CVE-2026-20896 в Gitea уже начали дергать вживую: по данным Sysdig, первая активность появилась через 13 дней после раскрытия
В Docker-шаблоне
♾️ Импакт♾️
Известный или угадываемый логин превращается в сессию этого пользователя. Для
♾️ PoC♾️
Я не нашёл публичных PoC, поэтому написал свой и выложил публичный PoC/чекер: szybnev/cve-2026-20896-gitea-poc
В репе есть Go-версия для массовой проверки с
♾️ Митигация♾️
▪️ обновиться минимум до
▪️ не публиковать giea напрямую
▪️ явно настроить trusted proxies
▪️ не включать reverse-proxy auth без понятной сетевой границы
🔗 Источники:
GHSA-f75j-4cw6-rmx4 / Gitea 1.26.3/1.26.4 release notes
fix PR #38151 / CVE record
Sysdig telemetry via The Hacker News
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
В Docker-шаблоне
app.ini был дефолт REVERSE_PROXY_TRUSTED_PROXIES = *, хотя безопасное значение должно доверять только loopback. Если админ включил ENABLE_REVERSE_PROXY_AUTHENTICATION для работы за аутентифицирующим reverse proxy и при этом HTTP-порт контейнера доступен напрямую, любой клиент может прислать X-WEBAUTH-USER: poxek и попасть в Gitea как poxek без пароля и токена.Известный или угадываемый логин превращается в сессию этого пользователя. Для
admin, gitea_admin и похожих имен это уже полный takeover Gitea на уровне приложения: приватные репозитории, пользователи, организации, packages, релизы, вебхуки и потенциально downstream CI/CD. RCE не является гарантированным блекбокс импактом самой CVE; его можно заявлять только если конкретная инсталляция позволяет дойти до выполнения кода через runner, хуки, CI-секреты или deployment-пайплайн.Я не нашёл публичных PoC, поэтому написал свой и выложил публичный PoC/чекер: szybnev/cve-2026-20896-gitea-poc
В репе есть Go-версия для массовой проверки с
--targets, --user-file, --concurrency, --jsonl и --dry-run, плюс простой Bash скриптик без зависимостей. Чекер сначала парсит страницу и не фаззит usernames, если видит Gitea >=1.26.3, например Powered by Gitea Version: 1.26.4. Для уязвимой локальной 1.26.2 проверка подтверждает impersonation по title dashboard без cookie и пароля.1.26.3, лучше до 1.26.4+;GHSA-f75j-4cw6-rmx4 / Gitea 1.26.3/1.26.4 release notes
fix PR #38151 / CVE record
Sysdig telemetry via The Hacker News
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8👍4 2
RedWing: Android-шпион в аренду через Telegram
RedWing — хорошо упакованный Malware-as-a-Service. По данным Zimperium zLabs, оператор получает Telegram-бота и панель, где можно собрать дроппер, выбрать фальшивую страницу магазина приложений, подставить рейтинги, отзывы и число загрузок, а затем сгенерировать APK под свою вредоносную кампанию. В приманках имитируются Google Play, Galaxy Store, AppGallery, а один из образцов маскировался под RuStore.
Дальше всё держится на правах, которые пользователь сам выдаёт под давлением интерфейса. RedWing по очереди просит отключить ограничения батареи, назначить приложение обработчиком SMS, дать доступ к уведомлениям,
♾️ Как защищаться♾️
1. Пользовательский минимум: не ставить APK из ссылок в мессенджерах и "сторонних магазинов приложений", открытых из рекламы или чата; не выдавать
2. Быстрая проверка телефона: открыть настройки Android и посмотреть
3. Если уже были банковские операции: связаться с банком, сбросить пароли, перевыпустить токены/карты по ситуации, проверить переадресацию вызовов у оператора или через
4. Для компаний: MDM-политикой запретить установку из неизвестных источников, ограничить
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
RedWing — хорошо упакованный Malware-as-a-Service. По данным Zimperium zLabs, оператор получает Telegram-бота и панель, где можно собрать дроппер, выбрать фальшивую страницу магазина приложений, подставить рейтинги, отзывы и число загрузок, а затем сгенерировать APK под свою вредоносную кампанию. В приманках имитируются Google Play, Galaxy Store, AppGallery, а один из образцов маскировался под RuStore.
