🔓 Как misconfig в облаке превращается в полный захват

Ниже — реальная цепочка privilege escalation, которая регулярно встречается в облачных инфраструктурах.

1️⃣ Точка входа

Публичный bucket / утёкший .env / CI-лог. Внутри — ключ сервисного аккаунта:

AWS_ACCESS_KEY_ID=
AWS_SECRET_ACCESS_KEY=

Атакующий получает легитимный API-доступ без эксплойтов.

2️⃣ Первичный доступ

Права «ограниченные», но разрешено:

iam:PassRole
ec2:RunInstances
iam:CreateAccessKey
iam:AttachUserPolicy

На этом этапе многие считают риск «низким».

3️⃣ Privilege Escalation

Самый частый сценарий:

iam:PassRole + ec2:RunInstances

Атакующий запускает VM:

♍️ прикрепляет к ней более привилегированную роль
♍️ получает временные токены через metadata service
♍️ выходит на уровень admin

Это легальный API-флоу.

4️⃣ Persistence

После эскалации:

— создаётся новая IAM-учётка
— добавляется собственный access key
— включается майнинг
— логирование частично отключается

И доступ сохраняется неделями.

📌 Достаточно двух разрешений, чтобы облако стало полностью контролируемым. Чаще всего такие права выдают «для удобства разработчиков». Облако ломают не через эксплойты, а через избыточные разрешения.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

❓ Turbo Intruder vs обычный Intruder

Оба работают в Burp Suite. Но задачи разные.

❇️ Intruder

— GUI, быстро и удобно
— перебор, fuzzing, brute-force
— ограниченная параллельность
— не подходит для настоящих race condition

❇️ Turbo Intruder

— тысячи RPS
— точный одновременный старт (gates)
— контроль concurrency
— Python-логика
— HTTP/2 single-packet атаки

Если нужно тестировать бизнес-логику, double-spend, лимиты — обычного Intruder недостаточно.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

📎 Pentesting Cheatsheet

Практичная шпаргалка для пентеста: команды, приёмы и полезные техники без воды. Основана на собственных наработках и лучших материалах g0tmilk, highon coffee, pentestmonkey и других.

⏺ Используйте поиск (Ctrl + F) — так быстрее найти нужное. Подойдёт для CTF, bug bounty и реальных аудитов.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🚨 CVE-2026-2930 — новая уязвимость в оборудовании Tenda

Опубликована новая CVE — CVE-2026-2930.
Тип: stack-based buffer overflow в HTTP-сервисе устройства (endpoint /cgi-bin/UploadCfg).

Что это значит:

— Возможна удалённая эксплуатация
— Риск RCE или отказа в обслуживании
— Затрагивает сетевое оборудование (домашний/SMB-сегмент)
— Эксплойт уже доступен публично

Рекомендации:

— Проверить наличие уязвимых моделей в инфраструктуре
— Ограничить доступ к веб-интерфейсу (ACL / VPN)
— Обновить прошивку при наличии патча
— Мониторить попытки обращения к /cgi-bin/UploadCfg

Если у вас есть IoT/роутеры вне централизованного патч-контроля — это зона повышенного риска.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

📎 Как быстро проверить, какие домены реально живые

httprobe — быстрый фильтр HTTP(S)-эндпоинтов без лишнего шума.

Что делает:

— Проверяет HTTP и HTTPS
— Работает параллельно
— Отдаёт только отвечающие URL

🟢 Установка

go install github.com/tomnomnom/httprobe@latest

🟢 Использование

cat domains.txt | httprobe > alive.txt

Идеальный первый шаг перед nuclei, ffuf, EyeWitness.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

🔥 BGP-hijack: тихая атака на вашу сборку

Сценарий:

1️⃣ Злоумышленник анонсирует «более короткий» BGP-маршрут к npm-зеркалу или внутреннему registry

2️⃣ Часть трафика идёт через его автономную систему

3️⃣ MITM, подмена зеркала, вмешательство в доставку пакетов

4️⃣ CI получает модифицированную зависимость

Платформа не взломана. Но supply chain уже заражён. GitHub — сложная цель: Anycast, несколько аплинков, RPKI. Реалистичнее атака на менее защищённые зеркала или внутренние registry. Прецеденты есть: Rostelecom 2020, Pakistan Telecom → YouTube 2008, AS7007.

⚠️ Почему это критично:

— CI автоматически тянет зависимости
— Большинство проектов не проверяют подписи пакетов
— Lock-файлы не спасают без верификации integrity hash — а большинство CI гоняет `npm ci` молча
— Разработчики замечают проблему слишком поздно

Один hijack — и вредоносный код распространяется через ваши же сборки.

❓ Что реально мониторить:

— RPKI / Origin Validation — валиден ли анонс префикса
— AS-path в traceroute — неожиданные автономные системы в маршруте
— Резкие скачки latency и TTL
— Аномалии в логах CI при загрузке зависимостей

🛡 Практический вывод:

Современный периметр — это CI/CD. Минимальный уровень зрелости: внутреннее зеркало registry, кэш зависимостей, изоляция runner'ов, проверка checksum / подписи пакетов, мониторинг сетевых маршрутов.

Если защищён ноутбук, но не защищена сборка — атакующему даже не нужно писать эксплойт.

🔥 — видел BGP-аномалии в своей инфре
❤️ — уже защитил CI/CD
🌚 — у нас это вообще не мониторится

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🔥 Топ-вакансий недели для хакеров

Менеджер проектов ИБ — от 70 000 до 100 000 ₽, офис (Ярославль)

Главный инженер отдела сетевой безопасности — офис (Москва)

Инженер по информационной безопасности — офис (Анапа)

➡️ Больше офферов в канале: @hackdevjob

🐸 Библиотека хакера

Ну филя 🕷

🐸 Библиотека хакера

#hack_humor

📌 Обновления инструментов за февраль

🟢 Burp Suite

Релизы 2026.1.x и 2026.2.x выходили весь февраль: исправления багов сканера, оптимизации запросов, улучшения расширяемости и поддержки расширений.

🟢 OWASP ZAP — релиз 2.17.0

✔ уменьшение шума в отчетах через alert de-duplication;

✔ Insights — новая вкладка аналитики;

✔ улучшение обработки памяти и диск-space ошибок;

✔ оптимизацию headless/CI-сканирования;

✔ структурированные отчеты с ISO 8601-датой.

🟢 Metasploit — свежие модули и фиксы

✔ новый набор exploit-модулей, включая RCE-эксплоиты для Xerte Online Toolkits;

✔ модуль для SolarWinds Web Help Desk с получением SYSTEM-сессии;

✔ улучшена поддержка MITRE ATT&CK-метаданных и LDAP-кэширования.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes