Forwarded from cKure
■■■■■ CVE-2026-21858 + CVE-2025-68613: n8n Ni8mare - Full Chain Exploit
Unauthenticated to Root RCE:
- LFI via Content-Type confusion
- Read /proc/self/environ to find HOME
- Steal encryption key + database
- Forge admin JWT token
- Expression injection sandbox bypass
- RCE as root
CVSS 10.0
https://github.com/Chocapikk/CVE-2026-21858
Unauthenticated to Root RCE:
- LFI via Content-Type confusion
- Read /proc/self/environ to find HOME
- Steal encryption key + database
- Forge admin JWT token
- Expression injection sandbox bypass
- RCE as root
CVSS 10.0
https://github.com/Chocapikk/CVE-2026-21858
GitHub
GitHub - Chocapikk/CVE-2026-21858: n8n Ni8mare - Unauthenticated Arbitrary File Read to RCE Chain (CVSS 10.0)
n8n Ni8mare - Unauthenticated Arbitrary File Read to RCE Chain (CVSS 10.0) - Chocapikk/CVE-2026-21858
Forwarded from road to OSCP
#responder #internal
[ Responder 3.2.0.0 ]
Responder 3.2.0.0 is out!
All new year updates +
- IMAP and SMTP StartTLS
- IMAPS TLS server on port 993
- DHCPv6 poisoning (pure python) using _dirkjan
mitm6 attacks
- Kerberos, DNS server updates
- Etc.
https://github.com/lgandx/Responder
[ Responder 3.2.0.0 ]
Responder 3.2.0.0 is out!
All new year updates +
- IMAP and SMTP StartTLS
- IMAPS TLS server on port 993
- DHCPv6 poisoning (pure python) using _dirkjan
mitm6 attacks
- Kerberos, DNS server updates
- Etc.
https://github.com/lgandx/Responder
Forwarded from 1N73LL1G3NC3
CVE-2025-64155: Fortinet FortiSIEM Argument Injection to Remote Code Execution.
An improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSIEM 7.4.0, FortiSIEM 7.3.0 through 7.3.4, FortiSIEM 7.1.0 through 7.1.8, FortiSIEM 7.0.0 through 7.0.4, FortiSIEM 6.7.0 through 6.7.10 may allow an unauthenticated attacker to remotely inject arguments, leading to root remote code execution.
Blog: https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/
Dork:
An improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSIEM 7.4.0, FortiSIEM 7.3.0 through 7.3.4, FortiSIEM 7.1.0 through 7.1.8, FortiSIEM 7.0.0 through 7.0.4, FortiSIEM 6.7.0 through 6.7.10 may allow an unauthenticated attacker to remotely inject arguments, leading to root remote code execution.
Blog: https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/
Dork:
ZoomEye: app="Fortinet FortiSIEM"
HUNTER : product.name="Fortinet FortiSIEM"
🔥2
Forwarded from SecuriXy.kz
🔥 Готовы впитать в себя 1.1 квадриллион NTLMv1-хэшей?
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
Google и Mandiant вывалили 8.6 ТБ предрасчитанных радужных таблиц - 1,122,334,455,667,788 паролей.
💀 NetNTLMv1: конец эпохи
💻 < $600 железа → < 12 часов → ключ в кармане.
🛠️Что нужно? - gsutil, DownThemAll, и много свободного места.
📦
https://console.cloud.google.com/storage/browser/net-ntlmv1-tables/tables;tab=objects?pageState=("StorageObjectListTable":("f":"%255B%255D"))&pli=1&prefix=&forceOnObjectsSortingFiltering=false🤔2
Forwarded from PT SWARM
This media is not supported in your browser
VIEW IN TELEGRAM
📞 Microsoft fixed an authenticated RCE in Windows Telephony Service (CVE-2026-20931), discovered by our researcher Sergey Bliznyuk.
Read the write-up: https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/
Read the write-up: https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/
Forwarded from 1N73LL1G3NC3
Chisel-ng
A Rust implementation of chisel for penetration testing and red team operations. Establishes reverse tunnels over SSH-over-WebSocket-over-TLS, allowing operators to pivot through compromised hosts while blending with normal HTTPS traffic.
A Rust implementation of chisel for penetration testing and red team operations. Establishes reverse tunnels over SSH-over-WebSocket-over-TLS, allowing operators to pivot through compromised hosts while blending with normal HTTPS traffic.
😁3
Pentester's Backlog
Взял себе по итогу:
Lenovo Lecoo Pro 14 2025
AMD Ryzen 7 H 255, RAM 32 ГБ, SSD 1024 ГБ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
Forwarded from Cybred
Еще даже не успели присвоить CVE
В
Под ударом практически все дистрибутивы Linux, которые ставят
— Debian / Ubuntu / Kali / Trisquel и производные
— Многие embedded-системы, старые роутеры, IoT-устройства, промышленные контроллеры, где до сих пор жив telnet
Shodan сейчас находит 732,350 устройств по всему миру.
А чтобы эксплуатировать, достаточно одной команды:
UPD.: присвоили https://nvd.nist.gov/vuln/detail/CVE-2026-24061
В
telnetd начиная с версии 1.9.3 (май 2015 года) и вплоть до 2.7 (включительно) существует уязвимость, которая позволяет любому подключиться от имени root, без проверки пароля.Под ударом практически все дистрибутивы Linux, которые ставят
inetutils-telnetd из репозиториев:— Debian / Ubuntu / Kali / Trisquel и производные
— Многие embedded-системы, старые роутеры, IoT-устройства, промышленные контроллеры, где до сих пор жив telnet
Shodan сейчас находит 732,350 устройств по всему миру.
А чтобы эксплуатировать, достаточно одной команды:
$ USER="-f root" telnet -a IP PORT
UPD.: присвоили https://nvd.nist.gov/vuln/detail/CVE-2026-24061
Forwarded from [DeteAct] Оценка защищённости
Захват аккаунта через telegram-бот: от своего номера к чужому профилю
Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.
Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных.
Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/
Deteact - Тестирование на проникновение. Информационная безопасность
Захват аккаунта через telegram-бот: от своего номера к чужому профилю - Deteact
Автор баги: arkiix Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки…
Pentester's Backlog
Кидаю
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
backlog-links
NESSUS 10.10.1
https://drive.google.com/file/d/1bbIad-kb-g2VWPEEQ-51sekVOB7ulhlY/view
password: ⢈⠩⣐⠤⡡⠙⣠⠨⡒
https://drive.google.com/file/d/1bbIad-kb-g2VWPEEQ-51sekVOB7ulhlY/view
password: ⢈⠩⣐⠤⡡⠙⣠⠨⡒
🔥3😁3
Forwarded from Pentester`s Notes
👋 Всем привет!
Сталкивались с ситуацией, когда в организации грамотно настроен выход в интернет?
Сценарий такой:
🔒 По умолчанию доступ в интернет с хостов запрещен.
🌐 Есть корпоративный прокси-сервер с обязательной аутентификацией.
🤔 Да ещё и только по протоколу Kerberos (Negotiate), и не каждому пользователю разрешён выход.
Итак, что делать, если вы получили доступ к хосту от имени доменного пользователя, которому разрешён выход в интернет? Мне сразу же хочется пробросить сессию наружу, запроксироваться и закрепиться тихо и надолго. 😄
💡 Поиск решения
Я перебрал много известных инструментов, но не нашёл ничего подходящего. Большинство решений поддерживают только NTLM или Basic аутентификацию, либо вообще не умеют работать с прокси.
Пришла идея написать небольшой прокси-сервер-прослойку, который бы принимал соединения без аутентификации и сам проходил её на корпоративном прокси. Но встал вопрос: откуда брать учетные данные?
🛠 Первые шаги
Нашёлся старый, но рабочий репозиторий — win-auth-proxy (ссылка). Автор реализовал извлечение дескриптора учётных данных из текущей сессии пользователя с помощью winapi функции AcquireCredentialsHandle, а затем использовал InitializeSecurityContext для аутентификации на проксе.
Скомпилировал его, почти ничего не меняя, и — о чудо, всё завелось! ✨ Но тащить два бинаря на хост показалось не очень элегантным решением.
🚀 Идеальный инструмент
Тут я вспомнил про замечательный инструмент reverse_ssh (ссылка). Он тихий и поддерживает всё, что нужно:
- Интерактивную сессию
- Проксирование
- Проброс портов
- Передачу файлов
В общем, всё, что может обычный SSH. Я форкнул репозиторий и добавил необходимые доработки для аутентификации на прокси с использованием текущих учётных данных пользователя Windows.
Отдельно стоит упомянуть гибкость транспортов. Инструмент умеет работать не только по чистому TCP, но и заворачивать трафик в HTTP, HTTPS, TLS, WS (WebSocket) и WSS. Это критически важно для обхода DPI и маскировки под легитимный веб-трафик в жестко контролируемых сетях.
Позже один молодой эксперт (nollium) доработал инструмент, добавив аутентификацию через NTLM с указанием кредов. Что удобно для запуска, например с linux систем.
💪 Финальный штрих
Я столкнулся с проблемой, когда прокси-сервер находится в одном домене AD, а пользователь — в другом. Происходила ошибка из-за неверного выбора realm. Эту проблему я тоже исправил.
Чтобы использовать фичу, достаточно добавить флаг
Теперь у нас есть мощный инструмент, который поможет пробить стену!
PS. Все изменения уже доступны в оригинальном репозитории. Пользуйтесь на здоровье!
#pentest #redteam #proxy #kerberos #ssh #infosec #bypass #auth #negotiate
Сталкивались с ситуацией, когда в организации грамотно настроен выход в интернет?
Сценарий такой:
🔒 По умолчанию доступ в интернет с хостов запрещен.
🌐 Есть корпоративный прокси-сервер с обязательной аутентификацией.
🤔 Да ещё и только по протоколу Kerberos (Negotiate), и не каждому пользователю разрешён выход.
Итак, что делать, если вы получили доступ к хосту от имени доменного пользователя, которому разрешён выход в интернет? Мне сразу же хочется пробросить сессию наружу, запроксироваться и закрепиться тихо и надолго. 😄
💡 Поиск решения
Я перебрал много известных инструментов, но не нашёл ничего подходящего. Большинство решений поддерживают только NTLM или Basic аутентификацию, либо вообще не умеют работать с прокси.
Пришла идея написать небольшой прокси-сервер-прослойку, который бы принимал соединения без аутентификации и сам проходил её на корпоративном прокси. Но встал вопрос: откуда брать учетные данные?
🛠 Первые шаги
Нашёлся старый, но рабочий репозиторий — win-auth-proxy (ссылка). Автор реализовал извлечение дескриптора учётных данных из текущей сессии пользователя с помощью winapi функции AcquireCredentialsHandle, а затем использовал InitializeSecurityContext для аутентификации на проксе.
Скомпилировал его, почти ничего не меняя, и — о чудо, всё завелось! ✨ Но тащить два бинаря на хост показалось не очень элегантным решением.
🚀 Идеальный инструмент
Тут я вспомнил про замечательный инструмент reverse_ssh (ссылка). Он тихий и поддерживает всё, что нужно:
- Интерактивную сессию
- Проксирование
- Проброс портов
- Передачу файлов
В общем, всё, что может обычный SSH. Я форкнул репозиторий и добавил необходимые доработки для аутентификации на прокси с использованием текущих учётных данных пользователя Windows.
Отдельно стоит упомянуть гибкость транспортов. Инструмент умеет работать не только по чистому TCP, но и заворачивать трафик в HTTP, HTTPS, TLS, WS (WebSocket) и WSS. Это критически важно для обхода DPI и маскировки под легитимный веб-трафик в жестко контролируемых сетях.
Позже один молодой эксперт (nollium) доработал инструмент, добавив аутентификацию через NTLM с указанием кредов. Что удобно для запуска, например с linux систем.
💪 Финальный штрих
Я столкнулся с проблемой, когда прокси-сервер находится в одном домене AD, а пользователь — в другом. Происходила ошибка из-за неверного выбора realm. Эту проблему я тоже исправил.
Чтобы использовать фичу, достаточно добавить флаг
--use-kerberos при генерации агента:link --https --name main_agent --use-kerberos --proxy http://proxy.example.com:8080 --goos windows
Теперь у нас есть мощный инструмент, который поможет пробить стену!
PS. Все изменения уже доступны в оригинальном репозитории. Пользуйтесь на здоровье!
#pentest #redteam #proxy #kerberos #ssh #infosec #bypass #auth #negotiate
❤2👍1🔥1
Forwarded from Обнаженный периметр
Помните такое расширение для BurpSuite JSAnalyzer?
• Я сделал его CLI, добавил режимы работы - secrets, endpoints, files, emails
• Добавил детект секретов из trufflehog (200+ паттернов)
Хорош, как дополнение для бб или пентестов - ищет дополнительные эндпоинты из JS, можно обогощать разведку и искать low hanging fruits в виде захардкоженных кредов. Можно использовать на больших скоупах. Работает в связке с katana так и в одиночку через передачу url -u
https://github.com/etyvrox/jshonker
• Я сделал его CLI, добавил режимы работы - secrets, endpoints, files, emails
• Добавил детект секретов из trufflehog (200+ паттернов)
Хорош, как дополнение для бб или пентестов - ищет дополнительные эндпоинты из JS, можно обогощать разведку и искать low hanging fruits в виде захардкоженных кредов. Можно использовать на больших скоупах. Работает в связке с katana так и в одиночку через передачу url -u
https://github.com/etyvrox/jshonker
👍5😁1
Top 10 Web Hacking Techniques of 2025 by PortSwigger
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
Forwarded from Очерк
Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵💫
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Forwarded from AD_POHEQUE
acunetix — бесспорный эталон качества среди сканеров веб-уязвимостей. в России с ним вечная драма: вендор капризничает, лицензии не продаёт, а очередной «кряк» нередко пахнет чужим трояном.
мой давний друг и коллега, Леонид изъял у acunetix главное — базу проверок. посадил этот «мозг» на собственный python-движок. без монструозного gui, без привязки к конкретной ос, без необходимости кормиться чужими сомнительными «таблетками». и назвал его — acuscan.
очевидный профит:
— качество проверок остаётся на уровне acunetix, источник тот же
— переносимость: linux, macos, контейнеры, ci/cd — хоть на сервере, хоть в пайплайне
— расширяемость: базу можно фильтровать, разбирать, дополнять своими проверками
— прозрачность: меньше «чёрного ящика», больше контроля и повторяемости
пока что это beta версия, но и этого достаточно для достижения результата.
#BugBounty #Pentest
ссылка на репозиторий:
https://github.com/neolead/acuscan
канал автора:
https://t.me/poheque
мой давний друг и коллега, Леонид изъял у acunetix главное — базу проверок. посадил этот «мозг» на собственный python-движок. без монструозного gui, без привязки к конкретной ос, без необходимости кормиться чужими сомнительными «таблетками». и назвал его — acuscan.
очевидный профит:
— качество проверок остаётся на уровне acunetix, источник тот же
— переносимость: linux, macos, контейнеры, ci/cd — хоть на сервере, хоть в пайплайне
— расширяемость: базу можно фильтровать, разбирать, дополнять своими проверками
— прозрачность: меньше «чёрного ящика», больше контроля и повторяемости
пока что это beta версия, но и этого достаточно для достижения результата.
#BugBounty #Pentest
ссылка на репозиторий:
https://github.com/neolead/acuscan
канал автора:
https://t.me/poheque
🔥2❤1😁1
MSSQL - Privilege escalation from
📕 Research
NT SERVICE\MSSQLSERVER to NT AUTHORITY\SYSTEM without SeImpersonatePrivilege📕 Research
xct’s blog
MSSQL Silver Tickets and Token Privileges
I ran into an interesting situation while reviewing Signed on HackTheBox: We get MSSQL access through a silver ticket, which leads to admin privileges on the MSSQL service - but the service account had been stripped of all useful privileges.
❤2😁1
Forwarded from SecuriXy.kz
🚨 CVE-2026-1529 | Keycloak | CVSS 8.1 High
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
Forwarded from Pwn3rzs
PingCastle_Pro_v3.5.0.37_Cracked_Pwn3rzs.7z
52.3 MB
This is Pingcastle 3.5.0.37 Pro (Cracked)
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Password : Pwn3rzs_202601100818