Дальше всё держится на правах, которые пользователь сам выдаёт под давлением интерфейса. RedWing по очереди просит отключить ограничения батареи, назначить приложение обработчиком SMS, дать доступ к уведомлениям,
Accessibility и показу поверх других окон. После этого это уже не просто стилер: C2 видит статус прав, список приложений, SMS, контакты, вызовы, файлы и локацию, может открывать URL и приложения, рисовать банковские/крипто-оверлеи, вести кейлогинг, стримить экран через VNC/MediaProjection, включать камеру и микрофон. Отдельная деталь — команда на включение переадресации вызовов через *21*...#, чтобы перехватывать голосовые проверки банка.1. Пользовательский минимум: не ставить APK из ссылок в мессенджерах и "сторонних магазинов приложений", открытых из рекламы или чата; не выдавать
Accessibility, роль SMS-приложения, доступ к уведомлениям и «поверх других окон» неизвестным приложениям. Самое опасное из этого Accessibility, т.к. иногда даже права администратора не нужны, если разработчик ВПО знает как правильно написать малварь с относительно минимальными правами2. Быстрая проверка телефона: открыть настройки Android и посмотреть
Accessibility, приложения по умолчанию для SMS, доступ к уведомлениям, администраторов устройства, приложения с неограниченной работой в фоне и правом рисовать поверх окон. Всё лишнее — отключить и удалить, лучше из безопасного режима.3. Если уже были банковские операции: связаться с банком, сбросить пароли, перевыпустить токены/карты по ситуации, проверить переадресацию вызовов у оператора или через
##21#, перенести 2FA с SMS на приложение/аппаратный ключ там, где это возможно.4. Для компаний: MDM-политикой запретить установку из неизвестных источников, ограничить
Accessibility и роль SMS-приложения, ставить алерты на связку Overlay + Notification Listener + SMS + MediaProjection, охотиться по поведению и IoC.Please open Telegram to view this post
VIEW IN TELEGRAM
IonStack: root Android 17 с одного URL
Nebula Security показала IonStack — публичную демонстрацию цепочки Firefox → Linux kernel, которая на Android 17 может довести один клик по URL до root-доступа. В цепочке две уязвимости: CVE-2026-10702, JIT miscompilation в JavaScript Engine Firefox, закрытая в Firefox 151.0.3, и CVE-2026-43499 GhostLock — use-after-free в
Технически это browser-to-kernel full chain. Сначала баг в Firefox дает выполнение кода в контексте браузера, затем локальная kernel LPE пробивает изоляцию и повышает привилегии. У GhostLock механика: обычные threading/futex syscalls оставляют висячий указатель на стек ядра; по данным Nebula, уязвимый диапазон — Linux
Важное ограничение: это публичное исследовательское демо и открытый PoC, а не подтверждение массовой эксплуатации. Android-часть зависит от Firefox/Fenix и конкретной поддержки ядра на устройстве; на демо-сайте Nebula прямо предупреждает о возможных падениях, изменениях в системе и потере данных.
🐱 GitHub PoC
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Nebula Security показала IonStack — публичную демонстрацию цепочки Firefox → Linux kernel, которая на Android 17 может довести один клик по URL до root-доступа. В цепочке две уязвимости: CVE-2026-10702, JIT miscompilation в JavaScript Engine Firefox, закрытая в Firefox 151.0.3, и CVE-2026-43499 GhostLock — use-after-free в
rtmutex/futex-PI коде ядра Linux.Технически это browser-to-kernel full chain. Сначала баг в Firefox дает выполнение кода в контексте браузера, затем локальная kernel LPE пробивает изоляцию и повышает привилегии. У GhostLock механика: обычные threading/futex syscalls оставляют висячий указатель на стек ядра; по данным Nebula, уязвимый диапазон — Linux
2.6.39-rc1 до 7.1-rc1 при CONFIG_FUTEX_PI=y, а их эксплуатация в kernelCTF была около 97% стабильной.Важное ограничение: это публичное исследовательское демо и открытый PoC, а не подтверждение массовой эксплуатации. Android-часть зависит от Firefox/Fenix и конкретной поддержки ядра на устройстве; на демо-сайте Nebula прямо предупреждает о возможных падениях, изменениях в системе и потере данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
PowerShell не умер
Материал Maland на Screetsec хорошо показывает, почему PowerShell все еще жив в red team и реальных атаках. Используем штатный Windows-инструмент с доступом к .NET, памяти процесса, системным API и привычным административным сценариям.
В статье собран почти полный маршрут операции: fileless-нагрузка, социальная инженерия через ClickFix/Fake CAPTCHA и FileFix, запуск через Run dialog или адресную строку Explorer, обход Execution Policy, AMSI, Script Block Logging и ETW, разведка в AD, повышение привилегий, выгрузка учетных данных и зачистка следов. Ценность материала в том, что он показывает не один трюк, а цепочки: ClickFix становится убедительнее, когда маскируется под интервью, Google Meet или HR-портал.
Защитный вывод простой: Execution Policy нельзя считать границей безопасности. Microsoft описывает ее как механизм против случайного запуска, а не как контроль, ограничивающий действия пользователя. Поэтому ставка только на
Что смотреть защитникам: PowerShell из необычных родительских процессов, команды из буфера обмена после веб-страниц, обращения к(это база, стыдно не знать) в Threat Detection Report ставит PowerShell на 2-е место среди техник по распространенности, так что это не ретро-тема.
Итог: блокировать PowerShell вслепую нереалистично. Рабочая модель — Windows App Control/Constrained Language Mode, Tamper Protection, телеметрия процессов, командной строки, сети, Script Block Logging, AMSI/ETW и отдельные детекты под пользовательские цепочки вроде ClickFix.
Upd: Make Powershell great again! 😂
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Материал Maland на Screetsec хорошо показывает, почему PowerShell все еще жив в red team и реальных атаках. Используем штатный Windows-инструмент с доступом к .NET, памяти процесса, системным API и привычным административным сценариям.
В статье собран почти полный маршрут операции: fileless-нагрузка, социальная инженерия через ClickFix/Fake CAPTCHA и FileFix, запуск через Run dialog или адресную строку Explorer, обход Execution Policy, AMSI, Script Block Logging и ETW, разведка в AD, повышение привилегий, выгрузка учетных данных и зачистка следов. Ценность материала в том, что он показывает не один трюк, а цепочки: ClickFix становится убедительнее, когда маскируется под интервью, Google Meet или HR-портал.
Защитный вывод простой: Execution Policy нельзя считать границей безопасности. Microsoft описывает ее как механизм против случайного запуска, а не как контроль, ограничивающий действия пользователя. Поэтому ставка только на
AllSigned или запрет .ps1 быстро ломается о iex, вставку команд вручную, выполнение в памяти и обфускацию строк.Что смотреть защитникам: PowerShell из необычных родительских процессов, команды из буфера обмена после веб-страниц, обращения к
RunMRU, сетевые загрузки, попытки отключить Defender/AMSI/логирование, правки PSReadLine history и цепочки Explorer -> PowerShell. Red Canary Итог: блокировать PowerShell вслепую нереалистично. Рабочая модель — Windows App Control/Constrained Language Mode, Tamper Protection, телеметрия процессов, командной строки, сети, Script Block Logging, AMSI/ETW и отдельные детекты под пользовательские цепочки вроде ClickFix.
Upd: Make Powershell great again! 😂
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13 1
LOLCreds: карта учётных данных, которые могут быть вам интересны
Нашёл LOLCreds - открытый каталог, который сводит сведения об учётных данных 159 продуктов: дефолтные логины и пароли, автоматически создаваемые секреты, токены, API-ключи, пары ключей, пути к ним и шаблоны утечек. На момент проверки в базе 594 записи; 27 продуктов имеют известные статические значения по умолчанию.
Это полезнее обычного списка default credentials. В карточках указаны и значение, и его природа: задано администратором, генерируется при установке, статично, не требует аутентификации или не документировано. Каталог охватывает CI/CD, сетевое оборудование, базы данных, облако, SaaS и AI API.
Для аудита это даёт несколько направлений: проверить образ развёртывания, найти оставшиеся инсталляционные секреты, уточнить правила поиска в репозиториях и сопоставить инвентаризацию с тем, что реально создаёт продукт.
Удобно парсить и мониторить сайт, чтобы в своих CPTшках прикрутить или усилить автопроверки на дефолтные креды к разного рода ПО и железякам
Проект на Github: haxxm0nkey/lolcreds-data
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Нашёл LOLCreds - открытый каталог, который сводит сведения об учётных данных 159 продуктов: дефолтные логины и пароли, автоматически создаваемые секреты, токены, API-ключи, пары ключей, пути к ним и шаблоны утечек. На момент проверки в базе 594 записи; 27 продуктов имеют известные статические значения по умолчанию.
Это полезнее обычного списка default credentials. В карточках указаны и значение, и его природа: задано администратором, генерируется при установке, статично, не требует аутентификации или не документировано. Каталог охватывает CI/CD, сетевое оборудование, базы данных, облако, SaaS и AI API.
Для аудита это даёт несколько направлений: проверить образ развёртывания, найти оставшиеся инсталляционные секреты, уточнить правила поиска в репозиториях и сопоставить инвентаризацию с тем, что реально создаёт продукт.
Удобно парсить и мониторить сайт, чтобы в своих CPTшках прикрутить или усилить автопроверки на дефолтные креды к разного рода ПО и железякам
Проект на Github: haxxm0nkey/lolcreds-data
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13⚡3
LegacyHive: новый Windows 0-day или обход старой защиты?
Nightmare Eclipse опубликовал LegacyHive — PoC для Windows User Profile Service (
Цепочка требует учетные данные второго стандартного пользователя и имя третьего аккаунта-цели, которым может быть администратор. PoC меняет в
Механизм напоминает CVE-2015-0004: тогда junction-атака также позволяла
Но подтвержденным 0-day это пока не стало. У находки нет CVE, advisory MSRC или независимой технической валидации - и вряд ли он её получит понимая что у него с Microsoft очень натянутые и такие, около судебные отношения.
Блю тиму стоит отслеживать изменения
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Nightmare Eclipse опубликовал LegacyHive — PoC для Windows User Profile Service (
ProfSvc), заставляющий службу загрузить чужой реестровый hive UsrClass.dat. Автор заявляет, что техника работает на всех поддерживаемых версиях Windows с обновлениями за июль 2026 года.Цепочка требует учетные данные второго стандартного пользователя и имя третьего аккаунта-цели, которым может быть администратор. PoC меняет в
NTUSER.DAT второго аккаунта значение Local AppData, направляя его в \\.\globalroot\BaseNamedObjects\Restricted. Затем он создает символические ссылки Object Manager, ставит batch oplock на копию UsrClass.dat и вызывает CreateProcessWithLogonW с LOGON_WITH_PROFILE. Когда ProfSvc открывает hive, oplock дает окно для переключения пути на каталог цели. Результат проверяется через RegOpenUserClassesRoot.Механизм напоминает CVE-2015-0004: тогда junction-атака также позволяла
ProfSvc загрузить UsrClass.dat другого пользователя. Microsoft закрыла тот вариант проверками доступа к NTUSER.DAT и UsrClass.dat; LegacyHive, судя по коду, обходит эту защиту через пространство имен Object Manager и гонку на oplock.Но подтвержденным 0-day это пока не стало. У находки нет CVE, advisory MSRC или независимой технической валидации - и вряд ли он её получит понимая что у него с Microsoft очень натянутые и такие, около судебные отношения.
Блю тиму стоит отслеживать изменения
User Shell Folders\Local AppData, объекты в \BaseNamedObjects\Restricted, oplock вокруг UsrClass.dat и нетипичные загрузки профилей. Основная зона риска — RDS-хосты и другие многопользовательские Windows-системы.Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4❤🔥2
Forwarded from DUCKERZ
На 1️⃣ 2️⃣ 3️⃣ 4️⃣ 5️⃣ 6️⃣ 7️⃣ открылась регистрация на Пляжный сезон!
Пляжный сезон стартует на нашей платформе уже 2 августа и продлится до 31 августа. Этот сезон пройдёт в формате турнира на выбывание с дуэлями 1 на 1.
Регистрация участников на основной этап сезона будет открыта в течение недели, с 15.07 по 22.07. На основании заявок будет отобрано 16 человек, которые будут участвовать в турнире. Все дуэли будут проходить в прямом эфире, участники будут решать задания в реальном времени и транслировать экран, а ведущие комментировать происходящее.
Для участников, не прошедших отбор, а также пользователей платформы, не подававших заявку, во время сезона будут выложены отдельные задания, анонс которых будет проходить на стримах. За решение этих заданий предусмотрен отдельный призовой фонд.
Спонсором сезона выступает🐂 BI.ZONE Bug Bounty
Призы за турнир:
🐥 1 место – мерч от BI.ZONЕ Bug Bounty и секретный суперприз
🐥 2 место – мерч от BI.ZONЕ Bug Bounty и DUCKERZ
🐥 3 место – мерч от BI.ZONЕ Bug Bounty
Призы за сезонные задания:
🐥 1-3 место – мерч от BI.ZONЕ Bug Bounty
Подать заявку на участие:
👉 Регистрация 👈
🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐂 Спонсор сезона
Пляжный сезон стартует на нашей платформе уже 2 августа и продлится до 31 августа. Этот сезон пройдёт в формате турнира на выбывание с дуэлями 1 на 1.
Регистрация участников на основной этап сезона будет открыта в течение недели, с 15.07 по 22.07. На основании заявок будет отобрано 16 человек, которые будут участвовать в турнире. Все дуэли будут проходить в прямом эфире, участники будут решать задания в реальном времени и транслировать экран, а ведущие комментировать происходящее.
Для участников, не прошедших отбор, а также пользователей платформы, не подававших заявку, во время сезона будут выложены отдельные задания, анонс которых будет проходить на стримах. За решение этих заданий предусмотрен отдельный призовой фонд.
Спонсором сезона выступает
Призы за турнир:
Призы за сезонные задания:
Подать заявку на участие:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍5
RATON RAT: комбайн из стилера, RAT и вымогателя в одном .NET-файле
Decoda Labs разобрала образец RATON RAT. Это .NET-ратник под .NET Framework 4.7.2, которая, судя по всему упаковывает зависимости через Costura.Fody и оставляет на диске один исполняемый файл вместо набора библиотек.
Набор заявленных команд чрезмерно широк: сбор паролей и cookie из Chrome, Edge, Firefox, Brave и Opera, Discord-токены, RDP-учётные данные, кошельки и игровые аккаунты; кейлоггер, снимки экрана, микрофон, буфер обмена; HTTP/SOCKS5-прокси, DDoS, закрепление через Run-ключи и задачи планировщика. В образце также найдены строки, указывающие на шифрование файлов и мини-игру «Сапёр» с угрозой удаления данных при проигрыше.
Но это именно карта возможностей, а не подтверждение каждой ветки. Например, клиппер криптовалютных адресов выводится по строкам и Base58-алфавиту: логику подмены адресов исследователи не восстановили. Признаки process hollowing, скрытого рабочего стола и обхода UAC выглядят убедительно, но для части из них Decoda прямо оставляет статус гипотезы.
Для детектирования здесь полезнее поведенческие сигналы, чем имя семейства: прямое чтение SQLite-баз браузеров, создание задач с /sc ONLOGON и /rl HIGHEST, записи в Run-ключи, отключение Defender, обращение к C:\ChromeAutomationData и аналогичным каталогам. В статье также приведён жёстко зашитый IP 89[.]125[.]120[.]77; его роль не подтверждена, поэтому блокировать индикатор стоит после проверки в своей телеметрии.
🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Decoda Labs разобрала образец RATON RAT. Это .NET-ратник под .NET Framework 4.7.2, которая, судя по всему упаковывает зависимости через Costura.Fody и оставляет на диске один исполняемый файл вместо набора библиотек.
Набор заявленных команд чрезмерно широк: сбор паролей и cookie из Chrome, Edge, Firefox, Brave и Opera, Discord-токены, RDP-учётные данные, кошельки и игровые аккаунты; кейлоггер, снимки экрана, микрофон, буфер обмена; HTTP/SOCKS5-прокси, DDoS, закрепление через Run-ключи и задачи планировщика. В образце также найдены строки, указывающие на шифрование файлов и мини-игру «Сапёр» с угрозой удаления данных при проигрыше.
Но это именно карта возможностей, а не подтверждение каждой ветки. Например, клиппер криптовалютных адресов выводится по строкам и Base58-алфавиту: логику подмены адресов исследователи не восстановили. Признаки process hollowing, скрытого рабочего стола и обхода UAC выглядят убедительно, но для части из них Decoda прямо оставляет статус гипотезы.
Для детектирования здесь полезнее поведенческие сигналы, чем имя семейства: прямое чтение SQLite-баз браузеров, создание задач с /sc ONLOGON и /rl HIGHEST, записи в Run-ключи, отключение Defender, обращение к C:\ChromeAutomationData и аналогичным каталогам. В статье также приведён жёстко зашитый IP 89[.]125[.]120[.]77; его роль не подтверждена, поэтому блокировать индикатор стоит после проверки в своей телеметрии.
Please open Telegram to view this post
VIEW IN TELEGRAM
Лето CyberCamp 2026
Выступил на главной сцене на тему ИИ для red team и blue team
Выступил на главной сцене на тему ИИ для red team и blue team
🔥19👍2