+вайб особенно с этих наклеек стилизованных ббшных, кайф

🔥 Stored XSS в GitLab Wiki через Banzai pipeline!

Да-да, снова XSS, и на этот раз в Wiki GitLab. Уязвимость позволяла через специально подготовленную Markdown-разметку внедрить HTML, который после хитроумных преобразований в браузере превращался в полноценный Stored XSS с обходом CSP. А всё из-за особенностей работы Banzai pipeline!

🐛 В чём была соль?
Ресёрчер подметил, что фильтр AbstractReferenceFilter (часть Banzai) сверял ссылку лишь по её началу (link_pattern_start), а вот замену (gsub) производил по полному регулярному выражению. Это создавало забавное расхождение: второе совпадение ссылки внутри той же строки могло угодить прямиком в атрибут alt вложенного тега <a>. Оттуда оно уже не проходило должную санитизацию. Если такую конструкцию сохранить на Wiki-странице (например, в _sidebar.md), скрипт превращался в классический Stored XSS, срабатывающий у всех посетителей проекта.

🤯 Магия mXSS и обход CSP!
Для эксплуатации использовалась техника mXSS (mutation XSS). В href внедрялся примерно такой пейлоад:

*<svg><style><img/src="0"onerror="alert(0)"></style></svg>

На бэкенде Nokogiri (HTML4-парсер) видел лишь безобидный <img>. А вот браузер (с его HTML5-парсером) после DOM-мутаций "достраивал" эту конструкцию до рабочего <img src=... onerror=...>, который исполнялся вне <svg>, эффективно обходя даже строгую CSP на gitlab.com! Это происходило из-за того, что часть данных из оригинальной ссылки (после gsub) попадала в атрибут alt таким образом, что символ " позволял "вырваться" и добавить новые атрибуты или закрыть текущий.

💣 Какие были последствия?
Любой участник проекта с правами на редактирование Wiki мог выполнить произвольный JavaScript в браузере любого посетителя этой Wiki-страницы. С учетом обхода CSP, это открывало дорогу к прямому доступу к REST API от имени жертвы. Как бонус – утечка названий приватных issues/merge requests через "засветившиеся" alt атрибуты.

🛡 Фикс и что делать?
GitLab оперативно выпустил патч в релизе 16.10.1. Командам, использующим форки или self-hosted экземпляры, настоятельно рекомендуется обновиться! Основные уроки: сопоставлять регулярки полностью, а не только префиксы, и обязательно повторно санитайзить HTML после всех внутренних фильтров.

🔗 Полный разбор и технические детали доступны по ссылке:
eh.su/reports/93

Linux kernel SMB 0-Day Vulnerability Uncovered Using ChatGPT
https://cybersecuritynews.com/linux-kernel-smb-0-day-vulnerability/

Решил получить переподготовку по руководству иб корпой(ciso), буду выкладывать сюда заметки(и конспекты) по пройденным модулям (по бизнес процессам, законодательству, эффективной работе с корпами и командой и тд), возможно буду дублировать на английском дополнительно, надеюсь будет полезно.

BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory

A new unpatched AD privilege escalation vulnerability discovered in Windows Server 2025 that allows attackers to act with the privileges of any user, without modifying the target object. It works with the default config, and Microsoft currently won't fix it.

BadSuccessor

A PowerShell script that:
• Enumerates all nondefault principals who can create dMSAs.
• Lists the OUs in which each principal has this permission.

In 91% of the environments we examined, non-admin users had the required permissions to perform the attack.

dMSASync.py

P.S. I hope the last one (by @snovvcrash)

🚨 Судебная практика - в Бурятии бюджетные миллионы перевели по подписи уволенного чиновника 

В Бичурском районе произошла ситуация, достойная сюжета для сатирического шоу: после увольнения начальницы управления культуры Л. Захаровой её ключ электронной подписи продолжал использоваться для подписания платежей на миллионы рублей. 

🔍 Что произошло? 
- 6 февраля Захарову уволили, но сертификат отозван не был. 
- С 7 по 14 февраля с её подписью провели множество платежей (от 3 до 7 млн рублей). 
- подписали ЭП трудовую книжку новой сотрудницы. 

⚖️ Суд сказал: «Всё законно» 
Л. Захарова подала иск, но Бичурский районный суд отказал, хотя: 
✔️ Подтвердил, что платежи были. 
✔️ Признал, что уведомление о её увольнении в удостоверяющий центр не отправляли.

В ходе рассмотрения дела установлено, что решения об использовании сертификата ключа проверки электронной подписи уволенного руководителя при подписании платежных документов были приняты главным бухгалтером Управления культуры без согласования с заместителем начальника и исполняющим обязанности начальника учреждения. По данному факту главой администрации назначена служебная проверка.

🤔 Почему это опасно? 
Суд создал прецедент: если очень хочется, можно пользоваться чужим ключом ЭП без последствий. Если решение не обжаловать, то может открыться ящик Пандоры для злоупотреблений в госучреждениях. 

👉 Полный текст — по ссылке.

📌 На решение суда 27 мая подана Апелляционная жалоба  в Верховный Суд Республики Бурятия.

Что тут ещё добавить, в Казахстане за такое бы - сразу штраф, а в нашей стране можно говорить о том, что 90 % ЭП созданы в нарушение 63-ФЗ.

что за жесть)

Небольшой разбор данной статьи, она слегка кликбейтная, особенно что судебное решение создает некий "прецедент". Это не так. Подана апелляционная жалоба, то есть дело будет разобрано во второй инстанции. Чтобы оно стало прецедентом - по моему мнению, это дело должно быть рассмотрено как минимум в той же надзорной инстанции (до нее вряд ли оно дойдет). При этом - я вижу очень много нюансов из которых понятно почему, скорее всего, уже апелляция признает решение суда незаконным.

Суд первой инстанции обосновал отказ так:
1. Федеральный закон 63-ФЗ, ст. 17.2 требует, чтобы работодатель передал в удостоверяющий центр (УЦ) сведения об увольнении, но не называет точный срок.
2. Платежи шли на обычные расходы — зарплату, коммунальные услуги и т. д.; вреда бюджету или истице суд не увидел.
3. У Захаровой была возможность самой отозвать сертификат через УЦ; она сделала это поздно.
4. Администрация сразу после увольнения подняла вопрос об отзыве старого сертификата и начала оформлять новый на и. о. руководителя.

По итогу - Суд отказал Л. В. Захаровой во всех требованиях: признать незаконным бездействие администрации, признать недействительными документы, подписанные её КЭП после увольнения, взыскать 10 000 ₽ компенсации морального вреда и госпошлину.

Я вижу в решении суда следующие упущения:
Ст. 17.2 ФЗ-63 возлагает на работодателя обязанность обратиться в УЦ при прекращении полномочий. Замечание суда «можно было отозвать сертификат самой» противоречит распределению обязанностей описанным в Федеральном законе "Об электронной подписи" : ст. 17.2 возлагает обращение в УЦ на учредителя или и. о. руководителя, а не на «бывшего» владельца КЭП. Также стоит отметить, что п.13 - (Постановление Правительства РФ от 9 февраля 2012 г. N 111 - Об электронной подписи...) обязывает сообщать в УЦ незамедлительно при прекращении полномочий, суд же говорит что "Срок в течение, которого должностное лицо либо руководитель должны обратиться в удостоверяющий центр законом не определен.", что как будто бы не совсем корректно😳...

Также Захарова, скорее всего, в Апелляционной жалобе подметит, что суд неправильно распределил бремя доказывания: по ст. 62 КАС РФ именно администрация должна доказывать законность своих действий.
(Если гражданин (или организация) оспаривает решение, действие или бездействие органа, обязанность доказать законность этого решения/действия лежит на самом органе) - суд же полностью переложил на истицу обязанность доказывать ущерб и незаконность бездействия.
Это общее правило, в публичном споре гражданин всегда находится в менее выгодном положении: у него меньше ресурсов и возможностей добыть доказательства.

По моему мнению такое решение не может создать прецедента🙂


Дополнение для общего понимания:
Судебная система в рф состоит из 4 уровней(инстанций) -
🔹 1. Первая инстанция
Рассматривает дело по существу, выносит решение/приговор.
🔹 2. Апелляционная инстанция
Пересматривает решение первой инстанции, если оно ещё не вступило в силу.
🔹 3. Кассационная инстанция
Проверяет законность и обоснованность уже вступивших в силу решений судов первой и апелляционной инстанций.
🔹 4. Надзорная инстанция
Это исключительная процедура пересмотра, возможна в Верховном Суде РФ, применяется в исключительных случаях, например, при грубых нарушениях закона.

Также отдельно существует Конституционный Суд РФ, который не входит в иерархию общих и арбитражных судов, а осуществляет контроль за конституционностью в пределах компетенции.

Предвкушая вопросы, заранее отвечу:

CrackMapExec
Responder
Да, можно
Empire
Hashcat умеет
Bloodhound - скрипты для сбор данных в него (а не сам фреймворк)
Лучше тогда linWinPwn

#redteam_guide xD

звучит просто уморительно, жду. наконец то безопасность без душноты)

увидел интересный эндпоинт во время кравла бурпом
POST /api/admin/apiform/ExecuteSqlJSON

что бы это могло значить....

#soc

Детектирование атак с применение SIEM: кейсы

В данной статье Izzmier Izzuddin приводит большое количество практических кейсов, связанными с отработкой правил корреляции на различные компьютерные атаки.

Приятного прочтения