⚠️ Как фишинг-кит превращает SMS-вход в угон сессии

После ввода номера фишинговый сервер сам обращается к auth-API MAX и инициирует настоящий вход. Код приходит не от мошенников, а от сервиса, поэтому пользователь не видит явного подвоха.

🔴 Дальше всё держится на проксировании: жертва вводит SMS-код на поддельной странице, кит передаёт его в API и получает активную сессию. Если включён облачный пароль, его запрашивают тем же способом.

🔴 Проблема не в визуальной копии страницы, а в том, что серверная логика входа недостаточно жёстко проверяет источник запроса и не привязывает процесс авторизации к конкретному устройству.

🔴 Отдельно интересна инфраструктура: оператор держит пул доменов, быстро меняет хостинг и генерирует уникальные URL для посетителей. Это усложняет блокировки и делает кампанию живучей.

Атака выглядит как обычный логин для пользователя, но на выходе злоумышленник получает доступ к аккаунту.

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🛠 OSINT-инструмент для поиска аккаунтов

Sherlock — это один из самых быстрых способов пробить пользователя по нику и собрать его цифровой след. Вводите username — и инструмент проверяет его сразу на 400+ сайтах: соцсети, форумы, GitHub и другие платформы.

❓ Как работает:

Sherlock отправляет параллельные запросы к разным сервисам и проверяет, существует ли там аккаунт с таким ником.

На выходе:
— список найденных профилей
— ссылки на аккаунты
— возможность сохранить в .txt / .csv / .xlsx
— или открыть всё сразу в браузере

🔤 Базовое использование:

sherlock username

Несколько ников:

sherlock user1 user2 user3

Через прокси:

sherlock username --proxy socks5://127.0.0.1:1080

Что полезно в пентесте:

*️⃣ быстрый OSINT по цели
*️⃣ поиск связанных аккаунтов
*️⃣ проверка reuse никнеймов
*️⃣ сбор точек для социальной инженерии
*️⃣ расширение attack surface

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🐈‍⬛ Фильм о краже приватности

Документальный фильм, который глубоко погружается в скандал с Cambridge Analytica и раскрывает, как социальные сети используют данные пользователей для манипулирования мнением людей.

Почему стоит посмотреть:

➡️ Реальная история из мира кибербезопасности и политических манипуляций.

➡️ Инсайды о том, как социальные сети собирают и анализируют личные данные пользователей.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🦾 NetBird: open-source альтернатива VPN

NetBird создаёт приватную overlay-сеть на WireGuard и автоматически соединяет устройства между собой. Без ручного открытия портов, сложных firewall rules и отдельного VPN-шлюза.

Что умеет:

— peer-to-peer соединения
— NAT traversal через STUN/TURN
— fallback через relay
— SSO / MFA
— политики доступа по группам
— private DNS и маршруты
— self-hosted установка

Для пентеста полезен в двух случаях: как удобная сеть для своих лаб и как объект аудита — проверять access policies, identity-интеграции, маршруты и связи между пирами.

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🔴 CVE-2026-31431: локальный баг, который превращает foothold в root

Если атакующий получил доступ к хосту, CI/CD runner или контейнеру, он может повысить привилегии до root. Под ударом — многие Linux-дистрибутивы с ядрами, выпущенными с 2017 года: Ubuntu, RHEL, SUSE, Amazon Linux, Debian, Fedora, Arch и др.

💡 Суть бага — в связке AF_ALG + splice(). Эксплойт позволяет перезаписать page cache readable-файла: диск не меняется, но в памяти можно повлиять на выполнение привилегированных бинарников вроде /usr/bin/su.

Почему это опасно:

🔵 локальная, но простая эксплуатация
🔵 не нужны race condition, root в контейнере или сетевой доступ
🔵 PoC уже доступен
🔵 детект сложнее из-за легитимных kernel-интерфейсов

Отдельный риск — облака и Kubernetes: контейнеры используют ядро хоста, поэтому обычный container foothold может стать компрометацией всей ноды.

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

😨 VLESS-клиенты могут сами раскрывать ваш VPN

В статье разбирают уязвимость популярных VLESS-клиентов: локальный SOCKS5-прокси часто поднимается без авторизации, а значит другое приложение на устройстве может подключиться к нему напрямую.

❗️ Итог неприятный: split tunneling и приватные пространства вроде Knox/Shelter/Island не спасают.

Вредонос или шпионский модуль может найти локальный прокси, выйти через него наружу и определить IP вашего VPN-сервера.

Полный разбор, PoC и список клиентов — в статье по ссылке 🔗

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🪟 Шпаргалка по Windows Command Line

Командная строка Windows помогает быстро управлять системой через команды: процессы, сеть, реестр, сервисы и базовая автоматизация.

В шпаргалке — полезные команды, разбитые по категориям, чтобы быстро найти нужное.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🛠 Burp Suite: с чего начать, если вы новичок

Если вы только заходите в веб-пентест, Burp — это тот инструмент, без которого дальше не двинетесь. Но большинство тут упирается в старт: прокси не работает, запросы не перехватываются, интерфейс непонятный.

В этом видео:

— как поставить Burp,
— настроить прокси,
— начать ловить трафик,
— разбираться в HTTP-запросах и ответах.

➕ Плюс показывают, какие инструменты реально использовать на практике и как тренироваться дальше.

🔗 Смотреть видео

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

❓ Вопрос к комьюнити

Какой артефакт чаще всего помогает понять внутреннюю архитектуру без доступа внутрь?

👍 — sourcemaps
🔥 — mobile app
👾 — JS bundles
🥰 — error pages
🌚 — публичные схемы / docs

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ask_the_community

🪟 SSH Tunnels: быстрый pivot через middlebox

SSH-туннели часто используют на внутренних пентестах, когда нужно получить доступ к машине за NAT/firewall через промежуточный сервер.

Reverse tunnel: доступ к Kali через middlebox

🈶 На Kali:

ssh root@middlebox -R 2022:localhost:22

🈶 Теперь на middlebox можно подключиться обратно к Kali:

ssh root@localhost -p 2022

Multihop: доступ с локальной машины

🈶 На Kali:

ssh root@middlebox -R 2022:localhost:22

🈶 На своей машине:

ssh -t root@middlebox -L 2023:localhost:2022 ssh -p 2022 root@localhost

После этого локально можно подключаться к Kali через порт 2023.

Проброс отдельного сервиса

🈶 Если на Kali запущен сервис на 50050, пробрасываем его на локальную машину:

ssh -L 50050:localhost:50050 -p 2023 root@localhost

-R помогает пробросить доступ наружу через middlebox, а -L — забрать нужный порт к себе локально.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Топ-вакансий недели для хакеров

C++ red team developer/разработчик малдев — от 180 000 до 450 000 ₽, oфис (Санкт-Петербург)

Application Security инженер — oфис (Москва)

Senior Information Security Engineer (SOC) — remote

➡️ Больше офферов в канале: @hackdevjob

🐸 Библиотека хакера

🛠 Свежие апдейты в security-инструментах

➡️ Metasploit Framework 6.4.131

— добавили MCP Server (интеграция с AI-агентами)
— появился exploit под CVE-2026-31431 (Copy Fail)
— поддержка AMD64 и AARCH64

➡️ Wireshark 4.6.5

Свежий security-релиз с фиксом десятков уязвимостей.

— закрыты проблемы в dissector’ах
— затронуты протоколы типа BT-DHT, Monero и др.
— актуально для SOC / DFIR

➡️ Exim 4.99.2

Патч почтового сервера (важно для blue team).

— исправлено несколько CVE
— фиксы crash и out-of-bounds
— стоит проверить внешние почтовые узлы

➡️ Claude Security (beta)

Новый инструмент для AppSec / code security.

— анализ кодовой базы
— поиск уязвимостей
— генерация фиксов

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🐸 Библиотека хакера

#hack_humor

🔥 Модель TCP/IP

Короткая шпаргалка по тому, как данные проходят путь от приложения до сети.

🔵 Application Layer

Уровень приложений: HTTP/HTTPS, FTP, SSH, SMTP, POP3, IMAP. Здесь работают форматы данных, шифрование, сжатие и логика клиент-серверного взаимодействия.

🔵 Transport Layer

Транспортный уровень: TCP и UDP. Отвечает за передачу данных между узлами, работу с портами и сегментами.

🔵 Internet Layer

Интернет-уровень: IP, IPSec, маршрутизация. Здесь пакеты получают адреса отправителя/получателя и проходят через роутеры.

🔵 Network Interface Layer

Уровень сетевого интерфейса: Ethernet, ARP, VLAN, MAC-адреса, кадры и биты. Отвечает за передачу данных внутри локальной сети и по физической среде.

Полезная база, чтобы лучше понимать сетевой трафик, Wireshark, firewall rules и сетевые атаки.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🪲 Найди баг в генераторе PDF

Сервис принимает HTML и рендерит PDF на сервере через headless Chrome.

Внутри HTML разрешены внешние ресурсы:

<iframe src="http://...">

PDF генерируется внутри Kubernetes-кластера.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

✅ Правильный ответ: SSRF

Проблема в том, что HTML рендерится на сервере через headless Chrome. Когда внутри HTML есть внешние ресурсы (img, iframe, CSS и т.д.), сервер сам пытается их загрузить.

🔴 Это позволяет атакующему заставить сервер отправлять запросы:

— во внутреннюю сеть;
— к Kubernetes-сервисам;
— к cloud metadata endpoint (169.254.169.254);
— к internal API и admin-панелям.

🔴 Например:

<img src="http://169.254.169.254/latest/meta-data/">

Такой сценарий — классический SSRF через server-side rendering / PDF generation.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

🪟 Windows спросит — malware нажмёт «Разрешить»

В первом квартале 2026 Positive Technologies нашли 808 новых образцов ВПО, связанных с 11 хакерскими группировками. Это на 38% больше, чем годом ранее.

🔴 Самый интересный момент в технике. Rare Werewolf использовали AnyDesk как легитимный RAT: вредоносная цепочка передавала AnyDesk ID операторам через GitHub Gist, после чего они подключались к машине жертвы.

🔵 Отдельный трюк — скрипт, который автоматически нажимал кнопки в предупреждениях Windows. Пользователь ещё видит окно безопасности, а malware уже кликает «Разрешить» за него.

Другие группы тоже не отстают:

— PhaseShifters доставляли Remcos через фишинг по авиации и ОПК
— PhantomCore использовали LNK-файлы и PowerShell
— Hive0117 атаковали бухгалтерии через DarkWatchman, кейлоггинг и удаление точек восстановления
— часть операторов прятала компоненты на GitHub, Firebase и Bitbucket

Источник 🔗

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🔥 Вопрос с собеседования

Почему получение reverse shell — это только начало атаки?

👇 Правильный ответ:

Reverse shell даёт initial access, но ещё не означает полный контроль над системой или инфраструктурой.

🔴 Что проверяют дальше:

— Контекст запуска
От какого пользователя выполняется shell: www-data, nginx, SYSTEM, container user и т.д.

— Привилегии
Есть ли sudo, misconfig, capabilities, слабые права на сервисы или путь к LPE.

— Секреты
.env, токены, SSH-ключи, kubeconfig, cloud credentials, CI/CD secrets.

— Сетевая позиция
Какие internal-сервисы доступны с этой машины.

— Pivoting
Можно ли использовать хост как точку входа во внутреннюю сеть.

— Detection
Что пишется в логи и насколько быстро активность заметят.

⚡️ Сильный ответ:

«Reverse shell — это foothold. Дальше важно понять, какие права есть у процесса, какие данные доступны, куда можно двигаться внутри сети и можно ли повысить привилегии»

👍 — знал/а
🔥 — теперь буду знать

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge