Pentester's Backlog
Кидаю
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
backlog-links
NESSUS 10.10.1
https://drive.google.com/file/d/1bbIad-kb-g2VWPEEQ-51sekVOB7ulhlY/view
password: ⢈⠩⣐⠤⡡⠙⣠⠨⡒
https://drive.google.com/file/d/1bbIad-kb-g2VWPEEQ-51sekVOB7ulhlY/view
password: ⢈⠩⣐⠤⡡⠙⣠⠨⡒
🔥3😁3
Forwarded from Pentester`s Notes
👋 Всем привет!
Сталкивались с ситуацией, когда в организации грамотно настроен выход в интернет?
Сценарий такой:
🔒 По умолчанию доступ в интернет с хостов запрещен.
🌐 Есть корпоративный прокси-сервер с обязательной аутентификацией.
🤔 Да ещё и только по протоколу Kerberos (Negotiate), и не каждому пользователю разрешён выход.
Итак, что делать, если вы получили доступ к хосту от имени доменного пользователя, которому разрешён выход в интернет? Мне сразу же хочется пробросить сессию наружу, запроксироваться и закрепиться тихо и надолго. 😄
💡 Поиск решения
Я перебрал много известных инструментов, но не нашёл ничего подходящего. Большинство решений поддерживают только NTLM или Basic аутентификацию, либо вообще не умеют работать с прокси.
Пришла идея написать небольшой прокси-сервер-прослойку, который бы принимал соединения без аутентификации и сам проходил её на корпоративном прокси. Но встал вопрос: откуда брать учетные данные?
🛠 Первые шаги
Нашёлся старый, но рабочий репозиторий — win-auth-proxy (ссылка). Автор реализовал извлечение дескриптора учётных данных из текущей сессии пользователя с помощью winapi функции AcquireCredentialsHandle, а затем использовал InitializeSecurityContext для аутентификации на проксе.
Скомпилировал его, почти ничего не меняя, и — о чудо, всё завелось! ✨ Но тащить два бинаря на хост показалось не очень элегантным решением.
🚀 Идеальный инструмент
Тут я вспомнил про замечательный инструмент reverse_ssh (ссылка). Он тихий и поддерживает всё, что нужно:
- Интерактивную сессию
- Проксирование
- Проброс портов
- Передачу файлов
В общем, всё, что может обычный SSH. Я форкнул репозиторий и добавил необходимые доработки для аутентификации на прокси с использованием текущих учётных данных пользователя Windows.
Отдельно стоит упомянуть гибкость транспортов. Инструмент умеет работать не только по чистому TCP, но и заворачивать трафик в HTTP, HTTPS, TLS, WS (WebSocket) и WSS. Это критически важно для обхода DPI и маскировки под легитимный веб-трафик в жестко контролируемых сетях.
Позже один молодой эксперт (nollium) доработал инструмент, добавив аутентификацию через NTLM с указанием кредов. Что удобно для запуска, например с linux систем.
💪 Финальный штрих
Я столкнулся с проблемой, когда прокси-сервер находится в одном домене AD, а пользователь — в другом. Происходила ошибка из-за неверного выбора realm. Эту проблему я тоже исправил.
Чтобы использовать фичу, достаточно добавить флаг
Теперь у нас есть мощный инструмент, который поможет пробить стену!
PS. Все изменения уже доступны в оригинальном репозитории. Пользуйтесь на здоровье!
#pentest #redteam #proxy #kerberos #ssh #infosec #bypass #auth #negotiate
Сталкивались с ситуацией, когда в организации грамотно настроен выход в интернет?
Сценарий такой:
🔒 По умолчанию доступ в интернет с хостов запрещен.
🌐 Есть корпоративный прокси-сервер с обязательной аутентификацией.
🤔 Да ещё и только по протоколу Kerberos (Negotiate), и не каждому пользователю разрешён выход.
