Похек

Новогодние страдания, или как я сдавал CPTS в 2026 году

Продолжение мазохизма в лёгкой форме от спеца, который в прошлом посте сдал BSCP, теперь взял выше и сдал CPTS)

Краткий экскурс для тех кто не в теме: CPTS (Certified Penetration Testing Specialist) - это сертификация от HackTheBox, которая проверяет навыки тестирования на проникновение. Просто "прийти и сдать" не получится, для доступа к экзамену необходимо пройти, так называемый, тематический "Job Role Path". Вообще, больше про структуру экзамена можно прочитать в других статьях на Хабре, например, тут или тут. Автор же написал статью про свои ощущения от сданного курса и Как это было, а в конце даёт советы тем, кто только собирается сдавать) 🔗Читать нельзя пропустить (запятую ставим сами) p.s. мой дизайнерский глаз был приятно удивлен оформление статьи 🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Закрепляемся в macOS через баги в IPVanish VPN #IPVanishVPN #macOS #LPE #XPC #PrivilegeEscalation Приложение IPVanish VPN для macOS содержит критическую уязвимость повышения привилегий, позволяющую любому непривилегированному локальному процессу выполнить произвольный код от имени root. Для эксплуатации достаточно локального доступа к системе, на которой установлен клиент IPVanish. ♾️Технические особенности♾️ Основная проблема заключается в отсутствии аутентификации XPC-клиентов в привилегированном вспомогательном инструменте com.ipvanish.osx.vpnhelper. Любой локальный процесс может установить соединение с этим хелпером и отправлять ему команды. Уязвимость усиливается двумя дополнительными проблемами: ▪️Параметр OpenVPNPath — указывает бинарный файл, который хелпер запускает от имени root через GCDTask. Значение параметра принимается напрямую из XPC-сообщения без проверки пути или подписи кода, что позволяет запускать произвольные файлы от имени root. ▪️Ошибка проверки подписи кода — хелпер-инструмент проверяет подпись только для исполняемых файлов. Неисполняемые скрипты можно скопировать в каталог, принадлежащий root, после чего хелпер меняет им права и выполняет их через механизм OpenVPN hook --up, создавая дополнительный путь выполнения кода. ♾️Эксплуатация♾️ ▪️Создать вредоносный shell-скрипт /tmp/ipvanish_exploit.sh с правами 0644 (неисполняемый), чтобы обойти проверку подписи. ▪️Установить XPC-соединение с com.ipvanish.osx.vpnhelper без аутентификации клиента. ▪️Отправить XPC-сообщение с VPNHelperCommand = VPNHelperConnect, указав параметр OpenVPNPath = /tmp/ipvanish_exploit.sh. ▪️Установить параметры OpenVPNUpScriptPath и OpenVPNCertificatePath на /tmp/ipvanish_exploit.sh, что приводит к вызову copyHelperTool. ▪️Вспомогательный инструмент копирует скрипт в каталог /Library/Application Support/com.ipvanish.osx.vpnhelper/ пропуская проверку подписи (из-за неисполняемого состояния файла) и затем устанавливает права 0500. ▪️После этого хелпер запускает /tmp/ipvanish_exploit.sh от имени root через GCDTask, а затем повторно выполняет его через OpenVPN hook --up. ▪️В качестве доказательства эксплуатации скрипт может создать файл /tmp/ipvanish_pwned_root.txt принадлежащий root. 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Поздравляю прекрасных дам с 8 марта!)

Android без -fstack-check: неограниченная рекурсия через Binder RPC + LPE из shell в system_server #Android #LPE #stackoverflow#BinderRPC В Android нативный код системных компонентов компилируется без защиты от stack clash, поэтому при глубокой рекурсии указатель стека может перепрыгнуть guard-страницу и попасть в отображенную память ниже стека. В результате стек фактически продолжает расти за пределами охраняемой области, что позволяет обойти защиту при вызове функций с большим стековым фреймом, например, android::incfs::MountRegistry::Mounts::loadFrom(), где используется локальный буфер ~128 КиБ. Атакующий из контекста shell может использовать вложенные синхронные Binder RPC, чтобы неограниченно увеличивать глубину стека одного потока system_server. После этого вызывается функция с крупным стековым выделением, что приводит к перезаписи сохраненных данных в stack frame, захвату управления и потенциальному LPE из shell в system_server. ♾️Эксплуатация♾️ ▪️Из shell запускаются команды вроде am dumpheap или trace-ipc stop, что приводит к вызову ShellCallback.openFile в system_server. ▪️В реализации openFile рекурсивно инициируются дополнительные shell-команды, углубляя стек до нужного размера. ▪️Ниже текущего положения стека спреятся контролируемые данные (например через Bitmap и IClipboard.setPrimaryClip) в shared memory. ▪️Далее триггерится функция с большим стековым фреймом (например цепочка incremental_service → isFileFullyLoaded → loadFrom()). ▪️Большая аллокация стека перепрыгивает guard region и перезаписывает сохраненный link register (LR) до его восстановления → происходит захват PC (часто наблюдается краш с PC = 0xaaaaaaaa). ▪️Эксплуатация повторяется до успеха (race condition, вероятность ~5–10% на попытку). Вероятность успешной эксплуатации относительно низкая из-за рандомизации размещения стеков потоков и памяти. Эксплойт из исследования подтвержден на конкретной сборке Pixel 7 (Android 16). 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Как только погода чуть более стабилизируется, я возобновлю продажи худи Похек. Цена останется та же, как в прошлом году ) Ближе к возобновлению продаж будет полноценный анонс

