bindshell наверно 🫠

Aeternum Loader C2 communications
*
Aeternum Loader продаётся как MaaS. Фишка в том что все C2 коннекты бегают через блокчейн / смарт-контракты.
Зашифрованные команды теперь навечно в блокчейне ))
*
И вот ресерчеры препарировали зашифрованные команды с 37 серваков.

PART 1 - Extracting Comms
PART 2 - Reversing Aeternum Loader

DNS-based ClickFix variant delivering malware via nslookup
*
Read

котовый nightmare

#РубрикаКотоВторник

The Mimikatz Missing Manual
*
Мануал составлен при непосредственной помощи Benjamin Delpy, автора Mimikatz

let's roll

Напоминалка
потыкать

ESET Inspect EDR - LPE
*
Тыц

LOL, нужно чаще в spam folder заглядывать.
*
А плюшек не обещают 😒

CVE-2026-2441 — Chrome
*
PoC

Рубрика На заметку $[email protected] - part 6
*
CDX API Internet Archive оч полезная штука, особенно если уметь миксовать со сторонним софтом.

web.archive.org/cdx/search/cdx?url=*.example.com/*&collapse=urlkey&output=text&fl=original&filter=original
:.*\.(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)$

*
Можно завернуть в быстрый onliner + добить по портам 80\443\etc

domain="example.com"
ext='(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)'

curl -s "https://web.archive.org/cdx/search/cdx?url=*.$domain/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
  | sed 's/:80\//\//; s/:443\//\//' \
  | sort -u \
  | tee "wayback_files_${domain}.txt"

*
Ну или в нормальный bash + subfinder + amass + httpx

#!/usr/bin/env bash
set -euo pipefail

domain="${1:-}"
[[ -z "$domain" ]] && { echo "Usage: $0 example.com"; exit 1; }

outdir="recon_${domain}"
mkdir -p "$outdir"

ext='(xls|xml|xlsx|json|pdf|sql|doc|docx|pptx|txt|git|tar\.gz|tgz|bak|7z|rar|log|cache|secret|db|backup|yml|gz|config|csv|yaml|md|md5|exe|dll|bin|ini|bat|sh|tar|deb|rpm|iso|img|env|apk|msi|dmg|tmp|crt|pem|key|pub|asc)'

subs_file="$outdir/subdomains.txt"
urls_file="$outdir/wayback_urls.txt"
files_file="$outdir/wayback_files.txt"
alive_file="$outdir/alive_urls.txt"

echo "[*] Enumerating subdomains for $domain ..."

subfinder -silent -d "$domain" 2>/dev/null | sort -u > "$subs_file.tmp" || true

amass enum -passive -d "$domain" 2>/dev/null | sort -u >> "$subs_file.tmp" || true

sort -u "$subs_file.tmp" > "$subs_file"
rm -f "$subs_file.tmp"

echo "[*] Subdomains: $(wc -l < "$subs_file")"

echo "[*] Querying Wayback CDX per subdomain (rate-limited) ..."

: > "$urls_file"
while IFS= read -r sub; do
  #collapse=urlkey и fl=original — чтобы получить уникальные урлы, filter чтобы не тащить мусор
  curl -s "https://web.archive.org/cdx/search/cdx?url=${sub}/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
    >> "$urls_file" || true

  sleep 0.2
done < "$subs_file"

curl -s "https://web.archive.org/cdx/search/cdx?url=*.$domain/*&collapse=urlkey&output=text&fl=original&filter=original:.*\.${ext}$" \
  >> "$urls_file" || true

cat "$urls_file" \
  | sed 's/:80\//\//; s/:443\//\//' \
  | sort -u > "$files_file"

echo "[*] Wayback “interesting files” URLs: $(wc -l < "$files_file")"
echo "[*] Saved: $files_file"

echo "[*] Checking which URLs are alive (HEAD/GET minimal) via httpx ..."
# -mc 200,204,301,302,307,308 — живые
# -follow-redirects куда ведёт
httpx -silent -l "$files_file" -follow-redirects -mc 200,204,301,302,307,308 -timeout 10 -retries 1 \
  | tee "$alive_file" > /dev/null

echo "[*] Alive URLs: $(wc -l < "$alive_file")"
echo "[*] Done. Output dir: $outdir"