Итак, что делать, если вы получили доступ к хосту от имени доменного пользователя, которому разрешён выход в интернет? Мне сразу же хочется пробросить сессию наружу, запроксироваться и закрепиться тихо и надолго. 😄
💡 Поиск решения
Я перебрал много известных инструментов, но не нашёл ничего подходящего. Большинство решений поддерживают только NTLM или Basic аутентификацию, либо вообще не умеют работать с прокси.
Пришла идея написать небольшой прокси-сервер-прослойку, который бы принимал соединения без аутентификации и сам проходил её на корпоративном прокси. Но встал вопрос: откуда брать учетные данные?
🛠 Первые шаги
Нашёлся старый, но рабочий репозиторий — win-auth-proxy (ссылка). Автор реализовал извлечение дескриптора учётных данных из текущей сессии пользователя с помощью winapi функции AcquireCredentialsHandle, а затем использовал InitializeSecurityContext для аутентификации на проксе.
Скомпилировал его, почти ничего не меняя, и — о чудо, всё завелось! ✨ Но тащить два бинаря на хост показалось не очень элегантным решением.
🚀 Идеальный инструмент
Тут я вспомнил про замечательный инструмент reverse_ssh (ссылка). Он тихий и поддерживает всё, что нужно:
- Интерактивную сессию
- Проксирование
- Проброс портов
- Передачу файлов
В общем, всё, что может обычный SSH. Я форкнул репозиторий и добавил необходимые доработки для аутентификации на прокси с использованием текущих учётных данных пользователя Windows.
Отдельно стоит упомянуть гибкость транспортов. Инструмент умеет работать не только по чистому TCP, но и заворачивать трафик в HTTP, HTTPS, TLS, WS (WebSocket) и WSS. Это критически важно для обхода DPI и маскировки под легитимный веб-трафик в жестко контролируемых сетях.
Позже один молодой эксперт (nollium) доработал инструмент, добавив аутентификацию через NTLM с указанием кредов. Что удобно для запуска, например с linux систем.
💪 Финальный штрих
Я столкнулся с проблемой, когда прокси-сервер находится в одном домене AD, а пользователь — в другом. Происходила ошибка из-за неверного выбора realm. Эту проблему я тоже исправил.
Чтобы использовать фичу, достаточно добавить флаг
--use-kerberos при генерации агента:link --https --name main_agent --use-kerberos --proxy http://proxy.example.com:8080 --goos windows
Теперь у нас есть мощный инструмент, который поможет пробить стену!
PS. Все изменения уже доступны в оригинальном репозитории. Пользуйтесь на здоровье!
#pentest #redteam #proxy #kerberos #ssh #infosec #bypass #auth #negotiate
❤2👍1🔥1
Forwarded from Обнаженный периметр
Помните такое расширение для BurpSuite JSAnalyzer?
• Я сделал его CLI, добавил режимы работы - secrets, endpoints, files, emails
• Добавил детект секретов из trufflehog (200+ паттернов)
Хорош, как дополнение для бб или пентестов - ищет дополнительные эндпоинты из JS, можно обогощать разведку и искать low hanging fruits в виде захардкоженных кредов. Можно использовать на больших скоупах. Работает в связке с katana так и в одиночку через передачу url -u
https://github.com/etyvrox/jshonker
• Я сделал его CLI, добавил режимы работы - secrets, endpoints, files, emails
• Добавил детект секретов из trufflehog (200+ паттернов)
Хорош, как дополнение для бб или пентестов - ищет дополнительные эндпоинты из JS, можно обогощать разведку и искать low hanging fruits в виде захардкоженных кредов. Можно использовать на больших скоупах. Работает в связке с katana так и в одиночку через передачу url -u
https://github.com/etyvrox/jshonker
👍5😁1
Top 10 Web Hacking Techniques of 2025 by PortSwigger
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
Forwarded from Очерк
Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵💫
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/
Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится.
Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев.
В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна.
Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻
Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Forwarded from AD_POHEQUE
acunetix — бесспорный эталон качества среди сканеров веб-уязвимостей. в России с ним вечная драма: вендор капризничает, лицензии не продаёт, а очередной «кряк» нередко пахнет чужим трояном.
мой давний друг и коллега, Леонид изъял у acunetix главное — базу проверок. посадил этот «мозг» на собственный python-движок. без монструозного gui, без привязки к конкретной ос, без необходимости кормиться чужими сомнительными «таблетками». и назвал его — acuscan.
очевидный профит:
— качество проверок остаётся на уровне acunetix, источник тот же
— переносимость: linux, macos, контейнеры, ci/cd — хоть на сервере, хоть в пайплайне
— расширяемость: базу можно фильтровать, разбирать, дополнять своими проверками
— прозрачность: меньше «чёрного ящика», больше контроля и повторяемости
пока что это beta версия, но и этого достаточно для достижения результата.
#BugBounty #Pentest
ссылка на репозиторий:
https://github.com/neolead/acuscan
канал автора:
https://t.me/poheque
мой давний друг и коллега, Леонид изъял у acunetix главное — базу проверок. посадил этот «мозг» на собственный python-движок. без монструозного gui, без привязки к конкретной ос, без необходимости кормиться чужими сомнительными «таблетками». и назвал его — acuscan.
очевидный профит:
— качество проверок остаётся на уровне acunetix, источник тот же
— переносимость: linux, macos, контейнеры, ci/cd — хоть на сервере, хоть в пайплайне
— расширяемость: базу можно фильтровать, разбирать, дополнять своими проверками
— прозрачность: меньше «чёрного ящика», больше контроля и повторяемости
пока что это beta версия, но и этого достаточно для достижения результата.
#BugBounty #Pentest
ссылка на репозиторий:
https://github.com/neolead/acuscan
канал автора:
https://t.me/poheque
🔥2❤1😁1
MSSQL - Privilege escalation from
📕 Research
NT SERVICE\MSSQLSERVER to NT AUTHORITY\SYSTEM without SeImpersonatePrivilege📕 Research
xct’s blog
MSSQL Silver Tickets and Token Privileges
I ran into an interesting situation while reviewing Signed on HackTheBox: We get MSSQL access through a silver ticket, which leads to admin privileges on the MSSQL service - but the service account had been stripped of all useful privileges.
❤2😁1
Forwarded from SecuriXy.kz
🚨 CVE-2026-1529 | Keycloak | CVSS 8.1 High
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
В Keycloak обнаружена уязвимость в механизме invitation token для регистрации. Сервер не проверяет криптографическую подпись JWT - атакующий может взять легитимный токен приглашения, подменить org_id и email в payload и зарегистрировать учетку в чужой организации.
⚠️ Риски
Несанкционированные учетки в закрытых организациях, обход invite-only онбординга, доступ к ресурсам через SSO, потенциальная эскалация привилегий через RBAC
🛡️ Что делать:
1. Обновится RHSA-2026:2363 - 2366
2. Провести аудит регистрации новых пользователей за последние дни
3. Убедиться в строгой валидации JWT (подпись, audience, issuer, expiry)
4. Ограничить доступ к эндпоинтам регистрации через WAF/rate-limiting
🔗 GHSA
🔗 Writeup
🔗 PoC
Forwarded from Pwn3rzs
PingCastle_Pro_v3.5.0.37_Cracked_Pwn3rzs.7z
52.3 MB
This is Pingcastle 3.5.0.37 Pro (Cracked)
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Release Note : https://github.com/netwrix/pingcastle/releases/tag/3.5.0.37
Password : Pwn3rzs_202601100818
Forwarded from pwned?
Вот пример интересного IDOR
В примерах к IDOR часто описывают что-то типа
Если ни один из очевидных методов не сработал, стоит изучить сервис и найти методы, связанные с этой сущностью. Вот прекрасный пример: https://hackerone.com/reports/2950536
1. Прогнозирование ID
В современных приложениях всё реже встречаются целочисленные идентификаторы, но это не приговор. Важно убедиться, что идентификатор действительно непредсказуемый. Вот тут автор приводит ссылку на методологию генерации ID в Salesforce: https://blog.hypn.za.net/2022/11/12/Hacking-Salesforce-backed-WebApps/
2. Эксплуатация уязвимого контроллера
На портале есть уязвимый Apex-контроллер с функцией
Злоумышленник, используя предсказанный ID чужого вложения и свой собственный ID, отправляет запрос к этому контроллеру.
В результате контроллер создает копию чужого защищенного файла, но привязывает её к учетной записи злоумышленника. После того как копия файла оказалась привязана к аккаунту злоумышленника, он может скачать её через стандартный механизм, так как теперь формально является её владельцем.
В примерах к IDOR часто описывают что-то типа
GET /api/v1/user/1/document/1. Тут всё логично: мы, конечно, попробуем перебрать чужие документы. Но что, если на GET запрос возвращается ошибка доступа? Это не повод отчаиваться. Не забываем про CRUD — даже если в интерфейсе нет красивых кнопочек, возможно, на сервере есть обработчик, и, что важнее, он может не проверять права доступа.Если ни один из очевидных методов не сработал, стоит изучить сервис и найти методы, связанные с этой сущностью. Вот прекрасный пример: https://hackerone.com/reports/2950536
1. Прогнозирование ID
В современных приложениях всё реже встречаются целочисленные идентификаторы, но это не приговор. Важно убедиться, что идентификатор действительно непредсказуемый. Вот тут автор приводит ссылку на методологию генерации ID в Salesforce: https://blog.hypn.za.net/2022/11/12/Hacking-Salesforce-backed-WebApps/
2. Эксплуатация уязвимого контроллера
На портале есть уязвимый Apex-контроллер с функцией
cloneAttachment. Эта функция предназначена для копирования вложений, но не проверяет должным образом права доступа.Злоумышленник, используя предсказанный ID чужого вложения и свой собственный ID, отправляет запрос к этому контроллеру.
В результате контроллер создает копию чужого защищенного файла, но привязывает её к учетной записи злоумышленника. После того как копия файла оказалась привязана к аккаунту злоумышленника, он может скачать её через стандартный механизм, так как теперь формально является её владельцем.
Forwarded from SecuriXy.kz
📘 Red Team Infrastructure: Самый полный гайд 2026 года по созданию устойчивой и скрытой инфраструктуры для Red Team: от домена до стабильных beacon‑ов.
Ключевые элементы:
📌 прогрев и подготовка домена
📌 CDN‑Relay через Microsoft / AWS / Google
📌 многоуровневый Redirector
📌 изоляция Team Server + Malleable‑профиль
🔗Ссылка: https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/
🎣 Дополнительно (фишинговая инфраструктура с нуля):
https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/#phase-11-phishing-infrastructure
⚙️ автоматизация всей схемы через Terraform:
https://blog.malicious.group/automating-c2-infrastructure-with-terraform-nebula-caddy-and-cobalt-strike/#tldr
#redteam #Infrastructure #cybered #apt
Ключевые элементы:
📌 прогрев и подготовка домена
📌 CDN‑Relay через Microsoft / AWS / Google
📌 многоуровневый Redirector
📌 изоляция Team Server + Malleable‑профиль
🔗Ссылка: https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/
🎣 Дополнительно (фишинговая инфраструктура с нуля):
https://0xdbgman.github.io/posts/red-team-infrastructure-the-full-picture/#phase-11-phishing-infrastructure
⚙️ автоматизация всей схемы через Terraform:
https://blog.malicious.group/automating-c2-infrastructure-with-terraform-nebula-caddy-and-cobalt-strike/#tldr
#redteam #Infrastructure #cybered #apt
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from InfoSec VK Hub
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM