Codeby

Почему пентестер без бинарного анализа — половина специалиста Conficker, Stuxnet, EternalBlue — три инцидента, перевернувших индустрию. Каждый начался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Только по классу CWE-119/120/121 (переполнение буфера) в базе NVD десятки тысяч записей. А ведь это лишь один класс из десятка. И вот парадокс: на реальном пентесте или bug bounty рано или поздно встречается сервис, для которого нет публичного эксплойта. Проприетарный демон на Linux, прошивка IoT-устройства без строки документации, десктопное ПО с кастомным протоколом. Всё, что есть — скомпилированный бинарь. Без навыков бинарного анализа ты можешь сканировать порты и фаззить HTTP-эндпоинты, но закрытый нативный код остаётся чёрным ящиком. 🔬 Что отличает того, кто запускает готовый эксплойт из Metasploit, от того, кто способен вскрыть проприетарный бинарь, найти 0-day и превратить его в рабочую цепочку атаки? Именно бинарный анализ. Это не отдельная экзотическая специализация — это необходимый компонент kill chain. Карта навыков выглядит так: • Статический анализ — дизассемблирование и декомпиляция. Открываешь бинарь, не запуская его. Смотришь заголовки ELF/PE, таблицу импортов, ищешь красные флаги: gets, strcpy, sprintf без проверки длины. Уже на этом этапе видно, куда копать. • Динамический анализ — отладчики (GDB, x64dbg, WinDbg) и DBI-фреймворки (Frida, PIN, DynamoRIO). Ставишь брейкпоинт, смотришь, что происходит на уровне регистров и стековых фреймов в рантайме. • Эксплуатация — stack overflow, heap exploitation, ROP/JOP-цепочки и обход современных защит (ASLR, DEP, canary). Tcache poisoning в glibc — отдельное искусство. • Символьное исполнение — angr, Manticore, Triton. Автоматический поиск входных данных, которые приводят программу к нужному состоянию. Мощнейший инструмент для CTF и реальных исследований. • Фаззинг — AFL++, libFuzzer, coverage-guided подход. Генерируешь миллионы мутированных входов, отслеживаешь покрытие кода, ловишь краши. 🎯 В CTF категория pwn стабильно собирает наименьший процент решений. Задачи уровня DEF CON CTF требуют не теории, а рабочего процесса: открыл бинарь в дизассемблере, нашёл уязвимый путь, написал эксплойт, обошёл защиты. Каждый шаг — конкретный инструмент и понимание того, что происходит под капотом. В терминах MITRE ATT&CK атакующие группировки разрабатывают эксплойты (T1587.004), собирают информацию об уязвимостях (T1588.006) и используют их для повышения привилегий (T1068). Пентестер, понимающий эту цепочку с обеих сторон, перестаёт быть пользователем чужих инструментов и становится исследователем. 📖 Полная карта направления — от статического реверса до автоматизированного фаззинга — разобрана в руководстве на форуме. https://codeby.net/threads/binarnyi-analiz-uyazvimostei-polnoye-rukovodstvo-dlya-pentestera-i-ctf-igroka.93708/

Водоочистная станция, VNC с дефолтным паролем и 40 миль до военной базы США В январе 2024 хактивисты из CARR зашли в систему управления водоснабжением техасского городка Muleshoe. Не через zero-day, не через кастомный эксплойт — просто подключились по VNC с дефолтными кредами. Перенастроили параметры, вызвали перелив водонапорной башни, сняли видео взаимодействия с HMI-панелями и выложили в открытый доступ. Потом ударили по соседним городам. А Mandiant позже с умеренной уверенностью связал CARR с APT44/Sandworm — военной разведкой ГРУ. И это не единичный случай. 🔴 По данным «Информзащиты», в первом полугодии 2025 атаки на SCADA выросли на 27% год к году. В энергетике — на 38%. EPA проверило водоочистные станции и обнаружило, что более 70% нарушают требования кибербезопасности. Неизменённые пароли, отсутствие MFA, HMI-панели, торчащие наружу. Как выглядит типичный kill chain такой атаки? ⚡ Начальный доступ — три реальных вектора: • Дефолтные учётки на HMI и SCADA-серверах. Классика — admin/admin, вендорные пароли Siemens, Schneider Electric, Rockwell. • Внешние сервисы удалённого доступа: VNC, RDP, TeamViewer. В Oldsmar (Флорида, 2021) кто-то подключился через TeamViewer к HMI оператора и прямо на его глазах поднял концентрацию гидроксида натрия со 100 ppm до 11 100 ppm. Оператор увидел, как курсор двигается сам, и откатил изменения. • Публично доступные веб-интерфейсы ПЛК. Запрос port:502 на Shodan возвращает тысячи Modbus-устройств. У Siemens S7-1200/1500 веб-сервер включён по умолчанию. 🎯 Что делают после проникновения: Сканируют подсеть, находят ПЛК, отправляют команды записи в регистры. В терминах Modbus — function codes FC5, FC6, FC15, FC16. Через них меняют уставки: концентрацию реагентов, давление, расход. Или останавливают процессы — как на Arkansas City Water Treatment Facility в сентябре 2024, где станция перешла на ручное управление. Что критично для обнаружения: • Мониторинг аутентификаций на HMI/SCADA с нетипичных IP • Baseline remote-access сессий — любое VNC/RDP-подключение вне белого списка = critical • Контроль внешних подключений к портам 502, 102, 44818, 20000 • Корреляция: source IP не из OT-подсети + промышленный порт = инцидент Штатный Modbus-трафик предсказуем и цикличен. Любая аномалия — нехарактерные function codes, всплеск write-операций, новый source — видна на фоне этой регулярности. OT-сеть парадоксально проще мониторить, чем IT, если знать, что искать. В полной статье — детальный detection-playbook с конкретными правилами корреляции, разбор APT-группировок и рекомендации по сегментации OT-сетей. https://codeby.net/threads/ataki-na-scada-sistemy-razbor-vzlomov-vodoochistnykh-stantsii-i-detection-playbook-dlya-ot-seti.93707/

🔎pretender

Инструмент, предназначенный для MitM-атак, таких как захват DNS через DHCPv6, а также подмена mDNS, LLMNR и NetBIOS-NS. Ранее для перехвата DNS-запросов DHCPv6 использовался инструмент mitm6, а для подмены локальных имен Responder. Однако pretender во многом отличается от этих проектов, предоставляя специалистам дополнительные возможности.

🎯Отличия инструмента ➡️позволяет шаг за шагом отображать этапы цепочки атак вместе с соответствующими инструментами, что упрощает составление отчётов и демонстрацию в реальном времени; ➡️можно скомпилировать для различных архитектур и операционных систем (Linux, Windows, macOS и др.); ➡️не требует специальных привилегий в Windows, если необходимые порты не используются другим процессом и не заблокированы брандмауэром; ➡️возможность изменения значений флагов конфигурации командной строки во время компиляции для создания предварительно сконфигурированного двоичного файла под особые случаи использования. ⬇️Установка

git clone https://github.com/RedTeamPentesting/pretender.git
cd pretender
go build

⛓️‍💥Использование 1️⃣Чтобы оценить ситуацию в локальной сети, pretender можно запустить в --dry режиме, в котором он регистрирует только входящие запросы и не отвечает на них.

pretender -i eth0 --dry
pretender -i eth0 --dry --no-ra # без router advertisements (RA)

2️⃣Чтобы подменить локальное разрешение имен с помощью mDNS, LLMNR и NetBIOS-NS, а также перехватить управление DNS по протоколу DHCPv6 с помощью объявлений маршрутизатора, просто запустите pretender следующим образом:

pretender -i eth0

Также можно отключить некоторые атаки с помощью --no-dhcp-dns (отключение DHCPv6, DNS), --no-lnr, --no-mdns, --no-llmnr, --no-netbios (отключение mDNS, LLMNR и NetBIOS-NS). 3️⃣Pretender можно настроить так, чтобы он отвечал только на запросы для определенных доменов (или для всех кроме определенных доменов) и выполнял спуфинг-атаки только для определенных хостов (или для всех кроме определенных хостов). При обращении к хостам по имени хоста используется разрешение имени хоста, на котором запущен pretender.

pretender -i eth0 --spoof "example.com" --dont-spoof-for "10.0.0.3,host1.corp,fe80::f" --ignore-nofqdn

#mitm #tools #AD #pentest 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

75% взломов начинаются с обычного логина и пароля — как устроен рынок вымогателей в 2026 19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри. 🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с valid credentials на 71% год к году. Каждый день в даркнете появляется более 6 000 свежих пар логин-пароль от инфостилеров. Для SOC это значит одно: initial access выглядит как легитимный вход. Никакого эксплойта, никакого подозрительного бинарника — просто сотрудник «сам» зашёл в VPN в 3 часа ночи воскресенья. Вся эта машина работает на трёх ролях: • Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа. • Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC. • IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000. Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году. ⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале. Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов. 📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн. Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки. Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме. https://codeby.net/threads/ransomware-as-a-service-2026-the-gentlemen-i-analiz-raas-ekosistemy-affiliaty-ttps-detection.93712/

«Кто это сделал?» — фраза, с которой в командах начинается половина расследований. Ответ на такой вопрос даёт сервис аудитных логов. Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях. В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.

Plaso ☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях. 🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами Основные свойства: ➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты. ➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение). ➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования. ➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy. ➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM). ➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang. ⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso  
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

⏺️10 ноября 1983 года (рождение вируса) Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.

⏺️Как был устроен первый вирус Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип. Принцип был элегантен: ▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений ▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки ▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов Результаты пяти экспериментов оказались шокирующими даже для самого Коэна: ▶️минимальное время получения полного контроля над системой — менее 5 минут ▶️среднее время — менее 30 минут ▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится

«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало. ⏺️«Если бы мы знали…» После демонстрации к Коэну подошёл представитель АНБ США:

«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу. ⏺️Двойная жизнь: подозреваемый и ценный кадр Власти инициировали наблюдение за Коэном: ▶️задержания на границе ▶️отслеживание передвижений ▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним) Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры. ⏺️1984 В научной работе того года Коэн сформулировал два фундаментальных тезиса: ▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует ▶️Универсальный антивирус невозможен в принципе

«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.

⏺️1988. Первая массовая атака (червь Морриса) Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.

«Я просто хотел показать уязвимости», — утверждал он.

Результаты: ▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета ▶️многократное самовоспроизведение червя приводило к полной остановке систем ▶️первая зафиксированная DDoS-атака в истории Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление. ⏺️Главная уязвимость — человек На основе анализа инцидента Коэн сформулировал ключевой тезис:

«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак. ⏺️Последующие атаки подтвердили правоту Коэна: ▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов ▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг ▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов #ФредКоэн #Моррис #virus #DDoS 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Предсказуемый sequence number — и чужая сессия у тебя в руках Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью. 🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях: • Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood. • В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы. ⚡ А теперь про разведку. SYN-скан в Nmap (nmap -sS) — первое, что запускаешь на новом проекте. Отправляется SYN, анализируется ответ, тут же шлётся RST — рукопожатие не завершается. Три варианта ответа: • SYN-ACK → порт открыт, сервис слушает • RST → порт закрыт • Тишина → файрвол дропает пакет Разница между SYN-сканом и обычным connect-сканом (-sT) — как между подглядыванием в замочную скважину и стуком в дверь. Первый не оставляет записей в логах сервиса, второй — оставляет. 🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются. TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках. 📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby. https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/

Subzy

Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.

📐Функции: 📉Возможность сканировать несколько поддоменов списком 📉Скрытие неудачных проверок или неуязвимых домменов 🖱Проверка действительности SSL ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/PentestPad/subzy.git

cd subzy/

1️⃣Устанавливаем язык GO:

sudo apt install golang-go

2️⃣Собираем проект:

go build

⛓️‍💥Запуск: ▶️Запуск и сканирование одной цели:

./subzy r --target {URL}

▶️Запуск и сканирование списка поддоменов:

./subzy r --targets {TXT}

▶️Запуск и сканирование несольких целей, без использования списка:

./subzy r --targets {URL},{URL}

#web #wapt 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

732 байта Python-кода — и детерминистический root на любом Linux Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет. 🔎Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно: • AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу • splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования • Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари В 2017 году модуль algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован. 👉Почему это страшнее Dirty Pipe? Три причины: 1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью 2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian) 3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK. 🎇Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро. Интересный момент: баг прятался так долго, потому что подсистему crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет. На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль algif_aead загружен и ядро не пропатчено — root за секунды. Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье. https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/

🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей «Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так. Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows. Что внутри: 📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe 📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG) 📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики 📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр ⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass. Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе. 👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-baza-dannykh-sam-i-kheshi-paroley.93745/

🚩 Новые задания на платформе HackerLab! 🎢 Категория Разное — Анонимизатор —————————————— 🗂 В архив добавлены задания + райтапы: 🔵PWN - Piece of cake Приятного хакинга!

