В прошлом году в ходе своеобразного Purple Team проекта нашей команде довелось расследовать интересный и тогда неизвестный мне вектор атаки на домен, который позволил атакующим в течение 15 минут скомпрометировать AD🖥

Что было наиболее удивительно: в SIEM мы не увидели ни одного связанного инцидента, кроме финального результата — DCSync от УЗ контроллера домена с атакующей машины.
Изучив логи, понимание происходящего появилось, и осознать всё помог доклад "Охотимся за современными атаками на инфраструктуру Active Directory" c PHD 11⬜️, который я очень рекомендую к ознакомлению.

Факт того, что успешная атака прошла буквально "мимо нас", заставил меня подумать над детектом этой активности, в результате чего локальная KB пополнилась новым правилом корреляции.
Прочитать, как это было, можно в моём прошлогоднем посте✍️

P.s. совет охотникам за угрозами: если у вас MP SIEM не игнорируйте правила с correlation_type = event, и возьмите за правило первым делом искать активность по фильтру:

correlation_name and correlation_type in ["event", "incident"]

Это уже может помочь вам увидеть то, за что стоит зацепиться и провести дополнительное расследование🔎

Помимо ESC8, который связан с Web enrollment interface ADCS, удалось найти ещё один вектор, который связан с эксплуатацией уязвимых шаблонов сертификатов🖼️

Это был ESC1, который позволяет атакующим олицетворять любого пользователя в домене при запросе сертификата с subjectAltName.
Дело в том, что Active Directory при аутентификации отдает приоритет subjectAltName (SAN), если он присутствует в сертификате. Так почему бы не выпустить сертификат c SAN администратора домена?👺

Давайте погрузимся в атаку и научимся выявлять её, вдумчиво изучив содержимое событий 4886 и 4887 в MP SIEM🧬

Знание ESC1 важно ещё и потому, что на основе этого вектора строятся иные пути атак на ADCS. Например, ESC4, в рамках которого из-за небезопасных разрешений атакующий делает сертификат уязвимым к ESC1. Полный детект ESC4 будет мало отличаться от ESC1, и успешное его выявление зависит от логирования события 4899. Кстати, любое событие 4899 будет представлять интерес, поскольку шаблоны сертификатов меняются не так часто. Берите на заметку и настраивайте оповещения!📣

Наша команда запустила CTF, регистрация на который открыта для всех желающих📣
А если вы студент, то есть возможность побороться за призовой фонд🪙

Изучаем эксплуатацию интересной SQL-инъекции в выражении INSERT💉
https://telegra.ph/SQL-injection-02-05

Представим, что перед вами простое приложение, имеющее форму авторизации и страницу регистрации. Вы битый час пихаете кавычки во все параметры, но так и не находите ничего интересного😢
Опускаются руки? Рано сдаваться!

В этой статье мы подробно рассмотрим процесс эксплуатации second order SQL-инъекции, которая может встретиться в такой форме💻
Здесь мы пройдем все шаги от верификации инъекции до полной эксфильтрации содержащейся в таблицах информации, а также подробно разберём выражение SQL, в котором возникает уязвимость💉

#web #sqli #обучающий

🐧Изучаем AppArmor и ищем недостатки в его конфигурации 🐧

Да, в телеграфе больше нельзя постить картинки, поэтому добро пожаловать в Телетайп!

В этой статье мы рассмотрим эксплуатацию несложной машины с THM, в ходе которой используем известную уязвимость для получения RCE, поревёрсим простой бинарь и найдем миссконфигрурацию в настройках AppArmor, которая позволит эскалировать наши привилегии даже с имеющимися ограничениями😁

#пентест #thm