Posts

• Dec 8, 2024 • 39 minutes to read

  On the Applicability of the Timeroasting Attack

  active-directory timeroasting
  
  

  Lately I’ve had an opportunity to experiment with the Timeroasting on an engagement, so here are my thoughts on the applicability of the attack in real life conditions with some examples along the way.

• May 19, 2024 • 5 minutes to read

  Abuse VS Code Installation for LPE on macOS [Pentest Awards 2023]

  pentest-awards xakep-ru macos phishing vs-code
  
  

  Когда тебе нужно заскамить сотрудников техподдержки на угон их кред и привилегий в macOS (естественно, действуя в рамках контракта о пентесте), можно смело предлагать завершить установку легитимного ПО, которое ты предварительно кастомизировал. Для примера разберем, как это сделать с любимым всеми Visual Studio Code.

• May 19, 2024 • 8 minutes to read

  From DLL Side Load to Malicious SSP [Pentest Awards 2023]

  pentest-awards xakep-ru purple-teaming dll-hijacking dll-side-loading ssp mimilib
  
  

  Нескучный байпас средств защиты подразумевает разглашение приватного кода, который от этого, скорее всего, обесценится. Поэтому я решил рассказать интересный кейс из опыта участия в Purple Team. Нам удалось надурить кастомное правило СЗИ, нацеленное на мониторинг зловредных SSP-модулей.

• May 10, 2024 • 21 minutes to read

  Newbie's Game Hacking Notes (ft. Turbo Overkill)

  game-hacking cheat-engine cheat-developement trainer-developement dll-injection
  
  

  A terse-comments blog of making myself more comfortable with Cheat Engine and the basics of cheats/trainers developement. Practice is based on the awesome Turbo Overkill FPS (v1.35).

• Apr 30, 2024 • 26 minutes to read

  HTB{ Ascension }

  write-up hackthebox endgame active-directory blind-sqli sqlmap mssql mssql-agent-job mssql-proxy inveigh seatbelt sharpdpapi dsrm portscan-ps1 pivoting double-hop thycotic secret-server disable-firewall aspx-webshell regeorg neo-regeorg openssh-windows slack rubeus asktgt rbcd powerview4
  
  

  This write-up is all about pwning the Ascension Endgame from Hack The Box (written in August 2021).

• Apr 30, 2024 • 10 minutes to read

  Python ❤️ SSPI: Teaching Impacket to Respect Windows SSO

  pt-swarm active-directory kerberos tgt-delegation impacket sspi
  
  

  Given the Bring Your Own Interpreter (BYOI) concept, the combination of Impacket usage and SSPI capabilities can allow attackers to fly under the radar of endpoint security mechanisms as well as custom network detection rules more efficiently. We will discuss it in more detail further in the article.

• Apr 5, 2023 • 31 minutes to read

  Змеиная пирамида. Запускаем малварь из слепой зоны EDR

  xakep-ru red-teaming living-off-the-blindspot maldev av-bypass edr-evasion python iron-python impacket
  
  

  В этой статье я покажу, как вооружить standalone-интерпретатор Python для загрузки “опасных” зависимостей прямо в память при помощи инструмента Pyramid (не путать с веб-фреймворком). Потенциально это позволяет обойти антивирусную защиту при пентесте и скрыть источник подозрительной телеметрии от EDR при операциях Red Team.

• Feb 14, 2023 • 9 minutes to read

  Adopting Position Independent Shellcodes from Object Files in Memory for Threadless Injection

  maldev threadless-injection function-stomping shellcode-injection shellcode-generation pic winexec msfvenom
  
  

  In this blog I will describe a way to automate generation of Position Independent Shellcodes from object files in memory (by @NinjaParanoid) to be used in Threadless Process Injection (by @_EthicalChaos_).

• Dec 30, 2022 • 22 minutes to read

  УдаленнаяКартошка0. Повышаем привилегии в AD через кросс-протокольную атаку NTLM Relay

  xss-is xakep-ru internal-pentest active-directory eop pivoting tunneling ntlm-relay dcom-rpc potatoes remotepotato0 cobalt-strike impacket ntlmrelayx
  
  

  Эта история относится к категории «байки с внутренних пентестов», когда мы попали в среду Active Directory, где члены группы безопасности Domain Users (все пользователи домена) обладали привилегией для удаленного подключения к контроллерам домена по протоколу RDP. Хоть это уже само по себе ужасная «мисконфига», потенциальный злоумышленник все еще должен найти способ для локального повышения привилегий на DC, что проблематично, если на системе стоят все хотфиксы. Здесь и приходит на помощью баг фича из серии Microsoft Won’t Fix List – кросс-сессионное провоцирование вынужденной аутентификации по протоколу RPC – которая при отсуствии защиты службы LDAP от атак NTLM Relay мгновенно подарит тебе «ключи от Королевства». В этой статье мы поговорим о различных вариациях проведения данной атаки с использованием эксплоита RemotePotato0, а также на этом примере обсудим, как можно спрятать сигнатуру исполняемого файла от статического анализа.