Разбор фейка о фото в МАХ В телеграм-каналах распространяется фейк о фото в МАХ от пользователя с Пикабу. Не надо быть мидлом пентестером, чтобы понять, что это не реалистичный сценарий атаки -_- Во время переписки пользователей при передаче медиа контента (фото, видео) файл попадает на внутренние хранилища того сервиса, на который выкладывается. Это делается для того, чтобы пользователь мог открыть изображение или переслать его. Так работают все платформы — от российского МАХ до запрещенных FaceBook и Instagram Например, https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2Not1LVzwMmiSsq_k0ZzTM6Hp5bBJ_5Cu3FMzK9WPICitn8 — используется сложный алгоритм шифрования, который не получится перебрать и получить доступ к чужим файлам. Если не верите, попробуйте сбрутить :) Если ссылку передать кому-то, то, конечно, он сможет по ней перейти и получить информацию о файле. Проще говоря, пользователи могут увидеть фотографию только когда владелец добровольно поделится ей или ссылкой на нее. А личные фото недоступны никому, кроме владельца.

Уважаемые читатели и подписчики, Вчера многие из Вас уже видели информацию про запрет рекламы в Telegram со стороны ФАС. Чтобы не поддаваться эмоциям в моменте — обратился за комментарием по горячим следам в ФАС через официальную почту ведомства по поводу запрета рекламы в Telegram. 📲Получил официальный ответ от ФАС следующего содержания:

Добрый вечер! Комментирует пресс-служба ФАС России: ФАС России контролирует соблюдение рекламного законодательства. В соответствии с ним (1) не допускается распространение рекламы на информационных ресурсах, деятельность которых признана нежелательной на территории Российской Федерации, а также доступ к которым ограничен (2). В связи с принятием мер по ограничению доступа к социальным платформам Инстаграм и Фейсбук, видеохостингу Ютуб, ВПН-сервисам, ⬇️ мессенджерам Телеграм и Вотсап ФАС России усматривает в размещении рекламных интеграций на этих площадках признаки нарушения рекламного законодательства, ответственность (3) за которое несут как рекламодатель, так и рекламораспространитель. В настоящее время при наличии оснований ведомство принимает предусмотренные законодательством меры реагирования. Для приведения деятельности в соответствие с требованиями законодательства служба рекомендует участникам рынка провести анализ контента, размещаемого на информационных ресурсах, доступ к которым ограничен. Подробнее о запрете распространения рекламы после 1 сентября 2025 года на определенных интернет-ресурсах можно узнать на сайте (https://fas.gov.ru/documents/690033) ФАС России. (1) ч. 10.7 ст. 5 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». (2) ст. 15.3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». (3) ст. 14.3 КоАП РФ. С уважением, ведущий консультант отдела пресс-службы УОС ФАС России [фамилия и имя сотрудника скрыты]

👆Исходя из вышесказанного, можно сделать вывод о том, что действительно теперь вся реклама в Telegram под запретом (Ютуб тоже). Не спасает ни erid, ни что-то другое. Из-за того, что применяется ограничение к Telegram, ФАС России усматривает в размещении рекламных интеграций на этих площадках признаки нарушения рекламного законодательства. Штрафы для юридических лиц за подобные нарушения могут достигать ₽500 000 за каждый выявленный эпизод размещения. Такие вот новости. Все запланированные посты на сегодня отменил. Возьму паузу. *Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская. ✋ @Russian_OSINT

Новость про запрет рекламы (даже маркированной) в Telegram - разгон СМИ, не более

От .winget до reverse shell: новая атака через легитимный менеджер пакетов Microsoft #WinGet #DSC #InitialAccess #RedTeam #Windows Еще один способ запуска произвольного PowerShell-кода в Windows через легитимные инструменты. На этот раз используется winget (Windows Package Manager) и его функция Desired State Configuration (на базе PowerShell DSC). При определенных условиях двойной клик по специально сформированному .winget-файлу или self-referencing LNK может позволить обойти Mark of the Web и предупреждения SmartScreen. То есть winget выступает как LOLBIN для начального доступа, загрузки и запуска вредоносного кода под видом легитимной конфигурации системы. ♾️Технические особенности♾️ Атака использует файловую ассоциацию .winget → winget.exe configure "%1" --wait, которая запускает PowerShell Desired State Configuration (DSC v3+). DSC позволяет декларативно выполнять действия через ресурсы вроде: Invoke-WebRequest (скачивание), Archive (распаковка), WindowsProcess / Script (запуск процессов или кода), изменение реестра и переменных среды. Модули DSC автоматически загружаются из PowerShell Gallery в %LOCALAPPDATA%\Microsoft\WinGet\Configuration\Modules. Исполнение происходит через ConfigurationRemotingServer.exe с использованием PowerShell runtime (System.Management.Automation). Поскольку выполнение инициируется через легитимный инструмент системы, это может снижать эффективность некоторых механизмов защиты и выглядеть как обычная конфигурация системы. Эксплуатация ▪️Доставить ZIP с malicious LNK (например через HTML smuggling) ▪️Потенциальная жертва распаковывает архив в %TMP% или Downloads и кликает по LNK ▪️Запускается команда LNK:

    
        cd %TMP%\*update.zip* || cd %HOMEPATH%\Downloads\update{}
    

▪️LNK извлекает встроенный конфиг:

    
        more +1349 *.lnk > %TMP%\conf.yml{}
    

▪️Открывается decoy-документ start https://attacker/decoy.pdf ▪️При необходимости включается конфигурация winget configure --enable ▪️После этого применяется конфиг:

    
        echo Y | winget configure -f %TMP%\conf.yml{}
    

▪️DSC скачивает, распаковывает и запускает полезную нагрузку. ♾️Импакт ♾️ Позволяет получить первоначальный доступ и закрепиться в корпоративных средах, где Microsoft Store и winget не отключены. Через DSC атакующий может загрузить и выполнить полезную нагрузку, модифицировать систему и запускать код без явного вызова powershell.exe. ♾️Защита ♾️ ▪️Отключить WinGet через GPO ▪️Отключить параметр EnableWindowsPackageManagerConfiguration ▪️Удалить ассоциацию .winget или заблокировать ее через AppLocker / WDAC ▪️Применить WDAC / Application Control для блокировки winget configure 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

От .winget до reverse shell: новая атака через легитимный менеджер пакетов Microsoft #WinGet #DSC #InitialAccess #RedTeam #Windows Еще один способ запуска произвольного PowerShell-кода в Windows через легитимные инструменты. На этот раз используется winget (Windows Package Manager) и его функция Desired State Configuration (на базе PowerShell DSC). При определенных условиях двойной клик по специально сформированному .winget-файлу или self-referencing LNK может позволить обойти Mark of the Web и предупреждения SmartScreen. То есть winget выступает как LOLBIN для начального доступа, загрузки и запуска вредоносного кода под видом легитимной конфигурации системы. ♾️Технические особенности♾️ Атака использует файловую ассоциацию .winget → winget.exe configure "%1" --wait, которая запускает PowerShell Desired State Configuration (DSC v3+). DSC позволяет декларативно выполнять действия через ресурсы вроде: Invoke-WebRequest (скачивание), Archive (распаковка), WindowsProcess / Script (запуск процессов или кода), изменение реестра и переменных среды. Модули DSC автоматически загружаются из PowerShell Gallery в %LOCALAPPDATA%\Microsoft\WinGet\Configuration\Modules. Исполнение происходит через ConfigurationRemotingServer.exe с использованием PowerShell runtime (System.Management.Automation). Поскольку выполнение инициируется через легитимный инструмент системы, это может снижать эффективность некоторых механизмов защиты и выглядеть как обычная конфигурация системы. Эксплуатация ▪️Доставить ZIP с malicious LNK (например через HTML smuggling) ▪️Потенциальная жертва распаковывает архив в %TMP% или Downloads и кликает по LNK ▪️Запускается команда LNK:

    
        cd %TMP%\*update.zip* || cd %HOMEPATH%\Downloads\update{}
    

▪️LNK извлекает встроенный конфиг:

    
        more +1349 *.lnk > %TMP%\conf.yml{}
    

▪️Открывается decoy-документ start https://attacker/decoy.pdf ▪️При необходимости включается конфигурация winget configure --enable ▪️После этого применяется конфиг:

    
        echo Y | winget configure -f %TMP%\conf.yml{}
    

▪️DSC скачивает, распаковывает и запускает полезную нагрузку. ♾️Импакт ♾️ Позволяет получить первоначальный доступ и закрепиться в корпоративных средах, где Microsoft Store и winget не отключены. Через DSC атакующий может загрузить и выполнить полезную нагрузку, модифицировать систему и запускать код без явного вызова powershell.exe. ♾️Защита ♾️ ▪️Отключить WinGet через GPO ▪️Отключить параметр EnableWindowsPackageManagerConfiguration ▪️Удалить ассоциацию .winget или заблокировать ее через AppLocker / WDAC ▪️Применить WDAC / Application Control для блокировки winget configure 🔗Источник 🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK