Как превратить простую HTML-инъекцию в SSRF с помощью рендеринга PDF. Ч.2

👋 Приветствую в мире цифровой безопасности!

Сегодня продолжу говорить про то, как простая HTML-инъекция в генераторе сертификатов привела к с SSRF с утечкой AWS-доступа.

⏺Подтверждаем SSRF: После того как <iframe> с внешним URL сработал, я захотел понять — а сервер точно сам ходит по этим ссылкам? Для этого сделал редирект на свой контролируемый домен:

"title": "<iframe src='https://sub.tarek.dev/probe'></iframe>"

И, как только PDF был сгенерирован, я получил DNS и HTTP-запрос на свой listener. Это подтвердило: HTML рендерится браузероподобным инструментом, и сервер действительно загружает внешние ресурсы.

⏺Выход на метаданные AWS: SSRF был налицо, и я перешёл к следующей цели - 169.254.169.254 — стандартному адресу метаданных AWS-инстансов.

"title": "<iframe src='https://169.254.169.254/latest/meta-data/'></iframe>"

PDF вернулся с содержимым страницы метаданных. Я пошёл дальше - запрашиваю IAM credentials:

"title": "<iframe src='https://169.254.169.254/latest/meta-data/iam/security-credentials/'></iframe>"

Вижу имя роли, например, my-app-instance-role.

⏺Финальный удар - доступ к AWS: Теперь знаю имя роли, и нацеливаюсь точнее:

"title": "<iframe src='https://169.254.169.254/latest/meta-data/iam/security-credentials/my-app-instance-role'></iframe>"

В PDF прилетели:
• AccessKeyId
• SecretAccessKey
• Token

Эти временные креды можно было использовать для доступа к S3, DynamoDB, CloudWatch и другим сервисам AWS, в зависимости от привилегий роли.

⏺И насчет user-data: А вдруг dev-опсы оставили что-то интересное в скриптах и переменных окружения?

"title": "<iframe src='https://169.254.169.254/latest/user-data'></iframe>"

Иногда там лежат secrets, API-токены, начальные скрипты с логикой деплоя.

ZeroDay | #атака

Как китайские APT-группы охотятся на тибетцев

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажем о том, как APT-группы, связанные с Китаем, устроили охоту на тибетскую диаспору с помощью фальшивых сайтов, мессенджеров и «поздравлений» ко дню рождения Далай-ламы.

⏺Всё началось с аккуратной подмены: на легитимном сайте tibetfund[.]org ссылку на поздравления заменили на копию - thedalailama90[.]niccenter[.]net. Там «по-тихому» предлагался мессенджер TElement, якобы безопасный, тибетский аналог Element.

⏺Но внутри прятался Gh0st RAT: это старый знакомый среди троянов. Он умеет слушать микрофон, записывать экран, стягивать файлы и вообще вести себя как незваный гость, который обустроился надолго.

⏺Вторая часть атаки: приложение “DalaiLamaCheckin.exe”, где юзеру предлагали “отметиться” на карте и отправить добрые слова. А в фоновом режиме запускался PhantomNet — скрытный бэкдор с загрузкой плагинов по команде C2-сервера и возможностью включаться строго по таймеру.

⏺И всё это аккуратно замаскировано под искренние поздравления и общение. Вирусы прятались в мессенджере, а шпионаж по сути за маской духовности 🤷‍♂️

ZeroDay | #разное

Хакаем прошивку кнопочного телефона и пишем для него программы

Когда-то кнопочные телефоны просто звонили и светились зелёным экраном. Но что если взять старенький Explay, вытащить из него прошивку, взломать файловый менеджер — и научить его запускать свои программы прямо с флешки?

⏺В статье рассказывается, как автор пошёл по стопам легенды моддинг-сцены, реверснул прошивку звонилки и написал свою версию «Змейки». Через дизассемблер, ассемблер и немного магии он добавляет в телефон полноценную систему запуска .app-файлов — почти как на Windows, только на микроконтроллере.

ZeroDay | #Статья

GitXray: рентген GitHub-репозиториев

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺GitXray — буквально «рентген» GitHub‑репозиториев. Работает через публичные REST API и помогает вытаскивать скрытые данные для OSINT, пентестов и цифровой криминалистики.

⏺Зачем это: вместо листания часами коммиты, GitXray за минуты находит случайно слитые ключи, фейковые аккаунты, подозрительные изменения после релиза и активности, совпавшие с датой атаки.

⏺Например, с ним можно вычислить скрытого злоумышленника в коммитах к популярному репозиторию, отследить накрутку звёзд для создания реального вида у фейкового проекта или заметить подмену бинарника, загруженного спустя дни после релиза.

⏺Запуск анализа конкретного репозитория:

gitxray -r https://github.com/some-org/some-repo

Фильтрация результатов по ключам:

gitxray -r https://github.com/some-org/some-repo -f user_input,keys -outformat text

Запуск по всей организации с выводом списка репозиториев и контрибьюторов:

gitxray -o https://github.com/exampleOrg --list

ZeroDay | #Инструмент

Хакер‑легенда HD Moore: от ПК с мусорки до Metasploit Framework

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём историю человека, который доказал: чтобы изменить кибербезопасность, не нужны миллионы и дипломы из Стэнфорда.

⏺Старт с нуля: Джеймс «HD» Мур вырос в бедности и собирал свой первый компьютер… из выброшенных деталей. IRC‑чаты стали его школой: там он изучал фрикинг и уязвимости ПО, пока его сверстники сидели на уроках. В 16 лет он бросил школу и целыми днями занимался хакингом, и это стало отправной точкой.

⏺Военные, которые дали шанс: Случайная переписка в IRC привела его в компанию, сотрудничавшую с ВВС США. Задача — писать эксплойты и искать слабые места. Не имея диплома, Мур получил уникальный опыт: его хакинг впервые стал «легальным», а подход «функциональность важнее красоты» позже станет философией Metasploit.

⏺Как это повлияло: Тогда хакерские группы вроде TESO и LSD держали эксплойты в закрытых клубах. Новички не имели шансов. Коммерческие решения вроде Core Impact стоили десятки тысяч долларов. Пентестеры были вынуждены искать код на сомнительных форумах и рисковать. Мур понял: нужен инструмент, который будет доступен каждому и не потребует тайных связей.

⏺Рождение Metasploit: В 2003 году появилась первая версия Metasploit. Всего 11 эксплойтов и 27 payload’ов на Perl. Но главное — модульность: эксплойты, полезные нагрузки и обходы защиты можно было комбинировать, как LEGO. Позже проект переписали на Ruby, и сообщество подключилось к его развитию. Metasploit стал тем, чем сегодня пользуются и белые, и чёрные хакеры, и даже спецслужбы.

ZeroDay | #безопасность

Закрываем Kubernetes API Server для других

👋 Приветствую в мире цифровой безопасности!

Расскажу, как выстроить базовую защиту в Kubernetes API.

⏺Kubernetes API Server - часто, как главный пульт управления вашим кластером. Оставить его открытым и без защиты, почти что как бросить ключи от сервера на видном месте. Так делать не надо 😉

⏺Начинаем с того, что ограничиваем, на каких интерфейсах API Server слушает запросы. По умолчанию - все подряд. Лучше сделать так, чтобы сервер отвечал только на localhost или внутри вашей приватной сети.

--bind-address=127.0.0.1
--advertise-address=10.10.10.10

⏺Не забываем про аутентификацию и авторизацию: строгие клиентские сертификаты, RBAC и webhook-аутентификация — без них никаких «дверей» в кластер.

⏺Даже с защитой по TLS не стоит давать доступ всем подряд. Настраиваем firewall, чтобы API Server принимал подключения только с доверенных IP.

iptables -A INPUT -p tcp --dport 6443 -s 10.10.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 6443 -j DROP

⏺Включаем аудит: пусть все запросы записываются в лог. Это поможет заметить любые странные или подозрительные действия.

--audit-log-path=/var/log/kube/audit.log
--audit-log-maxage=30
--audit-log-maxbackup=5
--audit-log-maxsize=100

⏺И еще важно: используем admission controllers. Они помогут заблокировать создание опасных ресурсов и контролировать поведение приложений.

ZeroDay | #безопасность

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только.

⏺ Security In Five
— новости безопасности, советы, мнения, и это все примерно за 5 минут
⏺ Research Saturday — еженедельные обсуждения последних исследований, отчетов, открытий и угроз в области кибербезопасности. Ведущий — Дэйв Биттнер, один из основателей CyberWire.
⏺ The Syber Threat Perspective — Red Team SecurIT360 делится свежими материалами о тестировании на проникновение и исследовании угроз.
⏺ Uncovering Hidden Risks — проект Microsoft Security, посвященный защите данных на предприятиях. В каждом выпуске группа специалистов по безопасности Microsoft обсуждает управление данными, внутренние и внешние угрозы, управление рисками, отраслевые тенденции и проблемы клиентов.
⏺ Darknet Diaries — знаменитый подкаст о хакерах, взломах, хактивизме, киберпреступности и обо всем, что происходит в даркнете.

ZeroDay | #Подборка

📝 Разница TLS vs IPsec vs SSH

ZeroDay | #ИБ

Без права на запись: как мы заперли содержимое SPI Flash в сейф и выбросили ключ

BIOS - штука, о которой большинство юзеров вспоминает только при включении компьютера. Но именно там любят прятаться самые живучие угрозы. CosmicStrand, например, умудрялся переживать любые переустановки ОС и оставаться незаметным годами.

⏺В статье рассказывается, как прошивка на SPI Flash из обычной детали системы превращается в главный трофей для атакующих, какие реальные сценарии атак встречаются на практике, и почему без аппаратной блокировки тут не обойтись.

ZeroDay | #Статья

PDFRip: как быстро вскрыть PDF‑документы

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺PDFRip — это многопоточный тул на Rust, который проводит до 100 тысяч попыток в секунду, используя весь потенциал CPU. Он умеет работать не только с классическими словарями, но и ломать пароли по датам, числовым диапазонам и даже кастомным шаблонам.

⏺Зачем он: Потому что иногда пароли в PDF - это даты рождения, простые числа или повторяющиеся паттерны. Перебор в лоб - достаточно долго, а PDFRip умеет быстро нацелиться туда, где шанс найти пароль максимальный.

⏺Вот как это выглядит на деле:

Перебор по словарю:

pdfrip -f file.pdf wordlist rockyou.txt

Перебор числового диапазона:

pdfrip -f file.pdf range 1000 9999

Перебор по датам (формат DDMMYYYY):

pdfrip -f file.pdf date 1990 2000

Кастомный шаблон, когда вы знаете часть пароля:

pdfrip -f file.pdf custom-query PASS{0000-9999}

ZeroDay | #Инструмент

Атака на SK Telecom: 27 миллионов пострадавших

👋 Приветствую в мире цифровой безопасности!

Кратко расскажу о громкой атаке на SK Telecom, флагманского корейского оператора.

⏺Всё началось в июне 2022‑го с обычного веб‑шелла: Казалось, что ничего серьезного, но отсутствие логов превратило ситуацию в целую катастрофу: почти три года хакеры свободно гуляли по внутренним системам, и никто этого не заметил.

⏺Главный трофей: Home Subscriber Server (HSS), сердце мобильной сети. В итоге утекли десятки миллионов IMSI‑ключей, сотни тысяч IMEI и почти 10 гигабайт чувствительных учётных данных. По сути, полный доступ к цифровой инфе о миллионах людей.

⏺За кулисами все это время стоял BPFDoor. Этот хитрый бэкдор сидел в ядре Linux и ждал «секретного сигнала». Услышал, и либо поднимал реверсшелл через UDP‑пакет, либо подменял правила iptables так, что атакующий подключался под видом обычного SSH.

⏺Какой итог: миллионы заявок на замену SIM‑карт, акции упали почти на 7%, четверть миллиона клиентов ушли. А государство запретило SK Telecom подключать новых абонентов, пока не наведут порядок.

ZeroDay | #разное

Ищем Shadow IT: три шага

👋 Приветствую в мире цифровой безопасности!

Расскажу, как отыскать незаметные и даже опасные устройства и сервисы, которые могут грозить сети.

⏺arp-scan с фокусом на производителя: Сканируем лок. сеть и смотрим не просто IP, а кто за ними стоит. MAC-адреса - отличный маячок, чтобы понять, есть ли среди устройств что-то “нетипичное”. Если видим производителя из списка неизвестных - пора проверить.

arp-scan --localnet --verbose | tee arp_full.log
awk '{print $2, $3}' arp_full.log | sort | uniq -c

⏺nmap с NSE-скриптами для глубокого анализа веб-портов: Просто открыть порт мало, нужно ведь еще понять, что именно на нём работает. Юзаем скрипты nmap, которые “заглядывают” в веб-сервисы, находят админки, панели и даже проверяют на известные уязвимости.

nmap -p 80,443 --script=http-enum,http-vuln* -oA shadowit_web 192.168.0.0/24

⏺ss и расследование HTTPS-сессий: глянем, кто реально держит HTTPS на серверах, и к кому эти процессы подключаются. Shadow IT часто пытается маскироваться или выходит на подозрительные IP.

ss -tpn | grep ':443 ' | while read line; do
  pid=$(echo $line | grep -oP 'pid=\K[0-9]+')
  cmdline=$(tr '\0' ' ' < /proc/$pid/cmdline)
  echo "PID: $pid CMD: $cmdline"
done

ZeroDay | #безопасность

Network Packet Brokers: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу, что такое сетевой брокер трафика и зачем он нужен

⏺Представлю вам сетевой брокер трафика или же Network Packet Broker (NPB). Он не ловит угрозы сам, но делает суперважную вещь: фильтрует, упорядочивает и готовит сетевой трафик для NDR, IDS, DLP и всего, что его анализирует.

1️⃣Фильтрует лишнее: Например, IDS не нужен весь трафик - только HTTP. Всё остальное можно отсеять заранее, не нагружая систему.

2️⃣Убирает дубли: Один и тот же пакет может приходить с нескольких SPAN-портов. Брокер распознаёт и удаляет повторы, чтобы не засорять анализ.

3️⃣Разворачивает туннели: VXLAN, GRE - всё это часто мешает аналитике. Брокер умеет «разархивировать» трафик до полезного содержимого.

⏺Условный пример: вот есть у нас объект, и SOC на нем стабильно зависал по понедельникам. SPAN-шлюзы выдавали туда весь служебный трафик, включая бэкапы, heartbeat’ы и всё подряд. После внедрения брокера трафик отфильтровали по портам, развернули туннели, и всё заработало

⏺Можно ли без него: Если у вас одна IDS и пара линков - можно. Но когда сеть разрастается, и появляется зоопарк из NDR, SIEM и forensic - брокер становится не доп. фишкой, а базой. Он даёт чистую картину происходящего, а не кашу из всего подряд.

ZeroDay | #NPB

Уязвимости XXE в разрезе Java

XML-файлы везде: в настройках, данных, обмене информацией. Но если парсер не настроен должным образом, хакер может взять и воспользоваться механизмом внешних сущностей (XXE), чтобы вытянуть из сервера файлы, к которым не должен иметь доступа - начиная от конфигов и заканчивая паролями.

⏺В статье показывают, как на примере Java-кода происходит эта атака, почему она так опасна, и что нужно делать, чтобы точно закрыть эту дверь - отключить внешние сущности, запретить DTD и правильно настроить парсер.

ZeroDay | #Статья

🎁 Большой розыгрыш от Codeby X Zeroday

Мы подготовили для вас кучу полезных призов по кибербезопасности, чтобы апнуть свои навыки!

Что можно выиграть:

1) 15 месячных подписок на платформу hackerlab.pro
2) 5 книг «Искусственный интеллект глазами хакера»
3) 5 промокодов на курсы Codeby

Целых 25 призовых мест!

🗓 Итоги — 21 августа в 19:00 (МСК).

Как участвовать:

1) Подписаться на канал @codeby_sec
2) Подписаться на канал @cybersec_academy
3) Нажать кнопку «Участвовать» под этим постом

Ждать результатов розыгрыша

Бот может немного подвиснуть — не паникуйте, просто нажмите кнопку ещё раз.