This media is not supported in your browser
VIEW IN TELEGRAM
Максимально простой и лёгкий socks5 прокси клиент, который буквально работает в пару кликов и улучшает пинг в играх(при правильном выборе сервиса). Абсолютно никакого дискомфорта, никаких требований и т.д. Легко, просто и быстро.
Это мой авторский инструмент для одного проекта, но решил вырезать от туда, чтобы был доступен и всем остальным.😊
Оставлю в комментариях
Это мой авторский инструмент для одного проекта, но решил вырезать от туда, чтобы был доступен и всем остальным.
Оставлю в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Рабочий PoC RCE в React CVE-2025-55182
https://github.com/ejpir/CVE-2025-55182-poc — тут добавилось эксплуатация через gadgets
На случай удаления ориг репы https://github.com/szybnev/CVE-2025-55182-poc. В свою версию добавил масс скан через
Схема атаки:
Patch:
https://github.com/ejpir/CVE-2025-55182-poc — тут добавилось эксплуатация через gadgets
На случай удаления ориг репы https://github.com/szybnev/CVE-2025-55182-poc. В свою версию добавил масс скан через
-l и сохранение результато в txt -o, а ещё --cmd для запуска произвольных командСхема атаки:
HTTP POST /formaction
↓
decodeAction(formData, serverManifest) [server.js:111]
↓
loadServerReference(serverManifest, "vm#runInThisContext", ["CODE"])
↓
resolveServerReference() → парсит "vm#runInThisContext" → metadata = [vmId, [], "runInThisContext"]
↓
requireModule(metadata)
↓
moduleExports["runInThisContext"] ← БЕЗ hasOwnProperty проверки!
↓
vm.runInThisContext.bind(null, "CODE")
↓
При вызове: vm.runInThisContext("CODE") → RCE!
Patch:
Уязвимый код (v19.0.0):
// ReactFlightClientConfigBundlerWebpack.js
return moduleExports[metadata[NAME]]; // Строка ~255
Фикс (v19.2.1):
if (hasOwnProperty.call(moduleExports, metadata[NAME])) {
return moduleExports[metadata[NAME]];
}
return (undefined: any);
Forwarded from Freedom Fox 🏴☠
EDR-Redir
Инструмент для редиректа директории #EDR (Endpoint Detection and Response) в другое место. Предотвращает/нарушает работу служб и процессов EDR ;)
Протестировано:
• Microsoft Windows Defender
• Elastic Defend
• Sophos Intercept X
Читать подробнее:
• https://www.zerosalarium.com/2025/10/DR-Redir-Break-EDR-Via-BindLink-Cloud-Filter.html
• https://www.zerosalarium.com/2025/11/EDR-Redir-V2-Blind-EDR-With-Fake-Program-Files.html
#redteam #работягам
Telegram✉️ @freedomfox
Инструмент для редиректа директории #EDR (Endpoint Detection and Response) в другое место. Предотвращает/нарушает работу служб и процессов EDR ;)
Протестировано:
• Microsoft Windows Defender
• Elastic Defend
• Sophos Intercept X
Читать подробнее:
• https://www.zerosalarium.com/2025/10/DR-Redir-Break-EDR-Via-BindLink-Cloud-Filter.html
• https://www.zerosalarium.com/2025/11/EDR-Redir-V2-Blind-EDR-With-Fake-Program-Files.html
#redteam #работягам
Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳5
Я начал новый проект. Назвал его WAVos.
Пока проект сырой, но один из основных функций работает.
Это платформа для р2р звонков, стриминга, подкастов и есть ещё одна деталь, которая понравится абсолютно всем, но буду держать в секрете, пока не наберётся нужная аудитория. Иначе перехватят
На данный момент работают видео и аудио звонки.
Суть проста. Каждый получает индивидуальную ссылку. Ею можно делиться. Любой кто перейдет, может начать звонок с вами.
Никаких регистраций, никаких бд, никаких санкций или ограничений. Просто бери и пользуйся.
Буду рад если поддержите проект WAVos.ru
Дизайн слепил на быструю руку, особенно страницу звонка. Поэтому есть над чем поработать и там. Как в плане дизайна, так и функционала.
В общем. Работаем.
Если вам интересно, как можете помочь, пиши в комментариях.
Пока проект сырой, но один из основных функций работает.
Это платформа для р2р звонков, стриминга, подкастов и есть ещё одна деталь, которая понравится абсолютно всем, но буду держать в секрете, пока не наберётся нужная аудитория. Иначе перехватят
На данный момент работают видео и аудио звонки.
Суть проста. Каждый получает индивидуальную ссылку. Ею можно делиться. Любой кто перейдет, может начать звонок с вами.
Никаких регистраций, никаких бд, никаких санкций или ограничений. Просто бери и пользуйся.
Буду рад если поддержите проект WAVos.ru
Дизайн слепил на быструю руку, особенно страницу звонка. Поэтому есть над чем поработать и там. Как в плане дизайна, так и функционала.
В общем. Работаем.
Если вам интересно, как можете помочь, пиши в комментариях.
👍9
Посты J
Я начал новый проект. Назвал его WAVos. Пока проект сырой, но один из основных функций работает. Это платформа для р2р звонков, стриминга, подкастов и есть ещё одна деталь, которая понравится абсолютно всем, но буду держать в секрете, пока не наберётся…
Чуть-чуть завершить работу с дизайном и можно начинать делать возможность создавать стримы.
Довольно сложно делать проект одному, но людям показываю и им нравится, но самое прикольное, что они начинают самостоятельно им пользоваться. Это мотивирует.
То есть, актив уже есть и это очень хорошо.
Довольно сложно делать проект одному, но людям показываю и им нравится, но самое прикольное, что они начинают самостоятельно им пользоваться. Это мотивирует.
То есть, актив уже есть и это очень хорошо.
This media is not supported in your browser
VIEW IN TELEGRAM
Короче. Я решил отложить стримы и т.п в пользу другой функции, которая как мне кажется - более перспективная.
Подходов для реализации очень много. Но продукт должен стать итоговым. Я уже продумал как это будет работать, но чтобы точно и четко начать реализовать, необходимо так же точно и четко составить план/этапы работы этого сервиса.
Я всё ещё хочу сделать его открытым, без регистраций и прочего гемора. Это упрощает для пользователей, но усложняет для разраба. Так как мне нужно придумать и внедрить огромное количество незаметных слоев, которые будут отбрасывать ботом и всякую неадекватную ерунду.
Почему ещё рано делать стримы?
- на данный момент нет финансирования, а развитие такой фичи их требует. Текущее техническое состояние способен выдержать стримы, но не в больших количествах. В итоге получаем стримы и эфиры в невыгоду. С подкастами аналогично. Кроме того, слушателей не так много. Не влетит.
Это будет платно?
- частично. Будет бесплатная возможность воспользоваться 3 раза в день
Подходов для реализации очень много. Но продукт должен стать итоговым. Я уже продумал как это будет работать, но чтобы точно и четко начать реализовать, необходимо так же точно и четко составить план/этапы работы этого сервиса.
Я всё ещё хочу сделать его открытым, без регистраций и прочего гемора. Это упрощает для пользователей, но усложняет для разраба. Так как мне нужно придумать и внедрить огромное количество незаметных слоев, которые будут отбрасывать ботом и всякую неадекватную ерунду.
Почему ещё рано делать стримы?
- на данный момент нет финансирования, а развитие такой фичи их требует. Текущее техническое состояние способен выдержать стримы, но не в больших количествах. В итоге получаем стримы и эфиры в невыгоду. С подкастами аналогично. Кроме того, слушателей не так много. Не влетит.
Это будет платно?
- частично. Будет бесплатная возможность воспользоваться 3 раза в день
👍8
Планирую, чтобы wavos, давал доход модераторам, которые будут там работать.
Задачей модерата справится абсолютно каждый. После дэмо реализации, начну набор команды и объясню что надо делать. Доход модераторов - будет зависеть от их актива.
Обязательности будут включать блокировки ботов и прочего нежелательного контента.
Не смотря на то, что это p2p, несколько кадров для нового сервиса будут попадать модераторам(необходимо чтобы отсеивать мусор). ЭТО ВСЁ НЕ КАСАЕТСЯ ПРОСТЫХ ЗВОНКОВ.
(Звонки как были, так и остаются приватными)
Задачей модерата справится абсолютно каждый. После дэмо реализации, начну набор команды и объясню что надо делать. Доход модераторов - будет зависеть от их актива.
Обязательности будут включать блокировки ботов и прочего нежелательного контента.
Не смотря на то, что это p2p, несколько кадров для нового сервиса будут попадать модераторам(необходимо чтобы отсеивать мусор). ЭТО ВСЁ НЕ КАСАЕТСЯ ПРОСТЫХ ЗВОНКОВ.
(Звонки как были, так и остаются приватными)
👍6
Ох как меня это радует...
Я решил немного упростить задачу. Вместо того чтобы создать ещё движок на платформе, решил доработать существующий и использовать его напрямую.
Это сильно упрощает задачу и ускоряет процесс разработки.
Я пока не стремлюсь делать всё идеально, я пока стремлюсь чтобы она хоть как то продвигалась, остальные неточности разглажу после.
Ах да... В wavos теперь можно делиться файлами(до 10мб) и сообщениями во время звонка.
Я решил немного упростить задачу. Вместо того чтобы создать ещё движок на платформе, решил доработать существующий и использовать его напрямую.
Это сильно упрощает задачу и ускоряет процесс разработки.
Я пока не стремлюсь делать всё идеально, я пока стремлюсь чтобы она хоть как то продвигалась, остальные неточности разглажу после.
Ах да... В wavos теперь можно делиться файлами(до 10мб) и сообщениями во время звонка.
👍3
Пользователи тут как то не являются целевой аудиторией, что конечно немного жаль.
Но я хочу комбинировать целевую аудиторию, чтобы это было чем то вроде B2B, а не просто p2p звонилка/общалка.
Новая возможность, как раз очень подойдёт для дальнейшего развития в разные направления.
Если хотите помочь, можете посоветовать сайт друзьям и знакомым
Но я хочу комбинировать целевую аудиторию, чтобы это было чем то вроде B2B, а не просто p2p звонилка/общалка.
Новая возможность, как раз очень подойдёт для дальнейшего развития в разные направления.
Если хотите помочь, можете посоветовать сайт друзьям и знакомым
👍7
Forwarded from SecuriXy.kz
🚨 Zero‑Day: утечка NTLMv2 через Microsoft Photos (ms-photos URI) - «Это не баг - это фича…»
💡 Исследователь обнаружил, что приложение Microsoft Photos принимает параметр
⚠️ Microsoft баг не признала, CVE нет.
Работает даже через 302‑редирект.
Комбинируется с Responder/LLMNR → хэши уходят без каких-либо попапов.
🔍 Что может сделать злоумышленник:
• Собирать Net‑NTLMv2 для оффлайн-брута
• Делать NTLM‑relay в доменной среде
• Встраивать эксплойт в веб-сайты или фишинг → supply‑chain сценарии
🛡 Защита:
• Блокируем исходящий SMB (TCP/445) наружу - MUST HAVE
• Отключаем LLMNR + NetBIOS
• Мониторим запуск
• По желанию: блокируем ms-photos URI через AppLocker/WDAC
🔗Источник: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
🔗 PoC: https://github.com/rubenformation/ms-photos_NTLM_Leak
💡 Исследователь обнаружил, что приложение Microsoft Photos принимает параметр
fileName=\\UNC\path в URI-схеме ms-photos:. Достаточно одного клика по ссылке в браузере - Photos.exe запускается и автоматически отправляет NTLMv2‑SSP challenge/response на SMB‑сервер атакующего.⚠️ Microsoft баг не признала, CVE нет.
Работает даже через 302‑редирект.
Комбинируется с Responder/LLMNR → хэши уходят без каких-либо попапов.
🔍 Что может сделать злоумышленник:
• Собирать Net‑NTLMv2 для оффлайн-брута
• Делать NTLM‑relay в доменной среде
• Встраивать эксплойт в веб-сайты или фишинг → supply‑chain сценарии
🛡 Защита:
• Блокируем исходящий SMB (TCP/445) наружу - MUST HAVE
• Отключаем LLMNR + NetBIOS
• Мониторим запуск
Photos.exe с UNC-путями• По желанию: блокируем ms-photos URI через AppLocker/WDAC
🔗Источник: https://youtu.be/e-lM_vP6HwQ?si=-_vwV3Dzt88PQXG3
🔗 PoC: https://github.com/rubenformation/ms-photos_NTLM_Leak
👍4
Слышали новость, что МикроСРУфт(Microsoft) хочешь избавиться от C/C++ и переписать ядро на Rust?
Баян? Мне кажется да, так как это полный идиотизм.
Возможно для новых фишек есть смысл, а трогать старое рабочее - реально идиотизм
Баян? Мне кажется да, так как это полный идиотизм.
Возможно для новых фишек есть смысл, а трогать старое рабочее - реально идиотизм
В общем начинаю набор людей, для выполнения некоторых задач.
Выполненные задач будут оплачиваться по мере активности.
Оплатой будет 50% (до уч.к) от каждого привлечённого клиента на товар wavos.
Подробнее расскажу в отдельном чате.
Это связано с проектом wavos и выходить в роли псевдо-HR
Требования:
• Возраст желательно 16+
• Возможность создавать аккаунты в hh.ru, фриланс площадках и так далее
• умение находить контакты hr различных компаний
• умение находить людей различных специальностей, которые возможно ищут работу.
Работа онлайн как по РФ, так и зарубежном.
Обязанности:
• отсеивать wavos от ботов и неадекватов
• приглашать в wavos "нужных" людей
• искать информацию в интернете или используя предоставленные или свои инструменты
• важно уметь находить реальные контакты, открытой целевой аудитории.
Главное адекватность и грамотное составление текста(можно использовать ИИ, но только для изложения, а не копипаста) и базовые навыки ОСИНТ
Писать сюда: @wavosru
Выполненные задач будут оплачиваться по мере активности.
Оплатой будет 50% (до уч.к) от каждого привлечённого клиента на товар wavos.
Подробнее расскажу в отдельном чате.
Это связано с проектом wavos и выходить в роли псевдо-HR
Требования:
• Возраст желательно 16+
• Возможность создавать аккаунты в hh.ru, фриланс площадках и так далее
• умение находить контакты hr различных компаний
• умение находить людей различных специальностей, которые возможно ищут работу.
Работа онлайн как по РФ, так и зарубежном.
Обязанности:
• отсеивать wavos от ботов и неадекватов
• приглашать в wavos "нужных" людей
• искать информацию в интернете или используя предоставленные или свои инструменты
• важно уметь находить реальные контакты, открытой целевой аудитории.
Главное адекватность и грамотное составление текста(можно использовать ИИ, но только для изложения, а не копипаста) и базовые навыки ОСИНТ
Писать сюда: @wavosru