Три недели работы — ноль на счету. Знакомо?
Reflected XSS, красивый отчёт с PoC — и ответ: «Duplicate». Кто-то нашёл на шесть часов раньше. Второй — «Out of Scope». Третий — «Informational». Так выглядит старт в bug bounty без методологии.
🎯 Что реально работает в 2026-м:
• 70% времени — разведка, 30% — тестирование
• Первые баунти приходят с IDOR и Information Disclosure, не с RCE на Google
• VDP-программы без выплат — идеальный старт: конкуренция минимальна, баги реальны
⚡ Контринтуитивный момент: опытные охотники игнорируют VDP. Для новичка это окно возможностей и репутация, которая открывает приватные программы.
Автосканеры больше не кормят — компании сами гоняют
Полный план на 90 дней, чеклисты и команды для разведки:
https://codeby.net/threads/bug-bounty-s-nulya-kak-nachat-zarabatyvat-na-poiske-uyazvimostei-v-2026-godu.92672/
Reflected XSS, красивый отчёт с PoC — и ответ: «Duplicate». Кто-то нашёл на шесть часов раньше. Второй — «Out of Scope». Третий — «Informational». Так выглядит старт в bug bounty без методологии.
🎯 Что реально работает в 2026-м:
• 70% времени — разведка, 30% — тестирование
• Первые баунти приходят с IDOR и Information Disclosure, не с RCE на Google
• VDP-программы без выплат — идеальный старт: конкуренция минимальна, баги реальны
⚡ Контринтуитивный момент: опытные охотники игнорируют VDP. Для новичка это окно возможностей и репутация, которая открывает приватные программы.
Автосканеры больше не кормят — компании сами гоняют
nuclei-шаблоны и закрывают типовые баги до того, как вы откроете Burp Suite.Полный план на 90 дней, чеклисты и команды для разведки:
https://codeby.net/threads/bug-bounty-s-nulya-kak-nachat-zarabatyvat-na-poiske-uyazvimostei-v-2026-godu.92672/
👍5❤3🔥2👎1
4 часа потерял из-за неправильной подсети. Через 3 года — пентесты корпораций
Это реальная история автора roadmap. Не курс, не маркетинг — конкретный путь с чекпоинтами, которые нельзя пропустить.
🗺 Что внутри:
• Фаза 1 (месяцы 1-2): сети на уровне «почему ARP-спуфинг работает», Linux, AD, Python/Bash — без этого дальше нельзя
• Язык индустрии: MITRE ATT&CK с реальными идентификаторами — T1558.003, T1550.002, T1003. На собеседовании это отличает джуна от кандидата
• Честно про отчёты: их ненавидят все, но именно они приносят деньги
🔍 Главный инсайт: 80% отсеиваются на фундаменте — не потому что сложно, а потому что скучно. Автор потерял 6 недель, пропустив сети и сразу запустив Metasploit.
Каждая фаза заканчивается проверяемым результатом — не выполнил чекпоинт, не идёшь дальше. Без исключений.
Полный разбор с командами, инструментами и таймингом:
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Это реальная история автора roadmap. Не курс, не маркетинг — конкретный путь с чекпоинтами, которые нельзя пропустить.
🗺 Что внутри:
• Фаза 1 (месяцы 1-2): сети на уровне «почему ARP-спуфинг работает», Linux, AD, Python/Bash — без этого дальше нельзя
• Язык индустрии: MITRE ATT&CK с реальными идентификаторами — T1558.003, T1550.002, T1003. На собеседовании это отличает джуна от кандидата
• Честно про отчёты: их ненавидят все, но именно они приносят деньги
🔍 Главный инсайт: 80% отсеиваются на фундаменте — не потому что сложно, а потому что скучно. Автор потерял 6 недель, пропустив сети и сразу запустив Metasploit.
Каждая фаза заканчивается проверяемым результатом — не выполнил чекпоинт, не идёшь дальше. Без исключений.
Полный разбор с командами, инструментами и таймингом:
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
❤6🔥2👍1🆒1
Контейнер — это не тюрьма. Это комната с незапертой дверью
🔓 Между тобой и ядром хоста нет аппаратного гипервизора — только namespaces, cgroups и capabilities. Одна мисконфигурация, и ты уже на хосте с доступом ко всем соседним контейнерам.
Самый частый вектор на пентестах — флаг --privileged. Он отключает seccomp, снимает ограничения capabilities и открывает все блочные устройства через
•
•
•
🎯 В статье разобраны эксплуатация Docker socket, побег через
https://codeby.net/threads/pobeg-iz-docker-konteinera-tekhniki-ekspluatatsii-ot-privileged-mode-do-uyazvimostei-runc.92681/
🔓 Между тобой и ядром хоста нет аппаратного гипервизора — только namespaces, cgroups и capabilities. Одна мисконфигурация, и ты уже на хосте с доступом ко всем соседним контейнерам.
Самый частый вектор на пентестах — флаг --privileged. Он отключает seccomp, снимает ограничения capabilities и открывает все блочные устройства через
/dev. Дальше три команды:•
fdisk -l → находишь корневой диск•
mount /dev/sda1 /mnt/host → монтируешь ФС хоста•
chroot /mnt/host → и ты уже не в контейнере🎯 В статье разобраны эксплуатация Docker socket, побег через
release_agent в cgroups v1 и уязвимости runc из серии Leaky Vessels — с механикой на уровне syscall'ов и воспроизводимыми командами.https://codeby.net/threads/pobeg-iz-docker-konteinera-tekhniki-ekspluatatsii-ot-privileged-mode-do-uyazvimostei-runc.92681/
❤🔥7❤5👎5🔥3👍1🤗1
Три уязвимости, которые решают 80% веб-тасков в CTF
🎯 SQL injection, SSRF, десериализация — звучит банально. Но современные CTF строятся не на классических пейлоадах, а на обходах фильтров, где автоматика пасует.
Пример:
Рабочие принципы:
• Первые 60 секунд — исходник и заголовки, не фаззинг
• Перед
• SSRF — трамплин к внутренним сервисам без авторизации
🔍 Разбор реальных тасков с HackTheBox, PicoCTF и Intigriti, включая кейс на CVE-2025-57822 в Next.js Middleware.
Полный разбор с пейлоадами и скриптами:
https://codeby.net/threads/ctf-web-writeup-sql-injection-ssrf-i-deserializatsiya-razbor-real-nykh-zadach.92698/
🎯 SQL injection, SSRF, десериализация — звучит банально. Но современные CTF строятся не на классических пейлоадах, а на обходах фильтров, где автоматика пасует.
Пример:
sqlmap с флагами --level=5 --risk=3 не нашёл blind SQLi в cookie на MireaCTF — уязвимость подтвердилась вручную за минуту.Рабочие принципы:
• Первые 60 секунд — исходник и заголовки, не фаззинг
• Перед
UNION SELECT — всегда information_schema, не угадывай таблицы• SSRF — трамплин к внутренним сервисам без авторизации
🔍 Разбор реальных тасков с HackTheBox, PicoCTF и Intigriti, включая кейс на CVE-2025-57822 в Next.js Middleware.
Полный разбор с пейлоадами и скриптами:
https://codeby.net/threads/ctf-web-writeup-sql-injection-ssrf-i-deserializatsiya-razbor-real-nykh-zadach.92698/
❤6👍6🔥4👎2🤝2
Первый CTF убивает мотивацию — если выбрать не ту категорию
4 часа смотришь на нечитаемый бинарник в Ghidra, ноль флагов, желание всё бросить. Знакомо? Проблема не в знаниях — проблема в старте с PWN вместо Misc или Crypto.
🎯 Честный рейтинг категорий для новичка:
• Misc + Crypto (easy) — первый флаг за 15 минут. CyberChef, шифр Цезаря, base64. Никакой математики.
• Web — самая полезная для карьеры. SQL-инъекции, XSS, Burp Suite. Реальные навыки пентестера.
• Forensics / OSINT — не нужно писать код.
• PWN / Reversing — без полугода подготовки лучше не трогать.
И ещё одно: на старте — только Jeopardy-формат. Решаешь в своём темпе, ошибки никому не видны, можно участвовать в одиночку.
Полный разбор с инструментами, платформами и планом подготовки на месяц:
https://codeby.net/threads/ctf-dlya-nachinayushchikh-kak-vybrat-kategoriyu-i-ne-ubit-motivatsiyu-na-pervom-sorevnovanii.92697/
4 часа смотришь на нечитаемый бинарник в Ghidra, ноль флагов, желание всё бросить. Знакомо? Проблема не в знаниях — проблема в старте с PWN вместо Misc или Crypto.
🎯 Честный рейтинг категорий для новичка:
• Misc + Crypto (easy) — первый флаг за 15 минут. CyberChef, шифр Цезаря, base64. Никакой математики.
• Web — самая полезная для карьеры. SQL-инъекции, XSS, Burp Suite. Реальные навыки пентестера.
• Forensics / OSINT — не нужно писать код.
strings файл | grep -i flag — и флаг иногда лежит прямо там.• PWN / Reversing — без полугода подготовки лучше не трогать.
И ещё одно: на старте — только Jeopardy-формат. Решаешь в своём темпе, ошибки никому не видны, можно участвовать в одиночку.
Полный разбор с инструментами, платформами и планом подготовки на месяц:
https://codeby.net/threads/ctf-dlya-nachinayushchikh-kak-vybrat-kategoriyu-i-ne-ubit-motivatsiyu-na-pervom-sorevnovanii.92697/
❤10👍4🔥4
🚩 Новые задания на платформе HackerLab!
🖼 Категория Стеганография — Мерцающие тайны
Приятного хакинга!
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍9🔥6
LLM в пентесте: где реально помогает, а где кладёт прод
Год экспериментов с AI в bug bounty и корпоративных аудитах — честный итог: часть сэкономила часы рутины, часть галлюцинировала несуществующими CVE и роняла терминал.
🎯 Три зоны, где LLM ускоряет работу:
• Разведка — парсинг вывода
• Приоритизация — ранжирование находок сканера по реальной эксплуатируемости
• Отчёты — из сырых логов в читаемый документ. Экономия 2-3 часа на проект
⚠️ На этапе эксплуатации — осторожно. Сгенерированный скрипт едва не положил прод-базу заказчика.
Отдельно — про METATRON: локальный CLI-ассистент без облака, не сливает данные на серверы Anthropic или OpenAI. Для NDA-проектов незаменим. И про Claude MCP на Kali Linux — прямой доступ к
Полный разбор с кодом и конфигами:
https://codeby.net/threads/ai-instrumenty-dlya-pentesta-metatron-claude-mcp-i-llm-assistenty-na-praktike.92716/
Год экспериментов с AI в bug bounty и корпоративных аудитах — честный итог: часть сэкономила часы рутины, часть галлюцинировала несуществующими CVE и роняла терминал.
🎯 Три зоны, где LLM ускоряет работу:
• Разведка — парсинг вывода
nmap, корреляция портов с уязвимостями• Приоритизация — ранжирование находок сканера по реальной эксплуатируемости
• Отчёты — из сырых логов в читаемый документ. Экономия 2-3 часа на проект
⚠️ На этапе эксплуатации — осторожно. Сгенерированный скрипт едва не положил прод-базу заказчика.
Отдельно — про METATRON: локальный CLI-ассистент без облака, не сливает данные на серверы Anthropic или OpenAI. Для NDA-проектов незаменим. И про Claude MCP на Kali Linux — прямой доступ к
sqlmap и Metasploit через естественный язык.Полный разбор с кодом и конфигами:
https://codeby.net/threads/ai-instrumenty-dlya-pentesta-metatron-claude-mcp-i-llm-assistenty-na-praktike.92716/
❤5👍4🔥4
Два CVE, два языка, одна дыра в архитектуре AI-агентов
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
__traceback__, tb_frame, f_back, f_builtins) образуют цепочку frame traversal: поднимаешься по стеку до __builtins__, достаёшь exec — полный RCE на хосте.🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
this.constructor.call() обходит защиту глобальных объектов. Мутации живут между сессиями: один запрос отравляет shared state для всех пользователей.Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
👍7✍5❤3🔥2
Forwarded from Codeby
ИИ не взламывает за вас — но экономит часы рутины
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
subfinder/amass находит «забытые» Jenkins с дефолтными кредами• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
ollama или локальный routing.https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
👍6❤4👎2🔥2
SMB signing в AD включён по умолчанию? Только на контроллерах домена
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
•
•
Три команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
-sn по подсети — список живых хостов•
-p 88,389,445,636 — отсев DC от member servers•
--script smb-security-mode — на каких member servers signing в статусе disabledТри команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
-sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
❤4👍2🔥2
Вы внутри. Но надолго ли?
Reverse shell получен — и сразу вторая мысль: «завтра админ перезагрузит сервер, и всё пропало». Здесь начинается настоящая работа.
🎯 Пять техник закрепления из реального Red Team:
• Cron — частый, но шумный. Мало проверить
• Systemd — элегантнее: сервис с
• SSH-ключи, LD_PRELOAD и rootkits — от простого к сложному, с разбором когда что выбирать
🔍 Для каждой техники — команды детекта, привязка к MITRE ATT\&CK и ловушки для атакующих и защитников.
https://codeby.net/threads/tekhniki-zakrepleniya-v-linux-cron-systemd-ssh-klyuchi-ld_preload-i-rootkits-na-praktike.92738/
Reverse shell получен — и сразу вторая мысль: «завтра админ перезагрузит сервер, и всё пропало». Здесь начинается настоящая работа.
🎯 Пять техник закрепления из реального Red Team:
• Cron — частый, но шумный. Мало проверить
crontab -l — нужно смотреть минимум пять мест, включая crontab сервисных пользователей вроде www-data• Systemd — элегантнее: сервис с
Restart=always переживёт перезагрузку и выглядит как обычный демон. Никаких backdoor.service — только syslogd-helper• SSH-ключи, LD_PRELOAD и rootkits — от простого к сложному, с разбором когда что выбирать
🔍 Для каждой техники — команды детекта, привязка к MITRE ATT\&CK и ловушки для атакующих и защитников.
https://codeby.net/threads/tekhniki-zakrepleniya-v-linux-cron-systemd-ssh-klyuchi-ld_preload-i-rootkits-na-praktike.92738/
❤9👍4🔥4👎2
🔐 Три ACL-права, которые превращают рядового юзера в Domain Admin
Закрепился в домене под обычной учёткой — и что дальше? Брутфорс и CVE — пути очевидные, но шумные. Самые элегантные цепочки эскалации идут через ACL-мисконфигурации — они не требуют zero-day, не генерируют аномальный трафик и работают через штатные механизмы AD. Ты не ломаешь систему — ты пользуешься ею «по инструкции».
Каждый объект в AD защищён списком DACL, который состоит из записей ACE. Каждая ACE определяет: кто и что может делать с объектом. Проблема в том, что в реальных доменах ACL копятся годами. Helpdesk получает право сбрасывать пароли, но scope не ограничен. Подрядчик ушёл — а его ACE на OU с серверами осталась. Домену 10+ лет, три поколения админов сменилось, а ACL — как геологические слои.
🎯 Три права, которые реально опасны:
1. GenericAll — полный контроль над объектом. На пользователе: сброс пароля, установка SPN для Kerberoasting, запись в
2. WriteDACL — право переписать правила игры. Имея WriteDACL на объект домена, добавляешь себе
3. WriteOwner — стать владельцем объекта. Владелец может модифицировать DACL, значит путь всё равно ведёт туда же. Двухшаговая операция: сначала
⚠️ Отдельного внимания заслуживает WriteDACL на корневой домен. На одном из проектов обнаружилось, что сервисная учётка системы мониторинга имела это право — админ когда-то делегировал ей доступ для чтения атрибутов, но промахнулся со scope. Итог: прямой путь к DCSync через учётку мониторинга.
🔍 Искать такие пути удобно через BloodHound с кастомными Cypher-запросами. Стандартный «Shortest Path to Domain Admins» находит очевидное, но настоящие артефакты скрыты глубже. Запрос для поиска неожиданных принципалов с WriteDACL на домен:
Отсекаешь легитимные пути от Domain Admins — и видишь всё остальное. Иногда результат заставляет поседеть.
Полный разбор цепочек — GenericAll до DCSync, делегирование Kerberos, RBCD-атаки — в статье. Читай, пока не прочитал твой Blue Team.
https://codeby.net/threads/privilege-escalation-v-active-directory-acl-ataki-delegirovaniye-i-tsepochki-ot-genericall-do-dcsync.92729/
Закрепился в домене под обычной учёткой — и что дальше? Брутфорс и CVE — пути очевидные, но шумные. Самые элегантные цепочки эскалации идут через ACL-мисконфигурации — они не требуют zero-day, не генерируют аномальный трафик и работают через штатные механизмы AD. Ты не ломаешь систему — ты пользуешься ею «по инструкции».
