Похек

🔓 Java десериализация жива — и это Pre-Auth RCE #RCE #java #ysoserial #springboot Ребята из Principle Breach выкатили свежий writeup с bug bounty, и это база — Java deserialization на API Gateway, который должен был защищать инфраструктуру. ♾️Разведка♾️ Разведка началась с пассивного сбора доменов через subfinder и активной проверки доступности веб-узлов (httpx -sc). В результате был обнаружен публично доступный gateway-internal[.]target[.]com (HTTP 200) с кастомным management-интерфейсом API-шлюза. Логин-страница раскрывала версию продукта (REDACTED API Gateway v1.2.5). Параллельно выявлены смежные окружения: dev-v2[.]target[.]com (403), stg[.]target[.]com (401), metrics[.]target[.]com (401), раскрывшие карту инфраструктуры. ♾️Цепочка атаки♾️ 0️⃣Subdomain enum ==> находят gateway-internal.target.com 1️⃣Spring Boot, JSESSIONID, Whitelabel Error Page ==> Java во всей красе 2️⃣Фаззинг API ==> endpoint /api/v1/cluster/sync отвечает без аутентификации 3️⃣Посылают serialized Java object ==> сервер принимает, десериализует, и только потом проверяет тип (кек) 4️⃣CommonsCollections6 через ysoserial ==> reverse shell Суть бага: кластерная синхронизация между нодами принимала произвольные serialized объекты без auth. Ошибка ClassCastException прилетала уже после исполнения payload'а. Что пошло не так: Админка торчит наружу > Внутренние эндпоинты без auth > Подробные сообщения об ошибках сливают структуру классов > Устаревшие зависимости с известными gadget chains ♾️Защита♾️ Изоляция - админ-интерфейсы API-шлюзов должны быть доступны только из корпсети или с VPN, а не напрямую из интернета, даже если есть auth-форма. Минимизация экспозиции dev/stg-окружений - временные стенды регулярно увеличивают поверхность атаки и часто содержат отладочные эндпоинты. Сокрытие версий ПО на внешних интерфейсах - эта информация упрощает CVE-таргетинг и diff-анализ патчей. 🔗 Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели #CVE #RCE #Firefox #NetSNMP #Linux #OpenCode #NodeTar #zlib ➡️ Node-Tar (CVE-2026-23745, CVSS 8.2) — path traversal в популярной библиотеке node-tar для работы с TAR-архивами. Уязвимость кроется в недостаточной санитизации путей для жестких ссылок и symlink даже при включенной по умолчанию защите preservePaths: false. Библиотека использует path.resolve() без проверки выхода за пределы корневой директории распаковки, что позволяет через вредоносный архив перезаписывать произвольные файлы в системе или создавать ссылки на нужные для атаки пути. Может привести к RCE в CI/CD пайплайнах. Есть PoC. ➡️ OpenCode (CVE-2026-22812, CVSS 8.8) — RCE в open-source AI-агенте для написания кода. Уязвимость возникает из-за автоматического запуска HTTP-сервера без аутентификации. Из-за некорректных политик CORS любой веб-сайт может отправить запрос к локальному API агента, что позволяет удаленному атакующему выполнить произвольные shell-команды с правами текущего пользователя. Есть PoC. ➡️ Firefox + Thunderbird (CVE-2026-0881, CVSS 10.0) — sandbox escape в компоненте Messaging System браузера Firefox и клиента Thunderbird. Возникает из-за недостаточного контроля доступа при обработке сообщений, передаваемых от изолированного дочернего процесса к привилегированному родительскому. Позволяет скомпрометированному процессу рендеринга отправить специально сформированный запрос, который родительский процесс ошибочно исполнит, тем самым позволив выйти за пределы песочницы. ➡️ Net-SNMP (CVE-2025-68615, CVSS 10.0) — RCE в пакете net-snmp для работы с протоколом SNMP в Linux/Unix системах. Уязвимость возникает при обработке специально сформированных SNMP-пакетов (trap-сообщений) на UDP-порту 162. Демон некорректно валидирует длину пользовательских данных перед копированием, что позволяет удаленному атакующему вызвать stack buffer overflow и добиться RCE. ➡️ zlib (CVE-2026-22184, CVSS 10.0) — переполнение буфера в утилите untgz библиотеки zlib. Появляется из-за небезопасного копирования слишком длинного имени файла в статический буфер. Если атакующий передаст имя файла длиннее 1024 байт, происходит out-of-bounds write. Это ведет к порче памяти и может вызвать DoS или, в зависимости от компилятора и разметки памяти, RCE. 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Закрепление в Next.js через генерацию сессионных кук #NextJS #next #react #js #React2Shell #RCE #AuthJS Исследователь Embrace The Red продемонстрировал технику закрепления в next-auth (Auth.js), позволяющую генерировать валидные сессии в обход Identity Provider и обеспечивать персистентность даже при регулярной ротации OAuth-кредов. В начале цепочки используется небезызвестная React2Shell бага. ♾️Техническая суть♾️ В режиме JWT архитектура next-auth опирается на Stateless JWE (JSON Web Encryption). Валидность сессии определяется исключительно возможностью расшифровать токен на сервере. Key Encryption Key генерируется через алгоритм HKDF, в качестве входных данных используя IKM (Input Keying Material, переменная окружения NEXTAUTH_SECRET) и Salt — дефолтное или кастомное имя куки (например, next-auth.session-token). Утечка NEXTAUTH_SECRET позволяет атакующему локально воспроизвести процесс HKDF и зашифровать произвольный JSON-пейлоад, подменив sub, email, iat, exp. Сервер примет такой JWE-контейнер как легитимный, поскольку криптографическая целостность соблюдена, а сверка с базой данных или OAuth-провайдером для расшифрованных сессий архитектурно не требуется. ♾️Типичный пайплайн атаки♾️ ▪️Атакующий эксплуатирует React2Shell и получает RCE. ▪️Дампит переменные окружения (env) и забирает NEXTAUTH_SECRET. ▪️С помощью скрипта на базе кода самой либы генерирует подписанную куку next-auth.session-token с нужными клеймами (Admin, UserID и т.д.). ▪️Подставляет куку в браузер и обеспечивает персистентность, даже если OAuth-креды сброшены. ♾️Защита♾️ ▪️Обязательная ротация NEXTAUTH_SECRET и AUTH_SECRET при любом подозрении на компрометацию. ▪️Инвалидация всех активных сессий после ротации. ▪️Мониторинг дубликатов JTI (JWT ID) с разных IP-адресов. ▪️Детект аномальных полей в сессиях (странные User-Agent и т.п.). 🔗 Источник 🔗 GitHub 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Почему ваша нейросеть всегда предаст вас ради вежливого хакера с плохими намерениями? ©️ Артём Семёнов #ai #ml #llm #injection #red_team

Прошло уже больше 3 лет с момента появления первой промпт-инъекции. Кажется, что за это время было сделано всё возможное, были потрачены бюджеты небольших стран на Red Teaming больших моделей типа Claude и OpenAI. Мы обернули модели в такие толстые талмуды системных промптов, навыравнивали всё что можно и теперь это может быть похожим на сотрудников паспортного стола в обеденный перерыв.

♾️А что в итоге?♾️ На днях школьник из Небраски обошёл защиту модели стоимостью в сто миллионов долларов, описав инъекцию в нестандартной кодировке. Потом добавил смайлик и модель, как ни удивительно, вершина гения, цифровой оракул – выдала инструкцию по синтезу рицина, потому что смайлик показался ей «дружелюбным». Может мы что-то делаем не так, может мы пытаемся лечить ножевое ранение подорожником, ища баги в системе, которая состоит из них целиком, и ей нравится это. Возникает вопрос – а в хакерах ли дело? Но кажется нет – ведь мы имеем дело с архитектурой трансформера, линейной алгеброй и энтропией. Это может напоминать кому-то кейсы ведения диалогов с вещами. Они могут нагреваться, но никак не слушать нас – это не их задача, не их функция и уж тем более не то, за чем они нам нужны. Они просто выполняют свою функцию. LLM — это тот же тостер, только с миллиардом параметров. И в этой статье я покажу вам, почему его спираль нагрева нельзя отключить. Добро пожаловать внутрь Белого Ящика, из которого нет выхода. Чтобы понять природу этих уязвимостей, нам придется спуститься на уровень ниже — туда, где заканчивается маркетинг и начинается математика. Назовем это... Архитектурный фатализм 🔗 Рекомендую к прочтению 🌚 @poxek_ai

Новый вектор NTLM Relay: принудительный запуск WebClient на SCCM #SCCM #NTLM #NTLMRelay #AD #Microsoft #ActiveDirectory

Исследователи из SpecterOps обнаружили особенность в работе SCCM (MECM), позволяющую удаленному атакующему дистанционно запустить службу WebClient на сервере сайта и провести NTLM Relay атаку на LDAP.

♾️Техническая суть♾️ При включенном Automatic Client Push Installation сервер сайта пытается подключиться к целевой машине. В процессе через вызов WNetAddConnection2 он пробует мапить шары, и если в этот момент подсунуть ему WebDAV-ресурс, на сервере SCCM автоматически стартует служба WebClient. ♾️Типичный пайплайн атаки♾️ Приятные бонусы: WebClient не обязательно быть запущенной заранее — достаточно самого факта его установки. Кроме того, HTTP-аутентификация не требует подписи, в отличие от SMB, поэтому релей на LDAP проходит идеально. ▪️Атакующий триггерит установку клиента на подконтрольный хост через SharpSCCM и регистрацию фейкового устройства. ▪️Сервер SCCM стучится к атакующему. Вместо SMB форсится использование HTTP (WebDAV). ▪️Из-за попытки коннекта по WebDAV на сервере SCCM сама собой поднимается служба WebClient. Далее два варианта: ▪️Ленивый — если учетка Client Push Installation перепривилегирована (например, Domain Admin), атакующий просто релеит ее HTTP-аутентификацию на LDAP и создает себе админа. ▪️Сложный — если учетка CP слабая, но WebClient уже поднят, задействуется классический PetitPotam (EFSRPC) против самого сервера SCCM. Сервер аутентифицируется через HTTP (машинной учеткой), атакующий релеит это на LDAP и через Shadow Credentials захватывает сервер. ♾️Защита♾️ ▪️Отключить NTLM Fallback. ▪️Включить LDAP Signing и Channel Binding. ▪️Удалить фичу WebDAV Redirector с серверов сайта, если она не нужна. 🔗Подробности 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Практический разбор деобфускации и anti-analysis техник современного infostealer-ПО AuraStealer — активно развивающийся infostealer-as-a-service, появившийся на подпольных форумах летом 2025 года. Несмотря на сравнительно недолгую историю, данный образец демонстрирует зрелый подход к обфускации, anti-analysis и обходу защитных механизмов Windows, характерный для современных коммерческих MaaS-платформ. Класс угрозы: Infostealer (MaaS) Платформа: Windows 7–11 Язык реализации: C++ Размер билдов: ~500–700 KB Ключевая особенность AuraStealer — агрессивная защита от анализа, выраженная не только в стандартных анти-debug и anti-VM проверках, но и в нетривиальных инженерных решениях: ▪️косвенное управление потоком выполнения (indirect control flow); ▪️exception-driven API hashing; ▪️динамическая генерация mutex; ▪️обход Application-Bound Encryption Chromium-браузеров; ▪️Heaven’s Gate для вызова NTDLL из WOW64-контекста. Цель данной статьи — показать практический путь анализа AuraStealer, а не просто перечислить техники. 🔗blog.poxek 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

React Fiber Forensics: эксгумация исходного кода из оперативной памяти #reverse #react #ReactFiber #webpack #vite #bugbounty #appsec

Принято считать, что минификация и бандлинг (Webpack/Vite) надежно скрывают логику фронтенда. Но, как выяснил разработчик David Fant, прибывающих в браузер артефактов (JS-бандл, runtime-данные, структура UI) вполне достаточно, чтобы реконструировать исходный код React-компонентов с высокой точностью, используя только runtime-слепки памяти и LLM.

♾️Техническая суть♾️ React использует структуру данных Fiber — Linked List узлов, представляющий состояние UI. В отличие от Call Stack, Fiber-дерево хранится в куче постоянно для поддержки асинхронного рендеринга и Reconciliation. Каждый DOM-элемент в React-приложении содержит ссылку на свой Fiber-узел, получив доступ к которому можно получить и доступ к приватным данным компонента: memoizedProps — актуальные входные данные memoizedState — внутреннее состояние (связный список хуков: useState, useReducer, useContext) stateNode — инстанс класса или ссылка на DOM type — ссылка на оригинальную (минифицированную) функцию-компонент ♾️Типичный пайплайн атаки♾️ ▪️Скрипт-имплант находит корневой контейнер приложения и рекурсивно обходит дерево Fiber, следуя по указателям child и sibling. ▪️Для каждого узла сериализуется текущее состояние. В отличие от статического анализа бандла, здесь есть динамические значения в момент исполнения. ▪️Сдампленная структура скармливается LLM. Модель, обученная на миллионах строк React-кода, выполняет обратное преобразование: Fiber Node ▪️Snapshot -> Idiomatic JSX, восстанавливает имена пропсов (они часто не минифицируются) и логику рендера. ♾️Для чего♾️ ▪️Быстрый pixel-perfect фишинг, когда воспроизводятся состояния, тексты ошибок и поведение форм ▪️Реверс бизнес-логики на клиенте: валидации, feature-flags, проверки ролей, алгоритмы расчета — все, что ошибочно сочли неинтересным для атакующего ▪️Для поиска багов, поскольку восстановленный компонент проще анализировать на небезопасные паттерны (XSS/DOM XSS, небезопасные редиректы, утечки токенов в URL/логах, логика «только на фронте»). ♾️Защита♾️ Минификация бесполезна. Что поможет: ▪️Перенос чувствительной логики в серверные компоненты. Их код исполняется на бэкенде, а клиенту прилетает только сериализованный результат (JSON-подобная структура) без логики обработки. ▪️Использование инструментов типа Jscrambler, которые ломают не только имена, но и поток управления, затрудняя работу LLM по восстановлению логики. 🔗Подробнее 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2 #botnet #nodejs #js #ethereum #c2 #powershell #windows В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям. ♾️Kill Chain♾️

    
        Initial Access
 ├─ Fake MSI / PowerShell dropper
 ├─ RMM / pirated software
 └─ Game lures (valorant.exe, cs2.msi)

Execution
 ├─ Node.js runtime (bundled or downloaded)
 └─ Obfuscated JS loader

Persistence
 ├─ HKCU\...\Run
 └─ pm2 autostart

C2
 ├─ Ethereum smart contract
 └─ WebSocket (ws / wss)

Command Execution
 └─ eval() arbitrary JS{}
    

🔗blog.poxek Всех с началом трудовой трудной недели 💻 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2 #botnet #nodejs #js #ethereum #c2 #powershell #windows В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям. Цепочка заражения (Kill Chain)

    
        Initial Access
 ├─ Fake MSI / PowerShell dropper
 ├─ RMM / pirated software
 └─ Game lures (valorant.exe, cs2.msi)

Execution
 ├─ Node.js runtime (bundled or downloaded)
 └─ Obfuscated JS loader

Persistence
 ├─ HKCU\...\Run
 └─ pm2 autostart

C2
 ├─ Ethereum smart contract
 └─ WebSocket (ws / wss)

Command Execution
 └─ eval() arbitrary JS{}
    

Всех с началом трудовой трудной недели 💻 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK