Dragos

wp_head e o functie https://developer.wordpress.org/reference/functions/wp_head/. Incearca wp_head() pe linia 65 in loc de wp_head.

Pentru BRD a venit azi un mail cu detaliile de aici https://www.brd.ro/sca

Nu stiu daca a fost raportat deja atacul, scriptul pare a fi din perioada 2016-2018, dar, din ce m-am uitat peste el, face request-uri cu user agent de IE 7 pe Windows 7 si asteapta comenzi de la urmatoarele C&C: giftmall.xyz plfongoods.xyz jormedmall.xyz dsnycesale.xyz oedipegoods.xyz Domeniile sunt cu nameservere de Alibaba dar puncteaza catre IP-uri de Linode. Toate domeniile sunt inregistrate cu nume de americani (se vad pe whois). Site-urile, daca le accesezi, afiseaza o pagina de login in chineza. Chestia asta plus faptul ca o parte din script e in chineza ma fac sa ma gandesc ca atacul e din China. Am gasit in cache-ul de Google alte C&C-uri cautand dupa "define("GETDOM",getthisdom());": taxcupdigital.xyz wydingtrans.xyz satpoaweb.xyz recaeldata.xyz crsrefcenter.xyz vipeeshost.xyz webintsoure.xyz lokvaldigital.xyz hnosostrans.xyz hozemoweb.xyz datascenter.pw japandata.pw digitalja.pw datatrans.pw digitalnetwork.pw eatmhgdata.xyz tqmgrpcenter.xyz avordesoure.xyz gulbendigital.xyz tignoltrans.xyz

Astia nici nu au intrat bine in functie si vor sa mai faca un ban la ruleta?

Ii invatati pe copii sa faca prostii. Faptul ca fac un ban sau primesc o cafea de la un coleg intr-o pauza de tigara pentru o invitatie pe Filelist nu genereaza probleme, dar o pagina de Facebook sau o postare pe un forum e considerata vanzare cu caracter de continuitate. Faptul ca ANAF vrea sa se uite la asta sau nu vrea/nu are timp/chef/bani de investit e alta problema Este mai mult sau mai putin la fel cu vanzarea de tigari la bucata, e ilegala (printre altele) pentru ca nu se plateste TVA catre stat. Hai sa zicem, daca omul vinde invitatiile, cum primeste banii? in mana -> e pandemie, plus ca la cati oameni din bloc/de la munca/scoala/etc. poti sa vinzi care nu au deja un cont? Aici ar fi considerata vanzare ocazionala. prin banca -> banca te suna dupa un timp daca primesti in continuu"donatii" cu aceeasi suma sau multiplu de o suma si iti cere sa-i justifici prin Paypal -> Paypal te verifica cand atingi un prag, iti blocheaza banii si te pune sa-i justifici prin Revolut -> la fel ca Paypal, Revolut iti blocheaza banii si te pune sa-i justifici, dar iti cer si 15 000 de hartii legalizate de notar prin cryptocurrency -> in momentul in care transferi banii de pe un site de BTC/ETH/etc., majoritatea bancilor iti blocheaza suma pentru ca nu agreeaza venituri din crypto Daca gaseste unul din staff-ul lor problema asta cu invitatiile pe bani si se decide sa baneze toate conturile invitate plus pe cel care i-a invitat, o sa fie o distractie cu toti care o sa-i ceara banii inapoi, mai ales daca e printr-un serviciu online. Cum o sa justifice banii care ii sunt acum ceruti inapoi? Stiti, am un site care defapt nu agreeaza vanzarea de invitatii, dar am decis sa fac si eu un ban si acum mi-a blocat accesul si mie si lor. La asta ma refer prin faptul ca invitatia nu va apartine in scenariul vanzarii.

Pe langa faptul ca e ilegal din punct de vedere al evaziunii fiscale (vinzi un produs fara a plati taxa catre stat), vinzi si ceva ce nu iti apartine. Daca vrei sa faci un ban, invata unul, doua limbaj de programare, fa voluntariat pentru a castiga experienta (1-2 ani pe perioada facultatii de exemplu) si dupa poti sa te angajezi pe un salariu de minim 1000 euro.

CTS/Compatibility Test Suite is usually used by IDEs to connect to the phone and show how an application that is in development would run. You can find details here. Have you connected your phone to the computer in the past days to do this sort of tests? If not, did you buy the phone second-hand? The previous owner might have done this and forgot to remove it. I am not using Android and am not sure if this comes by default pre-installed.

Asta mi se pare mai plauzibil decat asistenta https://twitter.com/TerpsTube/status/1339763308044443650 LE: Video-ul cu asistenta aparent e pe bune, dar e din cauza ca are alte probleme de sanatate https://www.washingtontimes.com/news/2020/dec/17/nurse-faints-after-getting-covid-vaccine/

Din ce citesc la ei pe site https://www.cel.ro/retur, ar trebui sa onoreze returul si sa-ti dea banii inapoi. Daca le-ai dat un cont bancar in care sa-ti vireze banii platiti pentru storcator si totusi nu te baga in seama, fa reclamatie la ANPC http://reclamatii.anpc.ro/reclamatie.aspx

Reversing - The Encryptor (Nytro) https://github.com/RSTCon/ctf-the-encryptor

Pwn - Animalul preferat (Nytro) https://github.com/RSTCon/ctf-animals-pwn

Dat fiind faptul ca a fost un val recent de oameni noi care si-au facut cont doar a cere o invitatie de Filelist, am adaugat un motiv nou in regulament pentru care se poate primi avertisment. De asemenea, daca aveti nevoie de vreo invitatie pe vreun site sau daca puteti da, postati aici. Topicul e sticky in sectiunea Off-topic >> Discutii non-IT. Orice alt topic facut pentru a cere invitatie pe vreun site va fi ori mutat sub topic-ul de invitatii, ori sters.

Daca aveti nevoie de vreo invitatie pe vreun tracker, alte forumuri sau alte site-uri sau daca puteti sa dati invitatii pe vreunul din acestea, postati mai jos. Orice alt topic creat pentru a cere invitatii va fi mutat sub acest topic sau va fi sters. Cateva reguli de bun simt: Nu cereti in acest topic daca aveti cont nou creat pe forum. Va fi penalizare la nivel de warning, plus ca nu o sa se riste nimeni sa va invite si sa-si piarda contul daca faceti prostii. Nu cereti de mai multe ori invitatie pe acelasi site, daca este cineva dispus sa va dea o invitatie, va va trimite un pm cu mai multe detalii/cod invitatie/etc.. Nu va lasati adresa de email ca reply daca nu vreti sa riscati sa fie indexata de boti si sa primiti spam dupa-aia. Se aplica aceleasi reguli ca pe site-ul unde se invita userul, spre exemplu nu se accepta vanzarea de invitatii Filelist. Nu vor fi acceptate invitatii spre site-uri ce faciliteaza frauda online sau bancara. Spor la invitatii

Facutul mastilor va fi inca un al cel putin unul din cele mai bune business-uri, mai ales dupa ce mai toti marii responsabili de gestionarea pandemiei au zis ca masca trebuie purtata si de oamenii vaccinati. Chiar, daca vreti idee de business de actualitate, investiti in camioane si lazi frigorifice pentru transportul vaccinului. Sunt 10-11 milioane de oameni cel putin care ar trebui sa se vaccineze in tara si vaccinul nu o sa ajunga prin magie la doctorii lor

A dat Google un RCA ca un anunt in ziar https://twitter.com/googlecloud/status/1338493015145504770 EDIT: Un RCA ar trebui sa aibe urmatoarele: Ce s-a intamplat authentication system outage e prea generic e vorba de accounts.google.com care pare sa fie IDP-ul pentru serviciile Google? e alt serviciu? Cand a fost descoperit aici e ok, 3:47 AM Pacific De ce s-a intamplat storage quota issue e iarasi prea generic au uitat sa curete cache-ul? au uitat sa cumpere servere? a fost altceva care le-a umplut spatiul? ce a fost? Cand s-a rezolvat aici e ok, 4:32 AM Pacific Ce au facut pentru a preveni asta pe viitor au pus mai multe servere? au pus un script sa curete cache-ul? au impartit traficul pe mai multe servere care fac autentificarea?

Yahoo! nu prea a oferit niciodata suport gratis, exceptie fiind doar pentru power useri in momentul in care s-a lansat Y!M 9. Cam singura varianta sa vorbesti cu cineva de la ei e sa iei abonamentul tech support de aici https://www.yahoo.com/subscriptions/products/yahoo-plus-support-help.

Web - Platforma Intranet (Dragos) Requirements to run the challenge web server with PHP 7.2 or later openssl PHP module Installation copy files and deploy them on the web server add the server's hostname as a Trusted Origin in the Okta tenant used update the callback URL in index.php and in Okta tenant https://github.com/RSTCon/ctf-web-intranetplatform Nota: Pentru a rula challenge-ul local, va trebui: sa creati un tenant de Okta de aici sa creati o aplicatie de OpenID Connect in Okta (Admin >> Applications >> Add Application) sa adaugati callback URL-ul in index.php sub tab-ul General in tenant si userul vostru sub Assignments sa adaugati hostname-ul de la server (ex. localhost) in Trusted Origins cu optiunea de Redirect (Admin >> API >> Trusted Origins) sa setati callback url-ul in index.php sa fie identic cu ce ati setat in Okta Daca aveti probleme cu setarea challenge-ului local, dati-mi un pm.

Web - Motorul de cautare pentru vulnerabilitati (Dragos) Requirements to run the challenge web server with PHP 7.2 or later Installation copy files and deploy them on the web server https://github.com/RSTCon/ctf-web-vulnerability-search-engine

Web - Aresty File Uploader (Dragos) Requirements to run the challenge web server with PHP 7.2 or later Installation copy files and deploy them on the web server https://github.com/RSTCon/ctf-web-aresty-file-uploader

Misc - Ceainicul (Dragos) Requirements to run the challenge web server with PHP 7.2 or later Installation copy files and deploy them on the web server https://github.com/RSTCon/ctf-web-teapot

Mai jos vom posta sursele de la challenge-urile de la CTF-ul RSTCon #1.

Aresty File Uploader Analizand sursa HTML a paginii, vedem ca formularul de incarcare al fisierului nu contine enctype="multipart/form-data", asa ca renuntam la ideea de a incarca un fisier pe server. Challenge-ul presupune accesarea fisierului “flag.php”, asa ca putem incerca un LFI clasic file://flag.php care ne va da flag-ul:

Ceainicul In momentul in care accesam URL-ul challenge-ului, primim un JSON cu un mesaj de eroare: [dragos@localhost ~]$ curl --location --request GET 'http://vps-f9a499e6.vps.ovh.net/' {"raspuns":400,"mesaj":"Alegeti optiunile corecte pentru cafea."} Dupa ce schimbam verb-ul in OPTIONS, primim un nou mesaj: [dragos@localhost ~]$ curl --location --request OPTIONS 'http://vps-f9a499e6.vps.ovh.net/' {"raspuns":418,"mesaj":"Eu sunt un ceainic. Tu esti un ceainic?"} Una din cele mai simple modalitati pentru a trimite identitatea clientului este prin header-ul User-Agent, asa ca il adaugam la request si primim un nou mesaj: [dragos@localhost ~]$ curl --location --request OPTIONS 'http://vps-f9a499e6.vps.ovh.net/' --header 'User-Agent: ceainic' {"raspuns":400,"mesaj":"Nu ai adaugat corect ingredientul pentru cafea sau l-ai adaugat incorect. Foloseste Accept pentru a-l adauga."} Adaugam header-ul Accept la request si primim un alt mesaj: [dragos@localhost ~]$ curl --location --request OPTIONS 'http://vps-f9a499e6.vps.ovh.net/' --header 'User-Agent: ceainic' --header 'Accept: e' {"raspuns":200,"mesaj":"Esti aproape, literele introduse sunt in ingredient."} Dupa diferite incercari, gasim flag-ul corect: [dragos@localhost ~]$ curl --location --request OPTIONS 'http://vps-f9a499e6.vps.ovh.net/' --header 'User-Agent: ceainic' --header 'Accept: RST{eeff5afef66df62b9aac370c3f3b9b7c16e7e3c809297092b461b5718497f077}' {"raspuns":201,"mesaj":"Cafeaua este gata."}

Liftul Challenge-ul ne ofera trei seturi de numere binare care pot fi scrise unul sub altul, in forma urmatoare: 1010101001101010 0110110010101001 0000100000101000 Fiind trei randuri si un numar par de cifre pe fiecare rand, putem incerca sa vedem daca textul este Braille. Folosind tabelul urmator si separand numerele in grupuri de cate 2 cifre si trei randuri, ajungem la rezultatul urmator: 10 10 10 10 01 10 10 10 01 10 11 00 10 10 10 01 00 00 10 00 00 10 10 00 e b r a i l l e Urmarind nota din descrierea challenge-ului, codam textul “ebraille” in SHA256 si adaugam RST{ si }, obtinand flag-ul RST{5bf2896f28f6fe0d66d5e52e3d239de5a86252e8cbf027bb911b3bb84a683282}.

Platforma Intranet In momentul in care accesam pagina challenge-ului, vedem in footer ca putem folosi credentialele guest:guest. Dupa ce ne-am logat in platforma, avem in sidebar optiunea “Administrare”. Accesand pagina, primim urmatorul mesaj de eroare Mergand inapoi la pagina de acasa, vedem cateva informatii despre ultimele update-uri. Ceea ce ne intereseaza este urmatoarea parte: - created a new logic that would verify the JWTs automatically using the following steps: - verifies the JWT structure - checks for the algorithm to be exactly RS256 - checks IAT and EXP claims to that JWT is in proper boundaries - takes the signing keys (n and e) based on the issuer present in JWT - verifies the signature based on the signing keys received Pe scurt, JWT-ul este verificat in functie de issuer-ul prezent in token. Dupa o delogare, deschidem Network tab si urmarim request-urile trimise pentru login. Vom vedea ca aplicatia foloseste implicit flow pentru a cere un access token care este trimis pe login.php. Pentru a simula acelasi request, am creat un tenant similar pe care il utilizeaza si aplicatia si folosit un request identic pentru a genera urmatorul JWT care are userul asteptat de aplicatie: eyJraWQiOiJ4VWhFTzFzYVhqSTJaM2M3a08tZ3hTMjlfQWtNa202QlNsNXRXY1pPbmVzIiwiYWxnIjoiUlMyNTYifQ.eyJ2ZXIiOjEsImp0aSI6IkFULll6d1JYaG0wQVNHQWRtVmxBanFZcHlfWjJOank5MXhOUTJHUU4wMktrN0kiLCJpc3MiOiJodHRwczovL2RyYWdvcy5va3RhLmNvbS9vYXV0aDIvZGVmYXVsdCIsImF1ZCI6ImFwaTovL2RlZmF1bHQiLCJpYXQiOjE2MDYxMjYzNjYsImV4cCI6MTYwNjEyNjY2NiwiY2lkIjoiMG9hMmZhdHg3MEpHaVUyVEEycDciLCJ1aWQiOiIwMHVvemJnYzAzd3pxb2FYcDJwNiIsInNjcCI6WyJvcGVuaWQiLCJlbWFpbCJdLCJzdWIiOiJpdEBhd2Vzb21lY29tcGFueS5jb20ifQ.IkdKksUZvOJeyKpCY2obaOQbTSri7PQ0460YF0qgl8lWy_Pv2HzDx2-tj_w626TJfeSlwe6AzEK6WFtSfMeOY8qTMK5bp0uv9nZ0HAooxyGoXD2NQFZdXtTjGhtwjGFhB6ay1RN9iYd70dZCRbS21OHM6ExT75dyeZk9oPZ7g9D8JwtnC6xz4-Se2A0KQ7lL6TRNePuu0pkcXIuuz4bQpWc-KfW-TEVLzWkFK4f9mKxglAZY6SyXfxtsr1gm4qATjAmlFdJiwqx1Ts7-i-dcT29ypOYQKDnMXiGU1f_Aidy3BvPqDWJAW1muezEbGk1hOFYth1zrZKOv3I5IQ3DDGg Dupa ce am injectat token-ul pe login.php, platforma ne conecteaza cu succes. Navigand in pagina Administrare, vedem ca suntem conectati cu userul it@awesomecompany.com. Uitandu-ne in sursa paginii, gasim si flag-ul.