Форум информационной безопасности - Codeby.net
Writeup Web | Протокол "Затмение" | HackerLab
Авторизационная форма с гостевым входом — и абсолютно пустой интерфейс. Флаг спрятан в fl4g.txt, но путь к нему закрыт. Исходники прилагались к заданию — и в nginx.conf на 13-й строке пропущен завершающий слэш.Path Traversal через misconfiguration Nginx: отсутствие "/" в конце location-директивы позволяет вырваться за пределы разрешённого каталога. Уязвимость из OWASP — классика неправильной конфигурации обратного прокси, которая регулярно встречается в production-средах.
Эксплуатация в два шага: изучить nginx.conf из прикреплённых исходников, восстановить корректный путь к fl4g.txt с учётом обхода директории. Запрос к сформированному пути — флаг получен без дополнительных инструментов.
Лишний символ "/" в nginx.conf меняет семантику location: без него префиксный матч превращается в точечный и открывает path traversal на всё дерево файлов.Writeup Web | Документальный архив | HackerLab
Архив документов возвращает JSON — пропущен document с _id=3, запрос возвращает 200 без содержимого. Broken Access Control + NoSQL Injection: оператор $or обходит ролевую проверку и показывает скрытый документ. Флага нет — он в скрытом поле.Разведка через Burp: поля _id, title, summary в ответе указывают на MongoDB. $or с несуществующим _id как «безопасная» ветка условия раскрывает документ без прав. Поле flag найдено через $exists: true. Извлечение содержимого — посимвольный blind NoSQL injection через $regex с якорем "^CODEBY{".
Автоматизация в Burp Intruder: позиция после накопленного префикса, словарь из латинских букв и спецсимволов, сортировка по длине ответа — самый длинный ответ выдаёт правильный символ. Флаг собирается итерациями как конструктор.
$or с заведомо ложной второй веткой — классический способ обхода фильтрации в NoSQL без угадывания структуры ACL.Статья Анализ ransomware The Gentlemen: реверс Go-шифровальщика Storm-2697 с самораспространением через SMB
Storm-2697 зашифровал домен за 62 минуты: Go-шифровальщик The Gentlemen с флагом --spread копирует себя по SMB без оператора, убивает EDR через BYOVD (CVE-2025-7771) и использует CVE-2024-55591 (CVSS 9.8) для захвата 14 700 FortiGate.Семпл 3ab957...9235 — 64-битный PE на Go со stripped symbols. GoReSym восстанавливает имена функций через pclntab, которую Go-рантайм обязан сохранять для stack traces. Внутри — XChaCha20 + Curve25519 с per-file эфемерным ключом: bulk-дешифровка без приватника оператора бессмысленна. Флаг --spread запускает автономный SMB-краулер (T1021.002, T1570).
EDR убит до шифрования — Windows Event Log чист. Первый сигнал придёт из сетевых SMB-аномалий.Статья Lateral Movement из IT в OT: техники пентеста промышленных сетей
Domain admin за 4 часа через Kerberoasting — и всё равно SCADA недосягаема. Firewall пропускает только Modbus TCP/502 и HTTPS/443. Pass-the-Hash мёртв, RDP заблокирован. Вот где начинается настоящий IT→OT pivot.Kill chain идёт через dual-homed инженерные станции и data historian: tcpdump на DMZ-span-порту вскрывает OT-топологию без единого probe-пакета. Modbus TCP не имеет аутентификации — любой хост пишет в регистры ПЛК через FC16. Windows XP на HMI исключает EDR, Purdue Level 2 достигается через скомпрометированный historian.
Claroty и Dragos строят baseline промышленного трафика — новый IP на порту 502 мгновенный алерт.
SIEM видит домен — OT слеп для Splunk. XENOTIME положил Triconex, не оставив следов в Windows Event Log.Статья Ransomware тренды 2026: EDR killers, отказ от шифрования и detection engineering
В 9:15 SIEM поймал 14 000 SMB-обращений за 8 минут — IR-команда закрыла как FP. Через 3 дня: 340 ГБ на DLS и требование $2.4M. Qilin и Warlock грузят rwdrv.sys через msimg32.dll side-load, роняют 300+ EDR-драйверов — и шифрование больше не нужно.BYOVD (MITRE T1562.001) стал штатной фазой kill chain: подписанный уязвимый драйвер hlpdrv.sys даёт kernel-level доступ, агент падает, телеметрия исчезает. Среды с legacy Windows Server 2016/2019 без HVCI уязвимы полностью.
Detection строится на Sysmon EID 6 (Driver Loaded вне System32), EID 7045 (kernel-тип сервиса вне baseline) и массовом EID 5 на EDR-процессах за 30 секунд.
Бэкапы целы — компания всё равно платит. Вектор сменился с Impact на Exfiltration, а SOC смотрит не туда.Статья Оценка зрелости Zero Trust: как сравнить CISA ZTMM, NIST SP 800-207 и Microsoft ZT Model — и обосновать бюджет
63% компаний внедрили Zero Trust — и большинство не могут доказать эффект: CISA ZTMM v2.0, NIST SP 800-207 и Microsoft ZT Model дают разные ответы на вопрос «где мы сейчас».Gap-анализ шести гибридных сред (AD + Azure AD + on-prem) показал: без фреймворка зрелости бюджет размазывается ровным слоем. CISA ZTMM v2.0 даёт четыре уровня — Traditional → Optimal — по пяти столпам: Identity, Devices, Networks, Applications, Data. NIST SP 800-207 добавляет архитектуру: Policy Engine, Policy Administrator, Policy Enforcement Point.
Столп Data — самый недофинансированный: CISA ZTA Implementation Report (январь 2025) фиксирует его как главный тормоз.
Организации мониторят Identity и Network — Data-столп остаётся слепым пятном, хотя именно он блокирует Optimal.Writeup Web | Тетрис | HackerLab (WriteUp)
Flask-приложение с формой восстановления пароля и генератором токенов из трёх символов (b, c, d) длиной 6 знаков — всего 729 комбинаций. Токен удаляется сразу после первого обращения к /reset/<uuid>, что превращает брутфорс в гонку за сессионной cookie.Анализ исходников раскрыл архитектуру: страницы /reset_password и /reset/<uuid>, SQLite с таблицей users, функция _generate_token() с жёстко заданным алфавитом. Стандартный перебор с проверкой 200 не работает — редирект происходит раньше. Решение: allow_redirects=False и перехват 302-ответа с последующим извлечением session cookie через x.cookies.get_dict().
Python-скрипт на itertools.product генерирует все 729 вариантов, последовательно проверяет /reset/<token>, при коде 302 сохраняет cookie и прерывает цикл. Cookie вставляются в браузер, переход на /admin — флаг получен.
Honeypot в виде рабочего тетриса унёс 30 минут. Исходники раскрыли всё за 5.Статья Защита корпоративных учётных данных: infostealer-кампании, MFA-харденинг и PAM на практике
Три из четырёх вторжений в 2024 году начались с обычного логина — не с zero-day. CrowdStrike фиксирует 75% intrusions через Valid Accounts (T1078), IBM X-Force — рост infostealers на 71%: Redline, Raccoon, Lumma забирают cookies и NTLM-хеши за 3–5 минут.Kill chain выглядит так: фишинг в 9:15 — stealerдампит LSASS (T1003.001) и браузеры (T1555.003) — в 10:00 атакующий в VPN и почте — в 11:20 SOC подтверждает инцидент, но злоумышленник уже domain admin. Два часа от письма до AD.
Detection строится на Sysmon Event ID 10 с фильтром TargetImage: lsass.exe и Sigma-правиле по GrantedAccess 0x1010/0x1410.
EDR молчит на валидный RDP-логин. SOC получает алерт через 47 минут — стилер ушёл за 10.