38 минут от первого запроса до пароля domain-админа: почему сетевые протоколы — самое слабое звено

Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл passwords.xlsx в открытом виде — домен скомпрометирован. Три сервиса, ни один не настроили. Сложных эксплойтов не понадобилось.

Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный public на SNMP живёт годами.

🔎SNMP — часто самый недооценённый вектор. Community string — по сути пароль для доступа к информации об устройстве. На огромном количестве оборудования стоит public для чтения и private для записи. Одна команда — и вы читаете конфигурацию маршрутизаторов, коммутаторов, серверов. Имена хостов, сетевые интерфейсы, список процессов — всё это отличная стартовая точка для дальнейшего продвижения по сети.

SMB — классика внутреннего пентеста. Два ключевых момента:

⏺️Анонимный доступ к шарам — файлы с паролями, конфиги, бэкапы баз лежат в открытом виде чаще, чем хочется верить

⏺️SMB signing отключён на рабочих станциях — до Windows 11 24H2 подпись пакетов включена, но не обязательна. Это открывает дверь для SMB relay: перехватил запрос аутентификации, перенаправил на другой хост, получил доступ

Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно.

✉️ SMTP тоже не отстаёт. Open relay — почтовый сервер, который пересылает письма от кого угодно кому угодно. Фишинговое письмо с настоящего IP компании проходит базовые проверки на ура.

Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают.

🎇В полной версии статьи — пошаговая разведка через Nmap, конкретные команды для эксплуатации каждого протокола, инструкция по развёртыванию лаборатории на Metasploitable 2 и детальный разбор техник. Читайте и практикуйте в безопасной среде.

https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/

🚗Пятничный опрос

Проверим знания не по вебу, а по сетевой безопасности 🧠

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Анонимизатор
——————————————

🗂 В архив добавлены задания + райтапы:

🔵PWN - Piece of cake

Приятного хакинга!

732 байта Python-кода — и детерминистический root на любом Linux

Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет.

🔎Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно:

• AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу
• splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования
• Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари

В 2017 году модуль algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован.

👉Почему это страшнее Dirty Pipe? Три причины:

1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью
2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian)
3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK.

🎇Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро.

Интересный момент: баг прятался так долго, потому что подсистему crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет.

На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль algif_aead загружен и ядро не пропатчено — root за секунды.

Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье.

https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/

Subzy

Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.

📐Функции:
📉Возможность сканировать несколько поддоменов списком
📉Скрытие неудачных проверок или неуязвимых домменов
🖱Проверка действительности SSL

⬇️Установка:
0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/PentestPad/subzy.git

cd subzy/

1️⃣Устанавливаем язык GO:

sudo apt install golang-go

2️⃣Собираем проект:

go build

⛓️‍💥Запуск:
▶️Запуск и сканирование одной цели:

./subzy r --target {URL}

▶️Запуск и сканирование списка поддоменов:

./subzy r --targets {TXT}

▶️Запуск и сканирование несольких целей, без использования списка:

./subzy r --targets {URL},{URL}

#web #wapt

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

⏺️10 ноября 1983 года (рождение вируса)
Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.

⏺️Как был устроен первый вирус
Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип.

Принцип был элегантен:
▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений
▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки
▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов

Результаты пяти экспериментов оказались шокирующими даже для самого Коэна:
▶️минимальное время получения полного контроля над системой — менее 5 минут
▶️среднее время — менее 30 минут
▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится

«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало.

⏺️«Если бы мы знали…»
После демонстрации к Коэну подошёл представитель АНБ США:

«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу.

⏺️Двойная жизнь: подозреваемый и ценный кадр
Власти инициировали наблюдение за Коэном:
▶️задержания на границе
▶️отслеживание передвижений
▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним)

Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры.

⏺️1984
В научной работе того года Коэн сформулировал два фундаментальных тезиса:
▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует
▶️Универсальный антивирус невозможен в принципе

«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.

⏺️1988. Первая массовая атака (червь Морриса)
Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.

«Я просто хотел показать уязвимости», — утверждал он.

Результаты:
▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета
▶️многократное самовоспроизведение червя приводило к полной остановке систем
▶️первая зафиксированная DDoS-атака в истории
Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление.

⏺️Главная уязвимость — человек
На основе анализа инцидента Коэн сформулировал ключевой тезис:

«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак.

⏺️Последующие атаки подтвердили правоту Коэна:
▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов
▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг
▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов

#ФредКоэн #Моррис #virus #DDoS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Plaso

☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях.

🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами

Основные свойства:
➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты.
➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение).
➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования.
➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy.
➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM).
➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang.

⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso  
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

«Кто это сделал?»
— фраза, с которой в командах начинается половина расследований.

Ответ на такой вопрос даёт сервис аудитных логов.
Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях.

В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.