-60%

Оформить подписку на «Хакер»:

4500 руб

на 1 год

 950 руб

на 1 месяц

Хакер #318. Pentest Award 2025

Ежегодно компания Awillix проводит конкурс лучших хакерскийх райтапов, а мы публикуем тексты, занявшие призовые места. В этом номере ты найдешь 18 работ, посвященных пробиву инфраструктуры, фишингу, атакам на веб, уязвимостям в мобильных приложениях и хардверному взлому.

Также в номере:

  • Вспоминаем, как прошли выставки OFFZONE 2025 и Chaos Constructions
  • Создаем кастомные сканеры для Acunetix на JavaScript
  • Декодируем текст из радиоэфира
  • Проходим 5 лабораторных работ с Hack The Box
Содержание
(Подписчикам доступно 28 статей)

COVER STORY

RainLoop

Проходим путь от шелла до кеша — через аттач

Представь: старый почтовый веб‑клиент, давно забытый и оставленный пылиться в закоулках интернета, но по‑прежнему таящий в себе кладезь... Это история о том, как глубокое погружение в RainLoop привело к тому, что я нашел RCE и способ получить доступ к данным пользователей крупной компании, которая не пожалела вознаграждения.

11 сентября 2025 года

Go, ExifTool!

Как я получил RCE на сервере через инъекцию аргументов ExifTool

В этой статье я расскажу, как нашел интересную уязвимость во время bug bounty. Случай распространенный: недостаточное экранирование входных параметров. Началось все с того, что я подметил ошибку 500 при генерации PDF на сайте. Я заинтересовался проблемой, и постепенно она привела меня к RCE. Давай разберем всю атаку по шагам.

DCShadow для FreeIPA

Как DCSync привел меня к новой CVE

Что делать в конце пентеста FreeIPA — когда пароль получен, а доступа к контроллеру домена по SSH нет или там стоит грозная защита, не дающая сдампить id2entry.db и наслаждаться красивым отчетом? В случае с обычной Active Directory ответ очевиден — DCSync и дело с концом, но для FreeIPA таких ресерчей нет... Что ж подержи мое пиво, оставшееся у меня после обнаружения CVE-2024-3183.

8 августа 2025 года

OTP — не проблема!

Прокачиваем фишинг при помощи дыры в Exchange, Telegram-бота и Evilginx2

В этой статье я покажу, как мне удалось организовать фишинговую рассылку, используя критическую уязвимость в Exchange Server, чтобы повысить доверие к рассылаемым письмам. Начал с получения списка корпоративных адресов через устаревшую версию мобильного приложения, затем с помощью Evilginx2 и Telegram-бота создал неотличимый от оригинала лендинг и в итоге закрепился в сети организации.

Фишинг с погружением

Как мы втерлись в доверие, прикинувшись разработчиком

В этой статье я расскажу про необычный кейс фишинговой атаки: поскольку жертвы не поддавались на простой фишинг, нам с коллегами пришлось создать поддельную персону разработчика, а также троянское приложение, якобы созданное им. И вот оно наконец‑то сделало свое дело.

ATO в один клик

Как я нашел простой способ захватывать аккаунты в мобильном приложении

Сегодня я расскажу про один необычный случай из моего опыта участия в программах багбаунти. Но изнуряющего исследования и жесткого реверса в этот раз не будет — все самое интересное оказалось прямо на поверхности, нужно было только хорошенько присмотреться.

Франкенсерт

Как стать гендиром, имея мобильное приложение и ОTP уборщицы

Уязвимость, о которой пойдет речь, была использована при проведении внешнего тестирования в рамках редтиминга. Атака строилась на том, что корпоративное мобильное приложение позволяло выпускать сертификаты, которые были валидными не только на внешнем периметре организации, но и в корпоративной сети.

Time(less) LAPS

Закрепляем анонимный доступ к паролям локальных админов

Механизм RecoveryMode в Windows LAPS позволяет расшифровывать пароли локальных администраторов даже при удаленных «дешифраторах». В статье ты узнаешь, как это сделать, а вишенка на торте — proof-of-concept RPC-интерфейса, который умеет безопасно и скрытно запрашивать LAPS-пароли прямо из SYSTEM-контекста на контроллере домена.

Сценарии байпаса

Пробуем перехитрить защитные средства для Windows

В начале этого года мы провели киберучения в формате Purple Teaming в одной из крупных компаний. Основная цель — пронаблюдать, как работают и люди, и средства защиты в реальных условиях. В этой статье я сделаю фокус именно на средствах защиты: посмотрим, в каких случаях они реально спасают и с чем могут не справиться.

Глушилка для EDR

Обходим механизмы безопасности через Windows Filtering Platform

В этой статье я покажу вектор таргетированной атаки на трафик между EDR/XDR и сервером SOC. Через Bring Your Own Vulnerable Driver пропатчим Driver Signature Enforcement ядра Windows, после чего загрузим свой неподписанный драйвер Windows Filtering Platform, чистый по сигнатурам.

Хакерский стритрейсинг

Ломаем бизнес-логику через Race Condition

Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.

One step to crit

Раскручиваем уязвимость в платежной логике

В этой статье я расскажу про кейс с Bug Bounty, в котором мне удалось обойти бизнес‑логику приложения, создавать валидные платежи и списывать деньги клиентов. Я тестировал API одной финансовой организации, у которой есть фонд с личным кабинетом. Основные функции были за авторизацией, за исключением кнопки «Сделать взнос»...

10 октября 2025 года

Ручная ищейка

Делаем свой Google для локальной сети

На всех этапах продвижения по внутренней сети перед пентестером стоит задача быстро разобрать все, что лежит на открывшихся общих ресурсах. С каждым новым уровнем доступа объем таких файлов растет лавинообразно. Вот бы в локалке был свой Google! Сегодня попробуем его создать самостоятельно.

12 августа 2025 года

BloodHoundIPA

Как мы разработали инструмент для анализа FreeIPA при помощи BloodHound

Цель пентестера — оценить, насколько защищена внутренняя сеть клиента. Чаще всего это означает работу в среде Active Directory. Чтобы найти скрытые и неожиданные связи, используют BloodHound — он строит граф связей и показывает потенциальные пути к привилегиям. Но что, если у нас не AD, а FreeIPA?

Тачка на прокачку

Эксплуатируем RCE в головном устройстве автомобиля

Мы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом мы получили доступ к процессору приложений и смогли запустить произвольный код с максимальными привилегиями — то есть получили полный контроль над бортовым компьютером.

Думофон

Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II

Недавно я исследовал крайне необычный для меня девайс — видеодомофон с сенсорным экраном и Wi-Fi. Я разобрал его, изучил и нашел… некоторые уязвимости. Я хотел ответить на вопрос «А могут ли меня подслушивать?». Ответ мы сегодня найдем вместе.

I See You!

Как я нашел уязвимости в приложении, сайте и прошивке IP-камеры

В этом ресерче я хочу рассказать о цепочке уязвимостей, которую я нашел в системах компании — производителя роутеров, камер и модемов. Мы пройдем путь от возможности перебора пользователей на сайте через захват аккаунтов до полного захвата камер через RCE.

3 сентября 2025 года

4911

Как киберковбой однажды отгадал OTP

Утром 1 июля 2075 года З. В. проснулся, как обычно, слишком рано. Будильник прозвонил не из внешнего носителя, а где‑то внутри головы, точнее, в аудиторной коре. После заката эпохи мобильных телефонов и плавного перехода на кибернетику тривиальным делом было иметь глаза от Kiroshi Optics, воспроизводящие все, что делал мобильный телефон, прямо перед собой — через нейронные связи.

21 октября 2025 года

ВЗЛОМ

Ломаный Excel

Обходим защиту VBA-скриптов в DoneEx Compiler

Сегодня мы разберемся с тем, как устроена «непробиваемая» защита VBA-скриптов в Excel, предлагаемая компилятором DoneEx VBA Compiler. Мы посмотрим, как этот инструмент компилирует макросы в нативные DLL, какие трюки использует для контроля целостности, и шаг за шагом покажем, как обходить проверки и восстанавливать исходный код из скомпилированных модулей.

10 сентября 2025 года

HTB Eureka

Атакуем веб-сервер с Netflix Eureka

Сегодня я покажу, как получить приватные данные из дампа кучи Spring Boot, а затем завладеем доступом к системе Eureka. Через ее сервисы извлечем приватные данные пользователя и сессию на хосте. Для повышения привилегий используем уязвимость в пользовательском анализаторе логов.

HTB Fluffy

Используем технику ESC16 ADCS для захвата Active Directory

Сегодня я на наглядном примере покажу, как повысить привилегии в Active Directory при помощи техники ADCS ESC16. На пути к захвату сервера нас также ждет свежая уязвимость в проводнике Windows и компрометация цепочки DACL.

HTB Environment

Манипулируем переменными окружения при атаке на Linux

Сегодня я покажу, как можно повысить привилегии в Linux, используя настройку env_keep для sudo. Чтобы подобраться к ОС, нам сначала понадобится проэксплуатировать баг CVE-2024-52301 во фреймворке Laravel, обойти авторизацию и через функцию загрузки файла добавить веб‑шелл.