Водоочистная станция, VNC с дефолтным паролем и 40 миль до военной базы США
В январе 2024 хактивисты из CARR зашли в систему управления водоснабжением техасского городка Muleshoe. Не через zero-day, не через кастомный эксплойт — просто подключились по VNC с дефолтными кредами. Перенастроили параметры, вызвали перелив водонапорной башни, сняли видео взаимодействия с HMI-панелями и выложили в открытый доступ. Потом ударили по соседним городам. А Mandiant позже с умеренной уверенностью связал CARR с APT44/Sandworm — военной разведкой ГРУ.
И это не единичный случай.
🔴 По данным «Информзащиты», в первом полугодии 2025 атаки на SCADA выросли на 27% год к году. В энергетике — на 38%. EPA проверило водоочистные станции и обнаружило, что более 70% нарушают требования кибербезопасности. Неизменённые пароли, отсутствие MFA, HMI-панели, торчащие наружу.
Как выглядит типичный kill chain такой атаки?
⚡ Начальный доступ — три реальных вектора:
• Дефолтные учётки на HMI и SCADA-серверах. Классика —
• Внешние сервисы удалённого доступа: VNC, RDP, TeamViewer. В Oldsmar (Флорида, 2021) кто-то подключился через TeamViewer к HMI оператора и прямо на его глазах поднял концентрацию гидроксида натрия со 100 ppm до 11 100 ppm. Оператор увидел, как курсор двигается сам, и откатил изменения.
• Публично доступные веб-интерфейсы ПЛК. Запрос
🎯 Что делают после проникновения:
Сканируют подсеть, находят ПЛК, отправляют команды записи в регистры. В терминах Modbus — function codes
Что критично для обнаружения:
• Мониторинг аутентификаций на HMI/SCADA с нетипичных IP
• Baseline remote-access сессий — любое VNC/RDP-подключение вне белого списка = critical
• Контроль внешних подключений к портам
• Корреляция: source IP не из OT-подсети + промышленный порт = инцидент
Штатный Modbus-трафик предсказуем и цикличен. Любая аномалия — нехарактерные function codes, всплеск write-операций, новый source — видна на фоне этой регулярности. OT-сеть парадоксально проще мониторить, чем IT, если знать, что искать.
В полной статье — детальный detection-playbook с конкретными правилами корреляции, разбор APT-группировок и рекомендации по сегментации OT-сетей.
https://codeby.net/threads/ataki-na-scada-sistemy-razbor-vzlomov-vodoochistnykh-stantsii-i-detection-playbook-dlya-ot-seti.93707/
В январе 2024 хактивисты из CARR зашли в систему управления водоснабжением техасского городка Muleshoe. Не через zero-day, не через кастомный эксплойт — просто подключились по VNC с дефолтными кредами. Перенастроили параметры, вызвали перелив водонапорной башни, сняли видео взаимодействия с HMI-панелями и выложили в открытый доступ. Потом ударили по соседним городам. А Mandiant позже с умеренной уверенностью связал CARR с APT44/Sandworm — военной разведкой ГРУ.
И это не единичный случай.
🔴 По данным «Информзащиты», в первом полугодии 2025 атаки на SCADA выросли на 27% год к году. В энергетике — на 38%. EPA проверило водоочистные станции и обнаружило, что более 70% нарушают требования кибербезопасности. Неизменённые пароли, отсутствие MFA, HMI-панели, торчащие наружу.
Как выглядит типичный kill chain такой атаки?
⚡ Начальный доступ — три реальных вектора:
• Дефолтные учётки на HMI и SCADA-серверах. Классика —
admin/admin, вендорные пароли Siemens, Schneider Electric, Rockwell.• Внешние сервисы удалённого доступа: VNC, RDP, TeamViewer. В Oldsmar (Флорида, 2021) кто-то подключился через TeamViewer к HMI оператора и прямо на его глазах поднял концентрацию гидроксида натрия со 100 ppm до 11 100 ppm. Оператор увидел, как курсор двигается сам, и откатил изменения.
• Публично доступные веб-интерфейсы ПЛК. Запрос
port:502 на Shodan возвращает тысячи Modbus-устройств. У Siemens S7-1200/1500 веб-сервер включён по умолчанию.🎯 Что делают после проникновения:
Сканируют подсеть, находят ПЛК, отправляют команды записи в регистры. В терминах Modbus — function codes
FC5, FC6, FC15, FC16. Через них меняют уставки: концентрацию реагентов, давление, расход. Или останавливают процессы — как на Arkansas City Water Treatment Facility в сентябре 2024, где станция перешла на ручное управление.Что критично для обнаружения:
• Мониторинг аутентификаций на HMI/SCADA с нетипичных IP
• Baseline remote-access сессий — любое VNC/RDP-подключение вне белого списка = critical
• Контроль внешних подключений к портам
502, 102, 44818, 20000• Корреляция: source IP не из OT-подсети + промышленный порт = инцидент
Штатный Modbus-трафик предсказуем и цикличен. Любая аномалия — нехарактерные function codes, всплеск write-операций, новый source — видна на фоне этой регулярности. OT-сеть парадоксально проще мониторить, чем IT, если знать, что искать.
В полной статье — детальный detection-playbook с конкретными правилами корреляции, разбор APT-группировок и рекомендации по сегментации OT-сетей.
https://codeby.net/threads/ataki-na-scada-sistemy-razbor-vzlomov-vodoochistnykh-stantsii-i-detection-playbook-dlya-ot-seti.93707/
❤7🔥5👍3🎉3
Почему пентестер без бинарного анализа — половина специалиста
Conficker, Stuxnet, EternalBlue — три инцидента, перевернувших индустрию. Каждый начался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Только по классу CWE-119/120/121 (переполнение буфера) в базе NVD десятки тысяч записей. А ведь это лишь один класс из десятка.
И вот парадокс: на реальном пентесте или bug bounty рано или поздно встречается сервис, для которого нет публичного эксплойта. Проприетарный демон на Linux, прошивка IoT-устройства без строки документации, десктопное ПО с кастомным протоколом. Всё, что есть — скомпилированный бинарь. Без навыков бинарного анализа ты можешь сканировать порты и фаззить HTTP-эндпоинты, но закрытый нативный код остаётся чёрным ящиком.
🔬 Что отличает того, кто запускает готовый эксплойт из Metasploit, от того, кто способен вскрыть проприетарный бинарь, найти 0-day и превратить его в рабочую цепочку атаки? Именно бинарный анализ. Это не отдельная экзотическая специализация — это необходимый компонент kill chain.
Карта навыков выглядит так:
• Статический анализ — дизассемблирование и декомпиляция. Открываешь бинарь, не запуская его. Смотришь заголовки ELF/PE, таблицу импортов, ищешь красные флаги:
• Динамический анализ — отладчики (GDB, x64dbg, WinDbg) и DBI-фреймворки (Frida, PIN, DynamoRIO). Ставишь брейкпоинт, смотришь, что происходит на уровне регистров и стековых фреймов в рантайме.
• Эксплуатация — stack overflow, heap exploitation, ROP/JOP-цепочки и обход современных защит (ASLR, DEP, canary). Tcache poisoning в glibc — отдельное искусство.
• Символьное исполнение — angr, Manticore, Triton. Автоматический поиск входных данных, которые приводят программу к нужному состоянию. Мощнейший инструмент для CTF и реальных исследований.
• Фаззинг — AFL++, libFuzzer, coverage-guided подход. Генерируешь миллионы мутированных входов, отслеживаешь покрытие кода, ловишь краши.
🎯 В CTF категория pwn стабильно собирает наименьший процент решений. Задачи уровня DEF CON CTF требуют не теории, а рабочего процесса: открыл бинарь в дизассемблере, нашёл уязвимый путь, написал эксплойт, обошёл защиты. Каждый шаг — конкретный инструмент и понимание того, что происходит под капотом.
В терминах MITRE ATT&CK атакующие группировки разрабатывают эксплойты (T1587.004), собирают информацию об уязвимостях (T1588.006) и используют их для повышения привилегий (T1068). Пентестер, понимающий эту цепочку с обеих сторон, перестаёт быть пользователем чужих инструментов и становится исследователем.
📖 Полная карта направления — от статического реверса до автоматизированного фаззинга — разобрана в руководстве на форуме.
https://codeby.net/threads/binarnyi-analiz-uyazvimostei-polnoye-rukovodstvo-dlya-pentestera-i-ctf-igroka.93708/
Conficker, Stuxnet, EternalBlue — три инцидента, перевернувших индустрию. Каждый начался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Только по классу CWE-119/120/121 (переполнение буфера) в базе NVD десятки тысяч записей. А ведь это лишь один класс из десятка.
И вот парадокс: на реальном пентесте или bug bounty рано или поздно встречается сервис, для которого нет публичного эксплойта. Проприетарный демон на Linux, прошивка IoT-устройства без строки документации, десктопное ПО с кастомным протоколом. Всё, что есть — скомпилированный бинарь. Без навыков бинарного анализа ты можешь сканировать порты и фаззить HTTP-эндпоинты, но закрытый нативный код остаётся чёрным ящиком.
🔬 Что отличает того, кто запускает готовый эксплойт из Metasploit, от того, кто способен вскрыть проприетарный бинарь, найти 0-day и превратить его в рабочую цепочку атаки? Именно бинарный анализ. Это не отдельная экзотическая специализация — это необходимый компонент kill chain.
Карта навыков выглядит так:
• Статический анализ — дизассемблирование и декомпиляция. Открываешь бинарь, не запуская его. Смотришь заголовки ELF/PE, таблицу импортов, ищешь красные флаги:
gets, strcpy, sprintf без проверки длины. Уже на этом этапе видно, куда копать.• Динамический анализ — отладчики (GDB, x64dbg, WinDbg) и DBI-фреймворки (Frida, PIN, DynamoRIO). Ставишь брейкпоинт, смотришь, что происходит на уровне регистров и стековых фреймов в рантайме.
• Эксплуатация — stack overflow, heap exploitation, ROP/JOP-цепочки и обход современных защит (ASLR, DEP, canary). Tcache poisoning в glibc — отдельное искусство.
• Символьное исполнение — angr, Manticore, Triton. Автоматический поиск входных данных, которые приводят программу к нужному состоянию. Мощнейший инструмент для CTF и реальных исследований.
• Фаззинг — AFL++, libFuzzer, coverage-guided подход. Генерируешь миллионы мутированных входов, отслеживаешь покрытие кода, ловишь краши.
🎯 В CTF категория pwn стабильно собирает наименьший процент решений. Задачи уровня DEF CON CTF требуют не теории, а рабочего процесса: открыл бинарь в дизассемблере, нашёл уязвимый путь, написал эксплойт, обошёл защиты. Каждый шаг — конкретный инструмент и понимание того, что происходит под капотом.
В терминах MITRE ATT&CK атакующие группировки разрабатывают эксплойты (T1587.004), собирают информацию об уязвимостях (T1588.006) и используют их для повышения привилегий (T1068). Пентестер, понимающий эту цепочку с обеих сторон, перестаёт быть пользователем чужих инструментов и становится исследователем.
📖 Полная карта направления — от статического реверса до автоматизированного фаззинга — разобрана в руководстве на форуме.
https://codeby.net/threads/binarnyi-analiz-uyazvimostei-polnoye-rukovodstvo-dlya-pentestera-i-ctf-igroka.93708/
🔥12❤4👍4👏3🎉2👎1
Cadaver: Клиент командной строки для работы с WebDAV
▶️ Передача файлов в обоих направлениях между клиентом и сервером
▶️ Просмотр содержимого директорий на удаленном сервере (аналогично команде ls)
▶️ Создание, удаление, копирование и перемещение коллекций и файлов
▶️ Просмотр и изменение пользовательских свойств для WebDAV-ресурсов
▶️ Предотвращение конфликтов при одновременном редактировании
▶️ Возможность редактирования файлов удаленно с использованием стандартных редакторов
⬇️ Установка
Проверка
⏺️ Подключение с использованием прокси
⏺️ Автоматизация через файл сценария
- Создадим файл script.cmd
- Запуск с использованием файла сценария
⏺️ Получение файлов без интерактивного режима (через pipe)
🧠 Рекомендации
- Предпочтительно использовать защищенное соединение через HTTPS для предотвращения перехвата учетных данных
- При необходимости хранения учетных данных используйте защищенные механизмы хранения или переменные окружения
- При работе в корпоративной сети может потребоваться настройка прокси-сервера через опцию -p или переменные окружения http_proxy / https_proxy
#cadaver #webdav #cli #pentest #tool
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Cadaver — это консольный клиент для работы с протоколом WebDAV (Web-based Distributed Authoring and Versioning), который предоставляет управлять файлами на удаленных серверах через командную строку.
sudo apt install cadaver
Проверка
cadaver -h
cadaver -p proxy.example.com:8080 https://webdav.example.com/
- Создадим файл script.cmd
cd /backups/
put backup.tar.gz
quit
- Запуск с использованием файла сценария
cadaver -r script.cmd https://webdav.example.com/
echo "get report.pdf\nquit" | cadaver https://webdav.example.com/
- Предпочтительно использовать защищенное соединение через HTTPS для предотвращения перехвата учетных данных
- При необходимости хранения учетных данных используйте защищенные механизмы хранения или переменные окружения
- При работе в корпоративной сети может потребоваться настройка прокси-сервера через опцию -p или переменные окружения http_proxy / https_proxy
#cadaver #webdav #cli #pentest #tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥8👍5👏2
Один POST-параметр — и flat-file CMS у вас в руках
Представьте: CMS, где нет базы данных. Конфигурация, учётные записи, контент, настройки плагинов — всё хранится в YAML-файлах на диске. Теперь представьте, что неаутентифицированный атакующий может записать произвольный файл в любой каталог этой системы. Не «потенциально», а буквально одним HTTP-запросом.
Именно это делает CVE-2026-42608 в Grav CMS — flat-file движке на PHP с 14 500+ звёзд на GitHub и порядка 36 000 публично доступных инстансов по данным ZoomEye.
🔍 Корень проблемы — компонент
Разработчики обращались с этим параметром как с доверенным: «ну строка из POST, она же не в SQL попадает». В классической архитектуре с СУБД это могло бы сойти. Но в flat-file системе запись файла = модификация конфигурации = контроль над приложением.
⚡ Что получает атакующий на практике:
• Запись в
• Запись в
• Запись в
CVSS 8.8 (HIGH), ноль привилегий, CISA оценивает Technical Impact как total. Эксплуатация автоматизируема — достаточно одного POST-запроса к любой странице с формой. А формы есть почти везде: контактная страница,
🧩 Ключевой фрагмент уязвимого кода выглядит обманчиво просто. Метод
По классификации MITRE это CWE-22 (Improper Limitation of a Pathname). По OWASP Top 10 — одновременно A01 (Broken Access Control) и A03 (Injection). Редкий случай, когда одна строка кода попадает сразу в две категории критичных уязвимостей.
📌 Если вы работаете с Grav или проводите аудит flat-file CMS — в полной статье разобран весь путь: от уязвимой строки PHP до рабочего HTTP-запроса, с маппингом на ATT&CK и контекстом предыдущих CVE движка.
https://codeby.net/threads/grav-cms-uyazvimost-path-traversal-0-day-v-formflash-bez-autentifikatsii.93718/
Представьте: CMS, где нет базы данных. Конфигурация, учётные записи, контент, настройки плагинов — всё хранится в YAML-файлах на диске. Теперь представьте, что неаутентифицированный атакующий может записать произвольный файл в любой каталог этой системы. Не «потенциально», а буквально одним HTTP-запросом.
Именно это делает CVE-2026-42608 в Grav CMS — flat-file движке на PHP с 14 500+ звёзд на GitHub и порядка 36 000 публично доступных инстансов по данным ZoomEye.
🔍 Корень проблемы — компонент
FormFlash, который сохраняет данные форм между HTTP-редиректами. Он принимает идентификатор сессии из POST-параметра __form-flash-id и использует его напрямую при построении пути к директории записи. Значение конкатенируется со строкой tmp://forms/ без проверки на символы вроде ../. Подставил traversal-последовательность — вышел за границы временной папки и пишешь куда хочешь.Разработчики обращались с этим параметром как с доверенным: «ну строка из POST, она же не в SQL попадает». В классической архитектуре с СУБД это могло бы сойти. Но в flat-file системе запись файла = модификация конфигурации = контроль над приложением.
⚡ Что получает атакующий на практике:
• Запись в
user/config/ — изменение поведения сайта и плагинов через инъекцию YAML-конфигурации• Запись в
user/accounts/ — порча или подмена учётных данных, хешей паролей, 2FA-секретов• Запись в
user/pages/ — инъекция контента, потенциальный SSTI через Twig-шаблоныCVSS 8.8 (HIGH), ноль привилегий, CISA оценивает Technical Impact как total. Эксплуатация автоматизируема — достаточно одного POST-запроса к любой странице с формой. А формы есть почти везде: контактная страница,
/admin/login, регистрация.🧩 Ключевой фрагмент уязвимого кода выглядит обманчиво просто. Метод
__construct() класса FormFlash берёт session_id из POST и склеивает с путём без вызова basename() или regex-валидации. Одна пропущенная проверка — и вся файловая система webroot открыта для записи.По классификации MITRE это CWE-22 (Improper Limitation of a Pathname). По OWASP Top 10 — одновременно A01 (Broken Access Control) и A03 (Injection). Редкий случай, когда одна строка кода попадает сразу в две категории критичных уязвимостей.
📌 Если вы работаете с Grav или проводите аудит flat-file CMS — в полной статье разобран весь путь: от уязвимой строки PHP до рабочего HTTP-запроса, с маппингом на ATT&CK и контекстом предыдущих CVE движка.
https://codeby.net/threads/grav-cms-uyazvimost-path-traversal-0-day-v-formflash-bez-autentifikatsii.93718/
🔥5❤4👍2💯2
Sigma Rule Converter
🎇 Sigma Rule Converter — это инструмент для преобразования универсальных правил детекции Sigma (в формате YAML) в синтаксис конкретных SIEM-систем или платформ мониторинга, таких как Splunk, Elastic, QRadar
☁️ Он позволяет писать правило один раз в стандартизированном виде Sigma, а затем конвертировать его под нужную среду — от простых запросов до сложных корреляций логов, экономя время SOC L3.
Ключевые возможности:
➡️ Поддержка форматов: Более 50 бэкендов — Splunk SPL, Elasticsearch DSL/QQL, QRadar AQL, ArcSight EPL, KQL (для KUMA, Defender), Sysmon, Timesketch и даже JSON/CSV для ручной доработки.
➡️ Валидация и обработка: Проверяет синтаксис правила, обрабатывает множественные документы YAML (rule collections), AND/OR-логику через списки/словари, модификаторы (all, base64offset) и исключения.
➡️ Опции конвертации: Флаги для трансформаций (e.g., --target для бэкенда, --config для маппинга полей, --flatten-xpath для XML), генерация action-документов для глобальных настроек.
🔑 Структура:
Конвертер парсит разделы Sigma: title/id/status (метаданные), detection (selection + condition), fields/logsource (фильтры). Затем генерирует запрос, адаптируя под бэкенд — например, поле EventID в Windows Event Logs → event_id в ELK. Поддерживает теги (attack.tactic) для MITRE ATT&CK и уровни (low/medium/high).
🧿 А как вы используете Sigma правила?
#sigma #converter #soc #rule
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Ключевые возможности:
Конвертер парсит разделы Sigma: title/id/status (метаданные), detection (selection + condition), fields/logsource (фильтры). Затем генерирует запрос, адаптируя под бэкенд — например, поле EventID в Windows Event Logs → event_id в ELK. Поддерживает теги (attack.tactic) для MITRE ATT&CK и уровни (low/medium/high).
#sigma #converter #soc #rule
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3❤2🤬1
Недавно команда AI Defense из Cisco представила Model Provenance Kit — open-source инструмент для анализа происхождения ML-моделей.
Проект помогает ответить на важный вопрос: действительно ли модель была обучена “с нуля”, или она является производной от другой модели?
Model provenance — это установление происхождения модели на уровне ее обученных весов.
Проще говоря, инструмент позволяет определить:
Cisco сравнивает этот процесс с ДНК-анализом моделей.
Model Provenance Kit использует двухэтапный анализ.
На первом этапе анализируются:
Если архитектура явно совпадает — система может сделать вывод без загрузки весов.
Если метаданных недостаточно, запускается глубокий анализ весов:
На основе этих признаков рассчитывается итоговый similarity score.
git clone https://github.com/cisco-ai-defense/model-provenance-kit.git
cd model-provenance-kit
uv sync
Для работы достаточно CPU — GPU не требуется. Cisco отмечает, что архитектурные проверки выполняются за миллисекунды, а извлеченные признаки кешируются для повторного использования.
provenancekit scan bigscience/bloom-560m
Инструмент:
provenancekit compare gpt2 distilgpt2
Результат включает:
#ai #llm #mlsecurity #cisco #supplychain #opensource
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4❤3
Друзья, напоминаем, на каких курсах начинается обучение в июне🚗
Старт 1 июня:
⏺️ Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
⏺️ Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь.
Старт 8 июня:
⏺️ Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин
⏺️ Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.
Старт 15 июня:
⏺️ Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
⏺️ Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.
➡️ Запишитесь у нашего менеджера @CodebyAcademyBot 🚀 или узнайте подробности на сайте!
Старт 1 июня:
Старт 8 июня:
Старт 15 июня:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤2🔥2
📜Четыре панели. Ни одного слова. Это одна атака. Как она называется?
Делитесь своими догадками в комментариях!💫
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Делитесь своими догадками в комментариях!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤4👍4
12 из 20 новичков пришли с BlackArch — и это была ошибка
На одном воркшопе для начинающих пентестеров случилась показательная история. Большинство участников принесли флешки с BlackArch — логика простая: «там же больше всего инструментов». Первый час группа воевала с
Эта ситуация отлично иллюстрирует главное заблуждение: лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать.
🔍 Вот что реально отличает три главных дистрибутива 2026 года:
• Kali Linux — Debian Testing, пакетный менеджер
• Parrot OS — тоже Debian, но с MATE и заметно меньшим аппетитом: 400–700 МБ в idle. Из коробки идут AnonSurf для маршрутизации через Tor, встроенное шифрование, и есть Home Edition — полноценная повседневная ОС без пентест-арсенала.
• BlackArch — репозитории поверх Arch Linux,
⚡ Практический момент, который мало кто проговаривает. Разница между
💡 Конкретный кейс с железом: ThinkPad X230, 4 ГБ RAM, HDD. Parrot не тормозил при одновременном Burp Suite и Firefox с десятком вкладок. Kali на том же железе ощутимо задумывался при переключении между приложениями. Если у вас старый ноутбук — Parrot объективно комфортнее.
И ещё важный маркер. Половина дистрибутивов из «топ-10 для хакинга» — мертвы. Cyborg Linux, DEFT, Bugtraq — всё это не обновлялось годами. Если в обзоре 2026 года вы видите эти названия — перед вами копипаста из 2019-го.
В полной статье — decision tree для выбора, детальные системные требования и разбор инструментов по категориям. Читайте и выбирайте осознанно.
https://codeby.net/threads/luchshii-distributiv-dlya-pentesta-kali-linux-vs-parrot-os-vs-blackarch-chestnoye-sravneniye-2026.93771/
На одном воркшопе для начинающих пентестеров случилась показательная история. Большинство участников принесли флешки с BlackArch — логика простая: «там же больше всего инструментов». Первый час группа воевала с
pacman и отсутствием графического окружения, пока остальные с Kali уже сканировали учебные цели через nmap. К обеду трое переставили систему, двое ушли. А один человек с Parrot OS тихо работал весь день без единой проблемы.Эта ситуация отлично иллюстрирует главное заблуждение: лучший дистрибутив для пентеста — не тот, где больше инструментов, а тот, который не мешает работать.
🔍 Вот что реально отличает три главных дистрибутива 2026 года:
• Kali Linux — Debian Testing, пакетный менеджер
apt, курированный набор из 600+ инструментов. Offensive Security тестирует каждый пакет перед включением. Xfce по умолчанию, потребление в idle — 800–1200 МБ RAM.• Parrot OS — тоже Debian, но с MATE и заметно меньшим аппетитом: 400–700 МБ в idle. Из коробки идут AnonSurf для маршрутизации через Tor, встроенное шифрование, и есть Home Edition — полноценная повседневная ОС без пентест-арсенала.
• BlackArch — репозитории поверх Arch Linux,
pacman, rolling release. Тысячи пакетов, но конфликты зависимостей — полностью ваша головная боль. GUI из коробки может вообще отсутствовать.⚡ Практический момент, который мало кто проговаривает. Разница между
apt и pacman — не синтаксис. Это разные последствия ошибок. Когда в три ночи на внешнем пентесте hashcat отказывается запускаться после обновления, в Kali вы откатите пакет за минуту. В BlackArch придётся разбираться с цепочкой зависимостей от пяти минут до часа. В три ночи час — это очень много.💡 Конкретный кейс с железом: ThinkPad X230, 4 ГБ RAM, HDD. Parrot не тормозил при одновременном Burp Suite и Firefox с десятком вкладок. Kali на том же железе ощутимо задумывался при переключении между приложениями. Если у вас старый ноутбук — Parrot объективно комфортнее.
И ещё важный маркер. Половина дистрибутивов из «топ-10 для хакинга» — мертвы. Cyborg Linux, DEFT, Bugtraq — всё это не обновлялось годами. Если в обзоре 2026 года вы видите эти названия — перед вами копипаста из 2019-го.
В полной статье — decision tree для выбора, детальные системные требования и разбор инструментов по категориям. Читайте и выбирайте осознанно.
https://codeby.net/threads/luchshii-distributiv-dlya-pentesta-kali-linux-vs-parrot-os-vs-blackarch-chestnoye-sravneniye-2026.93771/
🔥17❤6👍5
Hetty
📐 Характеристики:
📉 Hetty является бесплатным аналогом, написаным на GO, что делает его более оптимизированым, чем проприетарный Burp Suite написаный на Java.
📉 HTTP Proxy и MITM
📉 Request sender (Repeater в Burp). Также можно редактировать запрос и смотреть на реакцию сервера.
🖱 Использование SQLite для сохранения прогресса.
⬇️ Установка:
0️⃣ Клонируем репозиторий и переходим в рабочую директорию:
1️⃣ Устанавливаем необходимые утилиты и пакетный менеджер:
2️⃣ Собираем проект:
⛓️💥 Запуск:
#web #wapt #burpsuite #http
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Hetty — это набор инструментов HTTP для исследований в области безопасности. Его цель — стать альтернативой с открытым исходным кодом коммерческому программному обеспечению, такому как Burp Suite Pro, с мощными функциями, адаптированными к потребностям сообщества специалистов по информационной безопасности и программ поиска уязвимостей.
git clone https://github.com/dstotijn/hetty.git
cd hetty/
sudo apt install nodejs npm -y
sudo npm install --global yarn
make build
./hetty
#web #wapt #burpsuite #http
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍9❤8🔥4
Три радиопротокола — три незакрытых вектора: почему Wi-Fi — лишь верхушка айсберга
На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты
Но самое интересное началось дальше.
🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.
И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.
📡 Почему PMKID-атака — главный вектор через Wi-Fi
Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.
Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.
🔑 На что обращать внимание при разведке
• WPA3 Transition Mode в
• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения
• WPS включён — проверяйте через
📱 BLE и ZigBee — забытый фронт
BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.
ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования.
Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.
https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/
На свежем Red Team-проекте для розничной сети в документации значился WPA3, на площадке стоял Cisco WLC. Казалось, беспроводной периметр закрыт. На деле все точки доступа работали в WPA3 Transition Mode — параллельно принимая WPA2-подключения. Три минуты
hcxdumptool без единого deauth-фрейма, 40 минут hashcat с правилами — и PSK подобран. К обеду пентестер уже сидел в корпоративном VLAN.Но самое интересное началось дальше.
🔓 14 BLE-замков на складских дверях — без аутентификации на GATT-запись. Подошёл, отправил команду — дверь открылась. ZigBee-датчики температуры с дефолтным ключом шифрования висели в том же сегменте, что и СКУД. Один объект — три протокола — три точки входа.
И это типичная картина в 2025 году. Компании вкладываются в защиту Wi-Fi, а Bluetooth и ZigBee остаются слепой зоной.
📡 Почему PMKID-атака — главный вектор через Wi-Fi
Классический перехват handshake требует подключённого клиента и deauth-фрейма, который палит вас перед WIPS. PMKID-подход работает иначе: точка доступа сама отдаёт нужный хеш в первом сообщении 4-way handshake. Клиенты не нужны, deauth не нужен — для системы мониторинга вы практически невидимы.
Дальше — офлайн-перебор. И тут критична разница в железе: RTX 3060 выдаёт ~400 тысяч хешей/с для WPA2, встроенная графика ноутбука — десятки тысяч. Поэтому на объекте запускайте только захват, а брутфорс гоните удалённо.
🔑 На что обращать внимание при разведке
• WPA3 Transition Mode в
airodump-ng отображается как WPA2 WPA3 в колонке ENC. Если видите это — WPA2-часть атакуема стандартными методами• Скрытые SSID — не защита. Probe request клиента содержит имя сети в открытом виде. Достаточно дождаться переподключения
• WPS включён — проверяйте через
wash -i wlan0mon -C. Иногда Pixie Dust — самый быстрый путь внутрь📱 BLE и ZigBee — забытый фронт
BLE-устройства в корпоративной среде — это замки, трекеры, датчики. Многие из них не требуют аутентификации на уровне GATT. Ubertooth One остаётся единственным доступным инструментом для полного BLE-сниффинга на link layer — проекту уже пять лет, альтернатив нет.
ZigBee-сети автоматизации зданий часто используют дефолтные ключи шифрования.
zbstumbler из KillerBee покажет PAN ID и координаторы, а дальше — перехват и replay.Полный разбор с командами, ограничениями каждого метода и контрмерами — в статье на форуме.
https://codeby.net/threads/besprovodnoi-pentest-v-2025-ataki-na-wi-fi-bluetooth-i-zigbee.93711/
❤3👍2🔥2