Posts

Ired.Team Kerberos Silver Ticket Tiếp tục chuỗi series AD abuse thì tiếp theo ta tiến tới Kerberos Silver Ticket có nghĩa là ta sẽ hack quyền từ Kerberos nhưng không phải tạo golden ticket để truy cập mọi tài nguyên trong DC mà ở đây ta chỉ tạo Silver Ticket có quyền truy cập một số tài nguyên nhất định vì đôi khi ta cũng không cần phải full quyền để làm gì nhiều lúc sẽ dễ bị phát hiện nên ta chỉ cần lấy một vài tài nguyên, chính điều đó thì Silver Ticket ra đời. ...

PortSwigger CSRF Challenge WriteUp Giới thiệu về CSRF (Cross-Site Request Forgery) Lỗ hổng CSRF là gì : Cross-Site Request Forgery hay còn gọi theo tiếng việt là giả mạo yêu cầu trên nhiều trang, là một lỗ hổng bảo mật cho phép attacker lừa người dùng đã được xác thực (đã đăng nhập) thực hiện các hành động không mong muốn trên 1 ứng dụng Web. Nói đơn giản thì attacker sẽ mượn danh tính và session của một victim để gửi đi một yêu cầu giả mạo đến ứng dụng mà victim không hề hay biết. Nếu ứng dụng dễ bị tấn công, nó sẽ không thể phân biệt được đâu là yêu cầu giả mạo đâu là yêu cầu hợp lệ của victim (User). CSRF hoạt động như thế nào : Để thực hiện tấn công CSRF cần có 3 điều kiện bao gồm : Hành động quan trọng : Ứng dụng phải có một function (hành động, action) mà attacker muốn thực hiện ví dụ như là đổi mật khẩu, đổi username, đổi email, chuyển tiền,…. Nói chung nó có lợi có attacker là tương hết hay còn gọi là attack surface ngon, nhiều. Xử lý request dựa trên cookie, session : Application phải chỉ dựa vào cookie của trình duyệt để xác định người dùng đang gửi yêu cầu. Không có cơ chế nào xác minh request. Không có tham số không thể đoán trước : Các tham số trong yêu cầu thực hiện hành động phải là những giá trị mà attacker có thể đoán trược hoặc là biết trước. Tại sao lỗ hổng này tồn tại : Lỗ hổng CSRF tồn tại do sự tin tưởng của ứng dụng web vào các cookie mà trình duyệt tự động gửi kèm theo mỗi yêu cầu. Ứng dụng chỉ kiểm tra “ai” đang gửi yêu cầu (dựa trên cookie session) mà không kiểm tra “ý định” của người dùng có thực sự muốn thực hiện hành động đó hay không. ...

Ysoserial Commons Collections 5 Analyst Tổng quan CommonsCollections 5 trong Ysoserial CommonsCollections là một trong những gadget chain nổi tiếng nhất trong các cuộc tấn công khai thác Java deserialization không an toàn, đặc biệt khi ứng dụng sử dụng thư viện Apache Commons Collections. Trong bài viết này, chúng ta sẽ tập trung vào CommonsCollections5 (CC5) — một trong các chain được tích hợp sẵn trong công cụ ysoserial . Mình chọn phân tích CC5 vì đây là chain được nhiều người đề xuất để học do tính minh bạch và dễ debug. ...

Ired.Team Kerberos: Golden Tickets Lab Overview Lab này khám phá một cuộc tấn công vào Kerberos Authentication của Active Directory(AD). Chính xác hơn, đây là một cuộc tấn công giả mạo Vé cấp quyền Kerberos (TGT) được sử dụng để xác thực User bằng Kerberos. TGT được sử dụng khi Ticket Granting Service (TGS), nghĩa là một TGT giả có thể giúp chúng ta có được bất kỳ ticket TGS nào. ...

Tryhackme Basic Pentesting Challenge Sử dụng nmap để scan các port đang mở của target ở đây tôi sử dụng lệnh nmap -sV -T4 <ip> để scan cho nhanh và ta nhận được kết quả là 4 port đang mở. Với câu hỏi đầu là What is the name of the hidden directory on the web server ta sẽ tiến hành scan directory bằng gobuster ở đâu mình dùng lệnh : ...

Ired.Team Kerberoasting (Credential Access) Giải thích về các khái niệm Kerberos trong Active Directory Trong môi trường Windows Active Directory (AD), Kerberos là giao thức xác thực mặc định. Nó sử dụng các ticket để xác thực người dùng và dịch vụ mà không truyền mật khẩu qua mạng. Các thành phần chính: KDC (Key Distribution Center): Thường là Domain Controller (DC). TGT (Ticket Granting Ticket): Cấp cho user sau khi đăng nhập thành công → dùng để xin ticket cho dịch vụ. TGS (Ticket Granting Service ticket): Là service ticket cho một dịch vụ cụ thể → dùng để truy cập dịch vụ đó. SPN là gì? (Service Principal Name) SPN là một định danh duy nhất cho một dịch vụ trong domain. Định dạng: ServiceClass/HostName[:Port] SPN được lưu trong thuộc tính servicePrincipalName của đối tượng người dùng (user object). TGS là gì? TGS (Ticket Granting Service ticket) là ticket dùng để truy cập một dịch vụ cụ thể. Khi user yêu cầu truy cập dịch vụ (ví dụ: IIS trên HTTP/dc-mantvydas.offense.local). Tìm tài khoản nào sở hữu SPN đó → ví dụ: user svc_iis. Tạo TGS, trong đó có phần "server ticket" được mã hóa bằng mật khẩu hash của svc_iis. Gửi TGS cho client. Kỹ thuật Kerberoasting là gì? Lợi dụng việc TGS được mã hóa bằng mật khẩu hash của tài khoản dịch vụ để trích xuất ticket, rồi brute-force offline nhằm khôi phục mật khẩu gốc. ...

Ired.Team From Domain Admin to Enterprise Admin Overview Ở lab này ta sẽ lợi dụng mối quan hệ giữa Parent-Child domain từ đó lợi dụng mối quan hệ đó và gây nên leo thang đặc quyền. Build lab SetUp domain đặt tên là offense.local đây là domain cha với IP là 192.168.10.10/24 và DNS: 127.0.0.1. Đã cài xong Active Directory Domain Services (AD DS). Đã promote máy thành Domain Controller cho domain: offense.local. ...

Java Deserialze - URLDNS Chain analysis (ysoserial) Java Deserialize là gì? Java cung cấp cho người dùng hàm writeObject() để tiến hành quá trình serialize các object ở đây quá trình serialize sinh ra để chuyển một đối tượng Java thành chuỗi byte để lưu trữ (file, DB) hoặc truyền qua mạng (socket, RMI, JMS). Và để có thể đọc được dữ liệu được serialize từ ObjectInputStream ta có quá trình deserialize ở java sử dụng hàm readObject() cho quá trình đó. Khai thác Java Object Injection Rủi ro sẽ đến với các đối tượng xử lý deserialize các Untrusted Data. Attacker có thể lợi dụng các magic method, cách mà OOP vận hành từ đó tạo ra exploit chain hoàn chỉnh và tiến hành sử dụng payload. Tiến hành Setup môi trường test ...

Spring Time CTF challenge WriteUp Web App được chia làm 2 services khác nhau bao gồm: gateman : port 8080 newsman : port 8082 Phân tích từng chức năng từng service Gateman Nó được chạy bằng port 8080 bên cạnh đó nó còn gọi cloud cùng với đó là expose include ra các chức năng như health , info , gateway. Vậy nên có thể biết được đây là service Spring Cloud với chức năng routing đến các routes. ...

Java Deserialize CBJS Lab Giải thích chi tiết về lỗ hổng Deserialization 1. Deserialization là gì? Serialization là quá trình chuyển đổi một object (đối tượng) trong bộ nhớ thành một định dạng có thể lưu trữ hoặc truyền tải (như byte stream, JSON, XML). Deserialization là quá trình ngược lại - chuyển đổi dữ liệu đã được serialize trở lại thành object trong bộ nhớ. 2. Nguyên nhân Lỗ hổng xảy ra khi: ...