Наконец-то!!! Зацените кейсы финалистов и победителей Pentest Award 2024, которым посчастливилось стать статьями на Хакер

«​​Шишинг с Rogue RDP. Используем встроенные средства Windows для проникновения в сеть» от автора @X0red.

«Нанодамп. Как я заново изобрел SafetyKatz для дампа LSASS с NanoDump» от непревзойденного и многократного чемпиона @snovvcrash, канал.

«Пробив веба. Как я обошел 2FA и захватил учетки пользователей» от получившего первое место в вебе @shin0_by

«История двух ATO. Ищем уязвимости в логике обработки email» от @arkiix, канал.

«Kerberoasting для FreeIPA. Как я искал доступ к домену, а нашел CVE» от автора @Im10n

«Атака по SMS. Как мы нашли уязвимость в популярном GSM-модеме и раскрутили ее до RCE» — поражающий воображение кейс от дуэта @n0um3n0n и @madprogrammer

«Вход через WebTutor. Атакуем Windows через веб-приложение и Microsoft SQL» — от, стабильно подающего заявки высокого уровня, @Danr0

«В погоне за билетом. Как мы дважды проникли в домен, который считался неприступным познавательная» — история от @secm3n

«По заветам Митника. Как я заколебал всех, но все же получил пароль» — про нетипичное социотехническое тестирование @S3n_q

«Громим PrestaShop. Как я захватил инсталл интернет-магазина на багбаунти» — автор @tr3harder

«Инфра в огне. Как мы пентестили сети двух крупных российских компаний» — полезная история от @Tcr0ss

«Забытый веб. Как мы нашли самодельный веб-сервис, давший дорогу внутрь сети» — от автора @cucurucuq

Спасибо всем, кто явил миру свои наработки, это очень важно и полезно для всего сообщества этичных хакеров. 🫶 Мы гордимся тем, что смогли собрать столько бриллиантов!

Тем, кому пришлось оставить свои истории только между вендором и жюри, тоже спасибо, вы крутые и смелые, даже если об этом негде почитать :)

Остается полгода до новой #pentestaward , а значит можно успеть как следует подготовиться, чтобы побороться за звание лучшего пентестера 😉

Безопасный серфинг: все что нужно помнить

Безопасный серфинг — это комбинация правильных инструментов и внимательности. Кибератаки становятся все более таргетированными и таких мер предосторожности, как VPN, приватные браузеры и блокировка трекеров, уже недостаточно. Необходимо также всегда уделять внимание цифровой гигиене.

💚Вспомним базу:

~ Используйте браузеры с упором на конфиденциальность

~ Браузеры, такие как Brave, Firefox с настройками приватности или Tor, минимизируют трекинг и блокируют сторонние куки.

~ Включите VPN для шифрования трафика, особенно при использовании общедоступных сетей Wi-Fi. Мы рекомендуем использовать собственные VPN сервера.

~ Установите расширения, такие как uBlock Origin или Privacy Badger, чтобы избежать отслеживания вашей активности и блокировки навязчивой рекламы.

~ Браузеры и расширения должны быть всегда обновлены, чтобы митигировать уязвимости, которые могут использовать злоумышленники.

~ Не сохраняйте пароли в браузере. Вместо этого используйте менеджеры паролей, например, Bitwarden.

💙На что еще обратить внимание?

~ Общедоступные Wi-Fi сети: Даже с VPN нужно избегать работы с конфиденциальной информацией через общедоступные сети.

~ Расширения для браузеров: Убедитесь, что используете проверенные и безопасные расширения. Некоторые из них могут собирать ваши данные.

~ Фишинговые сайты: Используйте расширения, такие как Netcraft или встроенные функции браузера, для защиты от поддельных сайтов.

Недавно на The Hacker News вышла статья «5 Ways Behavioral Analytics Is Transforming Cybersecurity», которая объясняет, как поведенческая аналитика меняет подход к защите систем. Особенно интересно в контексте защиты от сложных угроз и инцидентов.

🗝 Ключевые идеи:

Поведенческая аналитика позволяет детектировать необычные действия, даже если вектор обходит традиционные правила и сигнатуры. Например, сотрудник вдруг начинает скачивать большое количество данных или подключается из необычного региона.

Внутренние угрозы, будь то недобросовестный сотрудник или случайная ошибка, остаются одной из самых сложных проблем. Анализ поведения позволяет определить, кто отклоняется от своей обычной активности, и предпринять меры до того, как будет нанесен ущерб.

Современные угрозы, такие как APT, часто остаются незамеченными обычными средствами защиты. Поведенческая аналитика выявляет паттерны, которые могут указывать на скрытые атаки, например, использование редких команд или аномальные запросы в базу данных.

Традиционные системы безопасности часто генерируют большое количество ложных срабатываний. Поведенческая аналитика фокусируется на анализе контекста и снижает шум, помогая аналитикам сосредоточиться на реальных угрозах.

Интеграция аналитики с SIEM и SOAR позволяет автоматически реагировать на инциденты в зависимости от контекста. Например, система может блокировать подозрительный аккаунт или ограничивать доступ к ресурсам, если поведение пользователя становится аномальным.

💡 Наше мнение:

Поведенческая аналитика — это не просто модное слово, а реальный инструмент, который меняет правила игры, особенно если она интегрирована с ИИ. Например, решения, интегрирующие машинное обучение, могут эффективно анализировать телеметрию с конечных устройств: движение мыши, скорость набора текста, шаблоны взаимодействия с приложениями, ритм кликов и т.д. Такие параметры способны не только повысить точность идентификации пользователя, но и выявить злоумышленника, пытающегося выдать себя за сотрудника.

RPPA.pro помогает превратить абстрактные требования закона в работающие конкретные механизмы внутри компании

Курс Privacy Engineering позволяет специалистам понять IT-аспекты обработки данных в современной архитектуре и предложить четкие и практичные решения проблем приватности. Курс не имеет аналогов в русскоязычном пространстве.

Старт: февраль 2025 года
Подробная информация здесь 👈

🛡Создание политики безопасного написания кода с OWASP Secure Coding Practices Quick Reference Guide

Если вы разрабатываете своё ПО или работаете с заказной разработкой, создание стандарта по безопасному написанию кода — это хороший шаг для повышения квалификации разработчиков и защиты приложения. OWASP Secure Coding Practices Quick Reference Guide — универсальный документ, который можно взять за основу. Он предлагает структурированный подход к безопасному написанию кода, охватывающий ключевые аспекты разработки.

🔑 Преимущества использования OWASP SCP Guide

1. Документ не привязан к конкретным языкам программирования или технологиям, что делает его подходящим для любой команды.

2. Руководство основано на принципах OWASP, которые признаны во всем мире как ведущие практики в области кибербезопасности.

3. Содержит готовый чек-лист из 200+ пунктов, охватывающий все этапы разработки. Пример разделов:

- Проверка ввода данных
- Управление аутентификацией
- Контроль доступа
- Обработка ошибок
- Криптографическая защита данных
- Безопасность протоколов
- Управление файлами

4. Устранение уязвимостей на этапе проектирования и разработки обходится значительно дешевле, чем их исправление после выпуска продукта.

5. По данным OWASP, большинство атак направлено на уязвимости на уровне приложений. Использование рекомендаций из руководства помогает минимизировать вероятность успешной эксплуатации.

🛠Как использовать этот документ?

1. Интегрируйте рекомендации в ваш SSDLC (Secure Software Development Life Cycle). Это позволит команде соблюдать стандарты на всех этапах.

2. Используйте документ для обучения разработчиков, чтобы повысить их осведомленность о принципах безопасного кодирования.

3. Применяйте чек-лист для проверки существующего кода и выстраивания процессов.

4. На основе OWASP SCP создайте внутренний стандарт для вашей команды или компании.

📥Скачать документ можно здесь: https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/

Финалисты Pentest award, как Юра Борисов — быть номинированным уже почетно, даже если не взял призовое.

Благодаря талантливым участникам и их уникальным кейсам #pentestaward снова на обложке культового Хакера! Среди номинаций: пробив инфраструктуры, атаки на веб, фишинг и хардверный взлом. Это увлекательные пентестерские истории, написанные по реальным событиям!

Изучаем работы предшественников и готовимся покорять жюри свежими работами в новых номинациях уже этим летом.

Желаем всем участникам забрать статуэтки «хакерского оскара» 😉

Готовимся анонсировать Pentest award 2025, поэтому решили в последний раз опубликовать подборку кейсов победителей в кратком содержании, чтобы каждый мог вдохновиться, представить свою работу в списке победителей и лучше понять, какие заявки отправлять в этом году.

🥇Начнем с «Пробива веба» и автора @shin0_by

Объект исследования

Веб-сервис с личным кабинетом пользователей, использующий двухфакторную аутентификацию (2FA).

Результат

Account takeover с обходом 2FA, определение способа полного компрометации всех аккаунтов через перебор параметра UserStatus.

Ход исследования

1) Перечисление пользователей:
Входная форма позволяла определить существование учетных записей по различным ответам сервера. Запуск автоматического подбора логинов дал список валидных учетных записей.

2) Атака password spraying:
Вход в учетную запись не блокировался после нескольких неудачных попыток ввода пароля, а период блокировки не увеличивался. Это позволило выполнять перебор паролей с задержкой в 30 минут, что дало успешный доступ к нескольким учетным записям.

3) Обход 2FA:
При попытке входа система требовала код из SMS. Однако анализ параметров запроса показал наличие параметра mode4, отвечающего за состояние аутентификации. Изменение значения sms на registration перенаправляло пользователя на страницу завершения регистрации, где можно было задать новый пароль и войти без фактического подтверждения личности.

4) Захват учетных записей:
На странице смены пароля обнаружена cookie UserStatus, которая служила уникальным идентификатором пользователя. Подмена этого параметра в cookies на значение другого пользователя позволяла войти в его учетную запись. Разбор структуры UserStatus показал, что половина его битов определяет поля, а вторая половина — их значения. Это снизило число возможных значений с 1,1 триллиона до 1,05 миллиона, что сделало массовый подбор реальным.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Пробив инфраструктуры» автора @lm10n

Объект исследования

FreeIPA — система управления идентификацией и доступом в домене, Active Directory для Linux.

Результат

Эксплуатация уязвимости в механизме Kerberos-аутентификации, получение административного доступа к домену и, как следсвие, зарегистированная CVE-2024-3183.

Ход исследования

1) Анализ механики аутентификации в FreeIPA

После получения учетной записи в домене с минимальными правами, было установлено, что система позволяет запрашивать TGS (билеты для аутентификации в сервисах) для любых пользователей через kvno, несмотря на отсутствие специальных привилегий. Однако стандартная атака Kerberoasting не сработала из-за особенностей FreeIPA.

2) Исследование механизма генерации соли для Kerberos

Было замечено, что FreeIPA использует нестандартный механизм формирования соли для ключей шифрования. Анализ исходного кода MIT Kerberos и перехваченных пакетов в Wireshark позволил выявить, что соль можно получить при первой ошибке преаутентификации (KRB5_TRACE).

3) Эксплуатация уязвимости и восстановление паролей

Скрипт на Python позволил перебрать пароли на основе захваченного TGS и полученной соли. После модификации hashcat, который не учитывал особенность соли в FreeIPA, удалось успешно восстановить пароль администратора домена.

4) Полная компрометация домена

После получения TGT для пользователя с минимальными привилегиями был выполнен запрос на получение TGS для администратора. Расшифрование тикета позволило восстановить пароль и получить полный контроль над инфраструктурой.

О найденной уязвимости было сообщено в Red Hat и MIT Kerberos. После анализа запроса разработчики подтвердили проблему и выпустили исправление в FreeIPA 4.12.1. Уязвимости присвоили номер CVE-2024-3183.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Раз bypass, два bypass» автора @snovvcrash

Не бойтесь подавать работы в эту номинацию, snovvcrash не заберет первое место третий год подряд, потому что в этот раз будет занят судейством 😉

Объект исследования

Средства защиты информации (AV/EDR) на Windows, анализ их механизма детектирования и поиск обходных техник для снятия дампа процесса LSASS.

Результат

Удалось разработать метод обхода антивирусных решений для скрытого получения дампа процесса LSASS и его парсинга без сохранения на диск. В процессе создана утилита SafetyNDump, основанная на NanoDump, Token Impersonation и PowerShell-обфускации.

Ход исследования

1) Анализ существующих методов снятия дампа LSASS

- Классические инструменты (Mimikatz, SafetyKatz) детектируются современными AV/EDR.
- NanoDump остается рабочим, но антивирусы начинают блокировать его по сигнатурам.
- Для скрытного выполнения потребовалась модификация токенов и обход ограничений PowerShell.

2) Разработка обхода защиты с помощью Token Impersonation

- Исследовался метод Token Duplication через tokenduplicator.exe, позволяющий получить SYSTEM-привилегии.
- В исходный код tokenduplicator внесены правки, чтобы запуск работал в неинтерактивных сессиях (Evil-WinRM, WMI).
- Новый вариант утилиты позволяет запускать команды от имени SYSTEM скрытно.

3) Запуск NanoDump в обход антивируса

- Использовалась техника CreateProcessWithTokenW для запуска NanoDump от SYSTEM без триггера антивируса.
- Вызов PowerShell через Resolve-DnsName вместо IEX(New-Object Net.WebClient).DownloadString(), чтобы избежать сигнатур детектирования.
- Дамп LSASS записывается в C:\Windows\Temp\debug.bin и моментально удаляется после парсинга.

4) Парсинг дампа LSASS без записи на диск

- Вместо Mimikatz использован MiniDump (модифицированная версия от cube0x0) для анализа дампа прямо в памяти.
- Добавлена обфускация кода с InvisibilityCloak, чтобы избежать детектирования на уровне памяти процесса.
- Код парсинга интегрирован в PowerShell-скрипт, загружаемый динамически.

5) Создание инструмента SafetyNDump

- Объединены все этапы:
1. Поднятие SYSTEM-привилегий через tokenduplicator.
2. Запуск NanoDump скрытно через PowerShell.
3. Парсинг дампа с MiniDump прямо в памяти.
4. Вывод извлеченных данных, моментальное удаление следов.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Ловись рыбка» от автора @X0red.

Объект исследования

RDP и встроенные средства Windows (LOLBAS) для проведения социальной инженерии и проникновения в корпоративную сеть.

Результат

Фишинг через .rdp-файл привел к компрометации Active Directory: построен SSH-туннель, получен NTLMv2-хеш, реализована атака ProxyNotShell, извлечены пароли и получен полный контроль над инфраструктурой.

Ход исследования

1) Подготовка инфраструктуры и инструмента фишинга

- Создан RDP-сервер с публичным IP и доменом.
- Получен SSL-сертификат Let's Encrypt и использован для цифровой подписи .rdp-файла .
- Сформирован .rdp-файл с автологином и редиректом устройств, подписан и готов к рассылке.

3) Автоматизация начального доступа

- Использован pyrdp в MiTM-режиме для обхода аутентификации (автологин).
- При подключении к RDP, исполняется кастомное ПО MalRDP.exe, копирующее нужные файлы (включая OpenSSH) в директории пользователя.

3) Установка реверс-SSH-туннеля

- Созданы два ПО sshishing.exe и sshishing2.exe.
- Один файл поднимает SSH-туннель во внутреннюю сеть, второй — собирает информацию (net user /domain, ipconfig) и пересылает её через туннель.
- Одновременно триггерится запрос к внешнему ресурсу для утечки NTLM-хеша (через Responder).

4) Постэксплуатация и развитие атаки

- Через поднятый туннель выполнено сканирование внутренней сети.
- Обнаружен забытый и уязвимый почтовый сервер (ProxyNotShell).
- Утекший хеш позволил выполнить эксплойт, получить дампы SAM, SYSTEM, SECURITY, а позже — и сохраненные пароли из браузера.
- Найден пароль от учетной записи администратора AD, который привел к захвату инфраструктуры.

Полноценный текст с картинками доступен на Хакере 👈

🥇Замыкающий кейс в нашей подборке прошлогодних работ из номинации «Девайс» от авторов @n0um3n0n и @madprogrammer

Надеемся, эта серия постов вдохновила вас поучаствовать в #pentestaward 2025, анонс которой мы запланировали уже в этом месяце! ✨

Объект исследования

GSM-модем Cinterion EHS5, используемый в различных устройствах: банкоматах, автомобилях, индустриальных шлюзах и медицинском оборудовании.

Результат

Удалось обнаружить уязвимость переполнения кучи через SMS-сообщения (протокол SUPL), что позволило выполнять произвольный код с максимальными привилегиями на устройстве. Уязвимость получила номер CVE-2023-47610.

Ход исследования

1) Поиск уязвимости в GSM-модеме

- Исследован модем Cinterion EHS5 на базе процессора Intel X-Gold 625.
- Через съем NAND-флеш памяти получена прошивка.
- Обнаружена уязвимость переполнения кучи при обработке SUPL-сообщений (SMS).
- Переполнение происходит из-за несоответствия между длиной фрагмента и общей длиной сообщения, что позволяет записать данные за пределы буфера.

2) Разработка примитива чтения памяти

- При переполнении модем перезагружается, но через команду AT+XLOG удалось получить адрес сбоя и состояние регистров.
- Выявлено, что при падении в регистр R0 попадают контролируемые данные.
- Уудалось медленно считывать память модема (4 байта в минуту) через SMS.

3) Поиск примитива записи

- Проанализированы функции malloc и free в ОС ThreadX.
- Выяснено, что функция free может записать указатель на свободный блок по произвольному адресу, если подменить структуру Thread.
- Создана поддельная структура HeapBase, позволяющая записывать адреса с помощью free.

4) Эксплуатация уязвимости

- Реализован примитив записи в память через последовательность WAP SMS.
- После получения записи по произвольному адресу выполнен анализ кода ОС.
- Найдена точка вызова произвольного кода через структуру Thread.

5) Закрепление на устройстве

- Обнаружена возможность разблокировки памяти и изменение прав доступа на запись.
- Код для закрепления интегрирован в процесс UTACAT, отвечающий за обработку SMS.
- Разработан драйвер, позволяющий записывать данные в файловую систему и запускать произвольные приложения через SMS.

Полноценный текст с картинками доступен на Хакере 👈

Управление уязвимостями. Приоритизация рисков

Процесс управления уязвимостями включает в себя сбор и корреляцию данных, триаж, оценку рисков, приоритизацию угроз и принятие обоснованных решений об их устранении. Весь этот процесс можно разбить на несколько шагов, о которых мы рассказали в статье для @it_world_ru

Устранение критических уязвимостей должно проходить с учетом их влияния на бизнес-процессы, а использование и настройка средств защиты — основываться на данных об актуальных угрозах.

Подробнее о том, как этого добиться, читайте по ссылке 👈

Совсем скоро откроется сбор заявок на Pentest award 2025!🎊

Это отраслевая награда для специалистов по тестированию на проникновение. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста. Премия проводится уже третий год подряд.

⚡️Участников ждет много приятных новостей и новых номинаций!
Уже подготовили кейс к подаче?

#pentestaward
@justsecurity

Открыли прием заявок на Pentest award 2025!

💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.

Участие все еще бесплатное, а прием заявок продлится до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.

🥇Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.

Отправляйте заявки на сайте, участвуйте и побеждайте!

#pentestaward