Вендор говорит «закрыто» — а дыра всё ещё открыта
🔍 CVE в ядре Linux закрывается в mainline за дни. Но в RHEL 8 или Ubuntu LTS тот же патч может прийти через месяц — или прийти «кастрированным», когда attack surface остался нетронутым.
Именно так работал CVE-2024-1086: use-after-free в
Проблема глубже:
• Неполный cherry-pick — из трёх нужных коммитов в stable попали два
• Конфликт адаптации — патч компилируется, тесты проходят, дыра остаётся
• Потеря связи — backport меняет commit hash, и
https://codeby.net/threads/obnaruzheniye-cve-v-yadre-linux-avtomatizatsiya-poiska-nezakrytykh-uyazvimostei-v-backport-patchakh.92665/
🔍 CVE в ядре Linux закрывается в mainline за дни. Но в RHEL 8 или Ubuntu LTS тот же патч может прийти через месяц — или прийти «кастрированным», когда attack surface остался нетронутым.
Именно так работал CVE-2024-1086: use-after-free в
nf_tables, CVSS 7.8, публичный эксплоит с 99.4% успешностью — а backport в ветку 5.15 всё ещё ждал очереди.Проблема глубже:
• Неполный cherry-pick — из трёх нужных коммитов в stable попали два
• Конфликт адаптации — патч компилируется, тесты проходят, дыра остаётся
• Потеря связи — backport меняет commit hash, и
grep CVE-xxxx changelog ничего не найдётhttps://codeby.net/threads/obnaruzheniye-cve-v-yadre-linux-avtomatizatsiya-poiska-nezakrytykh-uyazvimostei-v-backport-patchakh.92665/
❤8👍5🔥5😁1
Шеллкод руками: почему msfvenom — это костыль
AV/EDR знают паттерны стандартных пейлоадов наизусть. Каждый запуск msfvenom — готовая сигнатура для детектора.
🔧 Ручной шеллкод решает три проблемы:
• Нет сигнатур — только поведенческий детект
• Контроль размера: иногда буфер даёт ровно 200 байт
• Понимание механики вместо копипаста
Главное, что ломает новичков — нулевой байт. Инструкция
В Windows стабильных номеров syscall нет. Шеллкод обходит PEB, ищет базу kernel32.dll через список модулей и динамически резолвит WinAPI — LoadLibrary в 40 байт.
Разбор с байткодом, C-обёрткой и инъекцией в процесс:
https://codeby.net/threads/razrabotka-shellkoda-ot-ruchnogo-napisaniya-na-assemblere-do-in-yektsii-v-protsess.92670/
AV/EDR знают паттерны стандартных пейлоадов наизусть. Каждый запуск msfvenom — готовая сигнатура для детектора.
🔧 Ручной шеллкод решает три проблемы:
• Нет сигнатур — только поведенческий детект
• Контроль размера: иногда буфер даёт ровно 200 байт
• Понимание механики вместо копипаста
Главное, что ломает новичков — нулевой байт. Инструкция
mov eax, 0 даёт B8 00 00 00 00, и strcpy обрежет всё после \x00. Замена: xor eax, eax — два байта 31 C0, ноль нулей.В Windows стабильных номеров syscall нет. Шеллкод обходит PEB, ищет базу kernel32.dll через список модулей и динамически резолвит WinAPI — LoadLibrary в 40 байт.
Разбор с байткодом, C-обёрткой и инъекцией в процесс:
https://codeby.net/threads/razrabotka-shellkoda-ot-ruchnogo-napisaniya-na-assemblere-do-in-yektsii-v-protsess.92670/
👍11❤6🔥6🤷♂2
Один POST-запрос — и на сервере лежит PHP-шелл
Без логина. Без пароля. CVE-2026-0740 в Ninja Forms — File Uploads: CVSS 9.8, PR:N, UI:N.
🔍 Что сломано: функция
⚠️ Отдельный риск — премиум-расширение: обновления не идут через WordPress.org, нужно обновляться вручную. Патч (версия 3.3.27) вышел 19 марта 2026-го, CVE раскрыта 7 апреля — три недели форы для атакующих.
В статье — разбор kill chain по MITRE ATT\&CK: от разведки через WPScan до извлечения DB-credentials из
https://codeby.net/threads/uyazvimost-ninja-forms-rce-cve-2026-0740-polnyi-razbor-ekspluatatsii-i-zashchity-wordpress.92676/
Без логина. Без пароля. CVE-2026-0740 в Ninja Forms — File Uploads: CVSS 9.8, PR:N, UI:N.
