxk/CVE-2024-38193-Nephster

P.S. Протестил на Win11, работает

#git #exploit #lpe #pentest #redteam

Пожалуй добавлю к другим сканерам памяти процессов))

Soft: https://github.com/RWXstoned/GimmeShelter

Blog: https://rwxstoned.github.io/2024-12-06-GimmeShelter/

Что проверяет, судя по описанию:
* есть ли сборка dotNet
* вероятные DLL hijacking/sideloading
* использует ли процесс wininet.dll или winhttp.dll
* установлен ли Control Flow Guard
* секции и частную память с разрешениями RWX

Да, для более тщательного изучения есть та же Moneta, но почему бы и нет))

#maldev #blueteam

@snovvcrash про свой опыт использования Timeroasting написал. Почитайте, есть интересные моменты.

https://snovvcrash.rocks/2024/12/08/applicability-of-the-timeroasting-attack.html

#pentest #redteam #ad

Тут pe-sieve обновился)

#blueteam #maldev

Много же кто знает про софт, вроде DefenderCheck, который позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу)

Вот еще одна альтернатива, написанная на golang:

https://github.com/gatariee/gocheck

#av #maldev

Поздравляю всех с наступающим (а кого-то уже с наступившим) Новым годом🎉 Желаю всем найти под ёлкой веру в себя и в свои идеи, идти к своим целям без тревоги и опасений (но даже если они есть - все равно идти😉). Проживать каждый день с интересом и любить то, что делаешь❤️

Всем спасибо)

Эта работа заслуживает внимание! Если кратко, то механизм MS UIA позволяет читать любые текстовые значения на экране, открывать меню, закрывать окна, ну и все такое)) А раз он дает такие возможности, то этим нужно пользоваться... Как пример, PoC от @Michaelzhm:

https://github.com/CICADA8-Research/Spyndicapped

Не думаю, что на данную технику вообще есть какие-то детекты. Все подробности в блоге.

#redteam #pentest #spyware

Просто новость: в NetExec добавили аутентификацию по сертификату... классно же)

#pentest #soft #ad

GodPotato на Rust нужен кому-нибудь?))

https://github.com/safedv/RustPotato

Пусть будет...

#potato #pentest #redteam #git

CVE-2024-49138: Windows LPE in CLFS.sys

PATCHED: Dec 10, 2024

https://github.com/MrAle98/CVE-2024-49138-POC

Tested on Windows 11 23h2

UPD. Ждем ресерч...

#git #exploit #lpe #pentest #redteam

CVE-2024-43468: ConfigMgr/SCCM 2403 Unauth SQLi to RCE

PATCHED: Oct 8, 2024

Exploit: https://github.com/synacktiv/CVE-2024-43468

Blog: https://www.synacktiv.com/advisories/microsoft-configuration-manager-configmgr-2403-unauthenticated-sql-injections

#git #exploit #ad #rce #sccm #pentest #redteam

Довольно интересная статья про более скрытное выполнении CLR сборок (в том числе C# утилит) в памяти с обходом AMSI и без патчей либы в памяти.

https://securityintelligence.com/x-force/being-a-good-clr-host-modernizing-offensive-net-tradecraft/

#redteam #bypass #maldev

Сегодня я увидел в нескольких каналах информацию про атаку Targeted Timeroasting и очень вдохновился ею.
В двух словах, что такое атака Timeroasting - Это атака, позволяющая получить хеш пароля машинной учетной записи. В целом, мы знаем, что это для нас бесполезно, т.к. пароль машины чаще всего очень длинный и сложный. Но есть сценарии, когда пароль все таки бывает простой и, в совокупности с атакой pre2k, можно построить интересный вектор. Об этом в своем блоге недавно писал @snovvcrash.

Суть атаки Targeted Timeroasting немного в другом: если у нас есть права GenericWrite на объект пользователя, то мы можем превратить этого пользователя в компьютер (что?) и запросить хеш для него. Превратить пользователя в компьютер можно двумя простыми шагами:
1. Меняем userAccountControl на 4096 (UF_WORKSTATION_TRUST_ACCOUNT)
2. Переименовываем sAMAccountName в тоже имя, но со знаком $ на конце
После этих действий сервис времени будет уверен, что это теперь компьютер и отдаст вам хеш.
Хорошо, как можно это использовать?

1 Сценарий.
У нас есть права Domain Admins и не хочется шуметь с помощью атаки DcSync, тогда можно запустить Targeted Timeroasting на всех пользователей и вы получите хеши учеток, которые потом надо будет еще сбрутать.

2 Сценарий.
Захватили учетку HelpDesk. Чаще всего у этой учетки есть права GenericWrite на половину домена. CA в домене нет, значит не провести атаку Shadow Creds. Проведя атаки Targeted Kerberoasting или Targeted AsReproasting мы получим билеты, которые нет возможности побрутить по большим словарям. А с помощью атаки Targeted Timeroasting мы, во-первых, не сильно нашумим на SIEM (не факт, конечно), а во-вторых, получим хеши, которые можно перебирать с чудовещной скоростью.
Остальные сценарии придумайте сами :)

Свежий ресерч про эту атаку вы можете прочитать в блоге. Брутить хеши на hashcat можно так:

git clone https://github.com/hashcat/hashcat && cd hashcat
git checkout 5236f3bd7 && make
./hashcat -m31300

Для атаки Targeted Timeroasting был разработан PowerShell скрипт. Но сегодня я переписал атаку на Python и выложил у себя в репозитории: https://github.com/PShlyundin/TimeSync
Назвал инструмент TimeSync, потому что мне эта атака очень напомнила классический DcSync.