Codeby

FortiClient EMS: когда управляющий сервер сам открывает дверь 🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия. CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS. EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил: • отключение защиты на эндпоинтах (T1562.001) • развёртывание произвольных пакетов через легитимный канал • доступ к телеметрии и учётным данным CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет. https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

FortiClient EMS: когда управляющий сервер сам открывает дверь 🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия. CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS. EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил: • отключение защиты на эндпоинтах (T1562.001) • развёртывание произвольных пакетов через легитимный канал • доступ к телеметрии и учётным данным CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет. https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

Митигации включены. Эксплойт всё равно проходит. «Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность. 🎯 Четыре техники, которые работают в 2026-м: • Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами • Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа • ROP и JOP — код-реюз обходит DEP. Intel CET закрыл ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода • ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain 🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает. https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/

SMB signing в AD включён по умолчанию? Только на контроллерах домена Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова. 🎯 Что проверяет атакующий за три команды nmap: • -sn по подсети — список живых хостов • -p 88,389,445,636 — отсев DC от member servers • --script smb-security-mode — на каких member servers signing в статусе disabled Три команды — и готовый список целей для NTLM relay. SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу. 🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например, -sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины). https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/

MFA включена — значит всё в порядке? Не совсем Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте. 🎯 Три вектора против MFA: • SS7-перехват — SMS с OTP маршрутизируется через узел атакующего • SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику • MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё. 🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team. https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/

ИИ не взламывает за вас — но экономит часы рутины За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе. 🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus. ⚡ Где LLM реально ускоряет: • Анализ разведки — промпт к выводу subfinder/amass находит «забытые» Jenkins с дефолтными кредами • Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов • Черновики отчётов — стартовая точка, не финал 🛡 Облачные LLM — только с NDA. Для чувствительных проектов — ollama или локальный routing. https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/

Прочитал 10 статей про SQL-инъекции, но не можешь перехватить первый HTTP-запрос? Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать. 🐳 Один Docker-контейнер решает проблему легальной цели: docker run --rm -it -p 80:80 vulnerables/web-dvwa Внутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды. 🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина. По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования. Полный разбор — от запуска окружения до первой найденной уязвимости руками: https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/

Контейнер — это не виртуалка. И вот почему это важно 🔍 На каждом втором red team-проекте одна картина: Kubernetes поднят, Helm накатан, CI/CD работает — и все уверены, что контейнеры изолируют всё сами. Нет. Контейнер — это просто группа процессов за Linux-примитивами без отдельного ядра. Один сломанный «заборчик» — и атакующий на хосте. Оттуда до cluster-admin — несколько команд. ⚙️ Полная цепочка атаки выглядит так: • Разведка: открытый 2375/tcp или kubelet API на порту 10250 — уже точка входа • Побег: смонтированный docker.sock даёт root на хосте даже без docker-клиента — через обычный curl • Захват: сервисный токен пода + слабый RBAC → cluster-admin без эксплойтов 💀 Каждый шаг — из реальной практики, с командами, CVE и маппингом на MITRE ATT&CK. Полный разбор — от разведки до захвата кластера: https://codeby.net/threads/pentest-konteinerov-docker-i-kubernetes-ot-pobega-iz-konteinera-do-zakhvata-klastera.92708/

🚩 Новые задания на платформе HackerLab! 🖼 Категория Стеганография — Мерцающие тайны Приятного хакинга!

9 МБ — и Sliver спалился ещё на доставке Штатный имплант весит как небольшой архив, а CrowdStrike знает ReflectiveLoader наизусть. Именно тогда садишься писать точечные расширения к зрелым фреймворкам — не новый C2 с нуля. 🔧 Три модели расширения на практике: • BOF для Cobalt Strike — объектный файл 2–10 КБ, исполняется внутри Beacon без нового процесса. EDR не видит паттернов CreateRemoteThread, BOF отработал и выгрузился • Кастомные агенты Mythic — имплант под профиль операции с нужным транспортом • gRPC-плагины Sliver — автоматизация lateral movement без правки ядра ⚡ Писать C2 с нуля на двух-трёхнедельный engagement — плохая идея. Зрелые фреймворки дают готовую OPSEC-инфраструктуру, кастомизация закрывает ровно нужную дыру. Полный разбор с кодом: https://codeby.net/threads/razrabotka-rasshirenii-c2-freimvorkov-bof-agenty-mythic-i-plaginy-sliver-na-praktike.92700/

🔐 Почему сканер DAST не найдёт самую опасную уязвимость в вашем API Представь такую картину: автоматический сканер прошёлся по API, отчёт чистый, команда выдыхает. А потом пентестер вручную меняет один ID в запросе — и получает данные 60 миллионов чужих пользователей. Именно так в 2018 году взломали USPS Informed Visibility API. Сканер находит отсутствующие заголовки безопасности и открытые debug-эндпоинты. Но он принципиально слеп к логическим дефектам. Он не поймёт, что GET /api/v1/orders/1337 отдаёт чужой заказ, если просто подменить ID. Это и есть BOLA — Broken Object Level Authorization, первое место в OWASP API Top 10 уже второй цикл подряд. 🎯 Почему BOLA так массово эксплуатируется Механика элементарная: сервер доверяет идентификатору объекта из запроса и не проверяет, принадлежит ли объект текущему пользователю. Авторизуешься как пользователь A, находишь запрос GET /api/v2/invoices/4521, меняешь ID на 4522 — и видишь чужой инвойс. Вот и весь «эксплойт». Никакой магии, никаких сложных цепочек. Нюанс, который упускают даже опытные тестировщики: BOLA живёт не только в GET-запросах. Проверяй каждый HTTP-метод отдельно — PUT /api/users/1338 (изменение чужого профиля), DELETE /api/comments/9921 (удаление чужого контента). Каждый метод — отдельный вектор атаки. ⚙️ Что реально меняет OWASP API Top 10 версии 2023 Список 2023 года — не косметическая правка. Три категории добавлены с нуля, две объединены, а фокус сместился с классических инъекций на уязвимости бизнес-логики. Показательный момент: Injection больше не выделена отдельным пунктом. Не потому что SQL-инъекции вымерли — просто в API-контексте авторизационные и логические баги статистически преобладают. Инъекции теперь живут внутри Security Misconfiguration. Три новых пункта требуют исключительно ручного анализа: • Unrestricted Access to Sensitive Business Flows (API6) • Server Side Request Forgery (API7) • Unsafe Consumption of APIs (API10) Никакой сканер их не обнаружит — только человек, который понимает логику сервиса. 🛠 Инструменты, которые реально используются на пентестах Для BOLA-тестирования must-have — расширение Autorize для Burp Suite. Оно автоматически повторяет запросы с токеном другого пользователя и сравнивает ответы. Без него ручное тестирование превращается в рутинный ад. Для атак на JWT — jwt_tool: команда python3 jwt_tool.py -X a запускает все известные атаки на алгоритм подписи, включая подмену alg: none. Для разведки скрыт https://codeby.net/threads/prakticheskaya-bezopasnost-api-owasp-api-top-10-tipovyye-uyazvimosti-i-metodika-testirovaniya.92694/

Ключ под ковриком: как RBAC превращает скомпрометированный под в cluster-admin 🔑 По данным Unit 42, кражи Kubernetes-токенов выросли на 282% за год. Причина — сервисные аккаунты имеют прав больше, чем нужно. Эскалация привилегий в Kubernetes — это не про эксплойты, а про легитимные API-вызовы с избыточными разрешениями. Пять ключевых прав: • create pods — запускаешь под с чужим SA • get secrets — читаешь токены напрямую • bind / escalate — назначаешь себе cluster-admin ⚙️ После попадания в под — kubectl auth can-i --list. Если видишь хотя бы два из этих разрешений, namespace скомпрометирован. Projected token живёт ~1 час — этого хватает. В статье — пошаговый разбор от извлечения SA-токена до cluster-admin через RBAC misconfigurations. https://codeby.net/threads/kubernetes-privilege-escalation-ot-skomprometirovannogo-poda-do-cluster-admin-cherez-rbac.92687/

🔎Команда решила переехать с виртуальных машин в Kubernetes. Причины стандартные: автоматическое масштабирование, самоисцеление, удобное управление.

Развернули кластер, накатили микросервисы. Через месяц выяснилось: ▶️Сложность выросла в 10 раз ▶️Разработчики не понимают, почему поды не стартуют ▶️Даже простой деплой требует правки пяти yaml-файлов ▶️Команда тратит половину времени на изучение K8s вместо написания кода

21% корпоративных утечек — через браузер. Вот как это работает 🎯 На red team-энгейджменте первая цель — не домен-контроллер. Это Login Data в папке Chrome. Пара мегабайт SQLite — и в руках VPN-аккаунты, корпоративные порталы, облачные консоли. Разобрали механику browser credential dumping изнутри: • Chrome/Edge — двухуровневое шифрование: AES-256-GCM + DPAPI. Ключ лежит в Local State, но расшифровать его можно только в сессии жертвы • Firefox — собственная криптобиблиотека NSS вместо DPAPI. Если пользователь не поставил мастер-пароль (а большинство не ставит) — расшифровка тривиальна • MITRE T1555.003 — техника в арсенале APT33, APT41, LAPSUS$ и десятков других группировок 🔵 Для Blue Team в статье отдельный блок: какие артефакты оставляют эти действия в логах и как их детектировать. Полный разбор с кодом и IoC: https://codeby.net/threads/ataki-na-menedzhery-parolei-brauzera-kak-izvlekayut-credentials-iz-chrome-firefox-i-edge.92677/

Unblob: Инструмент для извлечения данных из бинарных контейнеров

Unblob — утилита с открытым исходным кодом для рекурсивного извлечения содержимого из неизвестных бинарных блоков (blob). Инструмент поддерживает более 78 форматов архивов, сжатых потоков и файловых систем, автоматически определяет границы вложенных контейнеров и выделяет неизвестные фрагменты. Unblob предназначен для анализа, обратной разработки и извлечения прошивок встраиваемых систем, бинарных образов и других составных файлов.

👉Основные функции - Поддержка 78+ форматов (SquashFS, JFFS2, UBI/UBIFS, ext, CPIO, ZIP, 7-Zip, gzip, XZ, LZMA, LZ4 и другие) - Автоматическая обработка вложенных контейнеров до заданной глубины (по умолчанию 10) - Идентификация начала и конца каждого фрагмента в соответствии со спецификацией формата - Автоматическое определение и сохранение данных, не соответствующих известным форматам - Генерация структурированных метаданных о найденных фрагментах - Возможность добавления собственных обработчиков форматов ⬇️Установка

pipx install unblob

Проверка

unblob -h

⏺️Базовое извлечение

unblob firmware.bin

Результат сохраняется в директорию firmware.bin_extract/ ⏺️Анализ прошивки маршрутизатора

unblob -e router_extracted -n 2 --report router_report.json router_firmware.bin

⏺️Извлечение с ограничением глубины и принудительной перезаписью

unblob -f -d 3 large_firmware.bin

⏺️Анализ неизвестного бинарного файла (только выделение фрагментов)

unblob -s --report chunks_report.json unknown.bin

⏺️Работа с большим количеством файлов (многопроцессорность)

unblob -p 8 -e /data/extracted /data/images/firmware.bin

🎇Unblob по умолчанию пропускает следующие типы файлов (можно изменить через --clear-skip-magics): - BFLT, Erlang BEAM, GIF, JPEG, MPEG - Microsoft Office документы (Word, Excel, PowerPoint) - PDF, PNG, SQLite, TrueType Fonts - Windows Embedded CE binary image, Java class, Python magic binary - И другие медиа- и офисные форматы #Unblob #FirmwareAnalysis #tool #pentest 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Один POST-запрос — и на сервере лежит PHP-шелл Без логина. Без пароля. CVE-2026-0740 в Ninja Forms — File Uploads: CVSS 9.8, PR:N, UI:N. 🔍 Что сломано: функция handle_upload не валидирует тип файла. Атакующий шлёт POST на admin-ajax.php — и .php-файл оказывается в wp-content/uploads/. Классический CWE-434. ⚠️ Отдельный риск — премиум-расширение: обновления не идут через WordPress.org, нужно обновляться вручную. Патч (версия 3.3.27) вышел 19 марта 2026-го, CVE раскрыта 7 апреля — три недели форы для атакующих. В статье — разбор kill chain по MITRE ATT\&CK: от разведки через WPScan до извлечения DB-credentials из wp-config.php, плюс detection-правила и патч-дифф. https://codeby.net/threads/uyazvimost-ninja-forms-rce-cve-2026-0740-polnyi-razbor-ekspluatatsii-i-zashchity-wordpress.92676/

Шеллкод руками: почему msfvenom — это костыль AV/EDR знают паттерны стандартных пейлоадов наизусть. Каждый запуск msfvenom — готовая сигнатура для детектора. 🔧 Ручной шеллкод решает три проблемы: • Нет сигнатур — только поведенческий детект • Контроль размера: иногда буфер даёт ровно 200 байт • Понимание механики вместо копипаста Главное, что ломает новичков — нулевой байт. Инструкция mov eax, 0 даёт B8 00 00 00 00, и strcpy обрежет всё после \x00. Замена: xor eax, eax — два байта 31 C0, ноль нулей. В Windows стабильных номеров syscall нет. Шеллкод обходит PEB, ищет базу kernel32.dll через список модулей и динамически резолвит WinAPI — LoadLibrary в 40 байт. Разбор с байткодом, C-обёрткой и инъекцией в процесс: https://codeby.net/threads/razrabotka-shellkoda-ot-ruchnogo-napisaniya-na-assemblere-do-in-yektsii-v-protsess.92670/

Вендор говорит «закрыто» — а дыра всё ещё открыта 🔍 CVE в ядре Linux закрывается в mainline за дни. Но в RHEL 8 или Ubuntu LTS тот же патч может прийти через месяц — или прийти «кастрированным», когда attack surface остался нетронутым. Именно так работал CVE-2024-1086: use-after-free в nf_tables, CVSS 7.8, публичный эксплоит с 99.4% успешностью — а backport в ветку 5.15 всё ещё ждал очереди. Проблема глубже: • Неполный cherry-pick — из трёх нужных коммитов в stable попали два • Конфликт адаптации — патч компилируется, тесты проходят, дыра остаётся • Потеря связи — backport меняет commit hash, и grep CVE-xxxx changelog ничего не найдёт https://codeby.net/threads/obnaruzheniye-cve-v-yadre-linux-avtomatizatsiya-poiska-nezakrytykh-uyazvimostei-v-backport-patchakh.92665/

Какой менеджер паролей выдержит атаку на инфраструктуру? Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера? 🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства. Три контекста — три инструмента: • Персональное → KeePassXC + YubiKey • Команда 5–50 человек → self-hosted Vaultwarden с LDAP • CI/CD → HashiCorp Vault + Bitwarden CLI В статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group. https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/