Финалисты Pentest award, как Юра Борисов — быть номинированным уже почетно, даже если не взял призовое.

Благодаря талантливым участникам и их уникальным кейсам #pentestaward снова на обложке культового Хакера! Среди номинаций: пробив инфраструктуры, атаки на веб, фишинг и хардверный взлом. Это увлекательные пентестерские истории, написанные по реальным событиям!

Изучаем работы предшественников и готовимся покорять жюри свежими работами в новых номинациях уже этим летом.

Желаем всем участникам забрать статуэтки «хакерского оскара» 😉

Готовимся анонсировать Pentest award 2025, поэтому решили в последний раз опубликовать подборку кейсов победителей в кратком содержании, чтобы каждый мог вдохновиться, представить свою работу в списке победителей и лучше понять, какие заявки отправлять в этом году.

🥇Начнем с «Пробива веба» и автора @shin0_by

Объект исследования

Веб-сервис с личным кабинетом пользователей, использующий двухфакторную аутентификацию (2FA).

Результат

Account takeover с обходом 2FA, определение способа полного компрометации всех аккаунтов через перебор параметра UserStatus.

Ход исследования

1) Перечисление пользователей:
Входная форма позволяла определить существование учетных записей по различным ответам сервера. Запуск автоматического подбора логинов дал список валидных учетных записей.

2) Атака password spraying:
Вход в учетную запись не блокировался после нескольких неудачных попыток ввода пароля, а период блокировки не увеличивался. Это позволило выполнять перебор паролей с задержкой в 30 минут, что дало успешный доступ к нескольким учетным записям.

3) Обход 2FA:
При попытке входа система требовала код из SMS. Однако анализ параметров запроса показал наличие параметра mode4, отвечающего за состояние аутентификации. Изменение значения sms на registration перенаправляло пользователя на страницу завершения регистрации, где можно было задать новый пароль и войти без фактического подтверждения личности.

4) Захват учетных записей:
На странице смены пароля обнаружена cookie UserStatus, которая служила уникальным идентификатором пользователя. Подмена этого параметра в cookies на значение другого пользователя позволяла войти в его учетную запись. Разбор структуры UserStatus показал, что половина его битов определяет поля, а вторая половина — их значения. Это снизило число возможных значений с 1,1 триллиона до 1,05 миллиона, что сделало массовый подбор реальным.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Пробив инфраструктуры» автора @lm10n

Объект исследования

FreeIPA — система управления идентификацией и доступом в домене, Active Directory для Linux.

Результат

Эксплуатация уязвимости в механизме Kerberos-аутентификации, получение административного доступа к домену и, как следсвие, зарегистированная CVE-2024-3183.

Ход исследования

1) Анализ механики аутентификации в FreeIPA

После получения учетной записи в домене с минимальными правами, было установлено, что система позволяет запрашивать TGS (билеты для аутентификации в сервисах) для любых пользователей через kvno, несмотря на отсутствие специальных привилегий. Однако стандартная атака Kerberoasting не сработала из-за особенностей FreeIPA.

2) Исследование механизма генерации соли для Kerberos

Было замечено, что FreeIPA использует нестандартный механизм формирования соли для ключей шифрования. Анализ исходного кода MIT Kerberos и перехваченных пакетов в Wireshark позволил выявить, что соль можно получить при первой ошибке преаутентификации (KRB5_TRACE).

3) Эксплуатация уязвимости и восстановление паролей

Скрипт на Python позволил перебрать пароли на основе захваченного TGS и полученной соли. После модификации hashcat, который не учитывал особенность соли в FreeIPA, удалось успешно восстановить пароль администратора домена.

4) Полная компрометация домена

После получения TGT для пользователя с минимальными привилегиями был выполнен запрос на получение TGS для администратора. Расшифрование тикета позволило восстановить пароль и получить полный контроль над инфраструктурой.

О найденной уязвимости было сообщено в Red Hat и MIT Kerberos. После анализа запроса разработчики подтвердили проблему и выпустили исправление в FreeIPA 4.12.1. Уязвимости присвоили номер CVE-2024-3183.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Раз bypass, два bypass» автора @snovvcrash

Не бойтесь подавать работы в эту номинацию, snovvcrash не заберет первое место третий год подряд, потому что в этот раз будет занят судейством 😉

Объект исследования

Средства защиты информации (AV/EDR) на Windows, анализ их механизма детектирования и поиск обходных техник для снятия дампа процесса LSASS.

Результат

Удалось разработать метод обхода антивирусных решений для скрытого получения дампа процесса LSASS и его парсинга без сохранения на диск. В процессе создана утилита SafetyNDump, основанная на NanoDump, Token Impersonation и PowerShell-обфускации.

Ход исследования

1) Анализ существующих методов снятия дампа LSASS

- Классические инструменты (Mimikatz, SafetyKatz) детектируются современными AV/EDR.
- NanoDump остается рабочим, но антивирусы начинают блокировать его по сигнатурам.
- Для скрытного выполнения потребовалась модификация токенов и обход ограничений PowerShell.

2) Разработка обхода защиты с помощью Token Impersonation

- Исследовался метод Token Duplication через tokenduplicator.exe, позволяющий получить SYSTEM-привилегии.
- В исходный код tokenduplicator внесены правки, чтобы запуск работал в неинтерактивных сессиях (Evil-WinRM, WMI).
- Новый вариант утилиты позволяет запускать команды от имени SYSTEM скрытно.

3) Запуск NanoDump в обход антивируса

- Использовалась техника CreateProcessWithTokenW для запуска NanoDump от SYSTEM без триггера антивируса.
- Вызов PowerShell через Resolve-DnsName вместо IEX(New-Object Net.WebClient).DownloadString(), чтобы избежать сигнатур детектирования.
- Дамп LSASS записывается в C:\Windows\Temp\debug.bin и моментально удаляется после парсинга.

4) Парсинг дампа LSASS без записи на диск

- Вместо Mimikatz использован MiniDump (модифицированная версия от cube0x0) для анализа дампа прямо в памяти.
- Добавлена обфускация кода с InvisibilityCloak, чтобы избежать детектирования на уровне памяти процесса.
- Код парсинга интегрирован в PowerShell-скрипт, загружаемый динамически.

5) Создание инструмента SafetyNDump

- Объединены все этапы:
1. Поднятие SYSTEM-привилегий через tokenduplicator.
2. Запуск NanoDump скрытно через PowerShell.
3. Парсинг дампа с MiniDump прямо в памяти.
4. Вывод извлеченных данных, моментальное удаление следов.

Полноценный текст с картинками доступен на Хакере 👈

🥇Следующий в подборке — кейс из номинации «Ловись рыбка» от автора @X0red.

Объект исследования

RDP и встроенные средства Windows (LOLBAS) для проведения социальной инженерии и проникновения в корпоративную сеть.

Результат

Фишинг через .rdp-файл привел к компрометации Active Directory: построен SSH-туннель, получен NTLMv2-хеш, реализована атака ProxyNotShell, извлечены пароли и получен полный контроль над инфраструктурой.

Ход исследования

1) Подготовка инфраструктуры и инструмента фишинга

- Создан RDP-сервер с публичным IP и доменом.
- Получен SSL-сертификат Let's Encrypt и использован для цифровой подписи .rdp-файла .
- Сформирован .rdp-файл с автологином и редиректом устройств, подписан и готов к рассылке.

3) Автоматизация начального доступа

- Использован pyrdp в MiTM-режиме для обхода аутентификации (автологин).
- При подключении к RDP, исполняется кастомное ПО MalRDP.exe, копирующее нужные файлы (включая OpenSSH) в директории пользователя.

3) Установка реверс-SSH-туннеля

- Созданы два ПО sshishing.exe и sshishing2.exe.
- Один файл поднимает SSH-туннель во внутреннюю сеть, второй — собирает информацию (net user /domain, ipconfig) и пересылает её через туннель.
- Одновременно триггерится запрос к внешнему ресурсу для утечки NTLM-хеша (через Responder).

4) Постэксплуатация и развитие атаки

- Через поднятый туннель выполнено сканирование внутренней сети.
- Обнаружен забытый и уязвимый почтовый сервер (ProxyNotShell).
- Утекший хеш позволил выполнить эксплойт, получить дампы SAM, SYSTEM, SECURITY, а позже — и сохраненные пароли из браузера.
- Найден пароль от учетной записи администратора AD, который привел к захвату инфраструктуры.

Полноценный текст с картинками доступен на Хакере 👈

🥇Замыкающий кейс в нашей подборке прошлогодних работ из номинации «Девайс» от авторов @n0um3n0n и @madprogrammer

Надеемся, эта серия постов вдохновила вас поучаствовать в #pentestaward 2025, анонс которой мы запланировали уже в этом месяце! ✨

Объект исследования

GSM-модем Cinterion EHS5, используемый в различных устройствах: банкоматах, автомобилях, индустриальных шлюзах и медицинском оборудовании.

Результат

Удалось обнаружить уязвимость переполнения кучи через SMS-сообщения (протокол SUPL), что позволило выполнять произвольный код с максимальными привилегиями на устройстве. Уязвимость получила номер CVE-2023-47610.

Ход исследования

1) Поиск уязвимости в GSM-модеме

- Исследован модем Cinterion EHS5 на базе процессора Intel X-Gold 625.
- Через съем NAND-флеш памяти получена прошивка.
- Обнаружена уязвимость переполнения кучи при обработке SUPL-сообщений (SMS).
- Переполнение происходит из-за несоответствия между длиной фрагмента и общей длиной сообщения, что позволяет записать данные за пределы буфера.

2) Разработка примитива чтения памяти

- При переполнении модем перезагружается, но через команду AT+XLOG удалось получить адрес сбоя и состояние регистров.
- Выявлено, что при падении в регистр R0 попадают контролируемые данные.
- Уудалось медленно считывать память модема (4 байта в минуту) через SMS.

3) Поиск примитива записи

- Проанализированы функции malloc и free в ОС ThreadX.
- Выяснено, что функция free может записать указатель на свободный блок по произвольному адресу, если подменить структуру Thread.
- Создана поддельная структура HeapBase, позволяющая записывать адреса с помощью free.

4) Эксплуатация уязвимости

- Реализован примитив записи в память через последовательность WAP SMS.
- После получения записи по произвольному адресу выполнен анализ кода ОС.
- Найдена точка вызова произвольного кода через структуру Thread.

5) Закрепление на устройстве

- Обнаружена возможность разблокировки памяти и изменение прав доступа на запись.
- Код для закрепления интегрирован в процесс UTACAT, отвечающий за обработку SMS.
- Разработан драйвер, позволяющий записывать данные в файловую систему и запускать произвольные приложения через SMS.

Полноценный текст с картинками доступен на Хакере 👈

Управление уязвимостями. Приоритизация рисков

Процесс управления уязвимостями включает в себя сбор и корреляцию данных, триаж, оценку рисков, приоритизацию угроз и принятие обоснованных решений об их устранении. Весь этот процесс можно разбить на несколько шагов, о которых мы рассказали в статье для @it_world_ru

Устранение критических уязвимостей должно проходить с учетом их влияния на бизнес-процессы, а использование и настройка средств защиты — основываться на данных об актуальных угрозах.

Подробнее о том, как этого добиться, читайте по ссылке 👈

Совсем скоро откроется сбор заявок на Pentest award 2025!🎊

Это отраслевая награда для специалистов по тестированию на проникновение. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие российского пентеста. Премия проводится уже третий год подряд.

⚡️Участников ждет много приятных новостей и новых номинаций!
Уже подготовили кейс к подаче?

#pentestaward
@justsecurity

Открыли прием заявок на Pentest award 2025!

💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.

Участие все еще бесплатное, а прием заявок продлится до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.

🥇Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.

Отправляйте заявки на сайте, участвуйте и побеждайте!

#pentestaward

〰️Новинки Pentest award 2025 года

Однажды учредив независимую отраслевую премию, мы взяли большую ответственность за развитие важного для сообщества ежегодного события. Мы делаем все, чтобы улучшать проект, увеличивать его влияние и гарантировать качество.

Приглашаем новых экспертов в жюри, чтобы применить в оценках самый разносторонний опыт, модернизируем критерии и систему оценки. Привлекаем партнеров, которые разделяют ценности проекта. Стараемся сохранять ламповое профессиональное сообщество, в котором одинаково полезно и приятно находиться. 

Премия становится лучше еще и за счет обратной связи участников. Например, еще в прошлом году, мы сделали работы обезличенными для жюри во время оценки. Разделили номинацию «Пробив» на «веб» и «инфру», отказались от нескольких непопулярных номинаций. 

⤵️А вот что по вашим советам внедряем в этот раз:

1️⃣Мобильный разлом — номинация за мастерство поиска уязвимостей и технических недостатков мобильных устройств и всё, что с ними связано. Все, кто просил у нас мобилки, пожалуйста, подавайте работы, покажите, на что способны!

2️⃣Out of Scope — награда за находки, которые выходят за рамки других номинаций, включая собственные инструменты, исследования, методологии и любые другие значимые достижения в сфере ИБ. 

Бывает, что достойный кейс, который хочется отметить, не выдерживает конкуренцию из-за рамок номинации. Мы решили убрать рамки и посмотреть что получится. Если ваш кейс не подходит под текущие категории, но заслуживает внимания —  эта номинация для вас.
Возможно, участники наметят новый тренд и создадут еще несколько «подноминаций» своими заявками. Мы только за! Поэтому не стесняйтесь и отправляйте все, чем можете похвастаться!

3️⃣Антиноминация «Осторожно, грабли!» — за самые ценные неудачи и полезные уроки в сфере ИБ. 

Столько раз участники предлагали сделать награду за самый грандиозный факап, ведь такого у каждого найдется с запасом. Мы несколько лет отклоняли эту идею, пока не придумали, как это может принести пользу. 

Антиноминация за антидостижения, здесь не будет привычных призовых мест — мы выбирем три самых поучительных примера, которые будут наиболее полезны сообществу. Победителям вручаются символические, но теплые подарки за вклад в коллективный опыт.

4️⃣Подключаем еще одну фишку «фаворит жюри», теперь у каждого члена жюри будет возможность выбрать понравившийся кейс и отметить участника по своему личному, только ему одному известному, принципу. Ну а что из этого получиться узнаем на церемонии награждения…

😐 Друзья, мы ждем ваши работы. Вклад каждого важен, вместе мы обогащаем сообщество опытом и повышаем уровень компетенций друг друга, все это влияет на развитие рынка и культуры оффенсив в России.

Оставляйте заявки на сайте —  https://award.awillix.ru/

#pentestaward

Вакансия в Авилликс! Ищем специалистов по тестированию на проникновение ❤

(удаленка)

Чем предстоит заниматься?

— Внешнее тестирование на проникновение;
— Анализ защищенности веб-приложений;
— Разработка рекомендаций (пошаговое описание сценариев компрометации).

Требования:

— Опыт проведения тестов на проникновение или анализа защищенности приложений от 2х лет;
— Отличное знание уязвимостей веб-приложений, включая, но не ограничиваясь, OWASP Top-10;
— Опыт работы с инструментарием по анализу защищенности: nmap, Nessus, Burp Suite, Acunetix, sqlmap, metasploit и т.д.;
— Чтение исходного кода минимум на одном языке: Java, PHP, Golang, C#, Python.
— Умение автоматизировать задачи, разрабатывать эксплоиты для эксплуатации уязвимостей.
Дополнительным преимуществом будет наличие сертификатов: OSCP, OSCE, OSEP, OSWE, eWPTX и т.п.

Условия:

— Работа в ИБ-компании, основатели которой сами являются пентестерами;
— Заработная плата выше рынка, как и требования к навыкам сотрудников;
— Прозрачная система бонусов;
— Участие в интересных и сложных проектах по пентесту в команде с топовыми пентестерами;
— Выделенное время на занятие индивидуальным или командным ресерчем;
— Непрерывное развитие и обучение за счет компании;
— Карьерный рост, возможность занять ключевые позиции в будущем.

Про Авилликс:

Считаем себя одной из лучших offensive-компаний на рынке кибербезопасности в России. Имеем статус ИТ-компании и Государственную аккредитацию деятельности в области информационных технологий. Работаем с крупными интернет-сервисами, финансовыми корпорациями, федеральными ритейл-сетями, организациями из промышленных и топливно-энергетических секторов. Ежегодно проводим pentest award.

Ищем тех, кто понимает преимущества оффенсива. У нас учатся новому и работают на интересных проектах. В нашей компании нет формальностей и строгих чек-листов для работы. Мы не заставляем зарываться в отчетах и не следим во сколько начинается рабочий день. Все что важно — это результат.

Исповедуем открытое мышление и ценим личную инициативу. У сотрудников есть неограниченное пространство для карьерного роста — стать ведущим специалистом или руководителем направления. Даем возможность развивать навыки под руководством менторов, оплачиваем международное обучение и сертификацию, выделяем время для исследований, помогаем друг другу всегда.

Отклики собирает @popsa_lizaa, смело пишите.

Встречайте! Новая номинация этого года «Мобильный разлом»: от устройства до сервера» ✌

Оценивается мастерство поиска уязвимостей и технических недостатков мобильных устройств, их операционных систем, клиентских приложений и взаимодействия с внешними сервисами. Включает в себя как традиционные смартфоны и планшеты, так и носимые устройства. Особое внимание уделяется подходам, которые учитывают особенности мобильных платформ (iOS, Android и других), их API, взаимодействие: с ОС, устройством и серверной инфраструктурой. В фокусе номинации — глубина анализа, сложность обнаруженных уязвимостей и новизна подходов к эксплуатации.

Номинация появилась благодаря Совкомбанк Технологии — Это ИТ-компания, аккредитованная Минцифры, входящая в Группу одного из крупнейших банков России. Компания разрабатывает корпоративные платформы, приложения и развивает экосистему карты «Халва». Внедряет передовые решения для защиты данных клиентов и банковских систем от киберугроз. Ценности команды — инициатива и развитие — очень созвучны с миссией Pentest Award.

Компания курирует сразу две номинации: «Мобильный взлом: от устройства до сервера» и «Девайс». Эксперт Совкомбанк Технологии Павел Чернышев, Red Team Lead, вошёл в состав жюри премии.

⭐️Оставляйте заявки на сайте — https://award.awillix.ru/

#pentestaward

Уже завтра — эфир про поиск уязвимостей и технических недостатков в номинациях «Мобильный разлом» и «Девайс».

🗓Когда: 16 мая в 10:30
📍Где: онлайн в тг-канале @justsecurity

Поговорим о новшествах Pentest award 2025, разберем примеры финалистов прошлых лет и поделимся интересными и полезными кейсами из собственного опыта. Ответим на вопросы участников премии.

〰️Спикеры:
Павел Чернышев — red team lead Совкомбанк Технологии
Александр Герасимов — сооснователь Авилликс

Регистрация не нужна, трансляция пройдет в канале @justsecurity