🔍 Что сломано: функция
handle_upload не валидирует тип файла. Атакующий шлёт POST на admin-ajax.php — и .php-файл оказывается в wp-content/uploads/. Классический CWE-434.⚠️ Отдельный риск — премиум-расширение: обновления не идут через WordPress.org, нужно обновляться вручную. Патч (версия 3.3.27) вышел 19 марта 2026-го, CVE раскрыта 7 апреля — три недели форы для атакующих.
В статье — разбор kill chain по MITRE ATT\&CK: от разведки через WPScan до извлечения DB-credentials из
wp-config.php, плюс detection-правила и патч-дифф.https://codeby.net/threads/uyazvimost-ninja-forms-rce-cve-2026-0740-polnyi-razbor-ekspluatatsii-i-zashchity-wordpress.92676/
👍14❤5🤓5🔥4👎2🗿2
Unblob: Инструмент для извлечения данных из бинарных контейнеров
👉 Основные функции
- Поддержка 78+ форматов (SquashFS, JFFS2, UBI/UBIFS, ext, CPIO, ZIP, 7-Zip, gzip, XZ, LZMA, LZ4 и другие)
- Автоматическая обработка вложенных контейнеров до заданной глубины (по умолчанию 10)
- Идентификация начала и конца каждого фрагмента в соответствии со спецификацией формата
- Автоматическое определение и сохранение данных, не соответствующих известным форматам
- Генерация структурированных метаданных о найденных фрагментах
- Возможность добавления собственных обработчиков форматов
⬇️ Установка
Проверка
⏺️ Базовое извлечение
Результат сохраняется в директорию firmware.bin_extract/
⏺️ Анализ прошивки маршрутизатора
⏺️ Извлечение с ограничением глубины и принудительной перезаписью
⏺️ Анализ неизвестного бинарного файла (только выделение фрагментов)
⏺️ Работа с большим количеством файлов (многопроцессорность)
🎇 Unblob по умолчанию пропускает следующие типы файлов (можно изменить через --clear-skip-magics):
- BFLT, Erlang BEAM, GIF, JPEG, MPEG
- Microsoft Office документы (Word, Excel, PowerPoint)
- PDF, PNG, SQLite, TrueType Fonts
- Windows Embedded CE binary image, Java class, Python magic binary
- И другие медиа- и офисные форматы
#Unblob #FirmwareAnalysis #tool #pentest
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Unblob — утилита с открытым исходным кодом для рекурсивного извлечения содержимого из неизвестных бинарных блоков (blob). Инструмент поддерживает более 78 форматов архивов, сжатых потоков и файловых систем, автоматически определяет границы вложенных контейнеров и выделяет неизвестные фрагменты. Unblob предназначен для анализа, обратной разработки и извлечения прошивок встраиваемых систем, бинарных образов и других составных файлов.
- Поддержка 78+ форматов (SquashFS, JFFS2, UBI/UBIFS, ext, CPIO, ZIP, 7-Zip, gzip, XZ, LZMA, LZ4 и другие)
- Автоматическая обработка вложенных контейнеров до заданной глубины (по умолчанию 10)
- Идентификация начала и конца каждого фрагмента в соответствии со спецификацией формата
- Автоматическое определение и сохранение данных, не соответствующих известным форматам
- Генерация структурированных метаданных о найденных фрагментах
- Возможность добавления собственных обработчиков форматов
pipx install unblob
Проверка
unblob -h
unblob firmware.bin
Результат сохраняется в директорию firmware.bin_extract/
unblob -e router_extracted -n 2 --report router_report.json router_firmware.bin
unblob -f -d 3 large_firmware.bin
unblob -s --report chunks_report.json unknown.bin
unblob -p 8 -e /data/extracted /data/images/firmware.bin
- BFLT, Erlang BEAM, GIF, JPEG, MPEG
- Microsoft Office документы (Word, Excel, PowerPoint)
- PDF, PNG, SQLite, TrueType Fonts
- Windows Embedded CE binary image, Java class, Python magic binary
- И другие медиа- и офисные форматы
#Unblob #FirmwareAnalysis #tool #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤6👍6👎1
21% корпоративных утечек — через браузер. Вот как это работает
🎯 На red team-энгейджменте первая цель — не домен-контроллер. Это
Разобрали механику browser credential dumping изнутри:
• Chrome/Edge — двухуровневое шифрование: AES-256-GCM + DPAPI. Ключ лежит в
• Firefox — собственная криптобиблиотека NSS вместо DPAPI. Если пользователь не поставил мастер-пароль (а большинство не ставит) — расшифровка тривиальна
• MITRE T1555.003 — техника в арсенале APT33, APT41, LAPSUS$ и десятков других группировок
🔵 Для Blue Team в статье отдельный блок: какие артефакты оставляют эти действия в логах и как их детектировать.
Полный разбор с кодом и IoC:
https://codeby.net/threads/ataki-na-menedzhery-parolei-brauzera-kak-izvlekayut-credentials-iz-chrome-firefox-i-edge.92677/
🎯 На red team-энгейджменте первая цель — не домен-контроллер. Это
Login Data в папке Chrome. Пара мегабайт SQLite — и в руках VPN-аккаунты, корпоративные порталы, облачные консоли.Разобрали механику browser credential dumping изнутри:
• Chrome/Edge — двухуровневое шифрование: AES-256-GCM + DPAPI. Ключ лежит в
Local State, но расшифровать его можно только в сессии жертвы• Firefox — собственная криптобиблиотека NSS вместо DPAPI. Если пользователь не поставил мастер-пароль (а большинство не ставит) — расшифровка тривиальна
• MITRE T1555.003 — техника в арсенале APT33, APT41, LAPSUS$ и десятков других группировок
🔵 Для Blue Team в статье отдельный блок: какие артефакты оставляют эти действия в логах и как их детектировать.
Полный разбор с кодом и IoC:
https://codeby.net/threads/ataki-na-menedzhery-parolei-brauzera-kak-izvlekayut-credentials-iz-chrome-firefox-i-edge.92677/
❤12👍6🔥6🌚1
Причины стандартные: автоматическое масштабирование, самоисцеление, удобное управление.
Развернули кластер, накатили микросервисы. Через месяц выяснилось:▶️ Сложность выросла в 10 раз▶️ Разработчики не понимают, почему поды не стартуют▶️ Даже простой деплой требует правки пяти yaml-файлов▶️ Команда тратит половину времени на изучение K8s вместо написания кода
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍7🔥6
Какой шаг выберете?
Anonymous Poll
23%
25%
25%
27%
👍7🔥6❤3👎3🤗2🙏1🍌1👀1
Ключ под ковриком: как RBAC превращает скомпрометированный под в cluster-admin
🔑 По данным Unit 42, кражи Kubernetes-токенов выросли на 282% за год. Причина — сервисные аккаунты имеют прав больше, чем нужно.
Эскалация привилегий в Kubernetes — это не про эксплойты, а про легитимные API-вызовы с избыточными разрешениями. Пять ключевых прав:
•
•
•
⚙️ После попадания в под —
В статье — пошаговый разбор от извлечения SA-токена до cluster-admin через RBAC misconfigurations.
https://codeby.net/threads/kubernetes-privilege-escalation-ot-skomprometirovannogo-poda-do-cluster-admin-cherez-rbac.92687/
🔑 По данным Unit 42, кражи Kubernetes-токенов выросли на 282% за год. Причина — сервисные аккаунты имеют прав больше, чем нужно.
Эскалация привилегий в Kubernetes — это не про эксплойты, а про легитимные API-вызовы с избыточными разрешениями. Пять ключевых прав:
•
create pods — запускаешь под с чужим SA•
get secrets — читаешь токены напрямую•
bind / escalate — назначаешь себе cluster-admin⚙️ После попадания в под —
kubectl auth can-i --list. Если видишь хотя бы два из этих разрешений, namespace скомпрометирован. Projected token живёт ~1 час — этого хватает.В статье — пошаговый разбор от извлечения SA-токена до cluster-admin через RBAC misconfigurations.
https://codeby.net/threads/kubernetes-privilege-escalation-ot-skomprometirovannogo-poda-do-cluster-admin-cherez-rbac.92687/
❤6👍5🔥4👏3
🔐 Почему сканер DAST не найдёт самую опасную уязвимость в вашем API
Представь такую картину: автоматический сканер прошёлся по API, отчёт чистый, команда выдыхает. А потом пентестер вручную меняет один ID в запросе — и получает данные 60 миллионов чужих пользователей. Именно так в 2018 году взломали USPS Informed Visibility API.
Сканер находит отсутствующие заголовки безопасности и открытые debug-эндпоинты. Но он принципиально слеп к логическим дефектам. Он не поймёт, что
🎯 Почему BOLA так массово эксплуатируется
Механика элементарная: сервер доверяет идентификатору объекта из запроса и не проверяет, принадлежит ли объект текущему пользователю. Авторизуешься как пользователь A, находишь запрос
Нюанс, который упускают даже опытные тестировщики: BOLA живёт не только в GET-запросах. Проверяй каждый HTTP-метод отдельно —
⚙️ Что реально меняет OWASP API Top 10 версии 2023
Список 2023 года — не косметическая правка. Три категории добавлены с нуля, две объединены, а фокус сместился с классических инъекций на уязвимости бизнес-логики. Показательный момент: Injection больше не выделена отдельным пунктом. Не потому что SQL-инъекции вымерли — просто в API-контексте авторизационные и логические баги статистически преобладают. Инъекции теперь живут внутри Security Misconfiguration.
Три новых пункта требуют исключительно ручного анализа:
• Unrestricted Access to Sensitive Business Flows (API6)
• Server Side Request Forgery (API7)
• Unsafe Consumption of APIs (API10)
Никакой сканер их не обнаружит — только человек, который понимает логику сервиса.
🛠 Инструменты, которые реально используются на пентестах
Для BOLA-тестирования must-have — расширение Autorize для Burp Suite. Оно автоматически повторяет запросы с токеном другого пользователя и сравнивает ответы. Без него ручное тестирование превращается в рутинный ад.
Для атак на JWT —
https://codeby.net/threads/prakticheskaya-bezopasnost-api-owasp-api-top-10-tipovyye-uyazvimosti-i-metodika-testirovaniya.92694/
Представь такую картину: автоматический сканер прошёлся по API, отчёт чистый, команда выдыхает. А потом пентестер вручную меняет один ID в запросе — и получает данные 60 миллионов чужих пользователей. Именно так в 2018 году взломали USPS Informed Visibility API.
Сканер находит отсутствующие заголовки безопасности и открытые debug-эндпоинты. Но он принципиально слеп к логическим дефектам. Он не поймёт, что
GET /api/v1/orders/1337 отдаёт чужой заказ, если просто подменить ID. Это и есть BOLA — Broken Object Level Authorization, первое место в OWASP API Top 10 уже второй цикл подряд.🎯 Почему BOLA так массово эксплуатируется
Механика элементарная: сервер доверяет идентификатору объекта из запроса и не проверяет, принадлежит ли объект текущему пользователю. Авторизуешься как пользователь A, находишь запрос
GET /api/v2/invoices/4521, меняешь ID на 4522 — и видишь чужой инвойс. Вот и весь «эксплойт». Никакой магии, никаких сложных цепочек.Нюанс, который упускают даже опытные тестировщики: BOLA живёт не только в GET-запросах. Проверяй каждый HTTP-метод отдельно —
PUT /api/users/1338 (изменение чужого профиля), DELETE /api/comments/9921 (удаление чужого контента). Каждый метод — отдельный вектор атаки.⚙️ Что реально меняет OWASP API Top 10 версии 2023
Список 2023 года — не косметическая правка. Три категории добавлены с нуля, две объединены, а фокус сместился с классических инъекций на уязвимости бизнес-логики. Показательный момент: Injection больше не выделена отдельным пунктом. Не потому что SQL-инъекции вымерли — просто в API-контексте авторизационные и логические баги статистически преобладают. Инъекции теперь живут внутри Security Misconfiguration.
Три новых пункта требуют исключительно ручного анализа:
• Unrestricted Access to Sensitive Business Flows (API6)
• Server Side Request Forgery (API7)
• Unsafe Consumption of APIs (API10)
Никакой сканер их не обнаружит — только человек, который понимает логику сервиса.
🛠 Инструменты, которые реально используются на пентестах
Для BOLA-тестирования must-have — расширение Autorize для Burp Suite. Оно автоматически повторяет запросы с токеном другого пользователя и сравнивает ответы. Без него ручное тестирование превращается в рутинный ад.
Для атак на JWT —
jwt_tool: команда python3 jwt_tool.py -X a запускает все известные атаки на алгоритм подписи, включая подмену alg: none. Подробнее:https://codeby.net/threads/prakticheskaya-bezopasnost-api-owasp-api-top-10-tipovyye-uyazvimosti-i-metodika-testirovaniya.92694/
🔥12❤4👍4
9 МБ — и Sliver спалился ещё на доставке
Штатный имплант весит как небольшой архив, а CrowdStrike знает
🔧 Три модели расширения на практике:
• BOF для Cobalt Strike — объектный файл 2–10 КБ, исполняется внутри Beacon без нового процесса. EDR не видит паттернов
• Кастомные агенты Mythic — имплант под профиль операции с нужным транспортом
• gRPC-плагины Sliver — автоматизация lateral movement без правки ядра
⚡ Писать C2 с нуля на двух-трёхнедельный engagement — плохая идея. Зрелые фреймворки дают готовую OPSEC-инфраструктуру, кастомизация закрывает ровно нужную дыру.
Полный разбор с кодом:
https://codeby.net/threads/razrabotka-rasshirenii-c2-freimvorkov-bof-agenty-mythic-i-plaginy-sliver-na-praktike.92700/
Штатный имплант весит как небольшой архив, а CrowdStrike знает
ReflectiveLoader наизусть. Именно тогда садишься писать точечные расширения к зрелым фреймворкам — не новый C2 с нуля.🔧 Три модели расширения на практике:
• BOF для Cobalt Strike — объектный файл 2–10 КБ, исполняется внутри Beacon без нового процесса. EDR не видит паттернов
CreateRemoteThread, BOF отработал и выгрузился• Кастомные агенты Mythic — имплант под профиль операции с нужным транспортом
• gRPC-плагины Sliver — автоматизация lateral movement без правки ядра
⚡ Писать C2 с нуля на двух-трёхнедельный engagement — плохая идея. Зрелые фреймворки дают готовую OPSEC-инфраструктуру, кастомизация закрывает ровно нужную дыру.
Полный разбор с кодом:
https://codeby.net/threads/razrabotka-rasshirenii-c2-freimvorkov-bof-agenty-mythic-i-plaginy-sliver-na-praktike.92700/
❤7👍4🔥4
Forwarded from Hacker Lab
🚩 Новые задания на платформе HackerLab!
🖼 Категория Стеганография — Мерцающие тайны
Приятного хакинга!
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥6👍4
Контейнер — это не виртуалка. И вот почему это важно
🔍 На каждом втором red team-проекте одна картина: Kubernetes поднят, Helm накатан, CI/CD работает — и все уверены, что контейнеры изолируют всё сами. Нет. Контейнер — это просто группа процессов за Linux-примитивами без отдельного ядра.
Один сломанный «заборчик» — и атакующий на хосте. Оттуда до cluster-admin — несколько команд.
⚙️ Полная цепочка атаки выглядит так:
• Разведка: открытый
• Побег: смонтированный
• Захват: сервисный токен пода + слабый RBAC → cluster-admin без эксплойтов
💀 Каждый шаг — из реальной практики, с командами, CVE и маппингом на MITRE ATT&CK.
Полный разбор — от разведки до захвата кластера:
https://codeby.net/threads/pentest-konteinerov-docker-i-kubernetes-ot-pobega-iz-konteinera-do-zakhvata-klastera.92708/
🔍 На каждом втором red team-проекте одна картина: Kubernetes поднят, Helm накатан, CI/CD работает — и все уверены, что контейнеры изолируют всё сами. Нет. Контейнер — это просто группа процессов за Linux-примитивами без отдельного ядра.
Один сломанный «заборчик» — и атакующий на хосте. Оттуда до cluster-admin — несколько команд.
⚙️ Полная цепочка атаки выглядит так:
• Разведка: открытый
2375/tcp или kubelet API на порту 10250 — уже точка входа• Побег: смонтированный
docker.sock даёт root на хосте даже без docker-клиента — через обычный curl• Захват: сервисный токен пода + слабый RBAC → cluster-admin без эксплойтов
💀 Каждый шаг — из реальной практики, с командами, CVE и маппингом на MITRE ATT&CK.
Полный разбор — от разведки до захвата кластера:
https://codeby.net/threads/pentest-konteinerov-docker-i-kubernetes-ot-pobega-iz-konteinera-do-zakhvata-klastera.92708/
❤13🔥8👍5
Прочитал 10 статей про SQL-инъекции, но не можешь перехватить первый HTTP-запрос?
Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать.
🐳 Один Docker-контейнер решает проблему легальной цели:
Внутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды.
🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина.
По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования.
Полный разбор — от запуска окружения до первой найденной уязвимости руками:
https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/
Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать.
🐳 Один Docker-контейнер решает проблему легальной цели:
docker run --rm -it -p 80:80 vulnerables/web-dvwaВнутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды.
🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина.
По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования.
Полный разбор — от запуска окружения до первой найденной уязвимости руками:
https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/
1🔥14❤5👍3
ИИ не взламывает за вас — но экономит часы рутины
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
subfinder/amass находит «забытые» Jenkins с дефолтными кредами• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
ollama или локальный routing.https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
💯6👍4❤3🔥2
MFA включена — значит всё в порядке? Не совсем
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
❤8👍5🔥5
SMB signing в AD включён по умолчанию? Только на контроллерах домена
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
•
•
Три команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
-sn по подсети — список живых хостов•
-p 88,389,445,636 — отсев DC от member servers•
--script smb-security-mode — на каких member servers signing в статусе disabledТри команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
-sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
❤8🔥7👍3🥰1
Митигации включены. Эксплойт всё равно проходит.
«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.
🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл
• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain
🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от
https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/
«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.
🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл
ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain
🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от
checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает.https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/
👍8❤4🔥4😁3
FortiClient EMS: когда управляющий сервер сам открывает дверь
🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.
CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.
EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным
CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.
https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/
🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.
CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.
EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным
CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.
https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/
👍6❤3🔥3🙈3
MFA пройден — жертвой же и обойдён
Представь сценарий: пользователь вводит логин, пароль, жмёт «Подтвердить» в Authenticator — и искренне считает, что защищён. В этот момент атакующий уже импортирует его session cookie в свой браузер и читает его почту. Без брутфорса. Без перебора OTP. MFA прошла сама жертва — через прокси.
Это не теория и не CVE из бюллетеня. Это AiTM-фишинг (Adversary-in-the-Middle) — рабочая индустрия с подпиской от 100 до 1000 долларов в месяц за готовый кит.
🔢 Цифры, которые неудобно игнорировать
• По данным Sekoia, с января по апрель 2025-го в активной коммерческой эксплуатации крутилось 11 различных AiTM-китов
• Только за октябрь 2025 Microsoft Defender заблокировал более 13 миллионов писем одной кампании Tycoon 2FA
• К августу 2024-го практически 100% наблюдаемых кампаний мигрировали от классического credential harvesting к proxy-based перехвату
• По данным Obsidian Security, 84% скомпрометированных аккаунтов уже имели включённый MFA
🎯 Почему TOTP, push и SMS здесь не помогают
Классический Man-in-the-Middle работает на сетевом уровне — его нейтрализует TLS. AiTM работает на уровне приложения и специально заточен под обход MFA. TLS его не останавливает, потому что прокси сам является конечной точкой обоих соединений.
Жертва устанавливает TLS-соединение с сервером атакующего. Атакующий устанавливает своё TLS-соединение с легитимным IdP. Два отдельных зашифрованных канала. Жертва видит настоящую страницу Microsoft — не копию, а реальный контент через прокси. Вводит данные, проходит MFA-challenge. После успешной аутентификации IdP выдаёт
🛠 Три инструмента, которые делают это реальным
Evilginx3 — standalone-приложение на Go со встроенным DNS-сервером, автоматическими TLS-сертификатами и модульной конфигурацией через phishlets. Phishlet — YAML-файл, где прописано: какие поддомены проксировать, какие POST-параметры содержат credentials и какие
Modlishka и Muraena — альтернативные прокси-фреймворки с похожей логикой, но разными подходами к конфигурации и обходу детекта. Все три реализуют одну идею: стать невидимым посредником между жертвой и легитимным сервисом.
