Хатка бобра

В этом посте кратко познакомимся с инструментом atexec-pro . Позволяет выполнять команды (в том числе powershell), загружать-скачивать файлы и выполнять .NET в памяти. Для последних трех ограничение в размере - 1 МБ. Atexec-pro под капотом использует сервис TSCH против привычного ATSVC и работает через TCP (т.е. пайпы не используем). На мой взгляд примечательно то, что в своей работе он файловую систему практически не трогает (кроме создания самой таски), но при этом позволяет получать нам вывод...

На прошлой неделе пошумел выход нового скрипта psexecsvc.py, на волне слоупоков давайте разбираться что там интересного. Как ранее уже писал, psexec.py использует под капотом библиотеку RemCom и поднимает ряд пайпов (RemCom) на целевой машине. С ним беда в том, что сам бинарь детектируется всеми, кому не лень и и использует пайпы (их всего 4), которые сами по себе детектируются тем же Sysmon с конфигом от SwiftOnSecurity. Сам бинарь можно изменить, чтобы сбить сигнатуры. Можно имена пайпов измен...

#recon #shares #post Иногда что-нибудь ценное можно найти на шарах (файлы с кредами, персональные данные, какие-то пруфы реализации целей пентеста), для этих целей можно использовать скрапперы: PowerView: Find-InterestingDomainShareFile -Include .doc, .xls, .csv, .ppt* Либо Snaffler (C#) Python: https://github.com/blacklanternsecurity/MANSPIDER Оба умеют искать и по названию файлов, и по содержимому. С точки зрения OpSec это шумно - куча коннектов и попыток аутентификации на все шары в сети, а п...

#persist #tasks #opsec Закрепление через планировщик задач не ново, за отслеживание изменений в тасках отвечают события 4698-4702. Однако если поиграться с записями в реестре, можно скрыть ранее созданную таску через удаление записи SD (Security Descriptor) или манипуляцию Index: - Если удалить SD, то таска пропадет из списка стандартных инструментов, но продолжит работу. SD определяет права доступа к таске. - Если установить Index в значение 0x0, то она не только пропадет из списка, но и её мож...

#psexec #nxc PsExec с низкопривилигированной УЗ PsExec загружает на удаленный хост исполняемый файл 10-ти летней давности и создает службу, которая его запускает от имени системы - для этого и необходимы права администратора. Сам файл в свою очередь это бинарь из https://github.com/kavika13/RemCom/, хранимый в виде хекса в Импакете. При запуске он поднимает пайп RemCom_Communication и после подключения со стороны Импакета к этому пайпу создается еще три: RemCom_stdin, RemCom_stdout и RemCom_stde...

#rpc #shell #rpcfilter Сегодня познакомимся с инструментом для выполнения кода с использованием уже имеющихся сервисов в системе - SCShell . В репе есть пример реализации на C# и Python. Принцип работы прост, но отличается от PSExec и SMBExec. При запуска указывается имя сервиса (по умолчанию XblAuthManager), далее через svcctl (интерфейс служб) заменяет его бинарь (binary path) на 'C:&#092;windows&#092;system32&#092;cmd.exe /c <команда>, запускает сервис. После выполнения возвращает исходное со...

Не так давно мы затрагивали тему использования Harbor для взаимодействия с Docker registry, но не затронули тему получения информации о контейнерах из самого Harbor, если у нас нет учетной записи. В Harbor есть режим публичного (public) доступа к образам контейнеров, но стандартный GET-запрос к /v2/_catalog вернет HTTP 401. Думаю, не стоит объяснять, что наличие выставленного public-доступа никак не влияет на важность содержимого, которое можно извлечь из кастомных образов контейнеров, которые н...

#kerberos #potato #edr Пара статей на тему скрытности действий через Cobalt Strike в контексте Elastic EDR на примере киллчейна aspx upload -> SeImpersonatePrivilege -> lsass dump. https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part1.html https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part2.html Если кратко: - Используется кастомный лоадер https://github.com/xforcered/BokuLoader - При исполнении нагрузки aspx создается не новый ...

Форк с ускоренной доставкой🚀 Как утащить сотни образов Docker контейнеров за несколько кликов и считанные минуты Если вы начнете искать информацию о том, как стянуть образы контейнеров с публичного Docker registry, то, почти наверняка, столкнетесь c DockerRegistryGrabber. Сегодня мы отправим этот проект на свалку истории и научимся пуллить в промышленных масштабах🏭🏭🏭 Для начала вспомним, по каким признакам можно определить наличие Docker registry на хосте: 1. Открыт порт TCP 5000 2. GET-запр...