[Most Dangerous Town – Meet Tinkode]

Eu propun sa se faca un serial cu tinkode.

No more comments!!!!

Mai multe pe: In Search Of The Most Dangerous Town On The Internet

[[Challenge] Find the numbers - programming]

Voi nu ati tinut cont de niste lucruri....

Cand se face impartirea, trebuie sa luati float, ca daca luati int nu e buna solutia data de voi!

Cum ati scris voi asa, ar fi 27.645 de solutii, le-am facut un count.

Spre exemplu, am sa va arat ce s-a dat mai sus si rezultatul:

2 + 13 * 7 / 2 + 4 + 12 * 3 - 2 - 11 + 1 * 8 / 4 - 10 = 66.5

2 + 13 * 1 / 6 + 7 + 12 * 6 - 4 - 11 + 8 * 1 / 1 - 10 = 66.1(6)

6 + 13 * 4 / 6 + 3 + 12 * 6 - 6 - 11 + 4 * 8 / 8 - 10 = 66.(6)

...........

Daca lucrati cu float o sa aveti 258 de solutii in care gasiti rezultatul 66.0

z0 + (13*z1/z2) + z3 + 12*z4 – z5 -11 + (z6*z7/z8) - 10= 67

Daca puneti conditia (cum am pus si eu) ca cele doua impartitiri 13*z1%z2 == 0 si a doua impartire (z6*z7)%z8 == 0

O sa fie in jur de 50 de rezultate...

Voi ce faceti le gasiti pe primele 10 din cele 27.645 de solutii.... Eu le gasesc pe primele 10 din cele 50 de solutii..

[[Challenge] Find the numbers - programming]

mie mi-a dat:

--- 0.00197815895081 seconds ---

[[ WesternUnion China ] - Multiple Vulnerabilities]

In burp te duci pe Proxy -> Options, iar acolo ai "Match and Replace".

Apesi si tu ca un pentester ce esti pe butonul "Add" si setezi Type:"Response Header", iti faci regex si setezi replace-ul!

Imi dau seama din tot ce ai incercat sa explici ca esti foarte slab.

) Ce bypass ai facut ma?))) Ala e bypass?

Ce arbitrary file download e ala ma? )) ai de .... Afirmi "ce ne permite s? facem download la un tabel din baza de date" si zici ca e AFD

Inca odata, nu contest ca acele probleme sunt grave, chiar sunt foarte grave, dar habar nu ai sa le explici si mai ales sa le atribui o categorie corecta.

@TinKod

TU esti prost? Ai in video-uri informatii din baza de date de la western, iar tu le-ai lasat acolo cu o asa lejeritate?

BTW, voi ati vazut ce parole au aia de la western? Le mai tin si in clear text:))

[[ WesternUnion China ] - Multiple Vulnerabilities]

Trebuia din burp sa scoti linia "Location: login.php" si puteai vizualiza in browser.

Puteai face asta automat pentru fiecare request.

[[XSS] McAfee Gateway]

Felicitari, e foarte tare!

De multe ori administratorii de retea pun restrictie la .zip, .exe, etc si cred ca poti sa il executi cam in orice site.

Dar nu cred ca e de la "Content-Type:text/html", nu prea are cum.

Eu cred ca au filtre de fac un url decoding de vreo doua ori + unicode si de aceea a mers.

Filtrele le folosesc pentru WAF-uri, reguli in ceea ce priveste URL-urile (ceea ce ai gasit tu).

[PP Stored XSS]

Nu mai e greu de creat pagina:D, putin bit flip pe CBC si am trecut de security checks

[PP Stored XSS]

Eu nu am mai trimis de multa vreme un raport la ei.

Am trimis la sitesecurity@p**p**.com.

E ok?

Am vazut ca au si ceva pe https://www.bbt.ebay.com/bbt/.

[PP Stored XSS]

Dupa o zi de munca continua am gasit o metoda sa inserez orice cod html doresc.

E foarte greu de creat pagina aia, dar si cand o faci !!!!

Astept raspuns de la ei....

Sunt curios in cat timp raspund

EDITED:

Gata, au rezolvat si am luat si bounty-ul.

Era vorba de cum criptau ei informatia care duceau catre un fisier incarcat de tine, mai multe cititi pe:

Malicious Stored XSS Vulnerability in PayPal, Find Bitdefender Researchers | Bitdefender Labs

[**ionalisti.ro]

Ieri citeam topicul "Organiza?iile ?ig?ne?ti ?i maghiare nu au loc de români", topic inceput de wirtz.

Dupa ce am citit toata conversatia din topic, am intrat pe Nationalisti.ro — National - Social - Radical ca i-am vazut site-ul in semnatura de la user.

Imediat ce am intrat mi-a aparut un banner cu capul de lup dacic si un mic "x" sa pot inchide acel "popup". Pe site am citit printre randuri putine informatii si am iesit!

Astazi cand am intrat pe facebook am vazut pe timeline feed de la pagina acestuia de facebook.

Am zis "WtF?!"!!!!

Mi-am accesat activity log si ce sa vezi? i-am dat "like" la pagina de facebook! M-am prins imediat ca e vorba de acel banner stupid.

I-am vizitat din nou site-ul cu un nou ip si cookie-uri fresh, m-am dus cu mouse cursor pe acel "X", si ce sa vezi?

Request facut in burp:

POST /plugins/like/connect

Host: fb.....

fb_dtsg=***********&href=https%3A%2F%2Ffacebook.com%2Fpoporulroman14&action=like&

Am intrat pe https://facebook.com/poporulroman14 si are 45k like-uri o_O....

Am o simpla intrebare.

Cine e tigan acum???

[5 x [XSS] mail.yahoo.com]

Facebook si Google sunt printre cei mai seriosi.

Nu se mertia sa cauti la altii! Isi bat joc munca ta print astfel de abordari.

Nu ai sa vezi asa ceva in main website la google si fb!

CUM SA LASI MA XSS IN PRODUSUL TAU PRINCIPAL !?

[Security flaw gave researcher the power to erase every video on YouTube]

Probabil i-au dat 5000$ pentru ca problema a fost descoperita in timpul grant-ului!

Grantul puteti sa il vedeti ca un pentest. Din cate stiu, google nu te plateste pe cate bug-uri gasesti sau cat de grave sunt.

Daca la sfarsitul grantului nu gasesti nici o problema, tu tot iti iei banii!

I-au dat 5000$ ca sa nu descurajeze programul de grant research!

["Cei 3 .....","Primii 3"]

Din categoria "Stiati ca?"...

Have fun:

Cyber Smart Defence: Ocup?m locul doi în lume în zona de hacking; cea mai bun? „?coal?“ din ?ar? este în Vâlcea | Ziarul Financiar

[Kaspersky Lab: un adevarat arsenal malware activ de 20 de ani este mai periculos deca]

Eu nu am inteles o chestie, cum scoteau ei informatiile?

Totusi aveau doua alternative:

- acces fizic la HDD;

- prin retea; (nu sunt sigur ca asa faceau)

[The Agents Network (sau date persronale despre cativa de pe RST)]

Nu inteleg de ce s-a chinuit sa puna niste date deja stiute de multe persoane de pe forum!

E evident ca tipul are o problema daca nu personala atunci cu capul.

Sa nu faceti prostia sa incercati sa spargeti acel website, poate asta e si ideea!

[Ilike IT 12 Dec]

Ideea din spate e buna, e ok ca oamenii sa fie informati de pericolele unui panou de administrare.

Dar sa vii sa arati cum ai intrat tu in nus ce gradinita si nus ce camera de la magazin, nu prea e profi!

Eu ma intreb de ce nu si-a instalat un astfel de sistem, sa fie al lui si sa faca acel demo!

[Ilike IT 12 Dec]

Stati asa, mai avea ceva de aratat, dar nu l-a lasat Buhnici...

Ma intreb ce dorea sa mai arate. Cel mai probabil spital, azil de batrani ceva!

[Ilike IT 12 Dec]

Intra lejer la instigare ... mai ales ca daca va uitati atent la video, au lasat adresa IP necenzurata in address bar.

El nu vrea sa zica ce tara a ales, dar cum ai zis tu a lasat adresa IP (IP de Georgia) in address bar si pe imaginile prezentate scria clar "from Georgia.... "

Voi va dati seama ce hackeri sunt ei ca ne prezinta cum se sparg camerele de la gradinita si cum umbla ei cu "scriptulete"?!

[Ilike IT 12 Dec]

iLikeIT. Primul lucru pe care trebuie sa-l faceti urgent, daca aveti instalata acasa o camera IP de supraveghere

Madalin Dumitru, manager la CyberSmartDefence, a intrat neautorizat, totul live la PRO TV, intr-o camera de la un magazin din Georgia!

Dupa ce a explicat ca a facut el niste "scriptulete" sa gaseasca foarte multe ip-uri vulnerabile, Madalin a ales cateva IP-uri si a prezentat publicului larg cum a reusit sa sparga sistemul de securitate de la o gradinita, drept pentru care a prezentat si imagini din interiorul gradinitei!

Daca tot mai sunt "unii pe forum" ,oare se sesizeaza cineva?

Prin incercarea lor de a demonstra cat de "tari" sunt ei, au intrat fara autorizare pe consola de administrare la o camera de luat vederi a unui magazin din Georgia folosind credentialele default. Mai mult, au aratat si imagini din arhiva acelui sistem.

Asta da exemplu clar de "ASA NU!"

Cum era aia cu "Noi suntem etici!"?

Mi-a placut de Buhnici: "Si cam atat, altceva nu puteti sa faceti mare lucru, nu?!"

[[Stored XSS] mail.yahoo.com #2]

Hai cu lada de bere, ca tot le-ai luat banii la aia de la Yahoo /..

Is jegosi rau astia de la yahoo, nici nu merita sa cauti la ei.

Feriti-va de yahoo si paypal[ alti ingramaditi ].

In rest , e ok...

Cum a zis si sleed, nu cautati in paypal. Sunt cei mai jegosi!

In general sa va feriti de cei care raspund greu. Cand se raspunde greu la un raport implicit sansele ca la acel bug sa primesti "duplicate" sau "can't be reproduced" cresc considerabil.

[Dorel cu pompierii!]

E monumentala faza de la sfarsit!

Nu e vina lui, dar nu ii da prin cap sa puna in geam un numar de telefon?!

[Stați aici pe forum? Procurorii vă pot fute]

Au vazut cum a operat unii pe serverele NASA si au zis ca putty e facut pentru "hackerii negrii"!

[Minecraft-ul iti face viata grea.]

Chiar nu vreau sa fiu inteles gresit, drept pentru care am sa explic.

Sa stii ca nu am ras ca meseria lui e sa faca mobila.... Probabil nu ai vrut sa imi zici asta, dar le explic la restul ca sa inteleaga.

Apropo de meserii, nu am confirmare ca e cine cred ca e, dar mi se pare dubioasa activitatea lui si de aceea am intervenit.

Mi s-a parut ciudat ca s-a inregistrat doar sa discute pe Offtopic si sa se intereseze de useri care au legaturi cu keyloggere, server de rat, cc-uri, etc.

In alt thread inceput de el ne zice: "Lucrez intr-un domeniu in care depun un efort mare, ma poate afecta asta?" si ca vrea sa faca sport si are nevoie de sfaturi in ceea ce priveste ce fel de sport sa faca.

Inca odata, intentia mea nu e sa rad de meseria lui, ci doar sunt lucruri care nu se leaga. Si cu totii stim ca pe forum exista useri care sunt de la servicii secrete si e bine sa avem dubii (chiar daca niciodata nu putem avea o confirmare).

[Minecraft-ul iti face viata grea.]

Eu mai fac mobila la comanda cateodata si azi a venit unu si mi-a zis sa ii fac niste scaune, eu pana acum am tot facut scaune in stil rustic, dar clientul asta a cerut ceva modern.

Apropo de meserii, pe langa mobila la comanda tu ce mai faci cateodata?

Mai in gluma, mai in serios, oricum nu sunt ironic, dar sunt curios...

A, da, am gasit -> "......Lucrez intr-un domeniu in care depun un efort mare, ma poate afecta asta?......." oare care sa fie acest domeniu? facut mobila la comanda?!

M-am uitat superficial la activitatea ta pe forum si a iesit ca ai postat numai la Offtopic, Discutii-nonIT si Ajutor. Te interesezi de useri care umbla cu keylogger, stealer si alte "hack-uri".

[Klaus Iohannis este noul presedinte al Romaniei!]

Daca nu isi bateau joc de romanii din diaspora sa-mi bag pula daca ma duceam sa il votez pe Iohannis. A fost atat de nesimtita manevra asta cu diaspora incat mi-am incalcat promisiunea doar ca sa le trag la muie.

@Pentru astia care cred in zana maseluta si regatul de aur + Poneii roz

Azi pe unde mergeam auzeam "Victorie....!" LA CE DRAQ VICTORIE MA? Ca nu a iesit un hot dar a iesit altu?

Am avut nenorocul sa vad oameni la care aveam pretentii sa zica "Si dupa 25 de ani de conducere PSD ne-am luat tara inapoi!....." O sa imi fac o tema in a analiza cum de s-a ajuns la spalarea asta de creier, pentru ca aici e mana de profesionist in a manipula oameni cu facultate, doctorat, etc (in genere oameni considerati destepti intr-o societate ca cea din Romania).

Incredibil ce am putut sa vad in ultimile zile pe site-uri, facebook si alte surse de "informare". Cum draq sa credeti mizeria asta ca lucrurile se vor schimba de acum in colo in bine?