🤖IoTHackBot

Набор специализированных инструментов с интеграцией Claude Code, предназначенных для тестирования на безопасность IoT-устройств, IP-камер и встроенных систем. Он включает в себя как инструменты командной строки, так и рабочие процессы с использованием искусственного интеллекта для комплексной оценки безопасности IoT.

➡️Для установки необходимо установить зависимости, склонировать репозиторий, добавить каталог bin в переменную PATH и для удобного запуска добавить бинарные файлы инструмента в конфигурацию оболочки.

pip install colorama pyserial pexpect requests
git clone https://github.com/BrownFineSecurity/iothackbot.git
cd iothackbot
export PATH="$PATH:$(pwd)/bin"
echo 'export PATH="$PATH:/path/to/iothackbot/bin"' >> ~/.bashrc

🔗Представляет собой следующий набор инструментов
Обнаружение и разведка сети
⏺️wsdiscovery — сканер протокола WS-Discovery для поиска ONVIF-камер и IoT-устройств;
⏺️iotnet — анализатор сетевого трафика IoT для выявления протоколов и уязвимостей;
⏺️netflows — извлечение сетевых потоков с разрешением DNS-имён из pcap-файлов.

Тестирование для конкретного устройства
⏺️onvifscan — сканер безопасности ONVIF-устройств: проверка обхода аутентификации, перебор учётных данных.

Анализ прошивки и файлов
⏺️chipsec — статический анализ прошивок UEFI/BIOS: обнаружение известных руткитов (LoJax, ThinkPwn, HackingTeam), генерация списка EFI-исполняемых файлов с хешами, декодирование структуры прошивки и извлечение NVRAM.

⏺️ffind — продвинутый поиск файлов с определением типов и извлечением файловых систем: определяет типы артефактных файлов, извлекает файловые системы ext2/3/4 и F2FS.

Анализ Android
⏺️apktool — распаковка APK и извлечение ресурсов: декодирование AndroidManifest.xml, извлечение ресурсов, интерфейсов и строк, дизассемблирование в smali-код.

⏺️jadx — декомпиляция APK: преобразование DEX в читаемый Java-код, поиск захардкоженных учётных данных, анализ логики приложения

Доступ к оборудованию и консоли
⏺️picocom — взаимодействие с UART-консолью IoT-устройств: управление загрузчиком, перебор и анализ shell-доступа, извлечение прошивки.

⏺️telnetshell — работа с telnet-shell на IoT-устройствах: проверка неаутентифицированного доступа к shell, сбор информации об устройстве, работа с командами BusyBox.

⛓️‍💥Использование
▶️Проверка безопасности устройств ONVIF.

onvifscan auth http://192.168.1.100
onvifscan brute http://192.168.1.100

▶️Анализ файла PCAP на предмет протоколов Интернета вещей.

iotnet capture.pcap

▶️Извлечение файловых систем из прошивки устройства.

sudo ffind firmware.bin -e

#tools #IoT #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

FortiClient EMS: когда управляющий сервер сам открывает дверь

🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.

CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.

EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным

CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.

https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

Читать полностью…

SMB signing в AD включён по умолчанию? Только на контроллерах домена

Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.

🎯 Что проверяет атакующий за три команды nmap:

• -sn по подсети — список живых хостов
• -p 88,389,445,636 — отсев DC от member servers
• --script smb-security-mode — на каких member servers signing в статусе disabled

Три команды — и готовый список целей для NTLM relay.

SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.

🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например, -sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).

https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/

Читать полностью…

ИИ не взламывает за вас — но экономит часы рутины

За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.

🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.

⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу subfinder/amass находит «забытые» Jenkins с дефолтными кредами
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал

🛡 Облачные LLM — только с NDA. Для чувствительных проектов — ollama или локальный routing.

https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/

Читать полностью…

Контейнер — это не виртуалка. И вот почему это важно

🔍 На каждом втором red team-проекте одна картина: Kubernetes поднят, Helm накатан, CI/CD работает — и все уверены, что контейнеры изолируют всё сами. Нет. Контейнер — это просто группа процессов за Linux-примитивами без отдельного ядра.

Один сломанный «заборчик» — и атакующий на хосте. Оттуда до cluster-admin — несколько команд.

⚙️ Полная цепочка атаки выглядит так:
• Разведка: открытый 2375/tcp или kubelet API на порту 10250 — уже точка входа
• Побег: смонтированный docker.sock даёт root на хосте даже без docker-клиента — через обычный curl
• Захват: сервисный токен пода + слабый RBAC → cluster-admin без эксплойтов

💀 Каждый шаг — из реальной практики, с командами, CVE и маппингом на MITRE ATT&CK.

Полный разбор — от разведки до захвата кластера:

https://codeby.net/threads/pentest-konteinerov-docker-i-kubernetes-ot-pobega-iz-konteinera-do-zakhvata-klastera.92708/

Читать полностью…

9 МБ — и Sliver спалился ещё на доставке

Штатный имплант весит как небольшой архив, а CrowdStrike знает ReflectiveLoader наизусть. Именно тогда садишься писать точечные расширения к зрелым фреймворкам — не новый C2 с нуля.

🔧 Три модели расширения на практике:

• BOF для Cobalt Strike — объектный файл 2–10 КБ, исполняется внутри Beacon без нового процесса. EDR не видит паттернов CreateRemoteThread, BOF отработал и выгрузился
• Кастомные агенты Mythic — имплант под профиль операции с нужным транспортом
• gRPC-плагины Sliver — автоматизация lateral movement без правки ядра

⚡ Писать C2 с нуля на двух-трёхнедельный engagement — плохая идея. Зрелые фреймворки дают готовую OPSEC-инфраструктуру, кастомизация закрывает ровно нужную дыру.

Полный разбор с кодом:

https://codeby.net/threads/razrabotka-rasshirenii-c2-freimvorkov-bof-agenty-mythic-i-plaginy-sliver-na-praktike.92700/

Читать полностью…

Ключ под ковриком: как RBAC превращает скомпрометированный под в cluster-admin

🔑 По данным Unit 42, кражи Kubernetes-токенов выросли на 282% за год. Причина — сервисные аккаунты имеют прав больше, чем нужно.

Эскалация привилегий в Kubernetes — это не про эксплойты, а про легитимные API-вызовы с избыточными разрешениями. Пять ключевых прав:

• create pods — запускаешь под с чужим SA
• get secrets — читаешь токены напрямую
• bind / escalate — назначаешь себе cluster-admin

⚙️ После попадания в под — kubectl auth can-i --list. Если видишь хотя бы два из этих разрешений, namespace скомпрометирован. Projected token живёт ~1 час — этого хватает.

В статье — пошаговый разбор от извлечения SA-токена до cluster-admin через RBAC misconfigurations.

https://codeby.net/threads/kubernetes-privilege-escalation-ot-skomprometirovannogo-poda-do-cluster-admin-cherez-rbac.92687/

Читать полностью…

21% корпоративных утечек — через браузер. Вот как это работает

🎯 На red team-энгейджменте первая цель — не домен-контроллер. Это Login Data в папке Chrome. Пара мегабайт SQLite — и в руках VPN-аккаунты, корпоративные порталы, облачные консоли.

Разобрали механику browser credential dumping изнутри:

• Chrome/Edge — двухуровневое шифрование: AES-256-GCM + DPAPI. Ключ лежит в Local State, но расшифровать его можно только в сессии жертвы
• Firefox — собственная криптобиблиотека NSS вместо DPAPI. Если пользователь не поставил мастер-пароль (а большинство не ставит) — расшифровка тривиальна
• MITRE T1555.003 — техника в арсенале APT33, APT41, LAPSUS$ и десятков других группировок

🔵 Для Blue Team в статье отдельный блок: какие артефакты оставляют эти действия в логах и как их детектировать.

Полный разбор с кодом и IoC:

https://codeby.net/threads/ataki-na-menedzhery-parolei-brauzera-kak-izvlekayut-credentials-iz-chrome-firefox-i-edge.92677/

Читать полностью…

Один POST-запрос — и на сервере лежит PHP-шелл

Без логина. Без пароля. CVE-2026-0740 в Ninja Forms — File Uploads: CVSS 9.8, PR:N, UI:N.

🔍 Что сломано: функция handle_upload не валидирует тип файла. Атакующий шлёт POST на admin-ajax.php — и .php-файл оказывается в wp-content/uploads/. Классический CWE-434.

⚠️ Отдельный риск — премиум-расширение: обновления не идут через WordPress.org, нужно обновляться вручную. Патч (версия 3.3.27) вышел 19 марта 2026-го, CVE раскрыта 7 апреля — три недели форы для атакующих.

В статье — разбор kill chain по MITRE ATT\&CK: от разведки через WPScan до извлечения DB-credentials из wp-config.php, плюс detection-правила и патч-дифф.

https://codeby.net/threads/uyazvimost-ninja-forms-rce-cve-2026-0740-polnyi-razbor-ekspluatatsii-i-zashchity-wordpress.92676/

Читать полностью…

Вендор говорит «закрыто» — а дыра всё ещё открыта

🔍 CVE в ядре Linux закрывается в mainline за дни. Но в RHEL 8 или Ubuntu LTS тот же патч может прийти через месяц — или прийти «кастрированным», когда attack surface остался нетронутым.

Именно так работал CVE-2024-1086: use-after-free в nf_tables, CVSS 7.8, публичный эксплоит с 99.4% успешностью — а backport в ветку 5.15 всё ещё ждал очереди.

Проблема глубже:
• Неполный cherry-pick — из трёх нужных коммитов в stable попали два
• Конфликт адаптации — патч компилируется, тесты проходят, дыра остаётся
• Потеря связи — backport меняет commit hash, и grep CVE-xxxx changelog ничего не найдёт

https://codeby.net/threads/obnaruzheniye-cve-v-yadre-linux-avtomatizatsiya-poiska-nezakrytykh-uyazvimostei-v-backport-patchakh.92665/

Читать полностью…

60 млн загрузок в неделю — и CVSS 10.0. Но реальна ли угроза?

Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.

🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS

Схема атаки: сторонняя библиотека (qs, minimist) загрязняет Object.prototype → Axios подхватывает «грязное» свойство при merge конфигов → CRLF разрывает HTTP-запрос → контрабандный PUT уходит на 169.254.169.254 за IMDSv2-токеном.

💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.

Полный разбор — где цепочка ломается и в каких edge-кейсах работает:

https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/

Читать полностью…

🤖 Linux - это база, без которой сложно двигаться дальше.

Пентест, DevOps, backend, CTF - всё крутится вокруг Linux. Но большинство изучают его хаотично: случайные команды, копипаст и никакой системы.

Мы собрали курс, который даёт цельную базу с нуля - от командной строки до Docker и Ansible.

В программе:
⏺️терминал и работа с файловой системой
⏺️пользователи, права и процессы
⏺️сеть и основы безопасности
⏺️серверные сервисы: Apache и MySQL
⏺️Docker, bash и автоматизация
⏺️Ansible

После курса Linux перестаёт быть «чёрным ящиком»: команды становятся понятными, терминал - рабочим инструментом, а серверная часть больше не вызывает ступор.

5 модулей. 16 уроков. Последовательная программа.

➡️ Подробности и программа курса

Читать полностью…

Waymore: Инструмент для извлечения URL и контента из веб-архивов

Waymore — утилита с открытым исходным кодом для извлечения URL-адресов и загрузки архивных ответов из нескольких источников: Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, VirusTotal, GhostArchive. Инструмент предназначен для сбора данных о целевом домене, включая ссылки на ресурсы и сохраненные версии веб-страниц, что полезно для анализа поверхности атаки, поиска уязвимостей и OSINT-исследований.

↗️Возможности
- Поддержка множества источников (Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, VirusTotal, GhostArchive)
- Два режима работы: получение только URL (U), загрузка только ответов (R) или оба режима (B)
- Гибкая фильтрация (по HTTP-статусам, MIME-типам, ключевым словам и регулярным выражениям)
- Фильтрация результатов по временному диапазону
- Настройка таймаутов, количества попыток и параллельных процессов
- Возобновление прерванных загрузок ответов
- Отправка уведомлений в Discord и Telegram по завершении

⬇️Установка

pipх install waymore

Проверка

waymore -h

⏺️Получение всех URL для домена

waymore -i example.com -mode U

⏺️Полный сбор данных для нового домена (режим В)

waymore -i target.com -mode B -mc 200 -mt text/html,application/json -l 10000

⏺️Мониторинг новых URL с течением времени

#первый запуск
waymore -i target.com -mode U -oU urls.txt

#последующие запуски
waymore -i target.com -mode U -oU urls.txt -nlf

⏺️Поиск конфиденциальных файлов

waymore -i target.com -ko '\.(env|config|json|xml|sql|log)($|\?)' -mode U

⏺️Анализ истории изменений (по месяцам)

waymore -i target.com -mode R -ci m -mc 200

⏺️Быстрая проверка перед глубоким сканированием

waymore -i target.com --check-only

⏺️Конвейерная передача в другие инструменты

waymore -i example.com -mode U | unfurl keys | sort -u

#Waymore #OSINT #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

CrowdStrike поймал мой лоадер за 4 секунды. Не по сигнатуре — по поведению

Три дня на кастомный лоадер: шифрованный шеллкод, indirect syscalls через SysWhispers3, Early Bird APC injection в RuntimeBroker.exe. На стенде — тишина. На продакшене Falcon сработал через четыре секунды. Причина: поведенческий паттерн, а не бинарник.

🔍 Три вектора против EDR в 2026 году:

• Blinding — EDRSilencer через WFP блокирует телеметрию, но список процессов неполный — нужна доработка
• Blocking — BYOVD или Safe Mode Boot. Требует привилегий ядра, но ransomware-группы уже используют
• Hiding — LOLBins и DLL Side-Loading. По данным CrowdStrike, 82% атак обходятся без вредоносных бинарников

⚡️ Indirect syscalls vs direct: второй оставляет return address вне ntdll.dll — Falcon ловит именно это. HookChain показал 88% обхода на 26 EDR, но kernel callbacks продолжают работать.

Обход EDR — это про понимание цепочки: агент → SIEM → корреляция.

Подробнее: https://codeby.net/threads/red-team-vs-soc-kak-pentester-obkhodit-edr-i-siem-v-real-nykh-proyektakh.92651/

Читать полностью…

Специалисты из Anthropic анонсировали модель, которая ищет уязвимости нулевого дня.

Claude Mythos Preview — это не выпущенная на рынок передовая модель общего назначения, которая демонстрирует поразительный факт: модели искусственного интеллекта достигли такого уровня в программировании, что могут превзойти всех, кроме самых опытных специалистов, в поиске и использовании уязвимостей в программном обеспечении.

❗️Mythos Preview уже обнаружила тысячи уязвимостей высокой степени опасности, в том числе в каждой крупной операционной системе и веб-браузере. Создаваемые ей эксплойты не просто заурядные эксплойты для переполнения стека. Так, например, в одном случае Mythos Preview написала эксплойт для веб-браузера, объединив в цепочку четыре уязвимости и создав сложный JIT-эксплойт для переполнения кучи, который обошел и рендерер, и песочницы ОС

Примеры обнаруженных уязвимостей
➡️Уязвимость 27-летней давности в OpenBSD — одна из самых защищенных операционных систем в мире, которая используется для работы межсетевых экранов и другой критически важной инфраструктуры. Уязвимость позволяла злоумышленнику удаленно вывести из строя любой компьютер под управлением операционной системы, просто подключившись к нему;

➡️16-летняя уязвимость в FFmpeg — программное обеспечение, которое используется во множестве приложений для кодирования и декодирования видео, — в строке кода, которую инструменты автоматического тестирования запускали пять миллионов раз, но так и не выявили проблему;

🔎Проект Glasswing
Кроме того Anthropic объявила о создании проекта Glasswing — новой инициативе, объединяющей представленные ниже компании для обеспечения безопасности ПО:
⏺️Amazon Web Services,
⏺️Anthropic, Apple, Broadcom,
⏺️Cisco,
⏺️CrowdStrike,
⏺️Google,
⏺️JPMorgan Chase,
⏺️Linux Foundation,
⏺️Microsoft,
⏺️NVIDIA,
⏺️Palo Alto Networks.

В рамках проекта Glasswing партнеры по запуску будут использовать Mythos Preview для поиска и устранения уязвимостей. Также к модели был предоставлен доступ группе из более чем 40 организаций, которые создают или поддерживают критически важную инфраструктуру программного обеспечения, чтобы они могли использовать эту модель для сканирования и защиты как собственных систем, так и систем с открытым исходным кодом.

#news #AI #vulnerabilities

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

MFA пройден — жертвой же и обойдён

Представь сценарий: пользователь вводит логин, пароль, жмёт «Подтвердить» в Authenticator — и искренне считает, что защищён. В этот момент атакующий уже импортирует его session cookie в свой браузер и читает его почту. Без брутфорса. Без перебора OTP. MFA прошла сама жертва — через прокси.

Это не теория и не CVE из бюллетеня. Это AiTM-фишинг (Adversary-in-the-Middle) — рабочая индустрия с подпиской от 100 до 1000 долларов в месяц за готовый кит.

🔢 Цифры, которые неудобно игнорировать

• По данным Sekoia, с января по апрель 2025-го в активной коммерческой эксплуатации крутилось 11 различных AiTM-китов
• Только за октябрь 2025 Microsoft Defender заблокировал более 13 миллионов писем одной кампании Tycoon 2FA
• К августу 2024-го практически 100% наблюдаемых кампаний мигрировали от классического credential harvesting к proxy-based перехвату
• По данным Obsidian Security, 84% скомпрометированных аккаунтов уже имели включённый MFA

🎯 Почему TOTP, push и SMS здесь не помогают

Классический Man-in-the-Middle работает на сетевом уровне — его нейтрализует TLS. AiTM работает на уровне приложения и специально заточен под обход MFA. TLS его не останавливает, потому что прокси сам является конечной точкой обоих соединений.

Жертва устанавливает TLS-соединение с сервером атакующего. Атакующий устанавливает своё TLS-соединение с легитимным IdP. Два отдельных зашифрованных канала. Жертва видит настоящую страницу Microsoft — не копию, а реальный контент через прокси. Вводит данные, проходит MFA-challenge. После успешной аутентификации IdP выдаёт session cookie — и атакующий перехватывает его до того, как он доберётся до браузера жертвы.

🛠 Три инструмента, которые делают это реальным

Evilginx3 — standalone-приложение на Go со встроенным DNS-сервером, автоматическими TLS-сертификатами и модульной конфигурацией через phishlets. Phishlet — YAML-файл, где прописано: какие поддомены проксировать, какие POST-параметры содержат credentials и какие cookie являются session tokens. Для M365 это обычно ESTSAUTH и ESTSAUTHPERSISTENT. Evilginx на лету переписывает все ссылки в HTML/JS-ответах, подставляя фишинговые поддомены вместо оригинальных.

Modlishka и Muraena — альтернативные прокси-фреймворки с похожей логикой, но разными подходами к конфигурации и обходу детекта. Все три реализуют одну идею: стать невидимым посредником между жертвой и легитимным сервисом.

🔵 Что работает на синей стороне

Ни TOTP, ни push, ни SMS не спасают — они все транзитом проходят через прокси. Реально помогают: FIDO2/passkeys (привязаны к домену, прокси не может подделать), Conditional Access с анализом аномалий сессии и мониторинг UserAgent — после импорта cookie браузер атакующего почти всегда отличается от браузера жертвы.

Полная механика атаки, конфигурация Evilginx и индикаторы детекта для каждого фреймворка — в статье. Читай, пока твои пользователи уверены, что MFA их защищает.

https://codeby.net/threads/aitm-fishing-obkhod-mfa-cherez-evilginx-modlishka-i-muraena.92741/

Читать полностью…

Митигации включены. Эксплойт всё равно проходит.

«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.

🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода
• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain

🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает.

https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/

Читать полностью…

MFA включена — значит всё в порядке? Не совсем

Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.

🎯 Три вектора против MFA:

• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости

По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.

🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.

https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/

Читать полностью…

Прочитал 10 статей про SQL-инъекции, но не можешь перехватить первый HTTP-запрос?

Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать.

🐳 Один Docker-контейнер решает проблему легальной цели:
docker run --rm -it -p 80:80 vulnerables/web-dvwa
Внутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды.

🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина.

По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования.

Полный разбор — от запуска окружения до первой найденной уязвимости руками:

https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🖼 Категория Стеганография — Мерцающие тайны

Приятного хакинга!

Читать полностью…

🔐 Почему сканер DAST не найдёт самую опасную уязвимость в вашем API

Представь такую картину: автоматический сканер прошёлся по API, отчёт чистый, команда выдыхает. А потом пентестер вручную меняет один ID в запросе — и получает данные 60 миллионов чужих пользователей. Именно так в 2018 году взломали USPS Informed Visibility API.

Сканер находит отсутствующие заголовки безопасности и открытые debug-эндпоинты. Но он принципиально слеп к логическим дефектам. Он не поймёт, что GET /api/v1/orders/1337 отдаёт чужой заказ, если просто подменить ID. Это и есть BOLA — Broken Object Level Authorization, первое место в OWASP API Top 10 уже второй цикл подряд.

🎯 Почему BOLA так массово эксплуатируется

Механика элементарная: сервер доверяет идентификатору объекта из запроса и не проверяет, принадлежит ли объект текущему пользователю. Авторизуешься как пользователь A, находишь запрос GET /api/v2/invoices/4521, меняешь ID на 4522 — и видишь чужой инвойс. Вот и весь «эксплойт». Никакой магии, никаких сложных цепочек.

Нюанс, который упускают даже опытные тестировщики: BOLA живёт не только в GET-запросах. Проверяй каждый HTTP-метод отдельно — PUT /api/users/1338 (изменение чужого профиля), DELETE /api/comments/9921 (удаление чужого контента). Каждый метод — отдельный вектор атаки.

⚙️ Что реально меняет OWASP API Top 10 версии 2023

Список 2023 года — не косметическая правка. Три категории добавлены с нуля, две объединены, а фокус сместился с классических инъекций на уязвимости бизнес-логики. Показательный момент: Injection больше не выделена отдельным пунктом. Не потому что SQL-инъекции вымерли — просто в API-контексте авторизационные и логические баги статистически преобладают. Инъекции теперь живут внутри Security Misconfiguration.

Три новых пункта требуют исключительно ручного анализа:
• Unrestricted Access to Sensitive Business Flows (API6)
• Server Side Request Forgery (API7)
• Unsafe Consumption of APIs (API10)

Никакой сканер их не обнаружит — только человек, который понимает логику сервиса.

🛠 Инструменты, которые реально используются на пентестах

Для BOLA-тестирования must-have — расширение Autorize для Burp Suite. Оно автоматически повторяет запросы с токеном другого пользователя и сравнивает ответы. Без него ручное тестирование превращается в рутинный ад.

Для атак на JWT — jwt_tool: команда python3 jwt_tool.py -X a запускает все известные атаки на алгоритм подписи, включая подмену alg: none. Подробнее:

https://codeby.net/threads/prakticheskaya-bezopasnost-api-owasp-api-top-10-tipovyye-uyazvimosti-i-metodika-testirovaniya.92694/

Читать полностью…

🔎Команда решила переехать с виртуальных машин в Kubernetes.

Причины стандартные: автоматическое масштабирование, самоисцеление, удобное управление.

Развернули кластер, накатили микросервисы. Через месяц выяснилось:
▶️Сложность выросла в 10 раз
▶️Разработчики не понимают, почему поды не стартуют
▶️Даже простой деплой требует правки пяти yaml-файлов
▶️Команда тратит половину времени на изучение K8s вместо написания кода

Читать полностью…

Unblob: Инструмент для извлечения данных из бинарных контейнеров

Unblob — утилита с открытым исходным кодом для рекурсивного извлечения содержимого из неизвестных бинарных блоков (blob). Инструмент поддерживает более 78 форматов архивов, сжатых потоков и файловых систем, автоматически определяет границы вложенных контейнеров и выделяет неизвестные фрагменты. Unblob предназначен для анализа, обратной разработки и извлечения прошивок встраиваемых систем, бинарных образов и других составных файлов.

👉Основные функции
- Поддержка 78+ форматов (SquashFS, JFFS2, UBI/UBIFS, ext, CPIO, ZIP, 7-Zip, gzip, XZ, LZMA, LZ4 и другие)
- Автоматическая обработка вложенных контейнеров до заданной глубины (по умолчанию 10)
- Идентификация начала и конца каждого фрагмента в соответствии со спецификацией формата
- Автоматическое определение и сохранение данных, не соответствующих известным форматам
- Генерация структурированных метаданных о найденных фрагментах
- Возможность добавления собственных обработчиков форматов

⬇️Установка

pipx install unblob

Проверка

unblob -h

⏺️Базовое извлечение

unblob firmware.bin

Результат сохраняется в директорию firmware.bin_extract/

⏺️Анализ прошивки маршрутизатора

unblob -e router_extracted -n 2 --report router_report.json router_firmware.bin

⏺️Извлечение с ограничением глубины и принудительной перезаписью

unblob -f -d 3 large_firmware.bin

⏺️Анализ неизвестного бинарного файла (только выделение фрагментов)

unblob -s --report chunks_report.json unknown.bin

⏺️Работа с большим количеством файлов (многопроцессорность)

unblob -p 8 -e /data/extracted /data/images/firmware.bin

🎇Unblob по умолчанию пропускает следующие типы файлов (можно изменить через --clear-skip-magics):
- BFLT, Erlang BEAM, GIF, JPEG, MPEG
- Microsoft Office документы (Word, Excel, PowerPoint)
- PDF, PNG, SQLite, TrueType Fonts
- Windows Embedded CE binary image, Java class, Python magic binary
- И другие медиа- и офисные форматы

#Unblob #FirmwareAnalysis #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Шеллкод руками: почему msfvenom — это костыль

AV/EDR знают паттерны стандартных пейлоадов наизусть. Каждый запуск msfvenom — готовая сигнатура для детектора.

🔧 Ручной шеллкод решает три проблемы:
• Нет сигнатур — только поведенческий детект
• Контроль размера: иногда буфер даёт ровно 200 байт
• Понимание механики вместо копипаста

Главное, что ломает новичков — нулевой байт. Инструкция mov eax, 0 даёт B8 00 00 00 00, и strcpy обрежет всё после \x00. Замена: xor eax, eax — два байта 31 C0, ноль нулей.

В Windows стабильных номеров syscall нет. Шеллкод обходит PEB, ищет базу kernel32.dll через список модулей и динамически резолвит WinAPI — LoadLibrary в 40 байт.

Разбор с байткодом, C-обёрткой и инъекцией в процесс:

https://codeby.net/threads/razrabotka-shellkoda-ot-ruchnogo-napisaniya-na-assemblere-do-in-yektsii-v-protsess.92670/

Читать полностью…

lonkero

Профессиональный сканер для реального тестирования на проникновение. Быстрый. Модульный. Rust.

