🚩 DUCKERZ CTF

Зима в самом разгаре, а значит настало время для DUCKERZ CTF, онлайн соревнования по информационной безопасности от нашей команды.

🐥Формат task-based
🐥Команды до 5 человек
🐥С 12:00 7 февраля по 12:00 8 февраля (МСК)

Участвовать могут все желающие независимо от уровня подготовки, а призы получат топ 3 команды.

Собирайте свою команду, тренируйтесь на нашей платформе, обсуждайте задания и предстоящий ивент в нашем чате.

👉 Регистрация

Все анонсы и апдейты будем публиковать в нашем канале.

🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐥 Регистрация

OWASP ModSecurity CRS WAF Bypass: Когда последний чарсет решает всё (CVE-2026-21876)
#waf #bypass #modsecurity #crs #cve #infosec

Иногда лучшие баги находятся, когда того совсем не ожидаешь. Подписчик @based_monke скинул историю, как он "ткнул пальцем в небо" и нашёл байпасс OWASP ModSecurity Core Rule Set. История простая и забавная, а импакт — обход WAF с CVSS 9.3.

♾️Суть проблемы: CVE-2026-21876♾️

WAF не блокирует закодированный payload, потому что он не матчится по сигнатурам. Для защиты от таких атак правило 922110 проверяет charset по белому списку (utf-8, iso-8859-1, iso-8859-15, windows-1252) и блокирует опасные кодировки вроде utf-7. Проблема в том, как ModSecurity обрабатывает multipart/form-data с несколькими частями. Из-за особенностей работы capture-переменных (TX:1), правило проверяет только последний чарсет в запросе.

Как сказал автор: "Я предположил, что чарсет для WAF перед проверкой может перезаписываться от части multipart к другой. Смешно, что в итоге так и оказалось".

♾️Как работает обход?♾️

1. Отправляем payload в невалидной кодировке (например, utf-7 для XSS), которую WAF должен блокировать.
2. Отправляем любую легитимную часть с разрешённой кодировкой (например, utf-8).

WAF видит charset=utf-7, но тут же перезаписывает его значением charset=utf-8 из второй части. В итоге, правило проверяет только utf-8, считает, что всё в порядке, и пропускает запрос. А бэкенд уже обрабатывает первую часть с вредоносной нагрузкой.

| CVE       | CVE-2026-21876                 |
|-----------|--------------------------------|
| CVSS      | 9.3 (Critical)                 |
| CWE       | CWE-794 (Incomplete Filtering) |
| Затронуты | CRS < 4.22.0 и < 3.3.8         |
| Фикс      | CRS 4.22.0 и 3.3.8             |

♾️Вывод♾️

Мультипарт — недооценённый вектор, а блэкбокс-тестирование всё ещё может приносить критические уязвимости. Всем, кто использует ModSecurity с Core Rule Set, срочно обновляться!

Я давно планировал начать собственные исследования, но начал только совсем недавно. И спустя не такое уж большое количество времени я нашел свою первую багу! В итоге стоило просто перестать откладывать на потом. ©️daytrift newgen

♾️Источники♾️
• Анонс от CoreRuleSet
• GitHub Advisory
• PoC от автора

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Tsundere Botnet: злоупотребление Node.js и блокчейна Ethereum для устойчивого C2
#botnet #nodejs #js #ethereum #c2 #powershell #windows

В 2025 году исследователи столкнулись с новым этапом эволюции JavaScript-вредоносного ПО — ботнетом Tsundere, активно использующим экосистему Node.js и блокчейн Ethereum. В отличие от классических ботнетов, где C2-адреса жёстко зашиты в коде или меняются через доменные генераторы, Tsundere применяет смарт-контракты как распределённое хранилище командных серверов. Такой подход резко усложняет инфраструктурное противодействие и делает ботнет устойчивым к блокировкам и takedown-операциям.

♾️Kill Chain♾️

Initial Access
 ├─ Fake MSI / PowerShell dropper
 ├─ RMM / pirated software
 └─ Game lures (valorant.exe, cs2.msi)

Execution
 ├─ Node.js runtime (bundled or downloaded)
 └─ Obfuscated JS loader

Persistence
 ├─ HKCU\...\Run
 └─ pm2 autostart

C2
 ├─ Ethereum smart contract
 └─ WebSocket (ws / wss)

Command Execution
 └─ eval() arbitrary JS

🔗blog.poxek

Всех с началом трудовой трудной недели 💻

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Фаззинг телекома с генетическим алгоритмом: как тестировать продукт на безопасность, если обычных методов недостаточно
#fuzzing #telecom #appsec #yadro

Что делать, если сложная высоконагруженная система уже полностью покрыта базовыми тестами, используется фаззинг без модификаций, но выявить удалось не все критические уязвимости? Поможет внедрение генетического алгоритма.

Сотовая сеть — это высоконагруженная система, которая должна обеспечивать бесперебойную связь круглосуточно. Нам нужно развивать тесты и учитывать самые неожиданные сценарии, которые могут привести к неполадкам. Для выявления негативных сценариев и генерации вредоносных тестовых входных данных мы используем фаззинг.

Фаззинг без модификаций, однако, не всегда позволяет найти критические уязвимости. Когда мы это выяснили, то решили не увеличивать мощности и создавать фаззинг-фермы, а сделать тесты более умными. Обычно фаззинг представляют как набор мусорных данных, но их можно сделать более интерпретируемыми.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

React Fiber Forensics: эксгумация исходного кода из оперативной памяти
#reverse #react #ReactFiber #webpack #vite #bugbounty #appsec

Принято считать, что минификация и бандлинг (Webpack/Vite) надежно скрывают логику фронтенда. Но, как выяснил разработчик David Fant, прибывающих в браузер артефактов (JS-бандл, runtime-данные, структура UI) вполне достаточно, чтобы реконструировать исходный код React-компонентов с высокой точностью, используя только runtime-слепки памяти и LLM.

♾️Техническая суть♾️

React использует структуру данных Fiber — Linked List узлов, представляющий состояние UI. В отличие от Call Stack, Fiber-дерево хранится в куче постоянно для поддержки асинхронного рендеринга и Reconciliation. Каждый DOM-элемент в React-приложении содержит ссылку на свой Fiber-узел, получив доступ к которому можно получить и доступ к приватным данным компонента:
memoizedProps — актуальные входные данные
memoizedState — внутреннее состояние (связный список хуков: useState, useReducer, useContext)
stateNode — инстанс класса или ссылка на DOM
type — ссылка на оригинальную (минифицированную) функцию-компонент

♾️Типичный пайплайн атаки♾️

▪️Скрипт-имплант находит корневой контейнер приложения и рекурсивно обходит дерево Fiber, следуя по указателям child и sibling.
▪️Для каждого узла сериализуется текущее состояние. В отличие от статического анализа бандла, здесь есть динамические значения в момент исполнения.
▪️Сдампленная структура скармливается LLM. Модель, обученная на миллионах строк React-кода, выполняет обратное преобразование: Fiber Node ▪️Snapshot -> Idiomatic JSX, восстанавливает имена пропсов (они часто не минифицируются) и логику рендера.

♾️Для чего♾️

▪️Быстрый pixel-perfect фишинг, когда воспроизводятся состояния, тексты ошибок и поведение форм
▪️Реверс бизнес-логики на клиенте: валидации, feature-flags, проверки ролей, алгоритмы расчета — все, что ошибочно сочли неинтересным для атакующего
▪️Для поиска багов, поскольку восстановленный компонент проще анализировать на небезопасные паттерны (XSS/DOM XSS, небезопасные редиректы, утечки токенов в URL/логах, логика «только на фронте»).

♾️Защита♾️

Минификация бесполезна. Что поможет:
▪️Перенос чувствительной логики в серверные компоненты. Их код исполняется на бэкенде, а клиенту прилетает только сериализованный результат (JSON-подобная структура) без логики обработки.
▪️Использование инструментов типа Jscrambler, которые ломают не только имена, но и поток управления, затрудняя работу LLM по восстановлению логики.

🔗Подробнее

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Практический разбор деобфускации и anti-analysis техник современного infostealer-ПО

AuraStealer — активно развивающийся infostealer-as-a-service, появившийся на подпольных форумах летом 2025 года. Несмотря на сравнительно недолгую историю, данный образец демонстрирует зрелый подход к обфускации, anti-analysis и обходу защитных механизмов Windows, характерный для современных коммерческих MaaS-платформ.

Класс угрозы: Infostealer (MaaS)
Платформа: Windows 7–11
Язык реализации: C++
Размер билдов: ~500–700 KB

Ключевая особенность AuraStealer — агрессивная защита от анализа, выраженная не только в стандартных анти-debug и anti-VM проверках, но и в нетривиальных инженерных решениях:
▪️косвенное управление потоком выполнения (indirect control flow);
▪️exception-driven API hashing;
▪️динамическая генерация mutex;
▪️обход Application-Bound Encryption Chromium-браузеров;
▪️Heaven’s Gate для вызова NTDLL из WOW64-контекста.

Цель данной статьи — показать практический путь анализа AuraStealer, а не просто перечислить техники.

🔗blog.poxek

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Новый вектор NTLM Relay: принудительный запуск WebClient на SCCM
#SCCM #NTLM #NTLMRelay #AD #Microsoft #ActiveDirectory

Исследователи из SpecterOps обнаружили особенность в работе SCCM (MECM), позволяющую удаленному атакующему дистанционно запустить службу WebClient на сервере сайта и провести NTLM Relay атаку на LDAP.

♾️Техническая суть♾️

При включенном Automatic Client Push Installation сервер сайта пытается подключиться к целевой машине. В процессе через вызов WNetAddConnection2 он пробует мапить шары, и если в этот момент подсунуть ему WebDAV-ресурс, на сервере SCCM автоматически стартует служба WebClient.

♾️Типичный пайплайн атаки♾️

Приятные бонусы: WebClient не обязательно быть запущенной заранее — достаточно самого факта его установки. Кроме того, HTTP-аутентификация не требует подписи, в отличие от SMB, поэтому релей на LDAP проходит идеально.
▪️Атакующий триггерит установку клиента на подконтрольный хост через SharpSCCM и регистрацию фейкового устройства.
▪️Сервер SCCM стучится к атакующему. Вместо SMB форсится использование HTTP (WebDAV).
▪️Из-за попытки коннекта по WebDAV на сервере SCCM сама собой поднимается служба WebClient.

Далее два варианта:
▪️Ленивый — если учетка Client Push Installation перепривилегирована (например, Domain Admin), атакующий просто релеит ее HTTP-аутентификацию на LDAP и создает себе админа.
▪️Сложный — если учетка CP слабая, но WebClient уже поднят, задействуется классический PetitPotam (EFSRPC) против самого сервера SCCM. Сервер аутентифицируется через HTTP (машинной учеткой), атакующий релеит это на LDAP и через Shadow Credentials захватывает сервер.

♾️Защита♾️

▪️Отключить NTLM Fallback.
▪️Включить LDAP Signing и Channel Binding.
▪️Удалить фичу WebDAV Redirector с серверов сайта, если она не нужна.

🔗Подробности

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Закрепление в Next.js через генерацию сессионных кук
#NextJS #next #react #js #React2Shell #RCE #AuthJS

Исследователь Embrace The Red продемонстрировал технику закрепления в next-auth (Auth.js), позволяющую генерировать валидные сессии в обход Identity Provider и обеспечивать персистентность даже при регулярной ротации OAuth-кредов. В начале цепочки используется небезызвестная React2Shell бага.

♾️Техническая суть♾️

В режиме JWT архитектура next-auth опирается на Stateless JWE (JSON Web Encryption). Валидность сессии определяется исключительно возможностью расшифровать токен на сервере.

Key Encryption Key генерируется через алгоритм HKDF, в качестве входных данных используя IKM (Input Keying Material, переменная окружения NEXTAUTH_SECRET) и Salt — дефолтное или кастомное имя куки (например, next-auth.session-token).

Утечка NEXTAUTH_SECRET позволяет атакующему локально воспроизвести процесс HKDF и зашифровать произвольный JSON-пейлоад, подменив sub, email, iat, exp. Сервер примет такой JWE-контейнер как легитимный, поскольку криптографическая целостность соблюдена, а сверка с базой данных или OAuth-провайдером для расшифрованных сессий архитектурно не требуется.

♾️Типичный пайплайн атаки♾️

▪️Атакующий эксплуатирует React2Shell и получает RCE.
▪️Дампит переменные окружения (env) и забирает NEXTAUTH_SECRET.
▪️С помощью скрипта на базе кода самой либы генерирует подписанную куку next-auth.session-token с нужными клеймами (Admin, UserID и т.д.).
▪️Подставляет куку в браузер и обеспечивает персистентность, даже если OAuth-креды сброшены.

♾️Защита♾️

▪️Обязательная ротация NEXTAUTH_SECRET и AUTH_SECRET при любом подозрении на компрометацию.
▪️Инвалидация всех активных сессий после ротации.
▪️Мониторинг дубликатов JTI (JWT ID) с разных IP-адресов.
▪️Детект аномальных полей в сессиях (странные User-Agent и т.п.).

🔗 Источник
🔗 GitHub

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели
#CVE #RCE #Firefox #NetSNMP #Linux #OpenCode #NodeTar #zlib

➡️ Node-Tar (CVE-2026-23745, CVSS 8.2) — path traversal в популярной библиотеке node-tar для работы с TAR-архивами. Уязвимость кроется в недостаточной санитизации путей для жестких ссылок и symlink даже при включенной по умолчанию защите preservePaths: false. Библиотека использует path.resolve() без проверки выхода за пределы корневой директории распаковки, что позволяет через вредоносный архив перезаписывать произвольные файлы в системе или создавать ссылки на нужные для атаки пути. Может привести к RCE в CI/CD пайплайнах. Есть PoC.

➡️ OpenCode (CVE-2026-22812, CVSS 8.8) — RCE в open-source AI-агенте для написания кода. Уязвимость возникает из-за автоматического запуска HTTP-сервера без аутентификации. Из-за некорректных политик CORS любой веб-сайт может отправить запрос к локальному API агента, что позволяет удаленному атакующему выполнить произвольные shell-команды с правами текущего пользователя. Есть PoC.

➡️ Firefox + Thunderbird (CVE-2026-0881, CVSS 10.0) — sandbox escape в компоненте Messaging System браузера Firefox и клиента Thunderbird. Возникает из-за недостаточного контроля доступа при обработке сообщений, передаваемых от изолированного дочернего процесса к привилегированному родительскому. Позволяет скомпрометированному процессу рендеринга отправить специально сформированный запрос, который родительский процесс ошибочно исполнит, тем самым позволив выйти за пределы песочницы.

➡️ Net-SNMP (CVE-2025-68615, CVSS 10.0) — RCE в пакете net-snmp для работы с протоколом SNMP в Linux/Unix системах. Уязвимость возникает при обработке специально сформированных SNMP-пакетов (trap-сообщений) на UDP-порту 162. Демон некорректно валидирует длину пользовательских данных перед копированием, что позволяет удаленному атакующему вызвать stack buffer overflow и добиться RCE.

➡️ zlib (CVE-2026-22184, CVSS 10.0) — переполнение буфера в утилите untgz библиотеки zlib. Появляется из-за небезопасного копирования слишком длинного имени файла в статический буфер. Если атакующий передаст имя файла длиннее 1024 байт, происходит out-of-bounds write. Это ведет к порче памяти и может вызвать DoS или, в зависимости от компилятора и разметки памяти, RCE.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🔓 Java десериализация жива — и это Pre-Auth RCE
#RCE #java #ysoserial #springboot

Ребята из Principle Breach выкатили свежий writeup с bug bounty, и это база — Java deserialization на API Gateway, который должен был защищать инфраструктуру.

♾️Разведка♾️

Разведка началась с пассивного сбора доменов через subfinder и активной проверки доступности веб-узлов (httpx -sc). В результате был обнаружен публично доступный gateway-internal[.]target[.]com (HTTP 200) с кастомным management-интерфейсом API-шлюза. Логин-страница раскрывала версию продукта (REDACTED API Gateway v1.2.5).

Параллельно выявлены смежные окружения: dev-v2[.]target[.]com (403), stg[.]target[.]com (401), metrics[.]target[.]com (401), раскрывшие карту инфраструктуры.

♾️Цепочка атаки♾️

0️⃣Subdomain enum ==> находят gateway-internal.target.com
1️⃣Spring Boot, JSESSIONID, Whitelabel Error Page ==> Java во всей красе
2️⃣Фаззинг API ==> endpoint /api/v1/cluster/sync отвечает без аутентификации
3️⃣Посылают serialized Java object ==> сервер принимает, десериализует, и только потом проверяет тип (кек)
4️⃣CommonsCollections6 через ysoserial ==> reverse shell

Суть бага: кластерная синхронизация между нодами принимала произвольные serialized объекты без auth. Ошибка ClassCastException прилетала уже после исполнения payload'а.
Что пошло не так: Админка торчит наружу > Внутренние эндпоинты без auth > Подробные сообщения об ошибках сливают структуру классов > Устаревшие зависимости с известными gadget chains

♾️Защита♾️

Изоляция - админ-интерфейсы API-шлюзов должны быть доступны только из корпсети или с VPN, а не напрямую из интернета, даже если есть auth-форма.
Минимизация экспозиции dev/stg-окружений - временные стенды регулярно увеличивают поверхность атаки и часто содержат отладочные эндпоинты.
Сокрытие версий ПО на внешних интерфейсах - эта информация упрощает CVE-таргетинг и diff-анализ патчей.

🔗 Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

VoidLink: техническое подтверждение начала эры AI-сгенерированных malware-фреймворков
#APT #malware #AI #LLM #SSD #dev

VoidLink — первый задокументированный пример вредоносного фреймворка, который демонстрирует не просто использование искусственного интеллекта в отдельных фазах разработки, а полноценную AI-ориентированную инженерную модель, охватывающую проектирование, архитектуру, кодинг, тестирование и итеративное развитие. В отличие от ранних случаев, где ИИ применялся для генерации фрагментов кода или примитивных вредоносных скриптов, VoidLink представляет собой целостную платформу, сравнимую по сложности с продуктами высокоресурсных APT-групп.

Ключевая опасность VoidLink заключается не только в его функциональности, но и в том, как именно он был создан. Использование Spec Driven Development (SDD) в сочетании с agent-based AI-IDE радикально сокращает порог входа и временные затраты на создание malware-платформ уровня APT. То, что ранее требовало команд разработчиков, менеджеров, тестировщиков и инфраструктурных инженеров, теперь может быть выполнено одним оператором, выступающим в роли «product owner» для ИИ.

🔗blog.poxek - ya cdn обещал ожить и показывать картинки

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK