🤥 Привет!

А я тут провел небольшой ресерч по поводу пивотинга и в частности связка proxychains + nmap. Для поста материала оказалось много, поэтому 🔗 написал в Notion.

Приятного просмотра.

Привет, друзья❤️!

Пока мы затаились в преддверии стендофыча, ловите порцию Битрикса

💻 Привет!

А я тут недавно поиграл в standoff 15 и хочу высказать своё объективно-субъективное мнение:

В целом полигон норм, я ранее делал пост про HTB Pro Labs, и в сравнении с ними он очень даже неплохой. Инфра не вайпается глобально каждые 24 часа, можно попрактиковать сканирование и закрепление. Уязвимости и таски тоже в целом неплохие,
Теперь то, что особенно запомнилось:

1️⃣ Инфра (и сайт стендоффа) стабильно уже который год работает нестабильно, особенно в первый день. В прошлом году на второй день под предлогом слива даже выдавали конфиги во внутреннюю сеть, так как гейты были сильно перегружены трафиком.

2️⃣ Про вайпы инфры я немного наврал. В этот раз орги задумали сделать авторестарт нескольких конкретных сервисов (преимущественно во внешнем сегменте) раз в 10 минут. В целом это убирает проблему старта игры, но также это и убирает нервы, потраченные на постоянных запуск чизела после перезапуска сервисов.

3️⃣ Также в этот раз было нововведение: каждая команда могла использовать только 10 белых адресов и с ограничением трафика с выданных vpn. Таким образом орги хотели ограничить количество людей за команду, К счастью, в игре по итогу вайтлистов не было и с трафиком я проблем не заметил.

4️⃣ Сложность заданий не равна их количеству баллов. В моём случае я в первый день пробил сегмент, в котором оказалось с freeipa, из-за чего я следующие 24 часа вкуривал мануалы, затем забил, запрыгнул на другой сегмент и сразу сдал 3 недопустимых события. Потраченного времени жаль.

В целом ощущение от игры 50 на 50. можно было бы принять синюю таблетку, гулять по PHD и быть в неведении внутренней кухни 🤩 Но играть в следующем году я конечно же буду 👍

А вот и пост! 🤗

С сегодняшнего дня мы решили запустить цикл постов и статей, посвященных пентесту внутрянки🕺

Темой первого поста будет атака, связанная с отравлением NBT-NS/LLMNR (или poisoning на родном английском). Расскажем как выполнять данную атаку и как от него защититься.🛡
Всем удачного чтения 📚

🔽 NBT-NS/LLMNR poisoning.
Немного пояснения, что это такое:
🔹 LLMNR — это протокол, позволяющий разрешать имена без использования DNS-сервера, предоставляя имя хоста для IP на основе многоадресного пакета.
🔹 NBT-NS — это достаточно старый протокол Windows, который используется для преобразования имен NetBIOS в IP-адреса в локальной сети.
🪄 И вот тут наступает магия: когда устройство в сети не может достучаться до нужного ресурса по DNS, он использует протоколы LLMNR/NBT-NS, отправляя многоадресный запрос.

Суть атаки заключается в подмене источника для разрешения имени, когда злоумышленник отвечает на многоадресный запрос от жертвы. К примеру, пользователь хочет получить доступ до сетевого ресурса \\bobr, которого не существует. И вот тут, DNS, не поняв, что от него хотят, передает свои полномочия LLMNR/NBT-NS. Злоумышленник в свою очередь только, этого и ждет, и на своей тачке запускает всеми любимый responder для отравления (если вы любитель потрошить с винды, то подойдет инструмент Inveigh).
Запускается простой командой с указанием интерфейса и включив необходимые настройки в Responder.conf.

responder -I eth1

Для запуска Inveigh можно воспользоваться следующей командой:

PS C:\Users\Administrator> Import-Module .\Inveigh.ps1
PS C:\Users\Administrator> Invoke-Inveigh Y -NBNS Y -ConsoleOutput Y -FileOutput Y

Далее остается только подождать, когда пользователь введет свои данные и наш инструмент перехватит их (что с ними делать расскажем в следующий раз).

🔼А теперь как же защититься от подобной наглости.
😉 Самое простое что можно сделать, это отключить протоколы LLMNR и NBT-NS. Для отключения LLMNR можно воспользоваться групповой политикой. Для этого необходимо перейти в следующий раздел : Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client, и далее включить политику Turn off smart multi-homed name resolution.
😝 Отключить NBT-NS можно с помощью настроек сетевого адаптера: необходимо в свойствах сетевого подключения выбрать протокол TCP/IPv4, далее нажать кнопку Advanсed и на вкладке WINS выбрать опцию Disable NetBIOS over TCP.

Подписывайтесь на канал, чтобы быть в курсе интересных тем из мира ИБ! 😳
#redteam

Привет, друзья 💪!

Хорошие ребята из СБПробизнес запускают офлайн-курс «Организация работы службы корпоративной безопасности» — без воды, по делу, с примерами из реальной практики.

📅 Когда: 24–27 июня
📍 Где: Ярославль, ЯГПУ им. К. Д. Ушинского

Что разберут на курсе:

🔹 Как использовать аналитику в СБ
🔹 Чем СБ реально может быть полезна бизнесу
🔹 Особенности работы в ритейле, на производстве, в агро и строительстве
🔹 OSINT и цифровая гигиена
🔹 Кросс-функциональные связи внутри компании
🔹 Немного про GR

По итогу — удостоверение от вуза! А еще курс предполагает компактную группу (до 15 человек), чтобы с каждым поработали лично.

📌 Подробнее — у них на канале:
https://t.me/sbprobiz/1832

🌞 Всем утречка!
Подсвечиваем самые интересные события из мира ИБ за прошедшую неделю 🔐🧠💻


💥 Удалённое выполнение кода через Roundcube: критическая уязвимость CVE‑2025‑49113  (CVSS 9.9)

Злоумышленник может выполнить код на сервере после входа в почтовый веб-интерфейс, передав специально сформированный параметр _from в upload.php. Проблема кроется в опасной PHP-десериализации внутри компонента rcube_washtml

🧠 Уязвимость требует аутентификации, но очень легко эксплуатируется — особенно при использовании фишинга или скомпрометированных учёток. Уже активно обсуждается на даркнет-форумах как часть RCE-цепочек. Под ударом Roundcube до версий 1.6.11 и 1.5.10. Патч вышел 1 июня 2025.

Ссылка на POC: 🔗🔗🔗


🔥 Технические детали по CVE‑2025‑20188 (Cisco WLC)

В скриптах OpenResty (Lua + Nginx) используется жёстко заданный JWT-секрет — строка "notfound", если отсутствует файл /tmp/nginx_jwt_key. Это позволяет злоумышленнику сгенерировать валидный токен и выполнять атаки, включая path traversal, загрузку произвольных файлов и изменение конфигураций.

📥 Например, при модификации скрипта pvp[.]sh, который отслеживает изменения, автоматически перезапускает службы и выполняет команды, можно добиться выполнения кода с правами root, получив полноценный shell-доступ.


📱Три критических 0-day уязвимости в Android/Qualcomm

В июньском бюллетене Google и Qualcomm подтвердили активную эксплуатацию трёх уязвимостей в драйверах GPU Adreno:
• CVE‑2025‑21479 и CVE‑2025‑21480 (CVSS 8.6) — ошибки в микрокоде GPU, приводящие к повреждению памяти и эскалации привилегий.
• CVE‑2025‑27038 (CVSS 7.5) — use-after-free при рендеринге, включая вызовы через Chrome.

Патчи уже доступны в OEM-сборках с мая. Рекомендуется установить как можно скорее.


📧 В России хотят запретить логин с Gmail и других иностранных ящиков

СМИ сообщили, что российские власти рассматривают второй пакет мер — требование: разрешённый вход на отечественные сайты только через почту в доменах .ru, включая Mail и Яндекс. Это означает, что вход с Gmail, Yahoo и других иностранных почтовых сервисов может стать недоступным.

❓Что это значит для пользователей и бизнеса:

     😱 Придётся заводить дополнительный .ru‑email и настроить переадресацию;

    🤪  Крупным компаниям — адаптация форм несложна, у малого бизнеса могут быть временные неудобства.

#news

Доброе утро котята🐱 Берём кофейку, устраиваемся поудобнее — и пробегаемся по главным  ИБ-событиям недели 💻


🤖 Обход Secure Boot: CVE‑2025‑3052 — эксплойт от Binarly

Исследователи Binarly обнаружили  способ обойти Secure Boot с помощью уязвимости повреждения памяти в модуле. Злоумышленники могут использовать эту уязвимость для запуска неподписанного кода во время процесса загрузки, обходя Secure Boot и нарушая цепочку доверия системы. Модуль читаeт NVRAM‑переменную IhisiParamBuffer и пишет данные до загрузки ОС, что позволяет сбросить флаг защиты и отключить Secure Boot ❤️‍🔥.

💣 Это включает запуск неподписанных драйверов и загрузку буткитов. Уязвимость была задокументирована, и Microsoft уже выпустила патч.


💻 CVE‑2025‑33053 — RCE в WebDAV: активно эксплуатируется!

Microsoft  выпустил патч для серьезной уязвимости в реализации WebDAV в Windows — исправление вышло в рамках Patch Tuesday.

💻 Удалённый атакующий может заставить пользователя перейти по злонамеренной WebDAV-ссылке, после чего запускается код —  сценарий идеален: эксплойт требует только клик по URL .

📊 Оценка уязвимости  — CVSS 3.1 8.8.
🔗Ссылка на POC - 🔗🔗🔗


🔥 CVE‑2025‑33073 —  уязвимость SMB Client с возможностью повышения привилегий!

В июньском исправлении Microsoft закрыла уязвимость в Windows SMB Client (клиентская часть протокола SMB), которая позволяет атакующему получить права на уровне SYSTEM, просто заставив систему подключиться к злонамеренному SMB-серверу 🌐

Подробнее о данной атаке можете прочитать перейдя по ссылке с предыдущего поста

#news

Привет, а я напоминаю, что это просто PoC, показывающий насколько просто скрыть малварь под легитимное приложение 🤥

https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/
https://xakep.ru/2025/06/19/stargazers-ghost-network-minecraft/

Всем привет! ❤️ Немного про социалочку.

Когда проводишь проекты по социотехническому тестированию, нередко сталкиваешься с кучей технических нюансов.

❗️Это и попадание в списки подозрительных ресурсов, если вы случайно выкинули GoPhish наружу.
❗️И фильтрация писем почтовыми шлюзами.
❗️И особенности отображения у разных почтовых клиентов.

Сегодня поговорим о том, с чем реально можно сталкнуться на практике. Особенно это актуально, если вы делаете такое впервые.


🔥Проблема 1. Как не попасть в списки злых хацкеров

Если просто открыть GoPhish в интернет, то через какое-то время ваш IP будет помечен как подозрительный.

💡Что делаем:

Используем связку из нескольких Nginx-прокси:

• наружу отдаётся только IP внешнего прокси;
• весь трафик уходит по VPN на внутренний сервер с GoPhish;
• админка доступна только из VPN.

Если не хочется поднимать VPN:

На сервере с GoPhish закрываем 443 порт снаружи, кроме ip нашего прокси:

sudo iptables -I DOCKER-USER -p tcp --dport 443 ! -s <proxy_ip> -j DROP

В конфиге Nginx дополнительно прописываем кому можно обращаться к нашей фишинговой странице:

allow <proxy_ip>;
deny all;

Админку вешаем на 127.0.0.1 и подключаемся так:

ssh -L 8080:127.0.0.1:8080 user@server_with_gophish

Остается только настроить SSL для нашего фишингового домена. Теперь GoPhish не светится наружу, и мы спим спокойно.


🔥Проблема 2. Спам-фильтры и почтовые шлюзы

Немного теории:

• SPF — указывает, какие IP могут отправлять письма от имени домена.
• DKIM — добавляет цифровую подпись к письмам.
• DMARC — объединяет SPF и DKIM, говорит, что делать с письмами, которые не проходят проверки.

Если вы некорректно настроите данные dns записи, то письма просто не дойдут до адресата.

💡Что делаем:

Используем SMTP-сервисы с хорошей репутацией. Например, VK WorkSpace.

Схема такая:

• Подключаем фишинговый домен;
• Сервис формирует SPF/DKIM/DMARC;
• Копируем записи в DNS.

Теперь письма проходят по всем стандартам (но это не точно).

Но даже если всё идеально настроено, то ваши фишинговые письма могут быть заблокированы на почтовых шлюзах. Причина - Email-заголовки.

Далее рассмотрим на примере с GoPhish:

Еще немного теории. Сильно не пинайте - это важно для понимания:

• Message-ID - уникальный идентификатор письма, формируется клиентом или сервером, помогает отслеживать сообщения и выстраивать цепочки переписки.
• X-Mailer - указывает на почтовую платформу или внутренний ID отправителя.

Именно они могут стать причиной того, что ваши фишинговы письма не дойдут до цели.

X-Mailer: gophish
Message-ID: <1743...@hostname>

X-Mailer палит GoPhish сразу.
Message-ID генерируется с hostname контейнера или вашего сервера на котором крутиться GoPhish. Почтовые шлюзы могут блокировать письма, если видят несоответствие между Message-ID и доменами из SPF, DKIM, DMARC.

💡Что делаем:

SMTP Relay с Postfix. GoPhish остаётся «тупым». Он просто отправляет письмо. А контейнер с Postfix:

1. Принимает письмо;
2. Переписывает заголовки;
3. Отправляет дальше на сторонний SMTP - сервис (в нашем случае VK Workspace)

Файл smtp_header_checks:

/^Message-ID:/ REPLACE Message-ID: <CAFEBABE.20250324T1830@your_domain>

PS: X-Mailer можно убрать и через GUI GoPhish. А вот Message-ID просто так не убрать.

Письма доходят, заголовки чистые. Все счастливы.

#redteam

<продолжение>


🔥Проблема 3. Outlook и картинки

Письмо уходит, всё работает. Верстаем шаблон, отправляем и…

❗ Для защиты вашей конфиденциальности изображения не загружены

Наши картинки не отображаются. Почему? Outlook по умолчанию блокирует все внешние изображения.

💡Что делаем:

Первое, что можно попробовать - Base64:

<img src="data:image/png;base64,iVBORw...">

Способ хороший и отработает на большинстве современных почтовых клиентах. Однако Outlook все равно посчитает это внешним ресурсом и заблокирует.

Второй способ - Content-ID (CID).

Картинку прикладываем к письму как вложение, а в HTML пишем:

<img src="cid:image.jpg">

⸻

На этом все друзья! 🙂

А с какими проблемами сталкивались вы ? Делитесь в комментариях, обсудим вместе. 🤗

Ну и по традиции не забудьте подписаться на канал, если еще этого не сделали. И до новых встреч!

#redteam

☀️ Привет! Всем лета

У меня на финальном этапе находится большой пост следующей части про антивирусы.

А пока покажу один из способов добавления временных задержек, но без использования системных функций (Sleep в winapi и sleep в linux). Этот 🔗 PoC динамически считает количество итераций, выполняемых за одну секунду, что позволяет указывать временной интервал задержки, независимо от характеристик CPU (это показано в гифке)

Это полезно, когда нужно добавить задержку без использования Sleep, а также при обходе песочниц, которые могут манипулировать системными функциями.