Каждый объект в AD защищён списком DACL, который состоит из записей ACE. Каждая ACE определяет: кто и что может делать с объектом. Проблема в том, что в реальных доменах ACL копятся годами. Helpdesk получает право сбрасывать пароли, но scope не ограничен. Подрядчик ушёл — а его ACE на OU с серверами осталась. Домену 10+ лет, три поколения админов сменилось, а ACL — как геологические слои.
🎯 Три права, которые реально опасны:
1. GenericAll — полный контроль над объектом. На пользователе: сброс пароля, установка SPN для Kerberoasting, запись в
msDS-KeyCredentialLink для Shadow Credentials. На группе — добавить себя в неё. На компьютере — настроить RBCD. Классический кейс: пользователь с GenericAll на привилегированного юзера, тот — член группы с доступом к Azure AD Sync, у которой права репликации. Три хопа — и DCSync.2. WriteDACL — право переписать правила игры. Имея WriteDACL на объект домена, добавляешь себе
DS-Replication-Get-Changes и DS-Replication-Get-Changes-All — и вот тебе DCSync. Интересный нюанс: WriteDACL оставляет меньше следов, чем WriteOwner. Смена владельца генерирует Event ID 4662 с отдельной записью аудита, а прямая правка DACL — нет.3. WriteOwner — стать владельцем объекта. Владелец может модифицировать DACL, значит путь всё равно ведёт туда же. Двухшаговая операция: сначала
Set-DomainObjectOwner, затем Add-DomainObjectAcl — и ты контролируешь объект.⚠️ Отдельного внимания заслуживает WriteDACL на корневой домен. На одном из проектов обнаружилось, что сервисная учётка системы мониторинга имела это право — админ когда-то делегировал ей доступ для чтения атрибутов, но промахнулся со scope. Итог: прямой путь к DCSync через учётку мониторинга.
🔍 Искать такие пути удобно через BloodHound с кастомными Cypher-запросами. Стандартный «Shortest Path to Domain Admins» находит очевидное, но настоящие артефакты скрыты глубже. Запрос для поиска неожиданных принципалов с WriteDACL на домен:
MATCH p=(n)-[:WriteDacl]->(m:Domain)
WHERE NOT n.name STARTS WITH 'DOMAIN ADMINS'
RETURN pОтсекаешь легитимные пути от Domain Admins — и видишь всё остальное. Иногда результат заставляет поседеть.
Полный разбор цепочек — GenericAll до DCSync, делегирование Kerberos, RBCD-атаки — в статье. Читай, пока не прочитал твой Blue Team.
https://codeby.net/threads/privilege-escalation-v-active-directory-acl-ataki-delegirovaniye-i-tsepochki-ot-genericall-do-dcsync.92729/
❤6👍4🔥4👎1
Forwarded from Codeby
Themida снята через unlicense — но динамический анализ не живёт.
ScyllaHide падает в
🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть
• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide =
• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida
🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.
https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/
ScyllaHide падает в
Fatal Error 0x00005c, KsDumper молчит, TitanHide крашит процесс. Патч от третьих лиц через MinHook непонятным образом проходит проверку контрольной суммы импортов и переводит приложение с Dongle-проверки на сверку лицензии с файлом в папке. Алгоритм генерации этого файла — внутри. Но добраться до него не получается: защищённые .dll, замусоренный трейс после MinHook_Initialise_Hook, и приложение ещё и детектит VM.🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть
unpacked_.exe для статики• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide =
Violation Access, чем больше опций включено, тем стабильнее краш• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida
🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.
https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/
👍2
57% Patch Tuesday — это повышение привилегий. Совпадение?
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
❤4👍3👎3🔥3
79% атак — без единого файла малвари. Как это работает?
Медианное время от первого доступа до горизонтального перемещения — 48 минут. Рекорд — 51 секунда. Без единого файла, который спалит EDR.
🔍 Windows сама даёт атакующему всё необходимое: WMI, PowerShell Remoting и DCOM — легитимные механизмы, которые админы используют ежедневно. Именно поэтому детект буксует.
Три вектора из статьи:
• WMI — создаёт процесс на удалённом хосте без копирования файлов;
• PSRemoting — WinRM по TCP 5985/5986, Kerberos и NTLM; Pass-the-Hash через
• DCOM — движение через COM-объекты,
⚙️ Для каждой техники — команды, сетевые артефакты и почему одни подходы проходят мимо SOC, а другие детектятся мгновенно.
https://codeby.net/threads/lateral-movement-v-windows-bez-malvari-wmi-psremoting-i-dcom-na-praktike.92753/
Медианное время от первого доступа до горизонтального перемещения — 48 минут. Рекорд — 51 секунда. Без единого файла, который спалит EDR.
🔍 Windows сама даёт атакующему всё необходимое: WMI, PowerShell Remoting и DCOM — легитимные механизмы, которые админы используют ежедневно. Именно поэтому детект буксует.
Три вектора из статьи:
• WMI — создаёт процесс на удалённом хосте без копирования файлов;
wmiprvse.exe как родитель cmd.exe — главный артефакт• PSRemoting — WinRM по TCP 5985/5986, Kerberos и NTLM; Pass-the-Hash через
Evil-WinRM• DCOM — движение через COM-объекты,
dcomexec.py из Impacket⚙️ Для каждой техники — команды, сетевые артефакты и почему одни подходы проходят мимо SOC, а другие детектятся мгновенно.
https://codeby.net/threads/lateral-movement-v-windows-bez-malvari-wmi-psremoting-i-dcom-na-praktike.92753/
❤4👍3👎3🔥3
Одна цифра в запросе — и чужие паспортные данные у тебя в браузере
Именно так работает IDOR. Меняешь `1234` на `1235` в API-запросе — сервер отдаёт чужой документ. WAF молчит, сканер ничего не нашёл, разработчик уверен, что всё защищено.
🎯 Почему это золотая жила в bug bounty:
• Автоматика IDOR не ловит — нужен ручной анализ бизнес-логики
• Одна уязвимость = от $200 до $5000+
• Цепочка IDOR → Account Takeover — гарантированный P1 и максимальная выплата
Разница между $300 и $3000 за ту же технику — в классификации импакта. Читаешь чужие данные — одна цена. Захватываешь аккаунт — совсем другая история.
По кейсам от Deteact: только за несколько IDOR-находок выплатили более $25 000.
Методология, инструменты и структура репорта на P1:
https://codeby.net/threads/idor-uyazvimost-v-bug-bounty-kak-nakhodit-i-reportit-dlya-maksimal-nykh-vyplat.92767/
Именно так работает IDOR. Меняешь `1234` на `1235` в API-запросе — сервер отдаёт чужой документ. WAF молчит, сканер ничего не нашёл, разработчик уверен, что всё защищено.
🎯 Почему это золотая жила в bug bounty:
• Автоматика IDOR не ловит — нужен ручной анализ бизнес-логики
• Одна уязвимость = от $200 до $5000+
• Цепочка IDOR → Account Takeover — гарантированный P1 и максимальная выплата
Разница между $300 и $3000 за ту же технику — в классификации импакта. Читаешь чужие данные — одна цена. Захватываешь аккаунт — совсем другая история.
По кейсам от Deteact: только за несколько IDOR-находок выплатили более $25 000.
Методология, инструменты и структура репорта на P1:
https://codeby.net/threads/idor-uyazvimost-v-bug-bounty-kak-nakhodit-i-reportit-dlya-maksimal-nykh-vyplat.92767/
❤5👍4🔥4
Burp Suite + OWASP Top 10: какой плагин ставить и зачем
Один extension на каждую категорию OWASP:
• A01 Broken Access Control →
• A03 Injection →
• A04 Insecure Design →
• A07 Auth Failures →
• A10 SSRF →
Плюс
https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/
Один extension на каждую категорию OWASP:
• A01 Broken Access Control →
Autorize: вставил cookie низкопривилегированного юзера, браузишь как админ — красный «Bypassed!» = готовый IDOR• A03 Injection →
ActiveScan++: добавляет XXE, SSTI, улучшенный SQLi• A04 Insecure Design →
Turbo Intruder: race conditions на промокодах — тысячи req/sec• A07 Auth Failures →
JWT Editor: атаки alg:none, weak secret, key confusion из Repeater• A10 SSRF →
Collaborator Everywhere: браузишь приложение, extension инжектирует заголовки и ловит out-of-band callbacksПлюс
Param Miner (до 65 000 параметров за запрос) и Retire.js для уязвимых JS-библиотек.https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/
❤6👍3🔥3
За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?
❤3🔥3⚡2❤🔥2👍2
Charming Kitten не взламывает системы — они взламывают людей
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
❤2👍2🔥1
Хакер думает, что взломал живой сервер. А он разговаривает с языковой моделью.
Классический Cowrie раскусывается за секунды: захардкоженные команды, одинаковая файловая система. Mirai-ботнеты знают эти паттерны наизусть.
🎯 LLM honeypot меняет правила: языковая модель генерирует уникальный ответ на каждую команду. Атакующий расслабляется и сливает свои TTPs. По данным HoneyGPT (arXiv:2406.01882), подход увеличивает длину сессии и фиксирует тактики, маппящиеся на MITRE ATT&CK.
🔧 В статье — сборка на Linux:
•
• Prompt manager с «личностью» системы и сессионным контекстом
• Rate limiting против API-разорения
• Логирование в JSON для ELK
Локально через
📖 Полный разбор с кодом:
https://codeby.net/threads/llm-honeypot-stroim-primanku-na-baze-yazykovoi-modeli-dlya-monitoringa-vsekh-65535-portov.92787/
Классический Cowrie раскусывается за секунды: захардкоженные команды, одинаковая файловая система. Mirai-ботнеты знают эти паттерны наизусть.
🎯 LLM honeypot меняет правила: языковая модель генерирует уникальный ответ на каждую команду. Атакующий расслабляется и сливает свои TTPs. По данным HoneyGPT (arXiv:2406.01882), подход увеличивает длину сессии и фиксирует тактики, маппящиеся на MITRE ATT&CK.
🔧 В статье — сборка на Linux:
•
nftables REDIRECT для приёма трафика на все 65535 портов• Prompt manager с «личностью» системы и сессионным контекстом
• Rate limiting против API-разорения
• Логирование в JSON для ELK
Локально через
Ollama или облако — разбор компромиссов внутри.📖 Полный разбор с кодом:
https://codeby.net/threads/llm-honeypot-stroim-primanku-na-baze-yazykovoi-modeli-dlya-monitoringa-vsekh-65535-portov.92787/
❤5👍3🔥2
Атакующие сидели в SD-WAN с 2023 года — и никто не заметил
CISA дала 48 часов на патч CVE-2026-20127 (CVSS 10.0) вместо стандартных 14–21 дней — это паника регулятора.
🔍 Sigma-правила из SigmaHQ здесь бесполезны. Группировка UAT-8616 не загружала малварь — только NETCONF, SSH и легитимные механизмы обновления. Living off the land на сетевой инфраструктуре: каждый шаг неотличим от работы администратора.
Почему стандартные детекты не работают:
• На
•
• Без форвардинга syslog в SIEM — visibility равен нулю
Атака: rogue-пир в control plane, даунгрейд прошивки до root, зачистка
Разбор с готовыми Sigma-правилами и pipeline-маппингом:
https://codeby.net/threads/sigma-pravila-detektsii-cisco-sd-wan-pishem-detekty-na-cve-2026-20127-i-lateral-movement-cherez-netconf.92785/
CISA дала 48 часов на патч CVE-2026-20127 (CVSS 10.0) вместо стандартных 14–21 дней — это паника регулятора.
🔍 Sigma-правила из SigmaHQ здесь бесполезны. Группировка UAT-8616 не загружала малварь — только NETCONF, SSH и легитимные механизмы обновления. Living off the land на сетевой инфраструктуре: каждый шаг неотличим от работы администратора.
Почему стандартные детекты не работают:
• На
vManage и vSmart нельзя поставить EDR-агент•
service: sdwan в SigmaHQ отсутствует• Без форвардинга syslog в SIEM — visibility равен нулю
Атака: rogue-пир в control plane, даунгрейд прошивки до root, зачистка
wtmp, lastlog, bash_history.Разбор с готовыми Sigma-правилами и pipeline-маппингом:
https://codeby.net/threads/sigma-pravila-detektsii-cisco-sd-wan-pishem-detekty-na-cve-2026-20127-i-lateral-movement-cherez-netconf.92785/
❤2👍2🔥2