🔵 Что работает на синей стороне
Ни TOTP, ни push, ни SMS не спасают — они все транзитом проходят через прокси. Реально помогают: FIDO2/passkeys (привязаны к домену, прокси не может подделать), Conditional Access с анализом аномалий сессии и мониторинг
Полная механика атаки, конфигурация Evilginx и индикаторы детекта для каждого фреймворка — в статье. Читай, пока твои пользователи уверены, что MFA их защищает.
https://codeby.net/threads/aitm-fishing-obkhod-mfa-cherez-evilginx-modlishka-i-muraena.92741/
Представь сценарий: пользователь вводит логин, пароль, жмёт «Подтвердить» в Authenticator — и искренне считает, что защищён. В этот момент атакующий уже импортирует его session cookie в свой браузер и читает его почту. Без брутфорса. Без перебора OTP. MFA прошла сама жертва — через прокси.
Это не теория и не CVE из бюллетеня. Это AiTM-фишинг (Adversary-in-the-Middle) — рабочая индустрия с подпиской от 100 до 1000 долларов в месяц за готовый кит.
🔢 Цифры, которые неудобно игнорировать
• По данным Sekoia, с января по апрель 2025-го в активной коммерческой эксплуатации крутилось 11 различных AiTM-китов
• Только за октябрь 2025 Microsoft Defender заблокировал более 13 миллионов писем одной кампании Tycoon 2FA
• К августу 2024-го практически 100% наблюдаемых кампаний мигрировали от классического credential harvesting к proxy-based перехвату
• По данным Obsidian Security, 84% скомпрометированных аккаунтов уже имели включённый MFA
🎯 Почему TOTP, push и SMS здесь не помогают
Классический Man-in-the-Middle работает на сетевом уровне — его нейтрализует TLS. AiTM работает на уровне приложения и специально заточен под обход MFA. TLS его не останавливает, потому что прокси сам является конечной точкой обоих соединений.
Жертва устанавливает TLS-соединение с сервером атакующего. Атакующий устанавливает своё TLS-соединение с легитимным IdP. Два отдельных зашифрованных канала. Жертва видит настоящую страницу Microsoft — не копию, а реальный контент через прокси. Вводит данные, проходит MFA-challenge. После успешной аутентификации IdP выдаёт
session cookie — и атакующий перехватывает его до того, как он доберётся до браузера жертвы.🛠 Три инструмента, которые делают это реальным
Evilginx3 — standalone-приложение на Go со встроенным DNS-сервером, автоматическими TLS-сертификатами и модульной конфигурацией через phishlets. Phishlet — YAML-файл, где прописано: какие поддомены проксировать, какие POST-параметры содержат credentials и какие
cookie являются session tokens. Для M365 это обычно ESTSAUTH и ESTSAUTHPERSISTENT. Evilginx на лету переписывает все ссылки в HTML/JS-ответах, подставляя фишинговые поддомены вместо оригинальных.Modlishka и Muraena — альтернативные прокси-фреймворки с похожей логикой, но разными подходами к конфигурации и обходу детекта. Все три реализуют одну идею: стать невидимым посредником между жертвой и легитимным сервисом.
🔵 Что работает на синей стороне
Ни TOTP, ни push, ни SMS не спасают — они все транзитом проходят через прокси. Реально помогают: FIDO2/passkeys (привязаны к домену, прокси не может подделать), Conditional Access с анализом аномалий сессии и мониторинг
UserAgent — после импорта cookie браузер атакующего почти всегда отличается от браузера жертвы.Полная механика атаки, конфигурация Evilginx и индикаторы детекта для каждого фреймворка — в статье. Читай, пока твои пользователи уверены, что MFA их защищает.
https://codeby.net/threads/aitm-fishing-obkhod-mfa-cherez-evilginx-modlishka-i-muraena.92741/
❤3👍3🔥3✍1
Набор специализированных инструментов с интеграцией Claude Code, предназначенных для тестирования на безопасность IoT-устройств, IP-камер и встроенных систем. Он включает в себя как инструменты командной строки, так и рабочие процессы с использованием искусственного интеллекта для комплексной оценки безопасности IoT.
pip install colorama pyserial pexpect requests
git clone https://github.com/BrownFineSecurity/iothackbot.git
cd iothackbot
export PATH="$PATH:$(pwd)/bin"
echo 'export PATH="$PATH:/path/to/iothackbot/bin"' >> ~/.bashrc
Обнаружение и разведка сети
Тестирование для конкретного устройства
Анализ прошивки и файлов
Анализ Android
Доступ к оборудованию и консоли
onvifscan auth http://192.168.1.100
onvifscan brute http://192.168.1.100
iotnet capture.pcap
sudo ffind firmware.bin -e
#tools #IoT #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍5🔥4