Форум информационной безопасности - Codeby.net
Статья Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике
whoami показывает CORP\j.smith, whoami /priv — стандартный набор без единого Enabled. Знакомое чувство? Повышение привилегий Windows — это путь от этой точки к SYSTEM через последовательную эксплуатацию мисконфигураций, а не одну волшебную команду.Приоритеты: SeImpersonatePrivilege → GodPotato/SweetPotato (SYSTEM за один запуск); Administrators + Medium IL → fodhelper UAC bypass через HKCU без единого диалога; Unquoted Service Path + writable-директория → payload при перезапуске сервиса; AlwaysInstallElevated = оба ключа в 1 → msiexec /qn с MSI-пейлоадом. DLL hijacking через procmon с фильтром NAME NOT FOUND — для кастомного ПО без ACL.
Kernel exploits — последнее средство: нестабильны, роняют хост.
Практический workflow от шелла до SYSTEM и детектирующие Sysmon Event ID для blue team.Статья CVE-2026-6154 и CVE-2026-6155: OS Command Injection в Totolink A7100RU — от CGI до шелла
T
Totolink A7100RU, прошивка 7.4cu.2313_b20191024: единый CGI-обработчик берёт пользовательский ввод и скармливает его прямо в system() без санитизации. Десять CVE с одним паттерном в одной прошивке — это не баги, это архитектура.CVE-2026-6154 (setWizardCfg, аргумент wizard) и CVE-2026-6155 (setWanCfg, аргумент pppoeServiceName) — CVSS 8.9, CWE-78, без аутентификации, публичный эксплойт. HTTP POST с метасимволом `;` в JSON-теле — и shell от root, потому что SOHO-роутеры почти всегда крутятся от суперпользователя. Паттерн тот же у Wavlink, других серий Totolink и десятков SOHO-вендоров: CGI + system() + отсутствие фильтров.
Time-based подтверждение через sleep, out-of-band через nslookup, нюансы BusyBox без флага -e.
Suricata-правило для детекта, MITRE ATT&CK маппинг и четыре шага митигации без патча.Статья Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике
79% детектируемых атак в 2025 году — без вредоносного ПО. Медианное время breakout — 48 минут, рекорд — 51 секунда. Когда на руках валидные креды, самая тупая ошибка — дропнуть на диск что-то, что EDR распознает за секунду.Три штатных механизма Windows без единого стороннего файла: WMI (T1047) — wmiprvse.exe как родитель, wmiexec.py забирает вывод через ADMIN$; PSRemoting (T1021.006) — wsmprovhost.exe, полноценная сессия, Evil-WinRM с Pass-the-Hash; DCOM (T1021.003) — MMC20.Application через mmc.exe, ShellWindows через explorer.exe — наименее триггерный parent для SOC.
Rule-based детект буксует: PowerShell и WMI используются легитимно каждый день. CVE-2025-24054: NTLMv2-хэши через .library-ms без единого клика.
Сравнительная таблица по 8 параметрам и трёхшаговый чеклист перед перемещением.Заметка LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов
EDR прибил весь привычный инструментарий, а доступ к cmd от непривилегированного пользователя — есть. Зачем тащить на хост что-то своё, если Microsoft сама положила всё нужное?15 LOLBins с ATT&CK маппингом и честными gotchas: certutil -urlcache в 2024+ — это кричать «я здесь», используй curl.exe или BITS; rundll32 + comsvcs MiniDump для дампа LSASS требует High IL и детектируется MDE как Behavior:Win32/LsassDump.A; wmic deprecated и удалён в Win11 24H2+; mshta отсутствует на Server Core. Squiblydoo через regsvr32 обходит AppLocker default rules, но не WDAC с Script Enforcement.
bitsadmin оставляет артефакты в %ALLUSERSPROFILE%\Microsoft\Network\Downloader — чисти за собой.
Quick-reference card из 8 сценариев и перечень ограничений под каждый инструмент.Статья Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации
Апрельский Patch Tuesday 2026: 163 CVE, 57% из них — Elevation of Privilege. Получить shell — полдела. Чтобы выключить EDR, дампнуть LSASS и прописать persistence — нужен SYSTEM.BlueHammer (CVE-2026-33825, CVSS 7.8): пять легитимных фич Windows в одной цепочке — Defender update workflow → VSS snapshot → Cloud Files API → Oplocks race condition → Symbolic Links → SAM-дамп. Работает на полностью пропатченных Win 10/11. Простая перекомпиляция обходила сигнатурный детект. CVE-2026-21533 (RDP): попал в CISA KEV — зафиксирована реальная эксплуатация. На терминальнике с 40+ сессиями три из них могут быть доменными админами. CVE-2026-27910 (msiexec): некорректный permission boundary в Windows Installer.
Полная таблица MITRE ATT&CK маппинга и пошаговая методология LPE от энумерации до SYSTEM-шелла.Статья Как браузерные расширения крадут данные: webRequest, declarativeNetRequest и техники перехвата трафика
Расширение-переводчик честно переводит страницы. И в фоне стягивает каждый Authorization-заголовок, сливая Bearer-токен на сервер атакующего через обычный fetch(). Никакого эксплойта — просто штатный API браузера.webRequest onBeforeSendHeaders — 11 строк кода, и все Cookie и Authorization-заголовки у атакующего. declarativeNetRequest в MV3 не закрыл вектор: observational webRequest остался, а modifyHeaders используется для удаления CSP и X-Frame-Options. Content script + MutationObserver в Gmail — слив переписки без единого сетевого артефакта.
Три реальные кампании 2025–2026: VK Styles (500 000 аккаунтов), AiFrame (260 000 установок под AI-брендами), 57 скрытых расширений (6 млн пользователей).
Полная таблица MITRE ATT&CK и чеклист аудита manifest.json из пяти флагов.Статья Форензика браузерных расширений: артефакты, анализ и incident response при компрометации
При инциденте «странное поведение браузера, утечка сессий» — первое, что нужно проверить, не история посещений. Лезьте в директорию расширений. Аддоны оказываются причиной куда чаще, чем принято думать.Cyberhaven декабрь 2024: вредоносное обновление прилетело через штатный механизм автообновления, 2,6 млн пользователей, 5,57 ГиБ данных за два дня. Кампания tapnetic.pro: 30 расширений под AI-ассистентов, единая кодовая база, MutationObserver в Gmail для слива переписки. Полная карта артефактов: Preferences, LevelDB Local Extension Settings, Service Worker ScriptCache — и что остаётся после удаления расширения.
MITRE ATT&CK маппинг по восьми техникам: T1176, T1539, T1185, T1056.001 и другие.
Пятишаговый триаж за 15 минут с jq-однострочником и IR-плейбук для containment/eradication.Статья Privilege Escalation в Active Directory: ACL-атаки, делегирование и цепочки от GenericAll до DCSync
Закрепился в домене под рядовым пользователем — и что дальше? Самые жирные цепочки privilege escalation в AD идут через ACL-мисконфигурации. Не zero-day, не аномальный трафик — штатные механизмы, просто не для тех целей.GenericAll на пользователя: сброс пароля → Kerberoasting → Shadow Credentials — на выбор. WriteDACL на объект домена: одна команда Add-DomainObjectAcl → DCSync → все NTLM-хеши домена. RBCD: WriteProperty на компьютер + Machine Account Quota > 0 → S4U2Proxy от имени Domain Admin за пять минут. Unconstrained Delegation + PrinterBug = TGT контроллера домена на руках без единого эксплойта.
Кастомные Cypher-запросы для BloodHound, LDAP relay через WebDAV/ADIDNS.
Маппинг на MITRE ATT&CK, детектирующие Event ID и защитные рекомендации для отчёта.Статья CVE-2026-35616 FortiClient EMS: разбор уязвимости, вектор атаки и методы обнаружения
CVE-2026-35616, CVSS 9.8, CWE-284: pre-auth обход контроля доступа в FortiClient EMS 7.4.5–7.4.6. Эксплуатация началась 31 марта — за четыре дня до advisory. CISA KEV с дедлайном три дня на патч.Механизм аутентификации не взламывается — он обходится. Crafted HTTP-запросы к API без credentials дают права администратора. Захват EMS = управление всеми endpoint-агентами в инфраструктуре: отключение защиты (T1562.001), развёртывание инструментов через легитимный канал, полная телеметрия по всем хостам. Параллельно — CVE-2026-21643 (SQLi, 9.8) в версии 7.4.4. Два критических pre-auth RCE за несколько недель в одном продукте.
24 CVE Fortinet в CISA KEV, 13 связаны с ransomware, эксплуатация Salt Typhoon.
Sigma-правила для SIEM, шестишаговый план устранения и индикаторы компрометации.Статья AiTM фишинг: обход MFA через Evilginx, Modlishka и Muraena
Пользователь вводит логин, пароль, подтверждает push — MFA пройден. Атакующий уже импортировал его session cookie и читает почту в Exchange Online. Никакого брутфорса. Никакого перебора OTP.AiTM — рабочая индустрия: 11 коммерческих китов, 13 млн писем за октябрь 2025 от одной кампании Tycoon 2FA, 84% взломанных аккаунтов с включённым MFA. Reverse proxy терминирует TLS с обеих сторон — жертва проходит настоящую аутентификацию Microsoft, cookie перехватывается транзитом.
Три фреймворка: Evilginx3 (phishlets, точечный перехват cookie), Modlishka (универсальный, быстрый старт), Muraena + Necrobrowser (автоматизация постэксплуатации). Сравнительная таблица по 9 параметрам.
FIDO2/passkeys — единственная защита, где нечего проксировать. KQL-запросы для Sentinel и индикаторы детекта для Blue Team.то иначе.