Форум информационной безопасности - Codeby.net
Writeup Web | Просто найди его | HackerLab (WriteUp)
Кнопка выводит «совет» — POST-запрос с JSON уходит на GraphQL-эндпоинт. Первая мысль: SQL-инъекция, данные из БД. Реальность: интроспекция схемы через __schema раскрыла поле getFlag с параметром isAdmin — и флаг получен двумя запросами.GraphQL — язык запросов для API со строгой типизацией. Ключевая особенность для пентестера: интроспекция включена по умолчанию и отдаёт полную схему API — все типы, поля, аргументы. Запрос {"query": "{__schema{queryType{name}}}"} показал структуру. Дальше — поле getFlag(isAdmin: Boolean), значение true, флаг в ответе.
Вектор: GraphQL Introspection → Schema Disclosure → прямой вызов привилегированного поля без авторизации. Классическая ошибка: логика доступа вынесена в клиентский параметр isAdmin вместо серверной проверки прав.
Burp Repeater + pretty-print JSON — и GraphQL-схема читается как документация к собственному API.Статья Feature engineering для сетевого трафика: почему качество фичей решает больше, чем выбор алгоритма в ML-моделях IDS
Две недели на подбор гиперпараметров LightGBM — F1 между 0.71 и 0.74. Один вечер на три новые фичи: стандартное отклонение IAT, энтропия payload и byte ratio. F1 прыгнул до 0.93. Алгоритм тот же, данные те же — изменилось то, что модель «видит» в трафике.Три уровня признаков: пакетный (TCP-флаги, TTL), flow (byte_ratio, pkt_ratio, IAT-статистика из Zeek conn.log) и поведенческий (энтропия dst_port за окно, SYN-ratio). Маппинг на MITRE ATT&CK: std_iat < 0.5с при сессии >5 мин → beacon T1071, энтропия dst_port > 4 бит → сканирование T1046, HTTP на порту 53 → туннелирование T1572.
Python-пайплайн: zeek → pandas → производные фичи → LightGBM → SHAP для интерпретации. Три ловушки: IP-адреса в фичах вместо поведенческих агрегатов, временная утечка при двунаправленном окне, мультиколлинеарность 80+ фичей CICFlowMeter.
Менять Random Forest на Transformer при плохих фичах — это ставить спортивный выхлоп на машину с пробитым...Статья Side-channel атаки на практике: power analysis, timing attacks и electromagnetic emanation для пентестера
На пентесте IoT-шлюза UART и JTAG залочены, прошивка зашифрована AES-128. Единственный путь к ключу — дифференциальный анализ мощности: 50 000 трейсов с ChipWhisperer Lite, четыре часа захвата — все 128 бит восстановлены без знания внутренней архитектуры чипа.DPA на AES: N plaintext-входов → трейсы потребления → корреляция Пирсона гипотезы о байте ключа с Hamming weight выхода S-box → побайтовое восстановление. STM32F3 без контрмер — 10 000 трейсов. SPA на RSA через square-and-multiply: один трейс и приватный ключ виден визуально по паттернам потребления. Timing attack через memcmp с ранним выходом: 1 000+ измерений на байт в локальной сети вытягивают сигнал из джиттера.
Decision tree: JTAG открыт → OpenOCD, UART есть → binwalk, интерфейсы залочены + plaintext контролируется → DPA, физический доступ без резки цепей → EM-анализ. ChipWhisperer-Nano ($50) + STM32 Nucleo ($15) + бесплатные Jupyter notebooks — стенд для старта.
Masking 1-го порядка...Статья Отключить NTLMv1 через GPO — и всё равно увидеть его в pcap: обход LmCompatibilityLevel и аудит legacy-трафика
Домен на Windows Server 2019, GPO LmCompatibilityLevel = 5, NTLMv1 «отключён три года назад». Через двадцать минут Responder в серверном VLAN — NetNTLMv1-хеш от сервисной учётки. Legacy-приложение на IIS запрашивало NTLMv1 через собственные флаги, игнорируя GPO.Архитектурная проблема AD: LmCompatibilityLevel управляет поведением Windows-машины как прямого участника аутентификации, но не контролирует, что DC получает через MS-NRPC для валидации. Исследование Silverfort (январь 2025): on-prem приложения могут принудительно запрашивать NTLMv1 у клиентов, обходя политику. Server 2025 убирает NTLMv1 из ОС, но DC на 2025 по-прежнему валидирует его через Netlogon.
PowerShell-запрос Event ID 4624 со всех DC за неделю с фильтром NTLM V1. Wireshark-фильтры для определения версии по длине NTLM Response. NTLM relay: в NTLMv1 нет AV_PAIRS привязки к серверу — relay тривиален в отличие от NTLMv2.
Responder -A в режиме анализа за сутки покажет реальную картину NTLMv1 в сети — и она...Статья Пентест IoT-устройств: от разведки и разборки до эксплуатации по OWASP ISTG
На трёх последних IoT-проектах — в двух случаях из трёх root-шелл через UART без единого запроса пароля. Третье устройство запросило логин: admin:admin прошёл сразу. Открытый отладочный интерфейс в продакшне — не баг, а состояние индустрии.OWASP ISTG: компонентная модель IoT по двум осям — физический доступ (PA-1 удалённый до PA-4 инвазивный) и авторизация (AA-1 анонимный до AA-4 root). Аппаратный пентест: поиск UART по PCB мультиметром, определение baud rate логическим анализатором, screen /dev/ttyUSB0 115200 — и лог загрузки ядра Linux с шеллом. JTAG через JTAGulator + OpenOCD. Дамп флеш-чипа через CH341A + flashrom.
Binwalk для извлечения SquashFS, firmwalker для поиска credentials в прошивке, MQTT без аутентификации — mosquitto_sub -t '#' показывает все сообщения всех устройств. Decision tree выбора вектора: физический доступ → UART, нет доступа → сетевой уровень + прошивка с сайта вендора.
UART-шелл за 15 минут...Статья Preauth RCE и обход mTLS: разбор уязвимостей Mongoose на миллионах устройств
«ignore secp386 for now» — комментарий в коде Mongoose, и P-384 mTLS превращается в декорацию. Heap overflow в TLS-хендшейке даёт preauth RCE до первого HTTP-запроса. Библиотека заявленно работает на сотнях миллионов устройств Siemens, Schneider Electric, Google, Samsung.Три CVE в Mongoose 7.0–7.20: CVE-2026-5244 — heap overflow при парсинге клиентского сертификата, pubkey копируется в 528-байтный буфер без проверки длины из DER, RSA-8192 даёт 509 байт за пределами. На embedded MIPS без ASLR и с исполняемой кучей — прямой shellcode от root. CVE-2026-5246 — любой самоподписанный сертификат проходит P-384 верификацию. CVE-2026-5245 — stack overflow одним UDP-пакетом через mDNS.
Fingerprinting через HTTP-заголовок Server: Mongoose/X.XX и TLS-fingerprint. Патч в v7.21. Для непатчируемых устройств: отказ от P-384 CA и сетевая сегментация с мониторингом oversized сертификатов.
CVSS 5.5 (MEDIUM) — это preauth root shell на IoT без ASLR. Формальный score не учитывает реальность embedded.Статья Реверс-инжиниринг iOS приложений: IPA-анализ, class-dump и Frida глазами защитника
За 40 минут статического анализа IPA — три захардкоженных API-ключа, endpoint внутреннего микросервиса и HMAC-секрет. Ключи работали в продакшене восемь месяцев. Потенциальный ущерб: доступ к данным 200+ тысяч клиентов и оборотные штрафы по 152-ФЗ.Цепочка атаки: unzip IPA → otool + strings для поиска секретов → class-dump для карты методов (isJailbroken, setupCertificatePinning, apiSecret прямо в интерфейсах) → Hopper для анализа логики → Frida-хук на
loginWithUsername:password: перехватывает credentials до шифрования. Медиана «времени до первого секрета» для корпоративных iOS-приложений — 25 минут.Серверная детекция для SOC: аномальный User-Agent после обхода pinning, всплеск 4xx/5xx с одного токена, запросы с отозванными hardcoded-ключами, отсутствие App Attest-маркера. Hardening-чеклист из 10 пунктов по OWASP MASVS-RESILIENCE.
Прогоните strings и class-dump на своей production-сборке прямо сейчас — если в выводе мелькнул ключ, атакующий...Статья APT42 и Seedworm: credential harvesting через социальную инженерию — как иранские APT крадут учётные данные без малвари
APT42 взломала предвыборный штаб Трампа без единого вредоносного вложения: AiTM-прокси перехватывает TOTP и сессионный cookie в реальном времени, FIDO2 — единственное что устояло. Seedworm предположительно сидела в сетях американских организаций до начала эскалации.Два иранских APT, два куратора (IRGC-IO и MOIS), разные kill chain. APT42 строит rapport неделями через WhatsApp и email — первые письма чисты, антифишинг молчит. После перехвата сессии: регистрация своего MFA-устройства, Remote Email Collection через M365 без малвари, эксфильтрация на подконтрольный OneDrive. EDR на эндпоинте бесполезен.
Seedworm 2026: бэкдоры на Deno и Python, эксфильтрация через Rclone в Wasabi. KQL-правила для Sentinel: User registered security info после нетипичного входа, MailItemsAccessed с корреляцией по геолокации. Чеклист hardening из десяти пунктов.
SOC мониторит эндпоинты — APT42 работает в облаке. 11 дней в M365 при полной тишине в...Статья Пентест iOS приложений: от установки Frida до обхода jailbreak detection
На аудите финтех-приложения трёхслойная jailbreak detection роняла objection за 200 миллисекунд — кастомные inline C-проверки вместо стандартных ObjC-методов. Liberty Lite мимо. Четыре часа на разбор механики и рабочий хук.Анатомия проверок: файловые (NSFileManager + fopen/access), sandbox-тесты (запись в /private, вызов fork()), DYLD-анализ на frida-agent и FridaGadget. iOS Security Suite — восемь проверок, метод amIJailbroken() агрегирует результат. Frida ObjC-хук через Interceptor.attach с retval.replace(0x0): плюс vs минус в имени метода — класс vs инстанс.
Swift-модули: name mangling блокирует ObjC runtime, нужен offset через radare2 → Module.getBaseAddress + Interceptor.attach. Flutter-плагин flutter_jailbreak_detection обходится одним хуком на нативный IOSSecuritySuite.amIJailbroken(). Decision tree из четырёх шагов: objection → spawn → смена порта → бинарный патч.
Клиентский bypass без серверной валидации — декорация...Статья Атаки на SAML аутентификацию: XML Signature Wrapping, Golden SAML и обход федеративного SSO
Перехватил SAMLResponse в Burp, переместил подписанный Assertion в другую ветку DOM, вставил поддельный NameID=admin@company.local — SP пустил как доменного администратора. Подпись валидна. Три правки в XML, ноль взаимодействия с IdP.XML Signature Wrapping: валидатор проверяет одну часть документа, приложение обрабатывает другую. SAML Raider в Burp — восемь вариантов XSW от замены корневого элемента до вложения в Extensions. CVE-2024-45409 ruby-saml (CVSS 10.0) и CVE-2025-47949 samlify (CVSS 9.9) — parser differential: два парсера в одной библиотеке видят разные элементы.
Golden SAML: Token Signing Certificate из ADFS → shimit генерирует валидный Assertion для любого пользователя к любому SP. Ноль событий в IdP. Silver SAML через external signing cert в Entra ID. Decision tree выбора вектора: XSW для initial access, Golden/Silver SAML для lateral movement.
SAML ломают не через криптографию, а через парсеры — fingerprinting библиотеки SP первый...