Ну а цепочек понастроить можно до бесконечности:
subfinder + httpx + waybackurls/gau/katana + uro + gf patterns = (xss, sqli, redirect и чьтотамеще)
или
subfinder + httpx + katana + grep '\.js$' + nuclei -t exposures = (API keys, JWT secrets, AWS keys, эндпоинты и тд)

натурально миллионы их

#РубрикаНаЗаметкуХакеру

Я извиняюсь что не по теме и вообще баян, но чего же смешной 😅

#humor

Наши снова в городе 🏴‍☠️
*
CVE-2026-20817 - Windows Error Reporting (WER) ALPC Privilege Escalation
*
lets roll

CVE-2025-29969 EventLogin
*
Дырка в протоколе MS-EVEN.Пользователи с низкими привилегиями могут записывать произвольные файлы на удалённую машину, фактически обходя необходимость в учетной записи администратора для удалённой записи.

Exploitation

Gitlab CE/EE Deserialisation RCE through Redis Compromise
*
Проверки проверки целостности данных разумеется нет, читай не хочу
Redis Access = Game Over
*
generate_payload.rb

Наконец то вышел PageDOut № 8
*
Бегом читать !

Exploited Roundcube mail server
*
read news

IDA Pro 9.3 KeyGen
*
*
под капотом:
pip install + эскалация привилегий на Win (ShellExecuteW(..., "runas", ...) + генерация JSON лицухи и подписи + копипат idapro.hexlic в %APPDATA%\Hex-Rays\Ida Pro\idapro.hexlic + разумеется правка реееста HKCU\SOFTWARE\Hex-Rays\IDA\Licenses\ + патч бинарников IDA

На *nix/mac — ищет libida.so, libida32.so, .dylib в текущем каталоге и патчит

Страшно ? Не запускай !

EDR killer
*
Ямал, Ямал, я Топаз, как слышно ?
Слышу разбираю хорошо
*
TopazTerminator

#
Total.js RCE gadgets all around
#

Рубрика На заметку $[email protected] - part 7
*
Сегодня о Proxmox

/etc/pve — это pmxcfs кластерная распределённая FS да еще и в памяти, любые изменения сразу отлетят на все ноды кластера = глобальный persistence.
*
*
VM hook scripts
В Proxmox есть:

hookscript:

И вот этот вот hookscript запускается при старте\стопе\миграции ВМ, а сам он лежит лежит в storage !!!
Наполняем наш ХукоСкрипт любой нагрузкой, при старте ВМ она выполнится, но VM при этом будет выглядеть чистой.
*
*
backdoor через snippets

local:snippets

Туда обычно укладывают cloud-init \ hook scripts \ config fragments. И тут если словить storage writable - золото, мало кто мониторит snippetы.
*
*
сloud-init user injection
Если ВМ использует cloud-init то можно и подменить user-data, своих SSH-ключей накидать, команд заинжектить. А если еще и storage общий.... )
*
*
QEMU monitor socket = GOD-MODE
У каждой ВМки есть свой монитор

/var/run/qemu-server/<vmid>.monitor

И если доступ уже в руках, то ничего не мешает читать память, инжектить команды, снапшотик забрать.
*
*
live migration
При миграции ВМ на другую ноду, память ВМки летит по сети, а значит можно снифать память, ловить ключи, смотреть что там в рантайме.
НО, есть 2 НО :
1 - память летит без шифрования в старых версиях proxmox
2 - либо нужно словить лютый misconfig
*
*
args в конфиге VM
В конфиг ВМки можно докинуть аргументов

ls -lla  /etc/pve/qemu-server/
args:

Тем самым изменить поведение ВМ, передастся прямо в QEMU.
*
*
Про всякие shared storage (NFS, Ceph и тд) можно и не говорить - это сразу компроментация всего, включая подмену золотых образов для автоматическокой раскатки. Сюда же протекщие тикеты (PVEAuthCookie), сюда же /etc/pve/priv/authkey.key (подделка cluster-auth) и до кучи LXC контейнеры которые с нодой прям за руки держатся.


#РубрикаНаЗаметкуХакеру

Не покупай \ сделай сам \ redis у нас есть дома
*
Build your own <insert-technology-here>