linWinPwn - Active Directory Vulnerability Scanner
Очень мощная тулза, зарепостите максимально
Это bash-скрипт, автоматизирующий ряд проверок Active Directory на перечисление и уязвимости. Скрипт использует ряд инструментов и служит их оберткой. Инструменты включают: impacket, bloodhound, crackmapexec, enum4linux-ng, ldapdomaindump, lsassy, smbmap, kerbrute, adidnsdump, certipy, silenthound и другие.
Настройка:
# Дефолт
Очень мощная тулза, зарепостите максимально
Это bash-скрипт, автоматизирующий ряд проверок Active Directory на перечисление и уязвимости. Скрипт использует ряд инструментов и служит их оберткой. Инструменты включают: impacket, bloodhound, crackmapexec, enum4linux-ng, ldapdomaindump, lsassy, smbmap, kerbrute, adidnsdump, certipy, silenthound и другие.
Настройка:
git clone https://github.com/lefayjey/linWinPwnПримеры использования:
cd linWinPwn; chmod +x linWinPwn.sh
chmod +x install.sh
./install.sh
# Дефолт
./linWinPwn.sh -t <Domain_Controller_IP> [-d <AD_domain> -u <AD_user> -p <AD_password_or_hash[LM:NT]_or_kerbticket[./krb5cc_ticket]> -o <output_dir>]# Автоконфиг
./linWinPwn.sh -t <Domain_Controller_IP> --auto-config# Запуск всех модулей
./linWinPwn.sh -t <Domain_Controller_IP> -M all [-d <AD_domain> -u <AD_user> -p <AD_password_or_hash[LM:NT]_or_kerbticket[./krb5cc_ticket]> -o <output_dir>] #tools❤5👍2🔥1😱1
Похек
linWinPwn - Active Directory Vulnerability Scanner Очень мощная тулза, зарепостите максимально Это bash-скрипт, автоматизирующий ряд проверок Active Directory на перечисление и уязвимости. Скрипт использует ряд инструментов и служит их оберткой. Инструменты…
Спасибо за такое кол-во репостов)
👍1
Всем привет!) У нас много новых подписчиков. Интересен ваш уровень примерный. Что вам интересно почитать. Да и в целом любая аргументированная критика или пожелания приветствуются)
В какой плоскости ИБ или ИТ работаете?
Final Results
47%
Defensive
49%
Offensive
4%
Свой вариант в комментариях
Forwarded from SecAtor
Исследователи Proofpoint сообщают о новом тренде использования документов OneNote для доставки вредоносных ПО для обхода от обнаружения.
Лавинообразный рост фиксируется в последние два месяца. Если в декабре 2022 года было выявлено 6 кампаний с использованием вложений OneNote для доставки AsyncRAT, то в январе этого года - уже более чем 50 кампаний с ARedline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK и Qbot.
Кампании нацелены на организации по всему миру, в том числе в Северной Америке и Европе.
Причем в числе последних за использованием этой техники был замечен брокер начального доступа TA577, который вернулся после месячного перерыва в работе и начал использовать OneNote для доставки Qbot.
Дело в том, что после блокировки Microsoft макросов по умолчанию в 2022 году, злоумышленники перешли к использованию ранее редко наблюдаемых типов файлов: VHD, CHM и теперь one. На момент исследования образцы вредоносных ПО OneNote практически не детектировались на VirusTotal.
Все наблюдаемые ресерчерами кампании с OneNote на канале электронной почты имели схожие характеристики. Хотя темы сообщений и отправители различались. С середины января 2023 года Proofpoint обнаружили также использание URL-адресов для доставки вложений.
Документы OneNote содержали встроенные файлы, скрытые за графикой, похожей на кнопку, при двойном нажатии всплывает предупреждение. Продолжая, файл выполняется. Это могут быть исполняемые файлы различных типов, файлы ярлыков (LNK) или файлы сценариев, такие как приложение HTML (HTA) или файл сценария Windows (WSF).
Наблюдаемое увеличение общего количества кампаний и разнообразие типов полезной нагрузки позволяет предположить, что теперь OneNote используют несколько участников разного уровня сложности.
В то время как некоторые кластеры связаны на основе C2, приманок и таргетинга, в большинстве кампаний используется различная инфраструктура, темы сообщений и приманок, а также таргетинг.
В декабрьских кампаниях сообщения содержали вложение OneNote, содержащее файл HTA, который вызывает сценарий PowerShell для загрузки исполняемого файла (например, Excel.exe) с URL-адреса. Эти сообщения были нацелены на промышленные предприяти и производства.
В других кампаниях с широким таргетингом использовались темы выставления счетов, доставки, а также рождественских подарков. Они в основном были нацелены на организации в секторе образования, среди прочих.
Январские активности включали тысячи сообщений и не были нацелены на конкретные организации или отрасли. Кампании продолжали использовать те же TTP со скрытыми встроенными файлами во вложении OneNote. В нескольких актор использовали OneNote Gem и Transfer.sh для размещения полезной нагрузки.
Примечательно, что 19 января исследователи наблюдали за кампанией по распространению бэкдора DOUBLEBACK (ранее использовался TA579). Это была первая из кампаний, в которой использовался перехват потока.
Сообщения содержали URL-адреса, которые приводили к загрузке ZIP-файла, который содержал OneNote с тем же именем, который приводил к запуску VBS, встроенного за кнопкой. Далее VBS загрузил сценарий PowerShell для запуска DOUBLEBACK.
Ресерчеры прогнозируют, что все больше злоумышленников будут использовать вложения OneNote для доставки вредоносного ПО, но успешность атак все же зависит от взаимодействия получателя с вложением.
В своем отчете исследователи Proofpoint также представили примеры индикаторов компрометации.
Лавинообразный рост фиксируется в последние два месяца. Если в декабре 2022 года было выявлено 6 кампаний с использованием вложений OneNote для доставки AsyncRAT, то в январе этого года - уже более чем 50 кампаний с ARedline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK и Qbot.
Кампании нацелены на организации по всему миру, в том числе в Северной Америке и Европе.
Причем в числе последних за использованием этой техники был замечен брокер начального доступа TA577, который вернулся после месячного перерыва в работе и начал использовать OneNote для доставки Qbot.
Дело в том, что после блокировки Microsoft макросов по умолчанию в 2022 году, злоумышленники перешли к использованию ранее редко наблюдаемых типов файлов: VHD, CHM и теперь one. На момент исследования образцы вредоносных ПО OneNote практически не детектировались на VirusTotal.
Все наблюдаемые ресерчерами кампании с OneNote на канале электронной почты имели схожие характеристики. Хотя темы сообщений и отправители различались. С середины января 2023 года Proofpoint обнаружили также использание URL-адресов для доставки вложений.
Документы OneNote содержали встроенные файлы, скрытые за графикой, похожей на кнопку, при двойном нажатии всплывает предупреждение. Продолжая, файл выполняется. Это могут быть исполняемые файлы различных типов, файлы ярлыков (LNK) или файлы сценариев, такие как приложение HTML (HTA) или файл сценария Windows (WSF).
Наблюдаемое увеличение общего количества кампаний и разнообразие типов полезной нагрузки позволяет предположить, что теперь OneNote используют несколько участников разного уровня сложности.
В то время как некоторые кластеры связаны на основе C2, приманок и таргетинга, в большинстве кампаний используется различная инфраструктура, темы сообщений и приманок, а также таргетинг.
В декабрьских кампаниях сообщения содержали вложение OneNote, содержащее файл HTA, который вызывает сценарий PowerShell для загрузки исполняемого файла (например, Excel.exe) с URL-адреса. Эти сообщения были нацелены на промышленные предприяти и производства.
В других кампаниях с широким таргетингом использовались темы выставления счетов, доставки, а также рождественских подарков. Они в основном были нацелены на организации в секторе образования, среди прочих.
Январские активности включали тысячи сообщений и не были нацелены на конкретные организации или отрасли. Кампании продолжали использовать те же TTP со скрытыми встроенными файлами во вложении OneNote. В нескольких актор использовали OneNote Gem и Transfer.sh для размещения полезной нагрузки.
Примечательно, что 19 января исследователи наблюдали за кампанией по распространению бэкдора DOUBLEBACK (ранее использовался TA579). Это была первая из кампаний, в которой использовался перехват потока.
Сообщения содержали URL-адреса, которые приводили к загрузке ZIP-файла, который содержал OneNote с тем же именем, который приводил к запуску VBS, встроенного за кнопкой. Далее VBS загрузил сценарий PowerShell для запуска DOUBLEBACK.
Ресерчеры прогнозируют, что все больше злоумышленников будут использовать вложения OneNote для доставки вредоносного ПО, но успешность атак все же зависит от взаимодействия получателя с вложением.
В своем отчете исследователи Proofpoint также представили примеры индикаторов компрометации.
Proofpoint
The Rising Threat of OneNote Malware | Proofpoint US
Proofpoint recently identified a rise in threat actor use of OneNote documents to deliver malicious files. Learn about the rising threat of OneNote malware.
👍1
Forwarded from Похек
Пробуем
Heroinn - это Кроссплатформенная платформа C2/post-exploitation framework, реализованная на Rust.
Функции:
1. GUI
2. Интерактивная оболочка PTY
3. Сбор системной информации
4. Поддержка файлового менеджера с возобновлением прерванной передачи и большого файла
5. Поддержка Win10+(Windows Server 2019+) & Linux & BSD & OSX
6. Множество протоколов связи (TCP & HTTP & надежный UDP)
#tools
Heroinn легальноHeroinn - это Кроссплатформенная платформа C2/post-exploitation framework, реализованная на Rust.
Функции:
1. GUI
2. Интерактивная оболочка PTY
3. Сбор системной информации
4. Поддержка файлового менеджера с возобновлением прерванной передачи и большого файла
5. Поддержка Win10+(Windows Server 2019+) & Linux & BSD & OSX
6. Множество протоколов связи (TCP & HTTP & надежный UDP)
#tools
😱4
Forwarded from Monkey Hacker
Prototype-Pollution.pdf
145.8 KB
Йо, всем!
Решил тут немного изучить Prototype Pollution.
Старался максимально по простому описать все, поэтому надеюсь, что всем понравится
Решил тут немного изучить Prototype Pollution.
Старался максимально по простому описать все, поэтому надеюсь, что всем понравится
❤2
Monkey Hacker
Prototype-Pollution.pdf
Ставим лайки и подписывайся на канал моего хорошего знакомого. Дальше больше и детальнее будут ресерчи!
❤4
Для тех кто просил материальчик по пентесту облачков. Поресерчил, что фактически только AWS интересен для пентеста. Поэтому подобрал материал с Хакера.
❤8
Скрываясь на виду у всех. №1
В этом блоге представлен высокоуровневый обзор трассировки стека, того, как EDR/AV используют ее для обнаружения, использования телеметрии ETWTI и того, что можно сделать, чтобы обойти ее. Итак, прежде чем мы обсудим уклонение, давайте сначала поймем, почему трассировка стека важна для EDR.
В этом блоге представлен высокоуровневый обзор трассировки стека, того, как EDR/AV используют ее для обнаружения, использования телеметрии ETWTI и того, что можно сделать, чтобы обойти ее. Итак, прежде чем мы обсудим уклонение, давайте сначала поймем, почему трассировка стека важна для EDR.
Sergey Zybnev | Pentester
Proxying DLL Loads. Bypass all EDRs
Hiding In PlainSight - Proxying DLL Loads To Hide From ETWTI Stack Tracing
❤8
Если вам понравится данная статья, то выложу вторую часть. Приятным фидбеком будут комментарии и репосты)
Linux Kernel ksmbd Use-After-Free RCE
CVE-2022-47939
CVSS SCORE: 10.0
Эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых версиях Linux Kernel. Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
KSMBD - это сервер ядра linux, который реализует протокол SMB3 в пространстве ядра (ksmbd) для обмена файлами по сети. При запуске серверный демон запускает поток forker (ksmbd/interface name) во время инициализации и открывает выделенный порт 445 для прослушивания SMB-запросов.
Специфический недостаток существует в обработке команд SMB2_TREE_DISCONNECT. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.
#CVE
CVE-2022-47939
CVSS SCORE: 10.0
Эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых версиях Linux Kernel. Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
KSMBD - это сервер ядра linux, который реализует протокол SMB3 в пространстве ядра (ksmbd) для обмена файлами по сети. При запуске серверный демон запускает поток forker (ksmbd/interface name) во время инициализации и открывает выделенный порт 445 для прослушивания SMB-запросов.
Специфический недостаток существует в обработке команд SMB2_TREE_DISCONNECT. Проблема возникает из-за отсутствия проверки существования объекта перед выполнением операций над ним. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте ядра.
#CVE
Похек
Блямбда. Эксплуатируем AWS Lamda.pdf
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilitieshttps://gist.github.com/ustayready/c29e9f9dca0a0b8170fbdfec11afc349
Gist
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilities
CloudGPT - Use ChatGPT to analyze AWS policies for vulnerabilities - gpt.py