Выделил несколько интересных, но неочевидных для обычного смертного (стандартный бейдж) мест, которые есть на Phdays
1. Спикер зона между 21 и 22 залами в Cyberhub (Говорят, что если очень уверенно сказать, что ты спикер, стафф на входе может в это поверить)
2. На втором этаже главной арены есть VIPка кибердома, там можно бесплатно залутать мерчик и попить коктелей
3. Если хотите попасть в зону Red team команд, то можете просто зайти в павильон с черного хода, показав эту штуку с озона за 100р. (У каждого хакера брендированный красный браслетик, но кто вообще будет смотреть действительно ли он брендированный).
4. На 3 этаже главной арены в нескольких местах спавнится еда. Говорят, что проверки на принадлежность участника к бизнесу такие же надёжные, как в прошлых пунктах. А еще, кстати, там не знают, что ноутбуки можно блокировать
5. Видел как кто-то спускался с крыши главной арены на тросах, выглядело прикольно
И, если вы вдруг захотели попробовать реализовать любой из пунктов этой подборки, лучше попробуйте пройти SEQuest – конкурс по социальной инженерии, который проводится в рамках фестиваля
1. Спикер зона между 21 и 22 залами в Cyberhub (Говорят, что если очень уверенно сказать, что ты спикер, стафф на входе может в это поверить)
2. На втором этаже главной арены есть VIPка кибердома, там можно бесплатно залутать мерчик и попить коктелей
3. Если хотите попасть в зону Red team команд, то можете просто зайти в павильон с черного хода, показав эту штуку с озона за 100р. (У каждого хакера брендированный красный браслетик, но кто вообще будет смотреть действительно ли он брендированный).
4. На 3 этаже главной арены в нескольких местах спавнится еда. Говорят, что проверки на принадлежность участника к бизнесу такие же надёжные, как в прошлых пунктах. А еще, кстати, там не знают, что ноутбуки можно блокировать
5. Видел как кто-то спускался с крыши главной арены на тросах, выглядело прикольно
И, если вы вдруг захотели попробовать реализовать любой из пунктов этой подборки, лучше попробуйте пройти SEQuest – конкурс по социальной инженерии, который проводится в рамках фестиваля
2🔥13😈5🥰2😁1
🚨Обнаружены 4 Критические RCE уязвимости в модулях для CMS Bitrix стороннего разработчика "Сотбит".
Снова у нас небезопасная десериализация. Уязвимости плагинов связаны с недостаточной проверкой входных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, выполнить произвольный код. Эксплоит уже существует и активно используется. Разработчик рекомендует обновиться до последней версии или применить патч.
Список уязвимых плагинов:
⚫️ Сотбит: Оригами (решение удалено, версии 14.1.0 и старее)
⚫️ Сотбит: Расширенные отзывы (версии 1.4.1 и старее)
⚫️ Сотбит: Быстрая загрузка картинок в визуальном редакторе
⚫️ Сотбит: Мультирегиональность
⚫️ Сотбит: Парсер контента
Критичность - 8,8/10 CVSS 3.0
Идентификаторы BDU:
https://bdu.fstec.ru/vul/2025-06581
https://bdu.fstec.ru/vul/2025-06612
https://bdu.fstec.ru/vul/2025-06613
https://bdu.fstec.ru/vul/2025-06614
Расположение файлов решений "Сотбит" (по умолчанию):
/bitrix/components/sotbit*
/bitrix/modules/sotbit*
/bitrix/tools/sotbit*
/bitrix/wizards/sotbit*
/bitrix/gadgets/sotbit*
/bitrix/blocks/sotbit*
/local/components/sotbit*
/local/modules/sotbit*
/local/tools/sotbit*
/local/wizards/sotbit*
/local/gadgets/sotbit*
/local/blocks/sotbit*
Снова у нас небезопасная десериализация. Уязвимости плагинов связаны с недостаточной проверкой входных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, выполнить произвольный код. Эксплоит уже существует и активно используется. Разработчик рекомендует обновиться до последней версии или применить патч.
Список уязвимых плагинов:
Критичность - 8,8/10 CVSS 3.0
Идентификаторы BDU:
https://bdu.fstec.ru/vul/2025-06581
https://bdu.fstec.ru/vul/2025-06612
https://bdu.fstec.ru/vul/2025-06613
https://bdu.fstec.ru/vul/2025-06614
Расположение файлов решений "Сотбит" (по умолчанию):
/bitrix/components/sotbit*
/bitrix/modules/sotbit*
/bitrix/tools/sotbit*
/bitrix/wizards/sotbit*
/bitrix/gadgets/sotbit*
/bitrix/blocks/sotbit*
/local/components/sotbit*
/local/modules/sotbit*
/local/tools/sotbit*
/local/wizards/sotbit*
/local/gadgets/sotbit*
/local/blocks/sotbit*
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19🤯6👍3😁2❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤5👍4🥰2
@assume_birch 10.07.25
Очень понравились доклады "Impacket Undercover" и "Через бухгалтера к DA, или за что злоумышленники полюбили 1С". Даже захотелось после них проверить пару теорий.
И нетворкинг как всегда на уровне, спасибокасперскому за митап)
💫 @pentestnotes
Очень понравились доклады "Impacket Undercover" и "Через бухгалтера к DA, или за что злоумышленники полюбили 1С". Даже захотелось после них проверить пару теорий.
И нетворкинг как всегда на уровне, спасибо
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤3👎1