• Aug 7, 2022 • 31 minutes to read

  Флуктуация шелл-кода. Пишем инжектор для динамического шифрования полезной нагрузки в памяти

  xakep-ru maldev c2 covenant memory-evasion shellcode-injection shellcode-fluctuation api-hooking dotnet csharp
  
  

  Сегодня поговорим об одной из продвинутых техник уклонения от средств защиты при использовании фреймворков Command & Control – динамическом сокрытии шеллкода в памяти ожидающего процесса. Я соберу PoC из доступного на гитхабе кода и применю его к опенсорсным фреймворкам. Если взглянуть на список фич, которыми хвастаются все коммерческие фреймворки C2 стоимостью 100500 долларов в час (Cobalt Strike, Nighthawk, Brute Ratel C4), первой в этих списках значится, как правило, возможность уклонения от сканирования памяти запущенных процессов на предмет наличия сигнатур агентов этих самых C2. Что если попробовать воссоздать эту функцию самостоятельно? В статье я покажу, как я это сделал. Итак что же это за зверь такой, этот флуктуирующий шеллкод?

• Jun 1, 2022 • 41 minutes to read

  Вызов мастеру ключей. Инжектим шеллкод в память KeePass, обойдя антивирус

  xakep-ru hackmag-com maldev shellcode-injection dotnet csharp dynamic-invocation dinovke keethief keetheft keepass
  
  

  Недавно я столкнулся с ситуацией на пентесте, когда мне было необходимо вытащить мастер-пароль открытой базы данных KeePass из памяти процесса с помощью утилиты KeeThief из арсенала GhostPack. Все бы ничего, да вот EDR, следящий за системой, категорически не давал мне этого сделать – ведь под капотом KeeThief живет классическая процедура инъекции шеллкода в удаленный процесс, что не может остаться незамеченным в 2022 году. В этой статье мы рассмотрим замечательный сторонний механизм D/Invoke для C#, позволяющий эффективно дергать Windows API в обход средств защиты и перепишем KeeThief, чтобы его не ловил великий и ужасный «Касперский».

• Mar 6, 2022 • 3 minutes to read

  Abusing Kerberos Constrained Delegation without Protocol Transition

  internal-pentest active-directory kerberos constrained-delegation s4u2self s4u2proxy rubeus
  
  

  In this blog post I will go through a study case in abusing Kerberos constrained delegation without protocol transition (Kerberos only authentication).

• Aug 7, 2021 • 23 minutes to read

  HTB{ RPG }

  write-up hackthebox endgame active-directory jfrog artifactory ssrf cve-2019-19937 dnspy rocket-chat rest-api mongodb pivoting chisel lpe winpeas av-bypass ebowla putty puttyrider keyscan cve-2020-1313 restricted-admin procmon gnome-keyring mimipenguin wmi invoke-wmimethod lastpass lastpass-vault-parser rpcclient ntuser-dat forensics winscp winscppasswd runascs responder proxy-pac rubeus rubeus-asktgt rbcd rbcd-permissions powerview4 impacket bronze-bit efs
  
  

  This write-up is all about pwning the RPG Endgame from Hack The Box.

• Jun 30, 2021 • 7 minutes to read

  Leveraging PrintNightmare to Abuse RBCD and DCSync the Domain

  internal-pentest active-directory print-spooler printer-bug cve-2021-16751 cve-2021-34527 arbitary-file-write impacket rbcd
  
  

  A relatively stealthy way to exploit PrintNightmare (CVE-2021-1675 / CVE-2021-34527) by configuring and abusing RBCD on a domain controller.

• May 21, 2021 • 4 minutes to read

  A Note on Calculating Kerberos Keys for AD Accounts

  internal-pentest active-directory kerberos unconstrained-delegation rbcd bronze-bit python krbrelayx impacket
  
  

  A short memo on how to properly calculate Kerberos keys for different types of Active Directory accounts in context of decrypting TGS tickets during delegation attacks.

• Feb 21, 2021 • 14 minutes to read

  Exploiting CVE-2020-10977 on Old Versions of GitLab CE/EE

  internal-pentest gitlab cve-2020-10977 docker path-traversal lfi reset-password
  
  

  In this post I will demonstrate how CVE-2020-10977 path traversal vulnerability can be exploited on old versions of GitLab to drop a registered user’s password.

• Dec 28, 2020 • 52 minutes to read

  HTB{ Hades }

  write-up hackthebox endgame active-directory cmdi msf msfvenom revsocks proxychains-ng pivoting aspreproast ms-rprn printer-bug rpcdump-py dementor-py silver-ticket dnsmasq services-py post-server-py net-share sam secretsdump-py vss mimikatz kiwi dpapi bloodhound rbcd powermad powerview rubeus protocol-transition s4u2self s4u2proxy http-spnego addcomputer-py inveigh adidns hashcat hashcat-rules password-reuse protected-users rdp docker-machine ldapsearch windapsearch-py
  
  

  In this walkthrough I will show how to own the Hades Endgame from Hack The Box. For me it was the most mesmerizing experience I have got at HTB so far. Hades simulates a small Active Directory environment full of vulnerabilities & misconfigurations which can be exploited to compromise the whole domain. This lab offers you an opportunity to play around with AS-REP Roasting, exploiting Printer Bug from Linux, decrypting DPAPI secrets, abusing Kerberos resource-based constrained delegation and spoofing Active Directory-integrated DNS alongside with some other challenges of dealing with enterprise infrastructure. Let the madness begin!

• Oct 31, 2020 • 5 minutes to read

  Pretending to Be smbpasswd with impacket

  notes hackthebox machine windows null-session smb dcerpc ms-samr wireshark smbpasswd smbclient-py rpcclient chgpassworduser2 python impacket password-policies
  
  

  For me the most interesting aspect of pwning the Fuse machine from HTB was dealing with an expired domain user password. I found no other tools except smbpasswd to invoke such a password change remotely from Linux which seemed odd to me. So I decided to create a simple Python script with impacket which binds to the \samr pipe over SMB (MSRPC-SAMR) with a null session and calls SamrUnicodeChangePasswordUser2 to trigger the password change.

• Sep 26, 2020 • 6 minutes to read

  Blind SSRF with Oracle WebLogic Deserialization

  external-pentest oracle weblogic java-deserialization bind-ssrf dns-rebinding python
  
  

  A way to get an impact from exploiting Oracle WebLogic Server Java deserialization vulnerabilities (CVE-2017-3506, CVE-2017-10271, CVE-2019-2725, CVE-2019-2729, etc.) without triggering RCE through an SSRF attack.

• Sep 19, 2020 • 6 minutes to read

  Playing with HTB{ Multimaster }

  notes hackthebox machine windows mssql sql-injection sqlmap sqlmap-tamper rid-cycling
  
  

  Automate MS SQL injection with a custom sqlmap tamper script to bypass WAF through a UTF-16BE encoded JSON payload. Enumerate AD domain users via RID cycling from within the MS SQL DBMS.

• Aug 22, 2020 • 8 minutes to read

  Tuning PEAS for Fun and Profit

  external-pentest exchange activesync peas python
  
  

  At the recent external pentest engagement I had a feeling that PEAS (Python Exchange ActiveSync client) is missing some handy features. For example, crawling shared folders and auto downloading discovered files would be a nice function to have as well as brute forcing potential shares by a wordlist. To save time I wrote a draft script at the time of the pentest, but then I decided to fork PEAS project and tune the source code.

• May 10, 2020 • 8 minutes to read

  Об обнаружении субдоменов

  notes external-pentest osint dns-enumeration subdomain-discovery amass knockpy altdns massdns methodology
  
  

  Инструментарий и краткая методика для обнаружения субдоменов при проведении внешнего пентеста / анализа веб-приложений / конкурентной разведки.

• Mar 17, 2020 • 31 minutes to read

  HTB{ Reddish }

  xakep-ru hackmag-com write-up hackthebox machine linux node-red lse-sh networking host-discovery ping-sweep static-nmap pivoting ssh-reverse-tcp dropbear tunneling port-forwarding chisel upx file-transfer redis rsync docker docker-compose
  
  

  Что делать в случае, когда тебе нужно захватить контроль над хостом, который находится в другой подсети? Верно — много запутанных туннелей! На примере виртуалки Reddish с Hack The Box мы встретимся со средой визуального программирования Node-RED, где в прямом смысле «построим» реверс-шелл, проэксплуатируем слабую конфигурацию СУБД Redis, воспользуемся инструментом зеркалирования файлов rsync для доступа к чужой файловой системе, а также создадим целое множество вредоносных задач cron всех сортов и расцветок. И что самое интересное — все управление хостом будет выполняться посредством маршрутизации трафика по докер-контейнерам через несколько TCP-туннелей. Погнали!

• Jan 26, 2020 • 22 minutes to read

  HTB{ Granny💔Grandpa }

  xakep-ru hackmag-com write-up hackthebox machine windows webdav davtest burp msfvenom metasploit upload-asp cve-2017-7269 scstoragepathfromurl ms14-070 tcpip-ioctl pivoting port-forwarding msf-route msf-socks proxychains-ng ssh-reverse-tcp plink msf-portfwd msf-hashdump lmhash-nthash pass-the-hash impacket psexec-py
  
  

  На заре становления Hack The Box как онлайн-площадки для тренировки вайтхетов в списке машин ее лаборатории значились две виртуалки: Grandpa и Granny. Обе эти машины нацелены на эксплуатацию уязвимостей WebDAV (набора дополнений для HTTP), и стратегии захвата их root-флагов практически не отличаются друг от друга. Поэтому, чтобы разнообразить прохождения, мы сначала быстро рассмотрим, как можно взломать каждый из хостов по отдельности, а после этого превратим один из них в шлюз, через который атакуем второй хост. Умение пользоваться техникой Pivoting — проброса трафика к жертве (и обратно) через промежуточные хосты — жизненно важный скил для этичного хакера, который пригодится при тестировании на проникновение любой корпоративной сетки.

• Dec 20, 2019 • 43 minutes to read

  В королевстве PWN. Return-to-bss, криптооракулы и реверс-инжиниринг против Великого Сокрушителя

  xakep-ru write-up hackthebox machine pwn-64 linux masscan tiny-web-server path-traversal wget-mirror diff code-analysis gdb-fork python3-pwntools ret2shellcode ret2bss ssh-key-injection linenum-sh padding-oracle aes-cbc pkcs7 binary-analysis reverse race-condition ghidra cutter strace binary-patching pvs-studio
  
  

  Год близится к своему логическому завершению и подчищает свои хвосты, поэтому и я, последовав его примеру, закончу цикл «В королевстве PWN» разбором хардкорной тачки Smasher с Hack The Box. На этом пути нас ожидает: низкоуровневый сплоитинг веб-сервера со срывом стека (куда же без него?) и генерацией шелл-кода «на лету» с помощью древней магии pwntools; проведение атаки Padding Oracle на Python-приложение для вскрытия шифртекста AES-CBC (абьюзим логику логирования приложения и реализации добивания блоков PKCS#7); реверс-инжиниринг исполняемого файла с атрибутом SUID для повышения привилегий в системе до локального суперпользователя.

• Nov 23, 2019 • 38 minutes to read

  В королевстве PWN. ROP-цепочки и атака Return-to-PLT в CTF Bitterman

  xakep-ru write-up ctf pwn-64 linux gdb-weaponize buffer-overflow stack-smashing getenvaddr dep-bypass ret2libc rop rop-chain r2 ROPgadget ropper pwntools aslr-bypass address-leak got plt ret2plt libc-database ghidra
  
  

  В этой статье мы поговорим об особенностях переполнения стека в 64-битном Linux. Начнем с прохождения трех обучающих кейсов для различных сценариев выполнения Stack Overflow в Ubuntu 19.10 x64. Далее на примере таска Bitterman, представленном на соревновании CAMP CTF 2015, используя возможности модуля pwntools, мы построим эксплоит, демонстрирующий техники Return-oriented programming для обмана запрета исполнения DEP/NX и Return-to-PLT для байпаса механизма рандомизации адресов ASLR без брутфорса.

• Nov 8, 2019 • 20 minutes to read

  В королевстве PWN. Обходим DEP и брутфорсим ASLR в «Октябре»

  xakep-ru write-up hackthebox machine pwn-32 linux october-cms default-credentials searchsploit php5-upload python-simple-http suid-files buffer-overflow stack-smashing dep-bypass ret2libc aslr-bypass aslr-bruteforce
  
  

  October — относительно несложная виртуальная машина с Hack The Box, однако на ее примере удобнее всего разобрать, что, в сущности, из себя представляют: атака ret2libc, применяемая для обхода запрета выполнения данных (DEP/NX-Bit) в стеке; и подбор необходимого адреса той самой стандартной разделяемой библиотеки libc для нивелирования рандомизации размещения адресного пространства (ASLR). Ко всему прочему, на общий уровень сложности повлиял челлендж с захватом админки CMS, где случайно оставили дефолтную авторизацию, поэтому быстро пробежим вступление и более подробно остановимся на этапе privilege escalation.

• Oct 20, 2019 • 35 minutes to read

  В королевстве PWN. Препарируем классику переполнения стека

  xakep-ru hackmag-com tutorial pwn-32 linux buffer-overflow stack-smashing gcc-flags asm objdump gdb peda checksec eip-overwrite shellcode msfvenom apport core-dump stack-boundary
  
  

  Сколько раз и в каких только контекстах уже не писали об уязвимости переполнения стека. Однако в этой статье я постараюсь предоставить универсальное практическое вступление для энтузиастов, начинающих погружение в Low-Level эксплуатацию, и на примере того самого переполнения рассмотрю широкий спектр тем: от существующих на данный момент механизмов безопасности компилятора gcc до точеных особенностей разработки бинарных эксплоитов для срыва стека. Могу поспорить, что со школьной скамьи тебе твердили, что strcpy — это такая небезопасная функция, использование которой чревато попаданию в неблагоприятную ситуацию — выход за границы доступной памяти, и «вообще лучше используй MS Visual Studio…». Почему эта функция небезопасна? Что может произойти, если ее использовать? Как эксплуатировать уязвимости семейства Stacked Based Buffer Overflow? Ответы на эти вопросы я и дам далее.

• Sep 20, 2019 • 33 minutes to read

  HTB{ CTF }

  xakep-ru hackmag-com write-up hackthebox machine linux ldap ldap-injection wfuzz double-encoding stoken otp 7z FwdSh3ll
  
  

  CTF — просто идеальная машина для составления райтапа: она достаточна прямолинейна, здесь ты не встретишь множества развилок на пути, ведущих в никуда, от которых становится неинтересным следить за ходом повестования, а мне не придется лишний раз выкручиваться, чтобы придумать, какими словами лучше описать свой ход мыслей при ее прохождении для сохранения интриги. В то же время, эта виртуалка весьма сложна, что в совокупности со своей прямолинейностью делает ее максимально интересной для взлома тестирования на проникновение. По мере продвижения к победному флагу нам предстоит: поиграть с stoken — софтверным решением для Linux для генерации одноразовых паролей (RSA SecurID токенов); разобраться с множественными типами LDAP-инъекций (Blind, Second Order); написать несколько скриптов на Python для брута LDAP-каталога; злоупотребить функционалом архиватора 7z, в частности его опцией @listfiles, для чтения файлов с правами суперпользователя.

• Apr 5, 2019 • 36 minutes to read

  HTB{ Mischief }

  xakep-ru hackmag-com write-up hackthebox machine linux snmp snmpwalk snmp-check onesixtyone enyx-py python-server ipv6 iptables ip6tables eui-64 hydra command-injection reverse-shell acl getfacl bash_history ping-pattern icmp-shell scapy systemd-run lxc
  
  

  Mischief — на момент прохождения моя любимая Linux-тачка на HTB. Балансируя на уровне сложности где-то между “Medium” и “Hard” (хотя изначальный рейтинг был определен как “Insane”), эта виртуалка дает простор для творчества. Полагаю, если бы не некоторые ошибки автора (которые мы, конечно же, обсудим ниже), эта машина и правда была бы “безумной”. Итак, с чем предстоит повоевать: энумерация SNMP с последующим извлечением авторизационных данных из аргументов командной строки для простого Python-сервера (пробуем разные тулзы, в том числе snmpwalk, snmp-check, onesixtyone, enyx.py), получение IPv6-адреса машины из того же вывода SNMP (1-й способ), либо через pivoting другого хоста на HTB из MAC-адреса последнего (2-й способ, алгоритм EUI-64), обход фильтра для возможности инъекции команд (+ создание мини ICMP-шелла с помощью scapy на сладкое) и захват кредов пользователя; наконец, получение IPv6 реверс-шелла в обход iptables для запуска su от имени www-data (так как пользователя блокирует механизм распределения прав доступа ACL) и получения root-сессии с кредами из .bash_history.