🚗Пятничный опрос Проверим знания не по вебу, а по сетевой безопасности 🧠

🔍 Сетевая разведка за 30 дней — 4 недели практики на HackerLab 80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно. С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт: 📌 Неделя 1 — nmap: port scan + banner grabbing 📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration 📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost 📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний. ⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы. 🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде. Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle. К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио. 📅 Старт — 1 июня. Первая машина — «Кто там?» 👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/

38 минут от первого запроса до пароля domain-админа: почему сетевые протоколы — самое слабое звено Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл passwords.xlsx в открытом виде — домен скомпрометирован. Три сервиса, ни один не настроили. Сложных эксплойтов не понадобилось. Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный public на SNMP живёт годами. 🔎SNMP — часто самый недооценённый вектор. Community string — по сути пароль для доступа к информации об устройстве. На огромном количестве оборудования стоит public для чтения и private для записи. Одна команда — и вы читаете конфигурацию маршрутизаторов, коммутаторов, серверов. Имена хостов, сетевые интерфейсы, список процессов — всё это отличная стартовая точка для дальнейшего продвижения по сети. SMB — классика внутреннего пентеста. Два ключевых момента: ⏺️Анонимный доступ к шарам — файлы с паролями, конфиги, бэкапы баз лежат в открытом виде чаще, чем хочется верить ⏺️SMB signing отключён на рабочих станциях — до Windows 11 24H2 подпись пакетов включена, но не обязательна. Это открывает дверь для SMB relay: перехватил запрос аутентификации, перенаправил на другой хост, получил доступ Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно. ✉️ SMTP тоже не отстаёт. Open relay — почтовый сервер, который пересылает письма от кого угодно кому угодно. Фишинговое письмо с настоящего IP компании проходит базовые проверки на ура. Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают. 🎇В полной версии статьи — пошаговая разведка через Nmap, конкретные команды для эксплуатации каждого протокола, инструкция по развёртыванию лаборатории на Metasploitable 2 и детальный разбор техник. Читайте и практикуйте в безопасной среде. https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/

🎯 Карьерный навигатор в кибербезопасности 2026 Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей. Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде. 🔬 Пять треков, между которыми нужно выбирать: • Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+ Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career. ⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума. Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%. 💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому. 👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/

Почему банкомат выдаёт деньги без карты — и как это ловить В 2024–2025 годах по США прокатилась волна jackpotting-атак: преступники опустошали кассеты банкоматов без единой карты и без стандартной транзакции. FBI и Secret Service выпускали экстренные предупреждения, аресты шли сразу в нескольких штатах. Восстановление одного заражённого банкомата обходится свыше $25 000 — форензика, переустановка ОС, сертификация, простой. Умножьте на десятки машин — и масштаб проблемы станет очевидным. 🔩 Всё начинается с физики. Банкомат делится на бронированный сейф внизу и так называемый «top hat» — верхнюю панель с системным блоком, USB-портами и сетевыми интерфейсами. Замки этих панелей серийные — один ключ на целую партию устройств. Атакующий в форме техника открывает корпус за 2–5 минут, вставляет USB-флешку — и дальше работает малварь. Самые известные семейства — Ploutus и Tyupkin. Оба бьют в одну архитектурную слабость: стандарт XFS (Extensions for Financial Services), через который банковское ПО управляет диспенсером, кардридером и пинпадом. XFS-команды на уровне middleware не требуют аутентификации конечного пользователя. Получив возможность выполнить код на ОС банкомата, атакующий отправляет WFSExecute напрямую к диспенсеру — минуя бэкенд и процессинг. Для банка эта операция просто не существует. Ploutus подменяет библиотеку msxfs.dll, прописывается в автозагрузку через ключ реестра Userinit и активируется по mule-кодам с внешней USB-клавиатуры. Скрытый интерфейс показывает содержимое кассет, скорость выдачи — свыше 100 купюр в минуту. Банкомат можно опустошить менее чем за 10 минут. Есть и второй метод — black-box. Тут ОС вообще не трогают: штатный системный блок отключают от диспенсера, подключают одноплатник или ноутбук напрямую к шине и шлют команды выдачи, имитируя контроллер. ⚡ Что может сделать SOC? Три конкретных шага: • Тамперный датчик на вскрытие корпуса должен генерировать P1-алерт в SIEM с автоматическим блокированием сетевого порта через NAC. Без этой связки между физическим и логическим мониторингом — слепая зона размером с весь ATM-парк. • Application whitelisting на каждом банкомате. Если бинарь не в белом списке — он не запустится. Kaspersky Embedded Systems Security или Trellix Application Control при корректной настройке закрывают малварный вектор. • Шифрование XFS-канала между middleware и диспенсером. Последние поколения NCR это поддерживают — без валидных ключей black-box становится бесполезен. 🔍 Отдельный риск — инсайдер. Скомпрометированный сотрудник подрядчика ставит малварь при плановом визите. Легитимный доступ, легитимные инструменты — тут спасает только dual-control и жёсткий контроль на уровне СКУД. Тема глубже, чем кажется: shimming POS-терминалов, detection-правила под MITRE ATT&CK, конкретные маппинги техник — всё это разобрано в полной статье на форуме. https://codeby.net/threads/pentest-bankomatov-i-pos-terminalov-jackpotting-shimming-i-detection-dlya-soc.93681/

Вы умеете находить следы взлома, когда их пытаются скрыть? После атак злоумышленники чистят логи, маскируют ВПО и заметают следы. Большинство видит пустоту. Только настоящий профессионал восстанавливает картину целиком. Курс по реагированию на компьютерные инциденты — та самая база для будущих экспертов в BlueTeam и IRT. Курс РКИ — это не теория. Это практический курс, после которого вы будете: ⏺️собирать дампы памяти и артефакты с Windows/Linux ⏺️анализировать логи и вредоносное ПО ⏺️применять Threat Intelligence и Threat Hunting для поиска скрытых угроз ⏺️грамотно реагировать на атаки и искать следы проникновения Что в программе ➡️26 тем, практические ДЗ (с 5-ой темы) и итоговый экзамен: теория (30 вопросов) + расследование реального кейса по виртуальной машине с подготовкой отчёта. Стартуем 8 июня 😀☺️😚🥲😎Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию при записи на курс! Узнать подробнее о курсе

WaspSting

WaspSting - это инструмент командной строки на Python для белого тестирования на проникновение, поиска уязвимостей и проведения исследований в области безопасности. Он решает одну из самых трудоемких задач пентестинга - документирование - автоматически генерируя структурированные отчеты, шаблоны доказательств и планы тестирования по мере вашей работы.

📐Возможности: 📉Автоматическая документация - шаблоны для заполнения доказательств по каждой обнаруженной уязвимости, отчет создается автоматически 📉Перечисление поддоменов - crt.sh + HackerTarget + перебор DNS 📉Галерея ресурсов - скриншоты + метаданные каждого обнаруженного поддомена 📉Фаззер полезных нагрузок - SQLi, XSS, SSTI, SSRF, внедрение запросов, обход пути + пользовательские списки слов 📉Уведомления в реальном времени - веб-хуки Slack/Discord + автоматические задачи GitHub, создаваемые на основе обнаруженных уязвимостей 📉Локальный ИИ через Ollama - проверка кода + информация bug bounty, без ключа API, ничего не покидает ваш компьютер 📉HTML-отчет для руководителей - оценка риска, диаграммы серьезности, фильтруемая таблица обнаруженных уязвимостей 📉Конфигурация Burp Suite Community - предварительно настроенные области действия, полезные нагрузки и запросы Repeater 🖱Поиск CVE в NVD - без необходимости в ключах ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/N00dleN00b/waspsting.git

cd waspsting

1️⃣Создаём виртуальное окружение venv:

python -m venv venv

source venv/bin/activate

2️⃣Установка зависимостей:

pip install -r requirements.txt

3️⃣Установка локальной ИИ (olama):

curl -fsSL https://ollama.ai/install.sh | sh

ollama pull llama3

ollama serve

4️⃣Устанавливаем chromium для скриншотов (не обязательно):

sudo apt install chromium

⛓️‍💥Запуск: ▶️Сканирование цели:

python waspsting.py -t {URL}

▶️Статический анализ кода:

python waspsting.py --repo https://github.com/{username}/{repo} --mode sast

▶️Проверка на наличие уязвимостей (Recon + CVE) в вашем собственном приложении:

python waspsting.py --target {URL} --mode recon --cve --confirm

▶️Перечисление поддоменов:

python waspsting.py --target {URL} --mode enum --screenshot --confirm

▶️Планировщик Bug Bounty:

python waspsting.py --mode bounty

▶️Аудит аутентификации:

python waspsting.py -t {URL} --mode auth --wordlist {WORDLIST} --confirm

#web #wapt #nmap 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером