The Art of Linux Kernel Rootkits

Глубокое погружение в мир руткитов режима ядра Linux.

Руткит — это вредонос, цель которого — сохранять постоянство в системе, оставаясь при этом полностью незамеченным — скрывать процессы, каталоги и так далее.

Это делает обнаружение руткитов очень сложным, а уничтожение - еще сложнее, так как они ориентированы на максимальную скрытность. Руткит изменяет поведение системы по умолчанию на то, которое ему нужно.

О принципе их работы со сниппетами кода и принципами обнаружения.

1. What is a rootkit?
— 1.1 - What is a kernel? Differences between userland and kernel land.
— 1.2 - What is a system call (Syscalls)?
— 1.3 - Userland rootkits.
— 1.4 - Kernel land rootkits.

2. Modern hooking techniques
— 2.1 - ftrace
— 2.2 - kprobe
— 2.3 - eBPF

3. LKM rootkit detection
— 3.1 - sysfs
— 3.2 - procfs
— 3.3 - logs
— 3.4 - Rootkit detection with eBPF Tracepoints

4. Make an LKM rootkit visible
5. Making an LKM rootkit completely useless
6. Hiding an LKM functions from tracing and /proc/kallsyms
7. Persistence with LKM Rootkit even after reboot machine
8. Protecting LKM Rootkits against LKM Rootkit hunters
9. The power of eBPF in detecting rootkits
10. Resources
11. Final Considerations

form-action Content-Security-Policy Bypass And Other Tactics For Dealing With The CSP

nzt-48 творит магию с обходом CSP. Вопреки здравому смыслу, default-src: 'none' не покрывает директиву form-action и открывает кучу впечатляющих возможностей.

В блоге автора еще много интересного:
— Breaking the most popular Web Application Firewalls in the market
— Bypassing Browsers' Mitigations Against Markup Dangling Injection
— List of HTML elements that can overwrite javascript variables via DOM Clobbering
— Tool for finding RPO vulnerabilities and CSS Exfiltration Techniques
— More Methods For Breaking Web Logins
— High Speed Blind SQL injections - Optimization Methods
— XSS filter evasion through invalid escapes
— Modern XPath Exploitation

Как мы заработали $50 000 на взломе цепочки поставок

Вместо того чтобы конкурировать дальше, мы решили работать вместе. Нашей целью стало выявить все возможные типы уязвимостей в этой системе: IDOR, SQL-инъекции, XSS, мисконфиги OAuth, Dependency Confusion, SSRF, RCE… Мы находили их, отправляли отчёты и получали вознаграждения.

Но одна мечта оставалась недостижимой: найти "Исключительную Уязвимость" — настолько критическую, что её вознаграждение выходило бы за рамки стандартных выплат. Это стало для нас главным вызовом.

И вот это история о том, как мы со Snorlhax наконец этого добились. Используя атаку на цепочку поставок, позволявшую выполнить RCE на компьютерах разработчиков, в сборочных процессах и на продакшен-серверах, мы получили выплату в $50 500.

Вот как это было.

В Burp Suite нативно внедрили AI

На деле просто добавили методы для работы с языковой моделью Portswigger через Montoya API, чтобы можно было интегрировать LLM в собственные расширения.

Минусов больше, чем плюсов:
— доступно только в платной версии Burp
— все завязано на походы в API Portswigger
— нельзя подключать локальные модели
— каждый вызов нужно оплачить кредитами

Месяц назад я писал о первом бесплатном AI-расширении burpference, которое успели релизнуть гораздо раньше и бесплатно для всех.

Ликаем электронную почту любого пользователя на Youtube

В Google существует идентификатор учеток Gaia ID — он связывает все профили пользователя на Google Docs, Youtube, Gmail и других сервисах компании с его единым аккаунтом.

Youtube оперирует своими ID каналов и запрещает раскрывать Gaia ID, на который они линкуются. Но, что забавно, долгие годы клик на три точки из чата стрима и последующий запрос ликал Gaia ID любого.

Ресерчеры сначала нашли баг, лежавший все это время перед глазами миллионов, потом научились резолвить Gaia ID в электронную почту и, наконец, выбили награду в $10 000!

SELinux bypasses

Даже если ты повысился и теперь у тебя есть доступ к учетке с root-правами, включенный SELinux может помешать свободно перемещаться по системе, запускать бинари и читать нужные файлы.

SELinux — это модуль безопасности ядра Linux, который следит за тем, какие программы и пользователи могут выполнять определённые действия.

Он работает по строгим правилам и может запрещать доступ даже root-пользователю, если что-то нарушает эти правила.

1. What is SELinux
1.1 Linux Security Module
1.2 Mandatory Access Control
1.3 SELinux policy
1.4 Example denial
2. Implementation overview
3. Bypasses
3.1. Disable SELinux
3.2. Overwrite permissive map
3.3. Overwrite AVC cache
3.4. SELinux initialization
4.5. Overwrite mapping
3.6. Remove hooks
4. Conclusion
5. References

В этой статье собраны способы обхода его политик

Fixing Rendering Bugs in Dead Rising PC

Фанат первой части Dead Rising так хотел перепройти любимую игру, что решил не дожидаться официального ремастера и выкатил свой собственный фикс для ошибки с вылетом, которую не могли исправить на протяжении 15 лет.

В статье много технических деталей по написанию фанатского патча.

crackmy.app

Появился новый сайт с набором разных крякми. По количество тасок уже немного обходит знаменитый crackmes.one, — на данный момент их более 4000.

Эксплойт за $200 000

Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.

krypt0n

сейчас проясню все. Сервак в который летят хеши создается у себя. К примеру на впс. Дальше через эксплойт генерируешь конфиг с твоими ip, share и т.д после этого создается специальный конфиг. Кладешь его на шару в любое место, независит куда именно. И если пользователь просто откроет проводник или эту шару то автоматически произойдет редирект сам (идет редирект запроса) тем самым хеш пользователя прилетает к вам на сервер и все. Сам файл который лежит на шаре открывать НЕ нужно

Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.

poc // research

Раньше подобное можно было провернуть с .ico и .ini. Все способы собраны в этой репе https://github.com/Gl3bGl4z/All_NTLM_leak, советую сохранить.

It's Over

Чуваки из Oligo Security нашли 17 уязвимостей в протоколе AirPlay от Apple.

Самая критичная CVE-2025-24132 позволяет получить шелл на другом устройстве мгновенно, без взаимодействия с пользователем. Надо только находиться в одной сети, и чтобы у цели был включен этот самый AirPlay, — на Mac он работает по умолчанию.

Сам протокол нужен, чтобы удаленно включать музыку/видео. Он есть не только у Mac, iPhone, Apple TV, — его используют миллионы умных устройств разных вендоров по всему миру, а еще — больше 800 марок автомобилей.

В X (ex. Twitter) уже многие называют это багом года.

PoC

На схеме пример, как можно сдампить токен админа без SQL-инъекции.

Уязвимость называется ORM Leak, и находят ее в последнее время все чаще и чаще, — вот, например, в Label Studio (система для разметки данных), и в двух крупных CMS — Payload CMS (CVE-2023-30843), и Strapi (CVE-2023-22894).

Возникает, когда разработчики хотят добавить гибкий поиск на сайте по разным полям. И чтобы не описывать каждое поле отдельно, делают фильтрацию динамической.

Тем самым допуская ошибку, благодаря которой в запросе можно прокинуть lookup expressions (пишутся через подчеркивания, и позволяют использовать разные фильтры). Дальше — выйти за пределы дефолтной таблички и, наконец, извлечь данные из БД, по аналогии с Boolean-based Blind.

Учитывая, что сейчас проще найти сервис, который использует не сырой SQL, а "безопасный ORM" — попадаться будет часто.

Подробнее можно почитать здесь Ransacking your password reset tokens, а тут посмотреть много примеров кода plORMbing your Django ORM.

free money

С 5 по 7 июня пройдет CTF, где за призовые места дарят деньги.

Проводит Patchstack Alliance — группа в дискорде, участники которой ищет уязвимости в Wordpress и его плагинах, так что скорее всего задания будут как-то связаны с этой CMS.

За первое место дают $1000, а решить придется всего около 9 тасок.

Регистрация уже открыта https://ctf.patchstack.com/.

🔥 9.9 Critical
Post Auth RCE для Roundсube

Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.

?_task=settings&_action=upload&_from=mail%2Finbox

Пошагово, как работает эксплоит:
1. Подменяет _from сериализованным объектом.
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через rcube_pgp_engine → Crypt_GPG_Engine.
4. Во время вызова GPG-логики, Roundcube вызывает unserialize().
5. Триггерится код из первого шага

exploit // nuclei // research

В Киеве арестовали админа российского даркнет-форума

В результате длительного расследования, проведенного французскими властями в сотрудничестве украинскими правоохранительными органами и Европолом, был арестован администратор xss.is, одной из самых влиятельных русскоязычных платформ киберпреступности в мире.

За 20 лет своей незаконной деятельности киберпреступник заработал более 7 млн. евро.