Codeby

FortiClient EMS: когда управляющий сервер сам открывает дверь

🔴 4 апреля Fortinet опубликовал advisory FG-IR-26-099 — в субботу пасхального уикенда. Атакующие зафиксированы на honeypot-сетях ещё 31 марта — за четыре дня до раскрытия.

CVE-2026-35616 — архитектурный баг: endpoint API торчит наружу без auth-middleware. CVSS 9.8, pre-auth, никаких учёток, никакого взаимодействия с жертвой. Отправил запрос — получил права администратора EMS.

EMS — центральный узел управления всеми FortiClient-агентами. Захватил его — получил:
• отключение защиты на эндпоинтах (T1562.001)
• развёртывание произвольных пакетов через легитимный канал
• доступ к телеметрии и учётным данным

CISA дала федеральным агентствам 3 дня на патчинг. ~2000 EMS-инстансов до сих пор смотрят в интернет.

https://codeby.net/threads/cve-2026-35616-forticlient-ems-razbor-uyazvimosti-vektor-ataki-i-metody-obnaruzheniya.92711/

Митигации включены. Эксплойт всё равно проходит.

«Memory corruption мёртв, всё закрыли ASLR и DEP» — а на последнем CTF три из четырёх pwn-тасков решились через классику. Просто с поправкой на современность.

🎯 Четыре техники, которые работают в 2026-м:
• Stack canaries — не стена, а барьер. Обходятся через format string leak или брутфорсом в fork-сервере, где канарейка не меняется между дочерними процессами
• Tcache poisoning — glibc с 2.26 дал атакующим кэш с минимальными проверками. Safe-linking в 2.32+ снимается одной утечкой heap-адреса для восстановления XOR-ключа
• ROP и JOP — код-реюз обходит DEP. Intel CET закрыл ret через Shadow Stack — и тогда в ход идут jmp reg гаджеты с dispatcher-ом. Интерпретатор из обломков чужого кода
• ASLR leak — младшие 12 бит адреса не рандомизируются никогда. Один указатель раскрывает весь регион, отсюда универсальность двухэтапной схемы leak → chain

🔍 Для каждой техники — рабочий pwntools-код, сравнительная таблица митигаций (DEP / ASLR / canaries / CFI / CET) и пошаговый workflow от checksec до интерактивного шелла. В финале — открытый вопрос про heap leak на glibc 2.35+ с Full RELRO и PIE. Интересно, кто какой примитив предпочитает.

https://codeby.net/threads/ekspluatatsiya-binarnykh-uyazvimostei-stack-overflow-heap-exploitation-rop-jop-i-obkhod-sovremennykh-zashchit.92735/

SMB signing в AD включён по умолчанию? Только на контроллерах домена

Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.

🎯 Что проверяет атакующий за три команды nmap:

• -sn по подсети — список живых хостов
• -p 88,389,445,636 — отсев DC от member servers
• --script smb-security-mode — на каких member servers signing в статусе disabled

Три команды — и готовый список целей для NTLM relay.

SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.

🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например, -sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).

https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/

MFA включена — значит всё в порядке? Не совсем

Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.

🎯 Три вектора против MFA:

• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости

По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.

🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.

https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/

ИИ не взламывает за вас — но экономит часы рутины

За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.

🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.

⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу subfinder/amass находит «забытые» Jenkins с дефолтными кредами
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал

🛡 Облачные LLM — только с NDA. Для чувствительных проектов — ollama или локальный routing.

https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/

Контейнер — это не виртуалка. И вот почему это важно

🔍 На каждом втором red team-проекте одна картина: Kubernetes поднят, Helm накатан, CI/CD работает — и все уверены, что контейнеры изолируют всё сами. Нет. Контейнер — это просто группа процессов за Linux-примитивами без отдельного ядра.

Один сломанный «заборчик» — и атакующий на хосте. Оттуда до cluster-admin — несколько команд.

⚙️ Полная цепочка атаки выглядит так:
• Разведка: открытый 2375/tcp или kubelet API на порту 10250 — уже точка входа
• Побег: смонтированный docker.sock даёт root на хосте даже без docker-клиента — через обычный curl
• Захват: сервисный токен пода + слабый RBAC → cluster-admin без эксплойтов

💀 Каждый шаг — из реальной практики, с командами, CVE и маппингом на MITRE ATT&CK.

Полный разбор — от разведки до захвата кластера:

https://codeby.net/threads/pentest-konteinerov-docker-i-kubernetes-ot-pobega-iz-konteinera-do-zakhvata-klastera.92708/

Прочитал 10 статей про SQL-инъекции, но не можешь перехватить первый HTTP-запрос?

Это классическая ловушка новичка: теория без практики не работает. Пентест начинается не с изучения уязвимостей, а с рабочего окружения, где можно безопасно ломать.

🐳 Один Docker-контейнер решает проблему легальной цели:
docker run --rm -it -p 80:80 vulnerables/web-dvwa
Внутри DVWA — весь OWASP Top 10 с тремя уровнями сложности. Сломал конфиг — пересоздал за секунды.

🔍 Дальше — Burp Suite как прокси между браузером и приложением. Каждый запрос можно перехватить, изменить и отправить заново. Именно здесь новички впервые видят, что происходит «под капотом» формы логина.

По данным HackerOne, Burp используют большинство багхантеров — не потому что модно, а потому что это фундамент ручного тестирования.

Полный разбор — от запуска окружения до первой найденной уязвимости руками:

https://codeby.net/threads/veb-pentest-dlya-nachinayushchikh-ot-nastroiki-okruzheniya-do-pervoi-naidennoi-uyazvimosti.92714/

🚩 Новые задания на платформе HackerLab!

🖼 Категория Стеганография — Мерцающие тайны

Приятного хакинга!

9 МБ — и Sliver спалился ещё на доставке

Штатный имплант весит как небольшой архив, а CrowdStrike знает ReflectiveLoader наизусть. Именно тогда садишься писать точечные расширения к зрелым фреймворкам — не новый C2 с нуля.

🔧 Три модели расширения на практике:

• BOF для Cobalt Strike — объектный файл 2–10 КБ, исполняется внутри Beacon без нового процесса. EDR не видит паттернов CreateRemoteThread, BOF отработал и выгрузился
• Кастомные агенты Mythic — имплант под профиль операции с нужным транспортом
• gRPC-плагины Sliver — автоматизация lateral movement без правки ядра

⚡ Писать C2 с нуля на двух-трёхнедельный engagement — плохая идея. Зрелые фреймворки дают готовую OPSEC-инфраструктуру, кастомизация закрывает ровно нужную дыру.

Полный разбор с кодом:

https://codeby.net/threads/razrabotka-rasshirenii-c2-freimvorkov-bof-agenty-mythic-i-plaginy-sliver-na-praktike.92700/

🔐 Почему сканер DAST не найдёт самую опасную уязвимость в вашем API

Представь такую картину: автоматический сканер прошёлся по API, отчёт чистый, команда выдыхает. А потом пентестер вручную меняет один ID в запросе — и получает данные 60 миллионов чужих пользователей. Именно так в 2018 году взломали USPS Informed Visibility API.

Сканер находит отсутствующие заголовки безопасности и открытые debug-эндпоинты. Но он принципиально слеп к логическим дефектам. Он не поймёт, что GET /api/v1/orders/1337 отдаёт чужой заказ, если просто подменить ID. Это и есть BOLA — Broken Object Level Authorization, первое место в OWASP API Top 10 уже второй цикл подряд.

🎯 Почему BOLA так массово эксплуатируется

Механика элементарная: сервер доверяет идентификатору объекта из запроса и не проверяет, принадлежит ли объект текущему пользователю. Авторизуешься как пользователь A, находишь запрос GET /api/v2/invoices/4521, меняешь ID на 4522 — и видишь чужой инвойс. Вот и весь «эксплойт». Никакой магии, никаких сложных цепочек.

Нюанс, который упускают даже опытные тестировщики: BOLA живёт не только в GET-запросах. Проверяй каждый HTTP-метод отдельно — PUT /api/users/1338 (изменение чужого профиля), DELETE /api/comments/9921 (удаление чужого контента). Каждый метод — отдельный вектор атаки.

⚙️ Что реально меняет OWASP API Top 10 версии 2023

Список 2023 года — не косметическая правка. Три категории добавлены с нуля, две объединены, а фокус сместился с классических инъекций на уязвимости бизнес-логики. Показательный момент: Injection больше не выделена отдельным пунктом. Не потому что SQL-инъекции вымерли — просто в API-контексте авторизационные и логические баги статистически преобладают. Инъекции теперь живут внутри Security Misconfiguration.

Три новых пункта требуют исключительно ручного анализа:
• Unrestricted Access to Sensitive Business Flows (API6)
• Server Side Request Forgery (API7)
• Unsafe Consumption of APIs (API10)

Никакой сканер их не обнаружит — только человек, который понимает логику сервиса.

🛠 Инструменты, которые реально используются на пентестах

Для BOLA-тестирования must-have — расширение Autorize для Burp Suite. Оно автоматически повторяет запросы с токеном другого пользователя и сравнивает ответы. Без него ручное тестирование превращается в рутинный ад.

Для атак на JWT — jwt_tool: команда python3 jwt_tool.py -X a запускает все известные атаки на алгоритм подписи, включая подмену alg: none. Подробнее:

https://codeby.net/threads/prakticheskaya-bezopasnost-api-owasp-api-top-10-tipovyye-uyazvimosti-i-metodika-testirovaniya.92694/