REDtalk
رفتن به کانال در Telegram
Здесь вы найдете всё из мира ИБ. Говорим простыми словами о сложном. С нами кибербезопасность – ваш компаньон в цифровом мире. Вместе к безопасному будущему! 🌐🔐
نمایش بیشتر1 137
مشترکین
+124 ساعت
+97 روز
+1930 روز
آرشیو پست ها
1 137
+2
☀️ Привет!
На днях ко мне в руки прямо от создателей попал экземпляр книги "На*уй безопасность. Как игнорировать этот бред и нормально зарелизить проект". Авторы буквально из мема своими силами написали уже второе издание (а третье находится в разработке).
Книга представляет собой саркастичный взгляд на информационную безопасность, показывает ситуации применения ИБ-практик в разработке продуктов, с "тру" кейсами, мемами и шутками.
Авторами книги являются мой коллега по цеху George.K и канал Ever Secure. Спасибо за этот неоценимый вклад в РУ ИБ
К сожалению, весь тираж уже раскуплен, но в августе возможно пополнение. Приобрести можно будет тут
Рекомендую к ознакомлению ⌨️
#meme #book
1 137
🏖️ Привет!
Как и обещал постом ранее — приехала новая часть про антивирусы. В ней будет подробно показана устройство meterpreter и что с ним происходит в результате генерации нагрузки через msfvenom.
Пост получился объемный, я постарался как можно понятее показать сложные и неочевидные моменты. Покажу, как без внучную скомпилировать, собрать и запустить нагрузку, на какие основные IOCи триггерятся антивирусы, пропатчу их в этой нагрузке и попробую запустить (точнее уже запустил на гифке 🤩). В идеале должно появится понимание работы msfvenom, чтобы в дальнейшем не представлять генерацию нагрузок в виде "черного ящика".
Приятного чтения! 🔗 Читать
#redteam
1 137
☀️ Привет! Всем лета
У меня на финальном этапе находится большой пост следующей части про антивирусы.
А пока покажу один из способов добавления временных задержек, но без использования системных функций (Sleep в winapi и sleep в linux). Этот 🔗 PoC динамически считает количество итераций, выполняемых за одну секунду, что позволяет указывать временной интервал задержки, независимо от характеристик CPU (это показано в гифке)
Это полезно, когда нужно добавить задержку без использования Sleep, а также при обходе песочниц, которые могут манипулировать системными функциями.
1 137
<продолжение>
🔥Проблема 3. Outlook и картинки
Письмо уходит, всё работает. Верстаем шаблон, отправляем и…
❗ Для защиты вашей конфиденциальности изображения не загруженыНаши картинки не отображаются. Почему? Outlook по умолчанию блокирует все внешние изображения. 💡Что делаем: Первое, что можно попробовать - Base64:
<img src="data:image/png;base64,iVBORw...">Способ хороший и отработает на большинстве современных почтовых клиентах. Однако Outlook все равно посчитает это внешним ресурсом и заблокирует. Второй способ - Content-ID (CID). Картинку прикладываем к письму как вложение, а в HTML пишем:
<img src="cid:image.jpg">⸻ На этом все друзья! 🙂 А с какими проблемами сталкивались вы ? Делитесь в комментариях, обсудим вместе. 🤗 Ну и по традиции не забудьте подписаться на канал, если еще этого не сделали. И до новых встреч! #redteam
1 137
Всем привет! ❤️ Немного про социалочку.
Когда проводишь проекты по социотехническому тестированию, нередко сталкиваешься с кучей технических нюансов.
❗️Это и попадание в списки подозрительных ресурсов, если вы случайно выкинули GoPhish наружу.
❗️И фильтрация писем почтовыми шлюзами.
❗️И особенности отображения у разных почтовых клиентов.
Сегодня поговорим о том, с чем реально можно сталкнуться на практике. Особенно это актуально, если вы делаете такое впервые.
🔥Проблема 1. Как не попасть в списки злых хацкеров
Если просто открыть GoPhish в интернет, то через какое-то время ваш IP будет помечен как подозрительный.
💡Что делаем:
Используем связку из нескольких Nginx-прокси:
• наружу отдаётся только IP внешнего прокси;
• весь трафик уходит по VPN на внутренний сервер с GoPhish;
• админка доступна только из VPN.
Если не хочется поднимать VPN:
На сервере с GoPhish закрываем 443 порт снаружи, кроме ip нашего прокси:
sudo iptables -I DOCKER-USER -p tcp --dport 443 ! -s <proxy_ip> -j DROP
В конфиге Nginx дополнительно прописываем кому можно обращаться к нашей фишинговой странице:
allow <proxy_ip>;
deny all;
Админку вешаем на 127.0.0.1 и подключаемся так:
ssh -L 8080:127.0.0.1:8080 user@server_with_gophishОстается только настроить SSL для нашего фишингового домена. Теперь GoPhish не светится наружу, и мы спим спокойно. 🔥Проблема 2. Спам-фильтры и почтовые шлюзы Немного теории: • SPF — указывает, какие IP могут отправлять письма от имени домена. • DKIM — добавляет цифровую подпись к письмам. • DMARC — объединяет SPF и DKIM, говорит, что делать с письмами, которые не проходят проверки. Если вы некорректно настроите данные dns записи, то письма просто не дойдут до адресата. 💡Что делаем: Используем SMTP-сервисы с хорошей репутацией. Например, VK WorkSpace. Схема такая: • Подключаем фишинговый домен; • Сервис формирует SPF/DKIM/DMARC; • Копируем записи в DNS. Теперь письма проходят по всем стандартам (но это не точно). Но даже если всё идеально настроено, то ваши фишинговые письма могут быть заблокированы на почтовых шлюзах. Причина - Email-заголовки. Далее рассмотрим на примере с GoPhish: Еще немного теории. Сильно не пинайте - это важно для понимания: • Message-ID - уникальный идентификатор письма, формируется клиентом или сервером, помогает отслеживать сообщения и выстраивать цепочки переписки. • X-Mailer - указывает на почтовую платформу или внутренний ID отправителя. Именно они могут стать причиной того, что ваши фишинговы письма не дойдут до цели.
X-Mailer: gophish
Message-ID: <1743...@hostname>
X-Mailer палит GoPhish сразу.
Message-ID генерируется с hostname контейнера или вашего сервера на котором крутиться GoPhish. Почтовые шлюзы могут блокировать письма, если видят несоответствие между Message-ID и доменами из SPF, DKIM, DMARC.
💡Что делаем:
SMTP Relay с Postfix. GoPhish остаётся «тупым». Он просто отправляет письмо. А контейнер с Postfix:
1. Принимает письмо;
2. Переписывает заголовки;
3. Отправляет дальше на сторонний SMTP - сервис (в нашем случае VK Workspace)
Файл smtp_header_checks:
/^Message-ID:/ REPLACE Message-ID: <CAFEBABE.20250324T1830@your_domain>
PS: X-Mailer можно убрать и через GUI GoPhish. А вот Message-ID просто так не убрать.
Письма доходят, заголовки чистые. Все счастливы.
#redteam1 137
Привет, а я напоминаю, что это просто PoC, показывающий насколько просто скрыть малварь под легитимное приложение 🤥
https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/
https://xakep.ru/2025/06/19/stargazers-ghost-network-minecraft/
1 137
Доброе утро котята🐱 Берём кофейку, устраиваемся поудобнее — и пробегаемся по главным ИБ-событиям недели 💻
🤖 Обход Secure Boot: CVE‑2025‑3052 — эксплойт от Binarly
Исследователи Binarly обнаружили способ обойти Secure Boot с помощью уязвимости повреждения памяти в модуле. Злоумышленники могут использовать эту уязвимость для запуска неподписанного кода во время процесса загрузки, обходя Secure Boot и нарушая цепочку доверия системы. Модуль читаeт NVRAM‑переменную IhisiParamBuffer и пишет данные до загрузки ОС, что позволяет сбросить флаг защиты и отключить Secure Boot ❤️🔥.
💣 Это включает запуск неподписанных драйверов и загрузку буткитов. Уязвимость была задокументирована, и Microsoft уже выпустила патч.
💻 CVE‑2025‑33053 — RCE в WebDAV: активно эксплуатируется!
Microsoft выпустил патч для серьезной уязвимости в реализации WebDAV в Windows — исправление вышло в рамках Patch Tuesday.
💻 Удалённый атакующий может заставить пользователя перейти по злонамеренной WebDAV-ссылке, после чего запускается код — сценарий идеален: эксплойт требует только клик по URL .
📊 Оценка уязвимости — CVSS 3.1 8.8.
🔗Ссылка на POC - 🔗🔗🔗
🔥 CVE‑2025‑33073 — уязвимость SMB Client с возможностью повышения привилегий!
В июньском исправлении Microsoft закрыла уязвимость в Windows SMB Client (клиентская часть протокола SMB), которая позволяет атакующему получить права на уровне SYSTEM, просто заставив систему подключиться к злонамеренному SMB-серверу 🌐
Подробнее о данной атаке можете прочитать перейдя по ссылке с предыдущего поста
#news
1 137
Repost from Ralf Hacker Channel
В продолжение все той же темы CVE-2025-33073...
https://www.synacktiv.com/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025
Еще один ресерч, на это раз от Synactiv. Вот только у них не LPE, а Auth RCE от имени SYSTEM (если подпись SMB на машине не требуется).
Even though CVE-2025-33073 is referred by Microsoft as an elevation of privilege, it is actually an authenticated remote command execution as SYSTEM on any machine which does not enforce SMB signing.#rce #lpe #ad #relay #pentest #redteam
1 137
Repost from Ralf Hacker Channel
CVE-2025-33073: Reflective Kerberos Relay (LPE)
Blog: https://blog.redteam-pentesting.de/2025/reflective-kerberos-relay-attack/
Patched: June 10, 2025
Интересная LPE с релеем на себя... Даже CVE есть)
#lpe #ad #relay #pentest #redteam
1 137
🌞 Всем утречка!
Подсвечиваем самые интересные события из мира ИБ за прошедшую неделю 🔐🧠💻
💥 Удалённое выполнение кода через Roundcube: критическая уязвимость CVE‑2025‑49113 (CVSS 9.9)
Злоумышленник может выполнить код на сервере после входа в почтовый веб-интерфейс, передав специально сформированный параметр _from в upload.php. Проблема кроется в опасной PHP-десериализации внутри компонента rcube_washtml
🧠 Уязвимость требует аутентификации, но очень легко эксплуатируется — особенно при использовании фишинга или скомпрометированных учёток. Уже активно обсуждается на даркнет-форумах как часть RCE-цепочек. Под ударом Roundcube до версий 1.6.11 и 1.5.10. Патч вышел 1 июня 2025.
Ссылка на POC: 🔗🔗🔗
🔥 Технические детали по CVE‑2025‑20188 (Cisco WLC)
В скриптах OpenResty (Lua + Nginx) используется жёстко заданный JWT-секрет — строка "notfound", если отсутствует файл /tmp/nginx_jwt_key. Это позволяет злоумышленнику сгенерировать валидный токен и выполнять атаки, включая path traversal, загрузку произвольных файлов и изменение конфигураций.
📥 Например, при модификации скрипта pvp[.]sh, который отслеживает изменения, автоматически перезапускает службы и выполняет команды, можно добиться выполнения кода с правами root, получив полноценный shell-доступ.
📱Три критических 0-day уязвимости в Android/Qualcomm
В июньском бюллетене Google и Qualcomm подтвердили активную эксплуатацию трёх уязвимостей в драйверах GPU Adreno:
• CVE‑2025‑21479 и CVE‑2025‑21480 (CVSS 8.6) — ошибки в микрокоде GPU, приводящие к повреждению памяти и эскалации привилегий.
• CVE‑2025‑27038 (CVSS 7.5) — use-after-free при рендеринге, включая вызовы через Chrome.
Патчи уже доступны в OEM-сборках с мая. Рекомендуется установить как можно скорее.
📧 В России хотят запретить логин с Gmail и других иностранных ящиков
СМИ сообщили, что российские власти рассматривают второй пакет мер — требование: разрешённый вход на отечественные сайты только через почту в доменах .ru, включая Mail и Яндекс. Это означает, что вход с Gmail, Yahoo и других иностранных почтовых сервисов может стать недоступным.
❓Что это значит для пользователей и бизнеса:
😱 Придётся заводить дополнительный .ru‑email и настроить переадресацию;
🤪 Крупным компаниям — адаптация форм несложна, у малого бизнеса могут быть временные неудобства.
#news
1 137
Привет, друзья 💪!
Хорошие ребята из СБПробизнес запускают офлайн-курс «Организация работы службы корпоративной безопасности» — без воды, по делу, с примерами из реальной практики.
📅 Когда: 24–27 июня
📍 Где: Ярославль, ЯГПУ им. К. Д. Ушинского
Что разберут на курсе:
🔹 Как использовать аналитику в СБ
🔹 Чем СБ реально может быть полезна бизнесу
🔹 Особенности работы в ритейле, на производстве, в агро и строительстве
🔹 OSINT и цифровая гигиена
🔹 Кросс-функциональные связи внутри компании
🔹 Немного про GR
По итогу — удостоверение от вуза! А еще курс предполагает компактную группу (до 15 человек), чтобы с каждым поработали лично.
📌 Подробнее — у них на канале:
https://t.me/sbprobiz/1832
1 137
А вот и пост! 🤗
С сегодняшнего дня мы решили запустить цикл постов и статей, посвященных пентесту внутрянки🕺
Темой первого поста будет атака, связанная с отравлением NBT-NS/LLMNR (или poisoning на родном английском). Расскажем как выполнять данную атаку и как от него защититься.🛡
Всем удачного чтения 📚
🔽 NBT-NS/LLMNR poisoning.
Немного пояснения, что это такое:
🔹 LLMNR — это протокол, позволяющий разрешать имена без использования DNS-сервера, предоставляя имя хоста для IP на основе многоадресного пакета.
🔹 NBT-NS — это достаточно старый протокол Windows, который используется для преобразования имен NetBIOS в IP-адреса в локальной сети.
🪄 И вот тут наступает магия: когда устройство в сети не может достучаться до нужного ресурса по DNS, он использует протоколы LLMNR/NBT-NS, отправляя многоадресный запрос.
Суть атаки заключается в подмене источника для разрешения имени, когда злоумышленник отвечает на многоадресный запрос от жертвы. К примеру, пользователь хочет получить доступ до сетевого ресурса \\bobr, которого не существует. И вот тут, DNS, не поняв, что от него хотят, передает свои полномочия LLMNR/NBT-NS. Злоумышленник в свою очередь только, этого и ждет, и на своей тачке запускает всеми любимый responder для отравления (если вы любитель потрошить с винды, то подойдет инструмент Inveigh).
Запускается простой командой с указанием интерфейса и включив необходимые настройки в Responder.conf.
responder -I eth1Для запуска Inveigh можно воспользоваться следующей командой:
PS C:\Users\Administrator> Import-Module .\Inveigh.ps1
PS C:\Users\Administrator> Invoke-Inveigh Y -NBNS Y -ConsoleOutput Y -FileOutput Y
Далее остается только подождать, когда пользователь введет свои данные и наш инструмент перехватит их (что с ними делать расскажем в следующий раз).
🔼А теперь как же защититься от подобной наглости.
😉 Самое простое что можно сделать, это отключить протоколы LLMNR и NBT-NS. Для отключения LLMNR можно воспользоваться групповой политикой. Для этого необходимо перейти в следующий раздел : Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client, и далее включить политику Turn off smart multi-homed name resolution.
😝 Отключить NBT-NS можно с помощью настроек сетевого адаптера: необходимо в свойствах сетевого подключения выбрать протокол TCP/IPv4, далее нажать кнопку Advanсed и на вкладке WINS выбрать опцию Disable NetBIOS over TCP.
Подписывайтесь на канал, чтобы быть в курсе интересных тем из мира ИБ! 😳
#redteam1 137
Всем привет! 🤗
С вами MisterFox — новый автор этого канала!
Недавно сменил сторону: из синей команды 🔷 ушёл в красную ♦️. Теперь вместо логов — эксплойты, вместо алертов — отчёты 😄
Буду периодически радовать вас мемами, забавными историями и иногда полезными постами.
1 137
+4
🤩 Привет!
Мне тут пришло письмо счастья с популярного хостинга о блокировке сервера за использование кобальта. Насколько я понял, некая популярная некоммерческая организация увидела иок и сразу настучала хостеру, предварительно добавив IP в список самых опасных серверов мира. Хостингу такой расклад, конечно, не понравился, они быстро заблокировали сервер и пришли ко мне за разъяснениями.
К счастью, ситуация разрешилась за несколько дней (но не с первого раза), и сервер разлочили. В целом, я доволен их подходом и отношением к пентестерам, да и косяк на самом деле мой, нужно было почистить дефолтные иоки.
Так что будьте бдительны, коллеги пентестеры. Смотрите, что раскатываете на серверах 👾
1 137
Добрый день, коллеги! ☕️
Предлагаем вашему вниманию обзор ключевых событий в сфере информационной безопасности за прошедшую неделю:
☁️ CISA: Масштабирование атак на SaaS-сервисы через секреты приложений и ошибки в конфигурации облака
Агентство по кибербезопасности США (CISA) сообщило о масштабных атаках на облачные сервисы, включая платформу резервного копирования Commvault (Metallic), использующую Microsoft Azure. Злоумышленники использовали уязвимость CVE-2025-3928 в веб-сервере Commvault для обхода аутентификации и получения доступа к конфиденциальным данным, включая технические секреты и доступы приложений. Атаки были направлены на сервисы с недостаточной настройкой безопасности и чрезмерно открытыми правами доступа.
🛰 ЦРУ тайно управляло фан-сайтом «Звёздных войн» для связи с агентами
Расследование 404 Media выявило, что сайт starwarsweb[.]net, выглядящий как обычный фан-ресурс по «Звёздным войнам», использовался ЦРУ для скрытой связи с агентами за рубежом. Ввод определённого пароля в строку поиска активировал скрытую авторизацию, открывая доступ к конфиденциальной переписке. Эта сеть была раскрыта более десяти лет назад, что привело к массовым арестам агентов ЦРУ в Иране и Китае.
🔐 Google: Квантовый компьютер сможет взломать RSA-2048 за неделю
Исследование Google показало, что квантовый компьютер с 1 миллионом кубитов может взломать RSA-ключ длиной 2048 бит менее чем за неделю. Это в 20 раз меньше предыдущих оценок, что подчёркивает необходимость перехода на постквантовую криптографию.
📡 Масштабная атака на маршрутизаторы Asus
Компания GreyNoise обнаружила скрытую кампанию по установке бэкдоров в маршрутизаторы Asus. Злоумышленники использовали уязвимость CVE-2023-39780 и легитимные функции устройств для получения устойчивого доступа, который сохраняется даже после перезагрузки и обновлений прошивки.
🔓 Утечка 184 миллионов паролей в открытом доступе
Исследователь Джеремайя Фаулер обнаружил незащищённую базу данных с 184 млн записей, включая логины и пароли от аккаунтов Apple, Google, Facebook, Microsoft, банков и госструктур. Все данные хранились в открытом виде без шифрования, что делает их лёгкой добычей для злоумышленников. Причина — неправильная настройка облачного хранилища, что подтверждает статистику IBM: 82% утечек происходят из-за ошибок конфигурации.
#news
1 137
💻 Привет!
А я тут недавно поиграл в standoff 15 и хочу высказать своё объективно-субъективное мнение:
В целом полигон норм, я ранее делал пост про HTB Pro Labs, и в сравнении с ними он очень даже неплохой. Инфра не вайпается глобально каждые 24 часа, можно попрактиковать сканирование и закрепление. Уязвимости и таски тоже в целом неплохие,
Теперь то, что особенно запомнилось:
1️⃣ Инфра (и сайт стендоффа) стабильно уже который год работает нестабильно, особенно в первый день. В прошлом году на второй день под предлогом слива даже выдавали конфиги во внутреннюю сеть, так как гейты были сильно перегружены трафиком.
2️⃣ Про вайпы инфры я немного наврал. В этот раз орги задумали сделать авторестарт нескольких конкретных сервисов (преимущественно во внешнем сегменте) раз в 10 минут. В целом это убирает проблему старта игры, но также это и убирает нервы, потраченные на постоянных запуск чизела после перезапуска сервисов.
3️⃣ Также в этот раз было нововведение: каждая команда могла использовать только 10 белых адресов и с ограничением трафика с выданных vpn. Таким образом орги хотели ограничить количество людей за команду, К счастью, в игре по итогу вайтлистов не было и с трафиком я проблем не заметил.
4️⃣ Сложность заданий не равна их количеству баллов. В моём случае я в первый день пробил сегмент, в котором оказалось с freeipa, из-за чего я следующие 24 часа вкуривал мануалы, затем забил, запрыгнул на другой сегмент и сразу сдал 3 недопустимых события. Потраченного времени жаль.
В целом ощущение от игры 50 на 50. можно было бы принять синюю таблетку, гулять по PHD и быть в неведении внутренней кухни 🤩 Но играть в следующем году я конечно же буду 👍
1 137
Repost from APT
🔐 Bitrix CMS Ultimate Pentest Guide
A detailed guide on penetration testing for 1C-Bitrix CMS, one of the most popular content management systems in CIS countries. The guide covers authentication bypasses, XSS, SSRF, LFI, RCE exploits, WAF bypass methods, and vulnerabilities in third-party modules (especially Aspro).
🔗 Source:
https://pentestnotes.ru/notes/bitrix_pentest_full/
#1c #bitrix #web
1 137
🤥 Привет!
А я тут провел небольшой ресерч по поводу пивотинга и в частности связка proxychains + nmap. Для поста материала оказалось много, поэтому 🔗 написал в Notion.
Приятного просмотра.
