Coverage (Покрытие).
Начну с базы, даже с двух:
1. В 95% случаев получить права админа домена не сложно, и чаще всего это занимает не более 2 часов;
2. Большинство заказчиков хочет не просто пентест, а ПОКРЫТИЕ (т.е. что бы нашли и описали как можно больше уязвимостей и векторов).
И вот у каждого из нас наступает день, когда у заказчика 4 разных домена, куча разных целей и уязвимостей в смежных системах. Сделать хорошее покрытие нет ни сил ,ни времени, ни желания... Лично я в любом случае всегда собираю для каждого домена ldapdomaindump, secretsdump NTDS.DIT (если заказчик согласовал, без разрешения так делать не стоит), и в принципе этих данных достаточно что бы найти множество багов после проекта, на этапе подготовки отчета:
1. Kerberoasting;
2. As-Rep Roasting;
3. Проверить есть ли пароли в дескрипшинах у пользователей;
4. Подсветить опасные реюзы паролей у привилегированных пользователей;
5. Чекнуть возможность проведения атаки Pre2k (это неплохой вектор начального доступа, но когда права админа домена в кармане, не хочется проверять такие базовые, но опасные уязвимости)
6. Включенное обратимое шифрование в базе NTDS.DIT;
7. Неограниченное делегирование;
8. Слабые пароли и сколько их в домене
и много-много других...
Специально для решения этой задачи я написал небольшой скрипт на Python, который распарсит ldd, dump и brute и сделает удовлетворительное покрытие. На выходе мы получаем отчет в формате MarkDown. Каждая уязвимость описывается отдельно в папке modules по следующему правилу. Вы можете легко дописать множество своих проверок или удобно поменять текущие. Пример отчета прикладываю к посту.

Друзья, всем привет!

Сразу хочу попросить у вас прощения — в посте не будет технического контента.

После зимней спячки, вместе с первыми нежными весенними подснежниками, начинают появляться конференции по ИБэ. И я хотел бы вас пригласить немного погулять в Санкт-Петербурге в конце апреля! Наши друзья открывают сезон крутых движух и проводят Cyberwave 29 апреля в Планетарии №1.

На этом мероприятии я прочитаю доклад про злоупотребление символическими ссылками в винде для повышения привилегий. Мы рассмотрим Arbitrary File Delete, Read, Write, Copy, Directory Creation на примере реальных эксплойтов.

Помимо того, вы сможете услышать усатого бумыча, прекрасную Катю Тьюринг, топового багхантера Дмитрия Прохорова и двух Лёх : )

Отдельно хотел бы выделить доклад Сергея Буреева, его описание очень интригующее: "как из Coerce-атаки можно получить больше чем NetNTLM, какую роль в этом играют средства защиты и почему coerce от NT AUTHORITY\LOCAL SERVICE напрасно недооценен"

Из развлекух обещают интересную локацию, CTF-турнир и ретротехнику : )

А еще участие бесплатное 🙈

Всем привет!

Обычно zabbix связан с базой PostgreSQL или MySQL. В некоторых случаях у вас может появиться возможность подключения к хосту, на котором эта самая база крутится. В таком случае вы сможете захватить весь Zabbix.

Алгоритм прост:
1. Вам следует получить доступ к базе, которая связана с Zabbix. Например, если вы получили RCE на Linux-сервере и смогли, допустим, повыситься до root, то переключайте контекст на пользователя postgres и аутентифицируйтесь на базе через psql. По умолчанию ph_hba.conf пустит вас без аутентификации.
su postgres
psql

2. Затем подключайтесь к базе zabbix
psql> \c zabbix

3. Теперь вам можно создавать собственного суперадмин-пользователя. Отмечу, что в базах MySQL и Postgres синтаксис команды будет немного отличаться. Для корректности добавления проверяйте необходимые для заведения поля вот так:
select * from users;

После чего добавляем собственного админ-пользователя:
# Хеш bcrypt UNIX, база Postgres (pentest:pentest)

INSERT INTO users(userid, username, name, surname, passwd, url, autologin, autologout, lang, refresh, theme, attempt_failed, attempt_ip, attempt_clock, rows_per_page, timezone, roleid) VALUES (6, 'pentest', 'pentest', 'pentest', '$2a$10$dXwCQEKhvXk4tdRvt0Ra/OGUU0.LUc0f.q6i8u4yiejrO9qVNjT6u', '', 0, 0, 'default', '30s', 'default', 0, '', 0, 150, 'default', 3);

# Хеш md5, MariaDB

INSERT INTO users(userid, alias, name, surname, passwd, url, autologin, autologout, lang, refresh, type, attempt_failed, attempt_ip, attempt_clock, rows_per_page) VALUES (6, 'pentest', 'pentest', 'pentest', '46ea1712d4b13b55b3f680cc5b8b54e8', '', 0, 0, 'default', '30s', 'default', 0, '', 0, 150);

4. Логинимся в Zabbix через главную страницу

LAPS v2
Как-то незаметно прошло обновление в 2023 году:
- Windows Server 2022 – KB5025230
- Windows Server 2019 – KB5025229
Но оно раз и навсегда изменило LAPS, который мы знали. Давайте вспомним как работал LAPS раньше.
Был скрипт, который расширял схему AD и добавлял атрибуты ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime, атрибут ms-Mcs-AdmPwd хранил пароль локальной учетной записи в открытом виде, но доступ к данному атрибуту имели только специально назначенные пользователи и, в принципе, данный механизм успешно справлялся со своей задачей... но все поменялось. Теперь схема расширяется и добавляются новые атрибуты:
- msLAPS-PasswordExpirationTime
- msLAPS-Password
- msLAPS-EncryptedPassword
- msLAPS-EncryptedPasswordHistory
- msLAPS-EncryptedDSRMPassword
- msLAPS-EncryptedDSRMPasswordHistory
Если явно отключить шифрование, то теперь пароль будет хранится в атрибуте msLAPS-Password с тем же механизмом, как и было ранее - но думаю такую настройку не получится встретить в живых инфраструктурах. Поэтому нас интересует атрибут msLAPS-EncryptedPassword - этот атрибут может читать любой пользователь, но ВНИМАНИЕ расшифровать его и получить пароль могут только специально назначенные пользователи. Давайте разберемся, что надо сделать, что бы расшифровать пароль:
1. Извлечение зашифрованного блоба из атрибута msLAPS-EncryptedPassword
2. Декодирование CMS (Cryptographic Message Syntax) для получения данных шифрования
3. Использование GKDI (Group Key Distribution Interface) для получения ключа
4. Создание Security Descriptor для авторизации запроса ключа
5. Подключение по RPC к сервису GKDI на контроллере домена
6. Получение группового ключа (Group Key)
7. Вычисление KEK (Key Encryption Key)
8. Расшифровка CEK (Content Encryption Key)
9. Расшифровка самого пароля
10. Извлечение пароля из JSON-структуры в UTF-16LE кодировке
Если вам явно не назначены права на чтение LAPS с помощью командлета Set-LapsADReadPasswordPermission, то на 5 шаге вы получите отказ.
А теперь самое интересное, буквально пару недель назад по ИБ пабликам прошла информация о новом инструменте goLAPS, для извлечения пароля LAPS и, о чудо, инструмент написан буквально 2-3 недели назад и он не поддерживает LAPSv2, он работает только со старым LAPS. Хорошо, в посте про инструмент было написано "The tools is inspired in pyLAPS. (https://github.com/p0dalirius/pyLAPS)" и этот инструмент тоже не поддерживает LAPSv2.
И тогда я решил проверить все инструменты что знаю и посмотреть, какие из них адаптированы к новому LAPSv2:
❌ LAPSToolkit.ps1
❌ LDAPPER
❌ NetExec ("LAPS password is encrypted and currently CrackMapExec doesn't support the decryption...")
❌ pyLAPS
❌ Get-LAPSPasswords
❌ LAPSDumper
✅ ldap_shell
✅ impacket
Думаю со временем ситуация будет исправляться, а пока советую использовать ldap_shell ☺️

Друзья, всем прекрасный весенний вечер!

В моей голове давно была идея создания небольшого списка вариантов использования сертификатов в средах AD, помимо стандартного запроса билета и UnPAC The Hash. Так родилась небольшая статья на Medium, из которой вы узнаете про различные способы изучения полученного сертификата и нестандартные варианты его использования, как например для аутентификации по SSH или расшифровки HTTPS-траффика

Приятного чтения 🙂

https://cicada-8.medium.com/adcs-so-u-got-certificate-now-ive-got-nine-ways-to-abuse-it-861081cff082

Всем привет!

Количество статей про Kerberos Relay увеличивается непропорционально слабо, в отличие от количества вопросов по этой теме. Поэтому я принял решение сделать небольшую карту, с помощью которой можно подобрать инструмент, подходящий именно вам, исходя из конкретной ситуации.

Карту в полном формате и с кликабельными ссылками можно найти тут:
https://github.com/CICADA8-Research/Penetration/tree/main/KrbRelay%20MindMap

Всем удачного понедельника 🙂

Всем привет!

Недавно вышел интересный разбор LPE-уязвимости CVE-2024-12754 через AnyDesk. Разбор подробный, однако без POC. Поэтому надо исправлять :)

Сам механизм повышения привилегий основывается на возможности контроля целевого файла, который копируется в доступную для чтения низкопривилегированного пользователя директорию.

Нам остается лишь заставить AnyDesk, работающий от лица системы, прочитать файл, недоступный нам. Автор в статье использует чтение SAM из Shadow Copy.

Разработку, тестирование и отладку я проводил на AnyDesk версии 8.0.10, которую качал отсюда.

Вы можете сами попробовать POCнуть эту уязвимость, используя набор инструментов от Google Project Zero.

Моя реализация доступна здесь. Она осуществляет чтение произвольного файла, после чего копирует его содержимое на рабочий стол текущему пользователю.

Хоть Windows и активно продвигает механизм защиты, именуемый RedirectionTrust, предотвращающий переход по ссылкам, созданными не администраторами, однако эта митигация зачастую не распространяется на службы, которые были разработаны сторонними компаниями. Причина проста: разработчики не знают о ней и забывают применить, отсюда и появляется возможность LPE.

Демо можно посмотреть здесь

Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.

Всем привет! Андрей Жуков опять радует нас годнотой! Мы не очень часто репостим каналы других авторов, однако постоянству, с которой s0i37 публикует контент, можно лишь позавидовать. Рекомендуем : )

Всем привет, на днях в достаточно подробном исполнении появилась еще одна вариация атаки Kerberos Relay. Этот пост для тех, кто окончательно запутался и не знает, с чего начать изучение всего обилия инструментов и статей.

Для локального повышения привилегий можно использовать KrbRelay и KrbRelayUp. Это тулы, которые позволяли повысить привилегии и получить учетную запись системы. Вкратце мы, благодаря особенностям создания объектов в СОМ, могли перехватить учетные данные системы и перенаправить их в какую-либо службу. Пример использования. После того, как потыкаете, можете посмотреть подробный разбор. Есть две статьи от Google Project Zero тут и тут. Если этот материал показался слишком сложным, то попробуйте начать с этой статьи на хабре. Если и она не идет, то читайте весь материал, на который я оставил там ссылки.

В последней статье активно упоминается RemoteKrbRelay . Это вариация локальной атаки KrbRelay и KrbRelayUp, но только в удаленном исполнении — можем захватывать аутентификацию чужих компьютеров. POC можно использовать для атак SilverPotato и CertifiedDCOM.

Помимо всего прочего, стоит упомянуть DavRelayUp (POC1 , POC2, POC3). Этот инструмент использует локальный релей NTLM (не керберос, просто схожая структура репозиториев) через поднятый WebDAV на LDAP. Фактически, это автоматизация действий, описанных в этой статье.

Существуют также варианты, которые работают несколько иначе и в некоторых случаях даже не требуют наличия у нас учетной записи в домене. Они основываются на возможности ретрансляции AP-REQ пакетов пользователей.

Начнем с krbrelayx.py. Изначально инструмент создавался в качестве тулкита для абуза неограниченного делегирования с Linux-систем, либо если делегирование настроено на учетную запись пользователя. Статья , примеры командлетов. Однако в дальнейшем была обнаружена возможность перехвата AP-REQ пакетов во время аутентификации клиентов (эта ауф появляется потому , что по дефолту в ADIDNS настроены Secure Dynamic Updates , требующие аутентификации перед обновленим записи) и захвата серверов с ролью DNS. Статья про релей из DNS.

Логичный вопрос: «Как получать AP-REQ?» И у нас есть несколько вариантов ответа.
1. Через MiTM: из DNS Authenticated Updates (см выше), из отравления LLMNR, через подмену DNS записи, - в общем практически любой MiTM ;
2. Через принудительную аутентификацию со специальным DNS-именем. Он же абуз CredMarshalTargetInfo(). Читать теорию тут, примеры использования krbrelayx с ним тут;
3. Через триггер и аутентификацию поверх DCOM. Тулза-триггерилка называется potato.py , ее разбор тут.


Вернемся к DNS. Зона может быть настроена с флагом ZONE_UPDATE_UNSECURE , что разрешает обновления без аутентификации. В таком случае мы можем осуществить MiTM и перехватить AP-REQ креды, идущие на какие-либо службы. Соответственно, сделать релей на эти службы и получить к ним доступ. POC называется KrbJack. Он автоматизирует весь цикл атаки: сначала подменяет IP-адреса, потом слушает пакеты и, если обнаруживает аутентификацию по керберосу или NTLM, то пытается отрелеить ее на шару ADMIN$ с последующим деплоем шелла. Тулзу можно использовать и просто для обновлений записей анонимно. Пример использования в репозитории.

Если нам требуется осуществлять перехват и релей AP-REQ-пакетов с Windows, то можно использовать KrbRelayEx. Пример использования.

Также есть KrbRelay-SMBServer , который используют чтобы чейнить абуз CredMarshalTargetInfo() с Kerberos Relay с Windows-тачки.