📌 Команда дня: мониторинг атак через access.log в реальном времени

Отслеживайте подозрительные HTTP-запросы к серверу с фильтрацией по признакам атак:

tail -f /var/log/nginx/access.log | grep --color=always -iE "(\.\./|%00|<script|<iframe|onerror=|UNION|SELECT|INSERT|OR 1=1|wget|curl|base64)»

tail -f — непрерывный просмотр журнала.

grep -iE — поиск по регулярному выражению без учёта регистра.

--color=always — подсвечивает найденные шаблоны.

Расширенное выражение захватывает XSS, LFI, SQL-инъекции и команды в URL.

Используется для:

➖ Быстрое выявление SQLi, XSS, LFI и командных инъекций (например: UNION, ../, <script>, wget).

➖ Реакции на инциденты без сложных средств.

➖ Мониторинга публичных сервисов в продуктиве или песочнице.

💡 Советы:

— Для анализа по IP добавьте агрегацию:

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head

— Хотите больше контекста? Используйте lnav или multitail для просмотра с выделением.

— Расширьте фильтр под свои векторы или используйте его в связке с fail2ban.

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово

🤓 Post-Exploitation: что делать после удачного входа

Вы получили доступ — что дальше? Цель — укрепиться, собрать максимум инфы и эскалировать привилегии, не спалившись.

1️⃣ Сбор системной информации:

— Определить ОС, версию, hostname

— Посмотреть список пользователей и проверить текущие привилегии (whoami, id)

— Проверить активные процессы, cервисы и доступ в интернет

➡️ Инструменты: systeminfo, hostname, netstat, ps, ipconfig/ifconfig

2️⃣ Поиск учётных данных:

— Искать пароли в конфиг-файлах (.env, .bash_history, config.php, wp-config.php)

— Чекнуть браузеры, мессенджеры, ftp-клиенты

— Использовать «пылесосы» вроде LaZagne, Mimikatz, Seatbelt

➡️ Команды:

grep -i password -r /
find / -name "*config*"
strings на интересных бинарях

3️⃣ Эскалация привилегий:

— Проверить SUID-файлы (на Linux)

— Поиск доступных эксплойтов по ядру/версиям

— Уязвимые службы и таймеры (cron, systemd) и DLL hijacking / UAC bypass (на Windows)

➡️ Инструменты:

— Linux: linpeas.sh, linux-exploit-suggester, pspy

— Windows: winPEAS.exe, PowerUp.ps1, SharpUp

4️⃣ Установление persistence:

— Добавить обратное подключение в crontab или Scheduled Task

— Создать нового пользователя с админ-доступом

— Инжект в автозагрузку (реестр, systemd, services)

⚠️ Важно: минимизируй шум. Уходи в стелс, шифруй payload.

5️⃣ Локальное lateral movement:

— Скан сети на предмет других машин (nmap, ping sweep)

— Используйте собранные креды: подключение к другим хостам по SMB, RDP, SSH

— Проверьте .ssh/known_hosts, rdp cache, putty и т.д.

6️⃣ Экфильтрация данных:

— Вытяните ценные базы, дампы, пароли

— Логи, инвентарные списки, документы

— Архивируйте, шифруйте и тихо выносите через HTTP/FTP/DNS-tunnel

➡️ scp, curl, exfil over DNS, Invoke-WebRequest

7️⃣ Очистка следов (если надо):

— Очистить bash/zsh history

— Удалить временные файлы, payload-скрипты

— Логи: clear, shred, auditctl, wevtutil (Windows)

💡 Всегда фиксируйте действия и команды — пригодится при отчёте или багбаунти-репорте. Используйте tmux + script для записи сессии.

🐸 Библиотека хакера

#буст

⭐️ Pentest GenAI-приложений

Команда Cobalt провела открытый вебинар, где на практике показала, как тестировать безопасность приложений, использующих генеративный AI.

Что интересного:

➡️ Реальные атаки на LLM и AI-функции внутри приложений

➡️ Основные векторы уязвимостей в GenAI-продуктах

➡️ Как запускать пентест по модели PTaaS — быстро и интегрировано

➡️ Интеграция с SDLC через GitHub, Jira, API

➡️ Повторное тестирование: как проверять фиксы и устранять false sense of security

🔗 Смотреть вебинар

🐸 Библиотека хакера

#буст

Самые ответственные просто 🌟

🐸 Библиотека хакера

#развлекалово

🐧 Текущее состояние Cobalt Strike в арсенале Red Team

Cobalt Strike долгое время оставался ключевым инструментом. Но с годами его популярность сыграла против него — сигнатуры расползлись по всем EDR и SOC-системам, а использование «из коробки» стало слишком предсказуемым.

✅ За что любят:

— Полный арсенал атак из коробки

— Лёгкая автоматизация и работа в команде

— Обфускация, lateral movement, встроенные профили — мечта для быстрой работы

⚠️ А за что хейтят:

— Сигнатуры давно в каждом SOC и EDR

— Даже sleep 5s уже детектится как IOC

— Стало «слишком мейнстрим»: включил — попался

А что вы используете в проде? Cobalt Strike, что-то кастомное или всё ещё Metasploit? Делись своим стеком в комментах ✏️

🐸 Библиотека хакера

#междусобойчик

📌 Подборка статей и видео по теме обхода AMSI и ETW

В этой подборке собраны свежие материалы, начиная от базовых подходов до продвинутых техник с хардварными брейкпоинтами и системными патчами в память процесса.

➖ AMSI bypass от истоков к Windows 11 — полный разбор API AMSI: AmsiInit, AmsiScanBuffer, обход .NET‑анализаторов, методы патчинга DLL.

➖ Продвинутые техники обхода EDR с помощью аппаратных точек останова — глубокий анализ ETW, какие функции логируют события, как использовать HW breakpoints вместо патчинга.

➖ Vaadata: Antivirus and EDR Bypass Techniques Explained — подробный гайд по патчингу AmsiScanBuffer и EtwEventWrite функциями WriteProcessMemory (+ примеры).

➖ AMSI Bypass — обзор принципов обхода AMSI, разбор кода и принципов работы .

➖ Ghosting AMSI and Taking Win10 and 11 to the DarkSide — демонстрация новой техники обхода AMSI в Windows 10/11.

🐸 Библиотека хакера

#свежак

⭐️ Задача на собеседовании: обход фильтра LFI

Сервер отдаёт содержимое файлов по URL (1)

Вы пробуете file=../../etc/passwd, но сервер возвращает ошибку: “Access denied: suspicious path” (2)

Какой из следующих payload’ов с наибольшей вероятностью обойдет фильтр и покажет содержимое /etc/passwd ❓

🐸 Библиотека хакера

#междусобойчик

😎 Топ-вакансий для хакеров за неделю

Главный специалист мониторинга ИБ — офис (Москва)

Руководитель направления Application Security — от 300 000 ₽, удаленно (Москва)

Pentester — удаленно (Москва)

Администратор информационной безопасности — от 180 000 ₽, удаленно (Москва)

Cybersecurity Engineer — 7 000 —‍ 9 000 €, релокация (Кипр, г.Лимасол)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак