Форум информационной безопасности - Codeby.net
Статья Захват домена Active Directory: от учётки стажёра до Domain Admin мимо SOC за миллионы
За последний год — десятки внутренних пентестов в организациях с enterprise SIEM и EDR. Среднее время от учётки стажёра до Domain Admin: 30 минут. Не zero-day. Kerberoasting сервисной учётки с паролем, который не менялся три года.Первые 15 минут атакующего: 0–3 мин — LDAP-разведка через SharpHound, пароли в полях Description (каждый пятый домен); 3–7 мин — Kerberoasting (T1558.003) и AS-REP Roasting; 7–12 мин — офлайн-взлом + анализ графа BloodHound; 12–15 мин — Pass-the-Hash (T1550.002), DCSync (T1003.006). DCSync через impacket secretsdump.py — тихо, без обращения к файловой системе DC. Golden Ticket живёт до двойной смены krbtgt.
SIEM без Audit Directory Service Access — дорогой лог-коллектор: событий 4662 с GUID репликации в нём нет.
Проверочный запрос для SIEM и что реально закрывает path к Domain Admin.Статья APT42 социальная инженерия: как IRGC-хакеры обходят MFA и крадут учётные данные без малвари
APT42 атакует людей — не периметр. Недели переписки в WhatsApp, легитимные PDF, приглашения на конференции. И только потом — ссылка, которая перехватывает MFA-токен в реальном времени. Ни одного вредоносного вложения.Три кластера инфраструктуры (Mandiant): фейковые СМИ и аналитические центры, легитимные платформы (Google Sites, Cloudflare Workers), AiTM с перехватом push-уведомлений (T1111, T1621). TOTP, SMS, push — не защищают. FIDO2/passkeys привязаны к origin домена криптографически — фишинговая страница ответа не получит. Бэкдоры TAMECAT (PowerShell, in-memory) и NICECURL (VBScript) — только для высокоценных целей.
Стандартный SOC APT42 не поймает: нет малвари, действия через легитимные облачные функции.
KQL-запрос для Microsoft Sentinel и шесть мер защиты по приоритету.Статья Уязвимости десериализации: эксплуатация через ysoserial, phpggc и построение gadget chain
Непонятный blob в cookie, ysoserial, и через полминуты — reverse shell на WebLogic. Десериализация RCE — это когда приложение берёт пользовательские данные и вызывает readObject(). Остальное делает gadget chain.Как читать сигнатуры: Java — ac ed 00 05 / rO0AB в Base64; PHP — O:, a:, s: текстом; Python pickle — \x80\x02 и cbuiltins. CVE-2015-4852 WebLogic (CVSS 9.8): T3-протокол, CommonsCollections, PR:N. CVE-2017-9805 Apache Struts (CVSS 8.1): XStream без фильтрации типов. PHP black-box: phpggc генерирует payload для всех RCE-chain, перебор через Burp Intruder, флаг -f (fast-destruct) обязателен. Python pickle: gadget chain не нужен — __reduce__() вызывает os.system() напрямую при loads().
ML-сервисы с .pkl-моделями — та же атака без лишних условий.
Митигация для Java (JEP 290), PHP (allowed_classes), Python (safetensors).Статья Эксплуатация CVE в пентесте: от публичного PoC до стабильного шелла в обход EDR
Три PoC с GitHub — и ноль шеллов. Первый роняет сервис, второй молча завершается, третий собран под другую минорную версию. Разница между «CVSS 10.0 на бумаге» и «CVSS 10.0 в бою» — часы адаптации.CVE-2024-3400 (PAN-OS, CRITICAL): Unit 42 зафиксировал четыре уровня реальной эксплуатации — от Level 0 (попытка провалена) до Level 3 (интерактивный шелл). APT-группа трижды безуспешно пыталась установить бэкдор до переключения на cron job. Чеклист оценки PoC: репутация автора, точная версия, что реально делает код. Стабилизация — убрать crash, восстановить поток выполнения. Интеграция в Sliver (mTLS, WireGuard, DNS) или Metasploit с check-методом.
Первые 60 секунд после шелла: ситуационная осведомлённость, персистенс, миграция из нестабильного процесса.
10-шаговый чеклист weaponization и разбор когда CVE лучше не эксплуатировать.Резюме Ищу работу в сфере IT
IT-специалист с более чем 15-летним опытом предлагает удалённые услуги в сфере информационных технологий и кибербезопасности.Направления работы: настройка и администрирование сетей (CCNA), системное администрирование Windows/Linux, кибербезопасность, техническая поддержка пользователей и инфраструктуры.
Сертификаты Cisco (CCNA) и Microsoft. Владение четырьмя языками: грузинский, русский, английский, греческий — плюс для работы с международными командами и клиентами.
Готов к удалённому сотрудничеству на проектной или постоянной основе. Связь: Telegram @Athos09Заметка Burp Suite Extensions: шпаргалка по OWASP Top 10 2025 — какой плагин ставить и зачем
Справочник, который открываешь на пентесте, когда нужно быстро вспомнить: какой extension ставить под конкретную категорию OWASP, как настроить и что смотреть в выводе.15 extensions с маппингом на OWASP Top 10: Autorize — фоновая репликация каждого запроса с чужой сессией, красный = IDOR; Turbo Intruder single-packet attack для race conditions через HTTP/2; JWT Editor — alg:none и key confusion прямо во вкладке Repeater; Collaborator Everywhere — SSRF out-of-band без единого действия; Param Miner — до 65 000 имён параметров за запрос для cache poisoning; Retire.js — CVE в JS-библиотеках пассивно.
Logger++ жрёт память без фильтра по scope; Collaborator Everywhere кладёт WAF на production — отключай.
Quick-reference card из 8 сценариев и 10 gotchas, которых нет в документации BApp Store.Статья XSS уязвимость на практике: поиск, эксплуатация и обход фильтров
Классический <script>alert(1)</script> давно не работает на реальных целях: WAF режет его на подлёте, htmlspecialchars экранирует скобки, CSP блокирует инлайн. Но XSS от этого не умирает — он мутирует.Три типа через призму HTTP-запросов: reflected — контекст вставки определяет пейлоад (HTML / атрибут / JavaScript — разные векторы); stored blind XSS поражает админку через тикет поддержки и ждёт три дня; DOM-based обходит WAF полностью — пейлоад не покидает браузер. CVE-2024-45801 (CVSS 7.3): DOMPurify < 3.1.3 обходится через Prototype Pollution — загрязнение Number.isNaN роняет depth-checker санитайзера. onscrollsnapchanging + base64 в data-атрибутах:
WAF видит безобидный обработчик, браузер исполняет произвольный JS.
Аудит CSP через Google CSP Evaluator и маппинг цепочки на MITRE ATT&CK T1539→T1185.Статья SQL инъекция в 2025: техники эксплуатации, обход WAF и автоматизация с sqlmap
В январе 2025 года CVE-2025-1094 в PostgreSQL прошла через BeyondTrust Remote Support и закончилась в инфраструктуре Министерства финансов США. Тот самый класс багов, которому двадцать лет — и никуда не собирается уходить.Пять типов инъекций с логикой выбора: error-based — CAST к numeric на PostgreSQL; boolean-blind — STRCMP() и mid() вместо ascii() обходят WAF; time-based — SLEEP() только MySQL, pg_sleep() на PostgreSQL, WAITFOR DELAY на MSSQL. HTTP Parameter Pollution: WAF видит два безобидных значения, бэкенд склеивает их в рабочий пейлоад. sqlmap не видит инъекцию — добавляем Burp-прокси и меняем User-Agent: WAF блокировал по строке sqlmap в заголовке.
Tamper-скрипты для ModSecurity CRS и Cloudflare, second-order инъекции, которые сканеры не ловят.
Детектирующие паттерны в логах WAF и SIEM-корреляция для blue team.Статья IDOR уязвимость в bug bounty: как находить и репортить для максимальных выплат
Одна подмена параметра в API-запросе — и ты читаешь чужие паспортные данные или скачиваешь чужие документы. IDOR стабильно приносит от нескольких сотен до нескольких тысяч долларов за репорт — автоматические сканеры её не ловят, WAF не блокирует.Методология: два аккаунта, маппинг всех эндпоинтов, систематическая подмена числовых ID / UUID / вложенных ключей / JSON-полей типа owner_id. Autorize в Burp дублирует каждый запрос с токеном жертвы и без токена — красные строки (Bypassed) требуют немедленной проверки. Паттерны, которые пропускают сканеры: разные HTTP-методы на одном эндпоинте, Mass Assignment, UUID из публичных страниц.
Цепочка Improper Access Control + IDOR → Account Takeover: две P3 = один P1.
Разбор реальных кейсов с выплатами суммарно $25 000+ и маппинг на MITRE ATT&CK.Статья Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team
Beacon жив, C2-канал поднят. Через минуту MsMpEng.exe режет нагрузку, Script Block Logging пишет каждый чих, AppLocker не даёт запустить ничего кроме notepad.exe. Defense evasion — это цепочка техник, где пропущенное звено роняет весь engagement.Четыре эшелона и как их проходят: AMSI — hardware breakpoints на DR0 не оставляют следов в .text секции (в отличие от классического VirtualProtect-патчинга); Write Raid (OffSec, май 2024) перезаписывает writable указатель в thunk-таблице SMA.ni.dll без вызова VirtualProtect вообще. ETW — три байта на EtwEventWrite до любых действий, иначе bypass попадёт в логи первым. AppLocker — MSBuild inline task и InstallUtil через default rules C:\Windows\.
Порядок операций ETW → AMSI → payload — требование, не рекомендация.
Разбор того, что остаётся видимым blue team даже после грамотного обхода всех слоёв.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
JumuroCodeby Team