Lonkero — это профессиональный сканер веб-безопасности уровня production, созданный специально для серьёзного security-тестирования.
Он имеет мощный Intelligent Mode с контекстно-ориентированным сканированием, автоматическим определением технологий, дедупликацией эндпоинтов и оценкой риска для каждого параметра. Благодаря встроенной ML-системе автообучения сканер с каждой новой проверкой снижает количество ложных срабатываний, используя серверную модель обнаружения. Сканер умело пропускает внутренние компоненты фреймворков и сосредотачивается исключительно на реальных уязвимостях, при этом отлично поддерживает современный стек: Next.js, React, GraphQL, gRPC, WebSocket и HTTP/3. Благодаря умной фильтрации параметров сканирование стало примерно на 80 % быстрее. Lonkero также использует продвинутые техники обнаружения слепых уязвимостей.

📐Характеристика:
📉Intelligent Mode (v3.0+): контекстно-ориентированное сканирование с автоматическим определением технологий, дедупликацией эндпоинтов и оценкой риска для каждого параметра.
📉ML Auto-Learning: система машинного обучения, которая анализирует результаты каждого сканирования и со временем значительно снижает количество ложных срабатываний.
📉Scanner Intelligence System: Сканнер работает в реальном времени, применяет байесовское тестирование гипотез, многошаговое планирование атак и семантический анализ ответов сервера.
📉Low fake positives: Очень низкий уровень ложных positives — около 5 %
📉Поддержка современного стека: Next.js, React, GraphQL, gRPC, WebSocket, HTTP/3, а также популярные фреймворки (Django, Laravel, WordPress) и облачные сервисы.
📉Высокая скорость: сканирование до 80 % быстрее благодаря умной фильтрации параметров.
🖱Продвинутые техники обнаружения: включая proof-based XSS, OOBZero Engine для слепых SQLi без out-of-band каналов, а также второстепенные инъекции и другие атаки.

⬇️Установка:
0️⃣Устанавливаем необходимые пакеты:

sudo apt install cargo build-essential pkg-config libssl-dev rustfmt -y

1️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/bountyyfi/lonkero.git

cd lonkero

2️⃣Собираем бинарник:

cargo build --release

Если у вас мало RAM, используйте флаг "--jobs 1" вместе с "--release"

3️⃣Компируем бианрный файл в следующую директорию:

sudo cp target/release/lonkero /usr/local/bin

⛓️‍💥Запуск:
▶️Обычное сканирование URL:

lonkero scan [URL]

▶️Сканирование с использованием краулера для лучшего результата:

lonkero scan [URL] --crawl

▶️Сканирование с аутентификацией (cookie):

lonkero scan [URL] --cookie "session=abc123"

▶️Сканирование с заголовками (headers):

lonkero scan [URL] --header "Authorization: token"

▶️Автоматический вход с параметрами:

lonkero scan [URL] --auth-username admin --auth-password admin

▶️Включить перечисление поддоментов:

lonkero scan [URL] --subdomains

▶️Использование Google dorks:

lonkero scan [URL] --dorks

▶️Запустить только специфические модули:

lonkero scan [URL] --only sqli_enhanced,xss_enhanced,ssrf

#waf #xss #pentesting #webscanner #rust #WAPT #web

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

👆Курс «Основы Linux» доступен по подписке PRO.

В подписку также входят:
— курс «Введение в ИБ» с лабораторией
— курс «SQL Injection Master» с лабораторией + сертификат за сдачу экзамена
— Доступ ко всем CTF-заданиям платформы
— Pro-лаборатории

Это не доступ к одному курсу, а сразу к нескольким направлениям обучения и практики.

❗️Напоминаем: до конца апреля подписку PRO можно оформить со скидкой 20% по промокоду PRO20

Читать полностью…

Антивирус молчит, а данные уходят на C2 — это kernel-mode руткит

Меньше 1% малвари — руткиты. Но именно они стоят за APT-кампаниями и скрытым майнингом. Причина: руткит работает на уровне ядра и контролирует, что система «видит».

🔍 Как устроено изнутри:

• DKOM — удаляет процесс из ActiveProcessLinks, он исчезает из диспетчера задач, оставаясь живым
• SSDT hooking — перехватывает системные вызовы до обработки ядром
• Minifilter + kernel callbacks — фильтрует файловый I/O и ослепляет защиту

🛠 Детектировать DKOM: сравни !process 0 0 и !poolfind Proc 0 в WinDbg. Если pool scan находит EPROCESS с PID, которого нет в списке — прямой индикатор атаки. В Volatility 3: расхождение между windows.pslist и windows.psscan выдаёт DKOM мгновенно.

https://codeby.net/threads/rootkit-obnaruzheniye-windows-dkom-ssdt-hooking-minifilter-i-callback-manipulyatsii-cherez-windbg-i-volatility.92639/

Читать полностью…

Сколько платят в кибербезопасности в 2025? Реальные цифры от рекрутера

💼 Человек, закрывший 120+ вакансий в ИБ, разложил рынок по полочкам. Спойлер: заголовки про «миллион в месяц» и реальность расходятся сильно.

📊 Медианные зарплаты по Москве:
• Junior / SOC L1 — 80–120 тыс. ₽
• Пентестер middle — 220 тыс. ₽
• CISO — от 500 тыс. ₽

Номинально зарплаты выросли на 31% с 2022 года. Но инфляция за тот же период — 30–35%. Реальный рост покупательной способности? Почти нулевой.

🎯 Рынок сменил логику: вместо трёх джунов компании берут одного senior. Конкуренция за стартовые позиции выросла, «просто пройти курс» уже не работает. Зато на хороших пентестеров — натуральная охота.

Полный разбор с таблицами по специализациям, требованиями работодателей и советами по резюме для junior:

https://codeby.net/threads/zarplata-v-kiberbezopasnosti-2025-real-nyye-tsifry-vostrebovannyye-spetsializatsii-i-rezyume-dlya-junior.92609/

Читать полностью…

Первый хеш — быстрее, чем заваривается кофе

🎯 На каждом внутреннем пентесте сценарий один и тот же: подключился к VLAN, запустил Responder — и NTLMv2-хеш уже в терминале. Без харденинга AD путь до Domain Admin занимает пару часов.

Mandiant фиксирует: 9 из 10 кибератак эксплуатируют Active Directory. Три меры закрывают основные векторы первых часов атаки:

• Отключить LLMNR — пять минут в GPO, один вектор credential harvesting исчезает
• NBT-NS disable — есть грабли со скейлингом через NIC, разбираем правильный путь
• LAPS — без него один крекнутый хеш локального админа открывает всю подсеть через Pass the Hash

Внутри — GPO-пути, ключи реестра, PowerShell-команды верификации и грабли из инфраструктур от 200 до 3000 машин.

https://codeby.net/threads/khardening-active-directory-laps-llmnr-i-nbt-ns-tri-mery-protiv-80-vnutrennikh-atak.92656/

Читать полностью…

NextRce

NextRce - инструмент для эксплуатации уязвимости RSC в Next.js (CVE-2025-55182).

NextRce — это высокопроизводительный многопоточный инструмент безопасности, предназначенный для обнаружения и эксплуатации уязвимости CVE-2025-55182. Он нацелен на реализацию React Server Components (RSC) в архитектуре App Router Next.js. Манипулируя процессом сериализации в Server Actions, NextRce внедряет специально созданную полезную нагрузку для достижения удаленного выполнения кода (RCE) на уязвимых экземплярах. Он оснащен интеллектуальным механизмом обнаружения, который автоматически различает уязвимые архитектуры App Router и безопасные устаревшие Pages Router, обеспечивая эффективность при массовом сканировании.

📐Особенности:
📉Использует кодировку UTF-16LE для обхода обнаружения WAF, сохраняя при этом целостность полезной нагрузки на стороне сервера.
📉Практический анализ DOM (поиск window.__next_f) для идентификации уязвимых целей App Router по сравнению с устаревшими сайтами Pages Router.
📉Встроенный ThreadPoolExecutor позволяет сканировать тысячи доменов одновременно с минимальными затратами ресурсов.
📉Автоматически извлекает допустимые URL-адреса из смешанных форматов входных данных (например, коды состояния, заголовки или необработанные журналы).
🖱Выполняет команды и получает вывод непосредственно из дайджеста ответа сервера.

🔎Технический анализ:
Next.js App Router использует собственный формат сериализации для компонентов React Server Components (RSC). Уязвимость заключается в логике десериализации заголовков Next-Action. Когда специально созданный объект (загрязняющий proto) отправляется на конечную точку серверного действия (например, /adfa), внутренний парсер может быть принудительно принудительно настроен на выполнение произвольного кода Node.js через child_process.

⬇️Установка:

git clone https://github.com/ynsmroztas/NextRce.git

cd NextRce/

pip install requests

⛓️‍💥Использование:
▶️Режим обхода WAF (NextRCSWaff.py):

python3 NextRCSWaff.py -u [URL] -c "whoami" --bypass

▶️Сканирование одной цели:

python3 nextrce.py -u [URL] -c "cat /etc/passwd"

▶️Сканирование из файла:

python3 nextrce.py -l [TXT] -c "whoami" -t 100

#WAF #web #vuln #RCE

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…