Jump to content

dancezar

Active Members
  • Posts

    981
  • Joined

  • Last visited

  • Days Won

    20

Everything posted by dancezar

  1. Daca nu are permisiune in manifest nu o sa poata face call-uri, iar daca ai suspiciunea ca pe o versiune mai veche nu se aplica, atunci incearca pe versiunea aia si vezi daca e posibil... in cazul in care vrei sa fii sigur poti sterge codul care face treaba aia si sa urmaresti in Logcat ce erori apar ca urmare. Ai pe net tot ce-ti trebuie, cum sa te conectezi la adb si cum sa citesti logcat. Sau in loc sa stergi complet codul care face call/sms, poti sa inlocuiesti codul din functie cu ceva dummy (pastreaza definitiile, parametrii si return value), pentru ca daca stergi tot s-ar putea ca alta clasa sa referentieze functia aia dinamic si sa nu poata pentru ca nu mai exista.
  2. https://pdfhost.io/v/7OHky6HK_g2a_exploitpdf.pdf https://anonfile.com/Z8Je89Cbn4/Timezone_Script_txt Chiar ma intrebam, de ce era nevoie ca JS-u sa fie ofuscat, avand in vedere ca timezone-u se schimba destul de usor, e putin cam overkill sa incerci sa ascunzi asta. Oricum scriptu nu face nimic cu timezone-u ci doar schimba adresa BTC de la checkout. Dar stati linistiti, daca trimiteti cel putin 0.005 btc la adresa aia, o sa primiti refound imediat si produsul pe email! Tf is wrong with you
  3. Degeaba le "schimbi" in printf-ul ala Ce sens ar avea sa primesti parametrii aceia din stdout...
  4. Nu intelegeam toate datele problemei si de asta am intrebat. Si eu am conturi pe ambele magazine dar nu am primit nimic inca. Totusi nu pare sa fii singurul care a primit mesajul. Din ce inteleg parolele sunt obtinute din leakuri publice dar daca zici ca nu corespunde parola deloc, inseamna ca exista totusi posibilitatea sa fi fost obtinuta de la acele magazine, asta daca cineva mai confirma acelasi lucru. Este interesant de vazut criteriul dupa care alege emailurile catre care sa trimita, un singur email poate aparea si in zeci de leakuri, cum stie care dintre acele parole sa le trimita. https://www.bitcoinabuse.com/reports/1PwENLsmQ2Z6b4EJfXDeeXKBj9v878uHRf
  5. Hai sa nu ne primim cu conluziile. Esti 100% sigur ca nu esti infectat, sau ai fost? In cazul incare ai fost, poate nu stii exact intervalul de timp in care s-a intamplat asta si te-ai logat pe respectivele site-uri. Daca nu, foloseste haveibeenpwned sa vezi in ce leak-uri apari. Daca vrei si rezultate concrete poti folosii http://weleakinfo.com/ in schimbul al unei sume modice. Daca o parola de genul "rstforums" este leaked, nu este foarte greu sa se ajunga la "Rstforums123!", just saying.
  6. Interesant, posteaza mai multe detalii despre cum ai gasit ce ai gasit si unde din moment ce a fost reparat.
  7. E in functie de unde sunt afisate reclamele, nu conteaza unde este facut contul. CPM-ul depinde de publicul tinta care te vizioneaza.
  8. Skype se "demoda" oricum, nu s-a demodat fiindca a fost achizitionat de Microsoft... Au aparut alte alternative si de aceea Skype nu mai este optiunea primara pentru multi utilizatori cand vine vorba de voice call sau chat.
  9. try unde e posibil sa apara eroare, except continue?
  10. Acel token se schimba mereu nu e static, si este legat de o sesiune "PHPSessid". Trebuie sa faci un CookieJar iar toate cookie-urile din primul request sa fie trimise si catre al doilea request. Daca am timp si nu reusesti o sa il scriu si in c#.
  11. C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\VC\Tools\MSVC\14.10.25017\bin\HostX64\x64>dumpbin /imports D:\test.exe Microsoft (R) COFF/PE Dumper Version 14.10.25019.0 Copyright (C) Microsoft Corporation. All rights reserved. Dump of file D:\test.exe File Type: EXECUTABLE IMAGE Section contains the following imports: KERNEL32.dll 41E218 Import Address Table 41E050 Import Name Table 0 time date stamp 0 Index of first forwarder reference AB CreateProcessW D4 DeleteCriticalSection EF EnterCriticalSection 11E ExpandEnvironmentStringsW 15F FormatMessageA 18B GetCommandLineW 1C4 GetCurrentProcess 1C5 GetCurrentProcessId 1C9 GetCurrentThreadId 1E0 GetEnvironmentVariableW 1E2 GetExitCodeProcess 203 GetLastError 214 GetModuleFileNameW 215 GetModuleHandleA 245 GetProcAddress 263 GetShortPathNameW 265 GetStartupInfoW 27B GetSystemTimeAsFileTime 288 GetTempPathW 297 GetTickCount 2EB InitializeCriticalSection 326 LeaveCriticalSection 329 LoadLibraryA 32B LoadLibraryExW 355 MultiByteToWideChar 393 QueryPerformanceCounter 415 SetDllDirectoryW 41B SetEnvironmentVariableW 467 SetUnhandledExceptionFilter 474 Sleep 482 TerminateProcess 489 TlsGetValue 496 UnhandledExceptionFilter 4B6 VirtualProtect 4B9 VirtualQuery 4C2 WaitForSingleObject 4DA WideCharToMultiByte msvcrt.dll 41E2B0 Import Address Table 41E0E8 Import Name Table 0 time date stamp 0 Index of first forwarder reference ...... Dar asta ai incercat? http://www.dependencywalker.com/help/html/hidr_command_line_help.htm
  12. Uite faza, in pagina HTML din anunt exista un token: <script>var phoneToken ='...';</script> Asta e folosit in request-ul: https://www.olx.ro/ajax/misc/contact/phone/6u9qo/?pt=4a124a3ce5aa3a4e734101e05b2d19e4d85447793dcabe3f73f7f6c6ae20481600f57e7acf440bd9f9b79e458d44e1507e33e8b4d47b9af6fad8fb2e1798ac6a Token-ul pe care il agati cu un regex il introduci in URL si in cookie fiindca altfel iti va da numarul gol. Ca si proof of concept, uite ceva schitat in python: import re import requests ID="6u9qo" url='https://www.olx.ro/oferta/realizare-site-web-de-informare-si-profesionale-domeniu-webhosting-ID'+ID+'.html' s=requests.session() first=s.get(url,headers={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"}) html=first.content token=re.findall("var phoneToken = \'(.*?)\';",html) if len(token)==0: print 'token...' exit() token=token[0] print token s.cookies.set('pt',token) request_nr=s.get('https://www.olx.ro/ajax/misc/contact/phone/'+ID+'/?pt='+token,headers={"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"}) html=request_nr.content print html Ce nu trebuie sa uiti este sa bagi o sesiune.
  13. Inainte sa dai click pe buton, pastreaza intr-o variabila innerHTML-u butonului, dupa ce dai click pe buton fa un while care verifica daca innerHTML-u e diferit de cel pe care l-ai memorat inainte, daca e diferit dai break. Sau vezi care e request-ul ce iti da numarul de telefon si il construiesti manual.
  14. S-a mai discutat despre asta recent:
  15. https://thehackernews.com/2018/02/malware-author-jailed.html
  16. Sa o lasi balta, daca ala poate modifica text-ul dintr-un binar o sa poata sa il modifice cu sau fara obfuscare. Daca totusi vrei sa "obfuschezi" string-urile sa fie mai greu de modificat..., baga-le un xor cu o cheie si cand le afisezi bagi faci xor din nou cu acea cheie. Ar trebuii sa fie putin mai greu de modificat pana se prinde ce ai facut acolo.
  17. #!/usr/bin/python la inceput
  18. Daca esti in reteaua potrivita cu setul de credentiale potrivite da, poti. Obtine astea 2 si apoi revin-o, pana atunci nu avem cu ce sa te ajutam. Nu ai oferit nici-un detaliu tehnic ca de exemplu ce camera e aia ca asa camere de lift sunt sute. Apoi mai gandeste-te ca este ilegal ce vrei sa faci.
  19. Pai ce mai astepti? Incearca...
  20. http://phantomjs.org/
  21. Am folosit termenul gresit sorry
  22. Ca sa reduci numarul de exploit-uri ce trebuie incercate, verifici ce versiune de software este folosita. Vei vedea ca un apache cu versiunea la zi, nu o sa ai ce sa ii faci. Pot sa existe exploit-uri pentru o versiune de software, dar care functioneaza numai in anumite situatii. Dupa te duci mai departe, verifici ce hosteaza serverul, o platforma cunoscuta? Cauta-i versiunea si daca exista un exploit pentru acea versiune etc..
  23. Eu personal nu il mai am, dar o sa vorbesc cu niste prieteni care il aveau si daca pot sa fac rost de el il postez.
  24. You can use the wordlist of parameter names from this tool into an Intruder from burp it's basically the same. It would be a great idea to use this tool to create a bash script to parse a list of files instead of a single target.
×
×
  • Create New...