Форум информационной безопасности - Codeby.net
Статья Аппаратный пентест: JTAG, UART и SPI для извлечения прошивок и получения shell
На аудите сетевого оборудования промышленного объекта четыре UART-пада нашлись за двадцать минут после вскрытия корпуса — два давали root shell без аутентификации, третий выплёвывал лог загрузки с паролями в plaintext. Initial access: паяльник и USB-TTL переходник за 300 рублей.Три интерфейса — три задачи: UART (быстрый recon, shell за 15 минут), SPI flash (полный дамп прошивки через flashrom, обход bus contention), JTAG/SWD (real-time отладка, обход Secure Boot если не fused). Таблица выбора интерфейса под конкретную задачу.
Анализ извлечённого образа через binwalk: U-Boot, SquashFS, /etc/shadow с пустым хешем root, захардкоженные SSH-ключи и сервисные аккаунты. Ограничения: fused JTAG, зашифрованный образ (entropy ~8.0), BGA без тестовых точек.
На каждом третьем аудите IoT первая критическая находка — не XSS в веб-панели, а UART-консоль с root-доступом, которую никто не пытался отключить.Статья CRLF Injection: от HTTP Response Splitting до захвата сессий — эксплуатация и реальные CVE
На bug bounty в финтехе три минуты на обнаружение CRLF injection в эндпоинте редиректа — и два часа на эскалацию до XSS через HTTP response splitting с захватом сессии администратора. Триажер поставил Medium. Два байта \r\n, грамотная цепочка — и совсем другой разговор.CRLF injection не финальная цель, а точка входа. Голый %0d%0a без цепочки — Low или Informational. С эскалацией до session fixation через Set-Cookie, XSS через двойной CRLF или web cache poisoning через CDN-edge — High. Разбор кодировок и обходов (%250d%250a, bare LF для Node.js, unicode overlong), различия поведения Apache/Nginx/Express.js.
CVE-2023-4767 ManageEngine Desktop Central: CVSS-вектор по компонентам, почему CVSS 6.1 занижает реальный импакт при угоне сессии с доступом ко всем управляемым хостам. Где WAF пропускает injection.
Нашли CRLF — не отправляйте голый PoC. Покажите цепочку до реального импакта.Статья Reverse engineering мобильного SDK: разбор SilentSDK — RAT внутри легитимной библиотеки
CERT Polska описала cifrat — трёхстадийный Android-дроппер: внешний APK → нативная библиотека расшифровывает второй APK под маской Google Play Services → финальный RAT с WebSocket C2, стримом экрана и SOCKS5-туннелем. CyFirma — TaxiSpy с rolling XOR в .rodata нативного слоя. Supply chain через троянизированный SDK.Полный цикл анализа: манифест (REQUEST_INSTALL_PACKAGES + PACKAGE_ADDED receiver = дроппер), jadx для Java-логики, radare2 для JNI-экспортов нативной библиотеки, восстановление rolling XOR с 32-битным overflow на Python. Frida-хук getServerListNative() — вместо часов реверса ARM-кода получаем расшифрованный C2-адрес за минуту.
MobSF для триажа пропускает многостадийные дропперы — финальный RAT не существует в APK до выполнения. Только комбинация четырёх методов даёт полную картину.
Три шага аудита стороннего SDK занимают час и закрывают основной объём supply chain-угроз. Этот час никто не закладывает в...Статья Device Bound Session Credentials Chrome: как DBSC в Chrome 146 ломает kill chain кражи сессий
Инфостилеры — №1 среди малвари (32%, IBM X-Force 2025). Сценарий: стилер собирает сессионные куки за выходные, в понедельник атакующий импортирует их в браузер и заходит в корпоративный аккаунт — мимо MFA, мимо пароля, мимо всех контролей. В апреле 2026 года Google включил DBSC в Chrome 146: сессионная кука привязывается к TPM устройства.DBSC меняет фундаментальное свойство куки: из bearer-токена она становится proof-of-possession. TTL короткоживущей куки — 10 минут. Refresh без TPM-ключа невозможен — украденная кука протухнет до использования.
Но DBSC — не серебряная пуля: только Chrome на Windows, только приложения с серверной частью, не работает при RAT и insider threat. Sigma-правило на GeoIP-аномалию для приложений без DBSC. Чеклист из семи пунктов для SOC.
Если атакующий уже на вашем хосте — TPM ему не враг, а союзник.Статья Реверс-инжиниринг UEFI-прошивки: от дампа SPI-flash до анализа DXE-драйверов в Ghidra
На аппаратном пентесте серверной платформы снял дамп SPI-flash и обнаружил в DXE-томе модуль, которого не было в эталонной прошивке вендора. Два дня реверса через Ghidra — кастомный драйвер интегратора, не закладка. Но путь от подозрения до вердикта потребовал полного цикла анализа UEFI-прошивки.Workflow из четырёх этапов: flashrom/CHIPSEC (дамп SPI-flash) → binwalk (энтропия, границы регионов) → UEFITool (навигация по иерархии FV, извлечение модулей по GUID) → Ghidra с efiXplorer (автоматическая разметка Boot Services, Runtime Services, протоколов).
Паттерны для поиска: SMM callout через CommBuffer без проверки указателей, DXE-драйверы без UI Name секции, модули с обращениями к EFI_SIMPLE_FILE_SYSTEM_PROTOCOL из DXE-фазы. Сравнение дампа с эталоном — базовый метод обнаружения имплантов.
Ghidra с efiXplorer опустил порог входа до уровня: умеешь реверсить PE на Windows — разберёшься с DXE-драйвером за день.Статья NTLM Coercion атаки в 2026: от Responder до принудительной аутентификации через .lnk и WebDAV
PetitPotam через LSARPC — патч стоит на каждом контроллере. DFSCoerce с WebDAV-режимом: аутентификация контроллера упала на listener за 40 секунд, relay на AD CS выдал сертификат машинной учётной записи, DCSync вытащил ntds.dit. От первой команды до Domain Admin — десять минут. Никаких RCE, никаких уязвимостей в классическом понимании.HTTP-аутентификация при coercion через WebDAV не подпадает под SMB signing и EPA — два механизма, которые Microsoft рекомендует как основную защиту. CVE-2025-33073 (NTLM Reflection) позволяет cross-protocol relay с SMB на LDAP/AD CS, минуя SMB signing. CVE-2025-54918 обходит channel binding и LDAP signing — последний рубеж, на который все полагались.
Decision tree выбора вектора через nxc и Coercer. Relay машинной учётной записи через Shadow Credentials и RBCD. Где SOC слеп: редкие RPC-интерфейсы, WebDAV на порту 80, NTLM Reflection как штатная локальная аутентификация.
Среды с SMB signing + LDAP...Статья OAuth Abuse в Azure AD: анатомия ConsentFix-атак и обнаружение в SIEM
Понедельник, 9:17. Sign-in в Azure CLI от финансового контроллера. MFA пройдена штатно, Conditional Access не сработал, пароль цел. Через 40 минут тот же IP вытягивает переписку через Microsoft Graph API. Атакующий получил OAuth authorization code напрямую от жертвы — ConsentFix.Техника скрещивает ClickFix-стиль социальной инженерии с OAuth 2.0 authorization code flow. Жертва проходит реальную аутентификацию Microsoft на настоящем login.microsoftonline.com и отдаёт authorization code атакующему через localhost-redirect. Обнаружены 11 first-party приложений Microsoft (Azure CLI, Teams, Visual Studio Code) — pre-trusted во всех тенантах, не блокируются через Enterprise Apps.
KQL-запросы для Microsoft Sentinel: аномальный sign-in в CLI-приложения + расхождение IP между interactive и non-interactive sign-in. Token Protection ломает kill chain на уровне протокола.
Сброс пароля жертвой не отзывает OAuth-токены автоматически. SOC должен сделать это вручную.Статья Secrets scanning утечка токенов и API-ключей: находим утёкшие credentials в GitHub, GitLab, Bitbucket и Jira
AWS-ключ формата AKIA* в git-истории — удалён восемь месяцев назад, но aws sts get-caller-identity возвращает живой IAM-аккаунт с доступом к продакшн-данным клиентов. От находки в старом коммите до чтения данных — двадцать минут. По оценке soteri.io, более половины утёкших credentials — generic-секреты без структурированного формата, которые стандартные сканеры не ловят.Три инструмента — три архитектурных подхода: gitleaks (regex, скорость, Go), detect-secrets (baseline + интерактивный аудит), trufflehog (верификация через API провайдера — создаёт логи). Что пропустят все: base64-encoded ключи, кастомные форматы токенов, секреты в бинарных файлах и Jira-вложениях.
Кастомный .gitleaks.toml под внутренние форматы. Валидация по типу: AWS, GitHub PAT, Slack Webhook, GCP Service Account. OPSEC: какие следы создаёт каждый шаг аудита.
Слабое звено — не детекция, а ротация. Сканер нашёл — ответственный не отозвал.Статья CVE-2026-0300: buffer overflow в PAN-OS — от анализа уязвимости до root RCE на файрволе Palo Alto
6 мая 2026 года CISA добавила CVE-2026-0300 в KEV. Дедлайн три дня, SSVC Act. Buffer overflow в User-ID Authentication Portal: один сетевой пакет без аутентификации — root-шелл на PA-Series и VM-Series. Captive Portal по дизайну принимает трафик до аутентификации — именно это превращает CWE-787 в fleet-wide pre-auth path to root.Три условия эксплуатируемости: уязвимая ветка PAN-OS + портал включён + Response Pages из untrusted-зоны. «Нет» по любому — цепочка разорвана. Decision tree для приоритизации реагирования.
Root на файрволе — перехват TLS, credentials из GlobalProtect и User-ID, модификация policy rules, пивот через trust relationships с AD и SIEM. Обновить PAN-OS недостаточно: аудит конфигурации, ротация credentials и проверка admin-аккаунтов — обязательная часть response.
Вопрос не в скорости патча. Вопрос — почему memory-safety баги в enterprise-оборудовании всё ещё дают pre-auth root в 2026 году.Статья Белый хакер: как легально монетизировать навыки — Bug Bounty, пентест и сертификации
Первый принятый репорт на HackerOne — $150 за IDOR, декабрь 2021. До него три месяца без единого accepted: 11 отклонённых репортов, 4 дубликата, один N/A вне scope. 200+ потраченных часов — меньше доллара в час. Через полтора года: $2,000–3,000/мес Bug Bounty плюс пентест-контракт на $4,000.Три канала монетизации с разной экономикой: Bug Bounty (сдельно — за уязвимость), пентест-контракты (за время и экспертизу), сертификации (мультипликатор ставки). Почему стандартный пентестерский подход не приносит денег в BB — и что реально работает: мониторинг изменений, blind-атаки, фокус на свежих фичах и российских программах с меньшей конкуренцией.
Таблица сертификаций OSCP/BSCP/eWPTX с ценами и рыночной ценностью. Стратегия на 12 месяцев от нуля до комбинированного дохода с бюджетом по месяцам.
BB как единственный источник дохода — путь для верхних 2–3% хантеров. Остальные выгорают за первый год.