ZeroDay | Кибербезопасность

Z

ZeroDay | Кибербезопасность@cybersec_academy

ZeroDay | Серверная Админа

Z

ZeroDay | Кибербезопасность@cybersec_academy

3 нестандартных приёма для пентеста👋 Приветствую в мире цифровой безопасности!⏺Host Header Injection - когда сервер верит заголовку Host: Многие веб-приложения используют заголовок Host для генерации ссылок, редиректов или сброса пароля. Если приложение без проверки подставляет его в ответы, можно заставить систему работать с чужим доменом.Например, это приводит к подмене ссылок в письмах восстановления пароля или кэш-poisoning.Проверка простая:curl -H "Host: attacker.com" https://targetЕсли в ответе появляются ссылки на attacker.com, значит приложение доверяет входящему Host и это уже точка для дальнейшей атаки.⏺403 обходится проще, чем кажется: Очень часто сервер возвращает 403 Forbidden, но сам ресурс при этом существует. Веб-сервер или прокси просто фильтрует доступ на уровне URL.Иногда достаточно немного изменить путь:/admin//admin/admin/. /admin/../admin//%2e/adminПрокси и backend могут по-разному нормализовать URL. В результате защита срабатывает на одном уровне, а приложение всё равно отдаёт страницу.Быстрая проверка через ffuf:ffuf -u https://target/FUZZ -w bypass.txtВ списке слов обычно десятки вариантов обхода.⏺Поиск «живых» backup-файлов: Администраторы любят делать быстрые копии файлов прямо на сервере. В итоге рядом с рабочим кодом лежат:config.php.bakindex.php~backup.zipsite.tar.gzВнутри таких архивов часто оказываются исходники, конфигурации и ключи.Массовая проверка делается обычным словарём:ffuf -u https://target/FUZZ -w backups.txtZeroDay | СервернаяАдмина | #пентест

Z

ZeroDay | Кибербезопасность@cybersec_academy

👍 За год Яндекс выплатил этичным хакерам 62 млн рублей Яндекс отчитался об итогах программы «Охота за ошибками» за 2025 год, собрали основные хайлайты: — В 2025 году исследователям выплатили на 20% больше, чем годом ранее – 62 млн рублей. Всего участники прислали около 1,3 тыс. полезных отчетов, соответствующих правилам программы – +30% год к году.— Из них вознаграждения получили за 706 отчетов об уязвимостях – +30% к 2024 году.— Самый успешный участник отправил 59 отчетов об уникальных уязвимостях и заработал 3,6 млн рублей. — Чаще всего исследователи находили XSS-уязвимости, которые могут позволить злоумышленникам выполнять вредоносный код на сайтах. Результаты показывают не только рост мастерства багхантеров, но и то, насколько серьезно Яндекс относится к программе. Это полноценный рабочий инструмент, который реально повышает безопасность сервисов.Подтверждение — компания не останавливается: в 2025‑м запустили направление по поиску уязвимостей в моделях Alice AI (вознаграждение до 1 млн рублей), а на 2026‑й заложили бюджет 100 млн.🧑‍💻 Этичный хакер

Z

ZeroDay | Кибербезопасность@cybersec_academy

APT28 и операция MacroMaze: макросы, вебхуки и браузер для эксфильтрации👋 Приветствую в мире цифровой безопасности!Недавно зафиксировали новую кампанию группы APT28, направленную против организаций в Западной и Центральной Европе. Операция получила название MacroMaze и длилась примерно с сентября 2025 по январь 2026 года.⏺Начало атаки: Всё начинается с классического spear-phishing. Жертве отправляют документ Office с макросом, но внутри него есть интересная деталь - поле INCLUDEPICTURE, указывающее на внешний URL.INCLUDEPICTURE "https://webhook.site/xxxxx/image.jpg"Когда пользователь открывает документ, Word автоматически пытается загрузить изображение с удалённого сервера. На деле это работает как tracking pixel: сервер фиксирует HTTP-запрос и сообщает атакующему, что файл действительно был открыт.⏺Макрос как точка входа: Документ содержит макрос, который выполняет небольшой VBS-скрипт. Его задача запустить следующий этап заражения. Дальше цепочка выглядит довольно просто, но аккуратно собрана:Macro → VBScript → CMD → BatchBatch-скрипт создаёт scheduled task для закрепления в системе и запускает дальнейшие команды.⏺Необычная эксфильтрация через браузер: Вместо привычных C2-клиентов используется нестандартная схема. Скрипт запускает Microsoft Edge в headless-режиме, где открывается небольшой HTML-файл с Base64-кодированным содержимым. Этот HTML делает запрос к webhook-сервису, получает команду, выполняет её и отправляет результат обратно. Фактически браузер используется как транспорт для команд и данных.Упрощённо это выглядит так:Edge (headless) ↓HTML получает команду ↓выполняется локально ↓результат отправляется POST-запросом⏺Вторая версия стала хитрее: В более новой модификации атакующие отказались от headless-режима. Вместо этого окно браузера просто перемещается за пределы экрана, а все другие процессы Edge принудительно завершаются.⏺Почему техника работает: Интересно, что в атаке почти нет сложного вредоносного кода. Используются максимально простые и

Z

ZeroDay | Кибербезопасность@cybersec_academy

pagodo: автоматизация Google Dork-разведки👋 Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.⏺pagodo - инструмент, который массово выполняет Google dork-запросы и собирает страницы с потенциально уязвимыми сервисами. Вместо того чтобы вручную перебирать поисковые операторы, утилита делает это сама и аккуратно складывает результаты.⏺Работает всё в два шага: Скрипт ghdb_scraper.py сначала вытягивает актуальные dork-запросы из Google Hacking Database и сохраняет их локально. После этого pagodo.py начинает прогонять эти запросы через поиск и собирать найденные URL. По сути это масштабированная OSINT-разведка через индекс поисковика.⏺Почему это вообще работает: Поисковые роботы регулярно индексируют всё подряд: панели администрирования, резервные копии, конфиги, логи, тестовые страницы, иногда даже дампы баз данных. Dork-запросы просто помогают найти такие вещи по характерным признакам в URL или содержимом страницы.⏺В самой базе GHDB dorks уже разложены по категориям. Среди них:➡️админ-панели и страницы логинафайлы с паролями и конфигурациями➡️служебные директории➡️уязвимые веб-приложения➡️устройства и сетевые сервисы⏺Сначала получаем свежий список dorks:python ghdb_scraper.py -s -j -iСкрипт скачает актуальную базу и сохранит её в каталог dorks/.⏺Теперь можно запустить поиск, например по конкретному домену:python pagodo.py -d example.com -g dorks/all_google_dorks.txtИнструмент начнёт прогонять dork-запросы и собирать найденные страницы.⏺Результаты легко сохранить:python pagodo.py -d example.com \-g dorks/all_google_dorks.txt \-o results.json \-s urls.txtJSON хранит структуру поиска и dorks, а текстовый файл — просто список найденных URL.ZeroDay | Серверная Админа | #Инструмент

Z

ZeroDay | Кибербезопасность@cybersec_academy

Как фантасты спроектировали рынок роботов на $300 млрдМногие идеи современной робототехники сначала появились не в лабораториях, а в научной фантастике. То, что у Станислава Лема и Айзека Азимова было мысленным экспериментом, сегодня превращается в реальные инженерные задачи и огромный рынок.⏺В статье расскажут, как фантастика фактически задала направление индустрии: от проблемы «зловещей долины» и появления Human-Robot Interaction до сервисных гуманоидов вроде Ameca и роботов, работающих с людьми в МФЦ, аэропортах и больницах. Параллельно разбираются идеи Лема о «философии в технологии» и три закона робототехники Азимова - попытка заранее ответить на страхи общества перед машинами и их ролью в будущем.ZeroDay | Бункер Хакера | #Статья

Z

ZeroDay | Кибербезопасность@cybersec_academy

Как QUIC и HTTP/3 усложнили анализ трафика для DPI👋 Приветствую в мире цифровой безопасности!Разберём, почему переход веба на QUIC и HTTP/3 стал серьёзной проблемой для систем DPI и сетевого мониторинга.⏺Что изменилось в веб-трафике: Долгое время всё было довольно предсказуемо. Браузер открывает TCP-соединение, затем начинается TLS-handshake, после чего идёт HTTP. Для DPI это удобная структура: можно наблюдать этапы соединения, извлекать SNI, ALPN и другие детали, а затем применять правила фильтрации.⏺HTTP/3 ломает эту привычную модель. Он работает поверх QUIC, а QUIC использует UDP и объединяет транспорт с криптографией. В результате структура соединения становится менее прозрачной для сетевых устройств.⏺Handshake теперь выглядит иначе: В TCP сначала создаётся соединение, затем начинается TLS. В QUIC эти этапы фактически объединены. Первый же пакет может нести часть TLS-handshake, поэтому анализировать приходится сами QUIC-пакеты, а не последовательность TCP-событий.Простейший пример наблюдения такого трафика:from scapy.all import snifffrom scapy.layers.inet import IP, UDPdef handle(pkt): if UDP in pkt and pkt[UDP].dport == 443: print(f"Possible QUIC traffic from {pkt[IP].src} to {pkt[IP].dst}")sniff(filter="udp port 443", prn=handle, store=0)UDP:443 ещё не гарантирует HTTP/3, но на практике именно так чаще всего выглядит QUIC-трафик.⏺Почему DPI теряет видимость: QUIC изначально проектировался с упором на шифрование служебных данных. То, что раньше было видно в TLS-handshake, теперь часто скрыто внутри зашифрованных структур. Для систем фильтрации это означает потерю части привычных ориентиров. Поэтому DPI всё чаще вынужден опираться не на содержимое пакетов, а на косвенные признаки: структуру потока, размеры пакетов, характер обмена.⏺Что происходит в сетях: Когда содержимое анализировать трудно, в дело идёт поведенческий анализ. Системы смотрят на тайминги пакетов, длительность соединений, объём трафика и распределение потоков между IP-адресами.⏺Иногда

Z

ZeroDay | Кибербезопасность@cybersec_academy

Анализ SMB Relay-атаки в трафике👋 Приветствую в мире цифровой безопасности!Разберём, как по дампу увидеть SMB relay - атаку, где хакер не знает пароль, но всё равно заходит в систему от имени пользователя.⏺Почему это прямо опасно: SMB relay использует легитимную NTLM-аутентификацию жертвы и «пересылает» её на другой сервер. Пароль не подбирается, хэш не ломается. Просто доверие сети используется против неё самой. Внутри домена это быстрый способ lateral movement.⏺Ищем NTLM в SMB, вот фильтр:ntlmsspНормальная цепочка выглядит так: NEGOTIATE → CHALLENGE → AUTH.Если пользователь аутентифицируется, но сессия внезапно устанавливается на другом хосте - это уже подозрительно.⏺Несоответствие цели. Нужно проверить:smb2.session_setupЕсли имя ресурса одно, а IP фактически другой, возможен промежуточный узел, который ретранслирует аутентификацию дальше.⏺Один пользователь - несколько серверов: Фильтр:ntlmssp.auth.username == "DOMAIN\\user"Почти одновременные попытки входа на разные хосты без активности пользователя - частый индикатор relay.⏺Связка HTTP и SMB: Relay нередко начинается с принуждения к аутентификации через HTTP, WPAD или UNC-путь.http.auth or smb2Если после HTTP-запроса сразу появляется NTLM-аутентификация по SMB, это может быть принудительный вызов.⏺Подпись SMB:smb2.flags.signed == 0Если подпись не обязательна и NTLM проходит успешно, relay становится технически возможным. Это одна из ключевых точек контроля.⏺Что происходит после: После успешной ретрансляции обычно видно подключение к ADMIN$ или C$, создание файлов, запуск сервисов:smb2.tree_connectsmb2.createZeroDay | Бункер Хакера | #SMB

Z

ZeroDay | Кибербезопасность@cybersec_academy

4 марта - бесплатный день в Музее криптографии👋 Приветствую в мире цифровой безопасности!Сегодня Всемирный день инженерии. Если вы из тех, кто строит, ломает и чинит системы - есть повод выбраться.⏺Музей криптографии в Москве открывает двери бесплатно: для инженеров и студентов профильных специальностей. Показываете на кассе диплом или студенческий, и проходите. С вами бесплатно ещё один взрослый и двое детей.⏺Там есть на что посмотреть: реальные шифровальные машины, история крипто от Цезаря до наших дней, и всё это можно потрогать руками.📍 Москва, ул. Ботаническая, 25, стр. 4⏰ 11:00–20:00ZeroDay | Бункер Хакера | #музей

Z

ZeroDay | Кибербезопасность@cybersec_academy

ronin-exploits: микрофреймворк для написания и запуска эксплойтов👋 Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.⏺ronin-exploits - Ruby-микрофреймворк для написания и запуска эксплойтов, позиционирующий себя как упрощённый и модульный аналог Metasploit.⏺Каждый эксплойт - это обычный Ruby-класс в отдельном файле. Никакого глобального состояния, никаких скрытых зависимостей. Эксплойт полностью изолирован и может быть запущен напрямую, без тяжёлого фреймворкового окружения.⏺Широкий охват векторов атаки: Фреймворк предоставляет готовые базовые классы для Stack Overflow, SEH Overflow, Heap Overflow, Use After Free, Command Injection, LFI/RFI, SQLi, XSS, SSTI и Open Redirect. Каждый тип сводит шаблонный код к минимуму - только логика конкретного эксплойта.⏺Распределённая экосистема: Встроенных эксплойтов нет намеренно. Репозитории с эксплойтами устанавливаются через ronin-repos из обычных git-репозиториев. Это исключает риск блокировки всей базы из-за одного инструмента.⏺Запускаем так:Установка:gem install ronin-exploitsСоздать заготовку эксплойта:ronin-exploits new my_exploit.rb --type stack-overflow \ --arch x86 --os linux --software ExampleWare \ --author YourName --summary "My exploit"Установить сторонний репозиторий эксплойтов:ronin-repos install https://github.com/user/exploits.gitЗапустить эксплойт с параметрами:ronin-exploits run my_exploit --param host=192.168.1.1 --param port=9999Запустить с шеллкодом из файла:ronin-exploits run my_exploit --param host=192.168.1.1 \ --read-payload shellcode.binZeroDay | Серверная Админа | #Инструмент