Когда EDR ловит не бинарник, а цепочку вызовов
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
• Kernel —
• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
ntdll.dll• Kernel —
PsSetCreateProcessNotifyRoutine и minifilter-драйверы, из user-mode не обойти• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
ntdll.dll — классика, но CrowdStrike и SentinelOne восстанавливают хуки и детектируют само обращение к файлу.В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
От фишинга до SWIFT-перевода: как это работает на практике
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
Эксплойт вслепую не работает — никогда
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
-p- обязателен, сервисы на 33389, 8443, 13306 находятся именно так• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
👍2
Зашифровал шеллкод — и всё равно поймали? Проблема не в шифровании.
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
VirtualAlloc → WriteProcessMemory → CreateRemoteThread — и вердикт вынесен, даже если пейлоад зашифрован идеально.⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
ntdll, сканирование памяти и kernel-mode телеметрия. Каждый уровень — отдельная техника обхода.В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
💩1
Обновили профили на форуме: теперь видно, кто есть кто
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
❤3👍2🔥2
OSCP за 250 000 ₽ — или есть смысл выбрать другое?
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
eJPT закрывает вход в профессию за несравнимо меньший бюджет.Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
87% уязвимостей — и полный провал без подсказки
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
nmap, разобрал вывод, нашёл открытый 8080, попробовал SQL-инъекцию. Всё сам.На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
nmap, придумывает несуществующие бинарники и предлагает эксплойт-цепочки, которые не работают.https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
47 алертов в 2 ночи — и ты не знаешь, атака это или плановый сканер
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
4624, 4625, 4688, базовый PowerShell• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
60 млн загрузок в неделю — и CVSS 10.0. Но реальна ли угроза?
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
qs, minimist) загрязняет Object.prototype → Axios подхватывает «грязное» свойство при merge конфигов → CRLF разрывает HTTP-запрос → контрабандный PUT уходит на 169.254.169.254 за IMDSv2-токеном.💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Заголовок Issue в GitHub — и 700 000 машин под угрозой
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
•
⚙️ Далее — cache poisoning в GitHub Actions: отравленный
704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
npm update, работает AI-агент с полным доступом к файловой системе. Не zero-day. Просто plain text в заголовке.🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
npm install с подменённым package.json•
preinstall-скрипт стягивает payload без предупреждений⚙️ Далее — cache poisoning в GitHub Actions: отравленный
node_modules попадает в nightly-workflow с доступом к NPM_RELEASE_TOKEN и OVSX_PAT. Один токен — и production скомпрометирован.704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Какой менеджер паролей выдержит атаку на инфраструктуру?
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
• Команда 5–50 человек → self-hosted
• CI/CD →
В статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
KeePassXC + YubiKey• Команда 5–50 человек → self-hosted
Vaultwarden с LDAP• CI/CD →
HashiCorp Vault + Bitwarden CLIВ статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/
CVSS 10.0 — и никакого логина. Как это вообще возможно?
🔴 CVE-2026-39337 в ChurchCRM — шелл без учётки, без взаимодействия пользователя, одним HTTP-запросом.
Механика проста: setup wizard CMS работает без аутентификации — учёток ещё нет. Поле пароля БД попадает напрямую в
В паре с ней — CVE-2026-27681 (CVSS 9.9): SQLi в SAP BPC/BW. Формально нужна учётка, но в SAP-среде минимальные привилегии есть у широкого круга сотрудников. Барьер входа фактически нулевой.
💻 В статье — полный лаб-гайд: Docker-стенд, Burp, внедрение пейлоада и получение шелла.
Детали и команды:
https://codeby.net/threads/pre-auth-rce-php-in-yektsiya-lab-gaid-po-cve-2026-39337-i-cve-2026-27681.92675/
🔴 CVE-2026-39337 в ChurchCRM — шелл без учётки, без взаимодействия пользователя, одним HTTP-запросом.
Механика проста: setup wizard CMS работает без аутентификации — учёток ещё нет. Поле пароля БД попадает напрямую в
Config.php без санитизации. Закрываешь строку, дописываешь PHP-код — он выполняется при подключении конфига. Патч выпустили, но закрыли не все спецсимволы.В паре с ней — CVE-2026-27681 (CVSS 9.9): SQLi в SAP BPC/BW. Формально нужна учётка, но в SAP-среде минимальные привилегии есть у широкого круга сотрудников. Барьер входа фактически нулевой.
💻 В статье — полный лаб-гайд: Docker-стенд, Burp, внедрение пейлоада и получение шелла.
Детали и команды:
https://codeby.net/threads/pre-auth-rce-php-in-yektsiya-lab-gaid-po-cve-2026-39337-i-cve-2026-27681.92675/
Три часа ночи, Splunk орёт, mimikatz на контроллере домена — это Blue Team
А теперь представь, что ты сам провёл эту атаку. Написал фишинг, получил shell, добрался до домена — и через неделю показываешь защитникам, где они тебя упустили.
Большинство статей рисуют Red, Blue и Purple Team как три изолированные коробки. На деле — это спектр. Как сформулировали в Cymulate: Blue и Red Team — существительные, а Purple Teaming — глагол. Не должность, а формат работы, когда атакующие и защитники вместе закрывают бреши.
🎯 Что реально делает Red Team каждый день:
• 60% времени — разведка: поддомены, LinkedIn, внешний периметр
• 20% — первоначальный доступ: фишинг, социальная инженерия
• 5% — отчётность, но именно она решает всё
И да — крутые пентестеры заваливают проекты именно на последнем пункте.
Выбор специализации — про тип мышления, который тебе ближе прямо сейчас.
https://codeby.net/threads/spetsializatsii-v-kiberbezopasnosti-red-team-blue-team-purple-team-kak-vybrat-svoi-put.92682/
А теперь представь, что ты сам провёл эту атаку. Написал фишинг, получил shell, добрался до домена — и через неделю показываешь защитникам, где они тебя упустили.
Большинство статей рисуют Red, Blue и Purple Team как три изолированные коробки. На деле — это спектр. Как сформулировали в Cymulate: Blue и Red Team — существительные, а Purple Teaming — глагол. Не должность, а формат работы, когда атакующие и защитники вместе закрывают бреши.
🎯 Что реально делает Red Team каждый день:
• 60% времени — разведка: поддомены, LinkedIn, внешний периметр
• 20% — первоначальный доступ: фишинг, социальная инженерия
• 5% — отчётность, но именно она решает всё
И да — крутые пентестеры заваливают проекты именно на последнем пункте.
Выбор специализации — про тип мышления, который тебе ближе прямо сейчас.
https://codeby.net/threads/spetsializatsii-v-kiberbezopasnosti-red-team-blue-team-purple-team-kak-vybrat-svoi-put.92682/
❤1👍1
Лаборатория пентестера за один вечер — без сервера за 128 ГБ RAM
«Купите мощный сервер» — и новичок закрывает вкладку. Но рабочий pentest-стенд разворачивается на ноутбуке с 16 ГБ RAM, бесплатно и за один вечер.
🔧 Три вещи, которые даёт домашняя лаборатория:
• Легальная среда — трафик внутри виртуального коммутатора, никаких уголовных рисков
• Снапшоты — сломал машину, откатился, попробовал другой вектор
• Привязка к MITRE ATT&CK — каждая атака становится техникой, а не просто «нажать кнопку»
По данным ISC2 2024, в мире не хватает 4,8 млн специалистов по кибербезопасности, и работодатели ставят практику выше диплома.
💡 Выбор гипервизора:
Полный разбор — от железа до первого реверс-шелла:
https://codeby.net/threads/domashnyaya-laboratoriya-dlya-pentesta-v-2026-ot-gipervizora-do-pervogo-vzloma-uyazvimogo-stenda.92704/
«Купите мощный сервер» — и новичок закрывает вкладку. Но рабочий pentest-стенд разворачивается на ноутбуке с 16 ГБ RAM, бесплатно и за один вечер.
🔧 Три вещи, которые даёт домашняя лаборатория:
• Легальная среда — трафик внутри виртуального коммутатора, никаких уголовных рисков
• Снапшоты — сломал машину, откатился, попробовал другой вектор
• Привязка к MITRE ATT&CK — каждая атака становится техникой, а не просто «нажать кнопку»
По данным ISC2 2024, в мире не хватает 4,8 млн специалистов по кибербезопасности, и работодатели ставят практику выше диплома.
💡 Выбор гипервизора:
VirtualBox для старта, VMware Workstation Pro (бесплатен с 2024) для повседневки, Proxmox VE — когда переросли ноутбук.Полный разбор — от железа до первого реверс-шелла:
https://codeby.net/threads/domashnyaya-laboratoriya-dlya-pentesta-v-2026-ot-gipervizora-do-pervogo-vzloma-uyazvimogo-stenda.92704/
👍1
Два CVE, два языка, одна дыра в архитектуре AI-агентов
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
__traceback__, tb_frame, f_back, f_builtins) образуют цепочку frame traversal: поднимаешься по стеку до __builtins__, достаёшь exec — полный RCE на хосте.🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
this.constructor.call() обходит защиту глобальных объектов. Мутации живут между сессиями: один запрос отравляет shared state для всех пользователей.Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Forwarded from Codeby
MFA включена — значит всё в порядке? Не совсем
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
👍2
Forwarded from Hacker Lab
57% Patch Tuesday — это повышение привилегий. Совпадение?
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
Одна прошивка — десять CVE с одинаковым паттерном
Totolink A7100RU содержит целую коллекцию уязвимостей. Прошивка 7.4cu.2313_b20191024 получила больше десяти CVE — все CWE-78, CVSS 8.9, без аутентификации. Это не случайность, это копипаста бага.
🔍 Механика простая: CGI-обработчик
⚙️ CVE-2026-6154 и CVE-2026-6155 — две точки входа:
•
•
Вектор: сеть, без привилегий, без взаимодействия. Таких роутеров на Shodan — тысячи.
🛠 Разбор — от извлечения прошивки через
https://codeby.net/threads/cve-2026-6154-i-cve-2026-6155-os-command-injection-v-totolink-a7100ru-ot-cgi-do-shella.92755/
Totolink A7100RU содержит целую коллекцию уязвимостей. Прошивка 7.4cu.2313_b20191024 получила больше десяти CVE — все CWE-78, CVSS 8.9, без аутентификации. Это не случайность, это копипаста бага.
🔍 Механика простая: CGI-обработчик
cstecgi.cgi берёт параметр из HTTP-запроса и через sprintf склеивает его в строку для system(). Никакого экранирования. Подставляешь в параметр что-нибудь вроде value;id — роутер выполняет обе команды.⚙️ CVE-2026-6154 и CVE-2026-6155 — две точки входа:
•
setWizardCfg → wizard•
setWanCfg → pppoeServiceNameВектор: сеть, без привилегий, без взаимодействия. Таких роутеров на Shodan — тысячи.
🛠 Разбор — от извлечения прошивки через
binwalk до шелла:https://codeby.net/threads/cve-2026-6154-i-cve-2026-6155-os-command-injection-v-totolink-a7100ru-ot-cgi-do-shella.92755/
SQL-инъекция взломала Минфин США в 2025 году
Баг в трёх функциях PostgreSQL —
🎯 SQL-инъекция по-прежнему в OWASP Top 10, а APT28, APT41 и Dragonfly используют её как основной вектор первоначального доступа.
Что реально работает в 2025:
• Time-based blind —
• Second-order инъекции — пейлоад проходит через параметризованный INSERT, но срабатывает позже. sqlmap их почти не видит
• Обход WAF: замена
https://codeby.net/threads/sql-in-yektsiya-v-2025-tekhniki-ekspluatatsii-obkhod-waf-i-avtomatizatsiya-s-sqlmap.92770/
Баг в трёх функциях PostgreSQL —
PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() — и цепочка атаки дошла до Министерства финансов. CVE-2025-1094, CVSS 8.1. Тот самый класс уязвимостей, которому 25 лет.🎯 SQL-инъекция по-прежнему в OWASP Top 10, а APT28, APT41 и Dragonfly используют её как основной вектор первоначального доступа.
Что реально работает в 2025:
• Time-based blind —
SLEEP(5) vs pg_sleep(5): мелочь, на которой горят даже опытные пентестеры• Second-order инъекции — пейлоад проходит через параметризованный INSERT, но срабатывает позже. sqlmap их почти не видит
• Обход WAF: замена
substring() на mid(), ascii() на hex()https://codeby.net/threads/sql-in-yektsiya-v-2025-tekhniki-ekspluatatsii-obkhod-waf-i-avtomatizatsiya-s-sqlmap.92770/
CVSS 10.0 на бумаге и CVSS 10.0 в бою — две разные истории
Три PoC на GitHub. Первый роняет сервис в crash loop. Второй молча завершается. Третий собирается под другую версию. Ноль шеллов. Знакомо?
⚡ В 2024 году опубликовано 40 289 CVE — рост на 72%. Но публичный PoC лишь доказывает существование уязвимости. Между «уязвимость подтверждена» и «контролируемое выполнение кода» — часы адаптации.
Разбор CVE-2024-3400 (CVSS 10.0, PAN-OS): даже APT-группа трижды не смогла установить бэкдор и переключилась на cron job. Типичные причины провала:
• Жёсткая привязка к билду — смещения плывут между версиями
• Отсутствие стабилизации — сервис падает
• Неполная цепочка — «записать файл» и «получить шелл» разделяет целый этап
🔧 В статье — полный цикл weaponization: оценка PoC за 15 минут, интеграция в Metasploit и Sliver C2, стабилизация шелла и обход EDR.
https://codeby.net/threads/ekspluatatsiya-cve-v-penteste-ot-publichnogo-poc-do-stabil-nogo-shella-v-obkhod-edr.92776/
Три PoC на GitHub. Первый роняет сервис в crash loop. Второй молча завершается. Третий собирается под другую версию. Ноль шеллов. Знакомо?
⚡ В 2024 году опубликовано 40 289 CVE — рост на 72%. Но публичный PoC лишь доказывает существование уязвимости. Между «уязвимость подтверждена» и «контролируемое выполнение кода» — часы адаптации.
Разбор CVE-2024-3400 (CVSS 10.0, PAN-OS): даже APT-группа трижды не смогла установить бэкдор и переключилась на cron job. Типичные причины провала:
• Жёсткая привязка к билду — смещения плывут между версиями
• Отсутствие стабилизации — сервис падает
• Неполная цепочка — «записать файл» и «получить шелл» разделяет целый этап
🔧 В статье — полный цикл weaponization: оценка PoC за 15 минут, интеграция в Metasploit и Sliver C2, стабилизация шелла и обход EDR.
https://codeby.net/threads/ekspluatatsiya-cve-v-penteste-ot-publichnogo-poc-do-stabil-nogo-shella-v-obkhod-edr.92776/
За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?