Видео Видео для конкурса 2014

[xargs]

Один знакомый хакер делал видео для конкурса, совмесная работа нескольких человеков, но учитывая что в видео есть 0day было принято решение не выигрывать конкурс и спасти мир от скрипт-кидисов, но спустя 10 лет можно и поделиться воспоминаниями. Возможно новичкам будет интересно посмотреть как хекали 10 лет назад.
Видео демонстрирует эксплуатацию SQL INJ на параметре без фильтрации в дополнение для популярного на то время движка Datalife Engine. Вторая уязвимость внутри админ панели демонстрирует перезапись конфиг файла с произвольным кодом, так же плохая практика хранить кофиги в файлах, особенно если ето PHP файлы. После получения первичного доступа есть локальное повышение привелегий до root, демонстрирующее что нужно вовремя обновлять ПО на серверах. В общем приятного просмотра.

p.s. никто не пострадал, донор был запатчен и проинформирован письмом. Патч в начале видео.

 

[FantasticExploits]

Афигенный зеленый патч!1

 

[weaver]

Жаль конечно такого больше не увидем, более того, сейчас все используют инструменты вроде окуня и склмап, а руками так никто не может, конечно в видео у него заготовочки, но всё же... Весь хакинг заключается в запуске SQLmap =\

 

[xargs]

Весь хакинг заключается в запуске SQLmap =\

Прогресс беспощадный) Наплодили кучу инструментов что никто теперь не хочет изучать мат часть, а мы деды андерграунда в свое время в начале 2000х сами писали тулзы для перебора слепых скулей. А современные тулзы тоже не идеальные, я встречал в мсф парочку кривых эксплойтов, хорошо что есть привычка пропускать все через прокси бурпа или снифать пакеты, так и увидел что шлет дичь которую на лету переписывать приходилось.

Жаль конечно такого больше не увидем,

Ну кстати мода всегда по кругу ходит, так что думаю попозже увидим еще и дефейсы с передачей приветов)), и этичные хеки в конкурсах на форумах. Когда нибудь деградация закончиться и снова народ начнет радовать)

 

[weaver]

этичные хеки в конкурсах на форумах.

Будем ждать, возможно кто нибудь покажет что-нибудь на конкурсе видео, который сейчас идет.

 

[BLUA]

надежда умирает последней, как то проходил я курс на codeby как раз по инъекциям, дак там даже мапой пользоваться нельзя было, только в одном задании, чтобы увидеть как она реально облегчает жизнь и потом снова руками Понятно что сейчас много инструментов которые облегчают жизнь, но иногда всётаки приходиться открыть браузер и пройтись руками по интересным местам. Да и с самой мапой иногда приходиться бороться, потому что хочет делать всё по своему

 

[petrinh1988]

надежда умирает последней, как то проходил я курс на codeby как раз по инъекциям, дак там даже мапой пользоваться нельзя было, только в одном задании, чтобы увидеть как она реально облегчает жизнь и потом снова руками Понятно что сейчас много инструментов которые облегчают жизнь, но иногда всётаки приходиться открыть браузер и пройтись руками по интересным местам. Да и с самой мапой иногда приходиться бороться, потому что хочет делать всё по своему

Чем больше итераций сделано руками, в пределах разумного, тем лучше. Проблема лишь в том, чтобы было достаточно учебного материала. В этом случае, как минимум, включается механическая память. Но проблма обучения на автоматизированных инструментах не только в памяти или поверхностном понимании процессов... обучение на инструментах я бы сравнил с тик-ток мышлением. Потребители коротких видеороликов отучаются от длительной фокусировки внимания, как результат от способности прикладывать серьезные мыслительные усилия. Градацию можно выстроить так: короткие ролики, длинные обучающие видео, чтение книг, чтение книг на иностранных языках. Отработка концепций руками, где-то между видео и книгами.

Можно было предположить, что оптимальный вариант - посмотреть короткий ролик, потом углубляться в тему вплоть до максимального уровня. Но нет, мозг всегда настроен на экономию ресурсов, поэтому предпочтет зависнуть на самом легком. Возвращаясь к нашей теме, если человек привыкший все и вся делать через окуня и мапу попытается хотя бы открыть и посмотреть пэйлоады.... скорее всего закроет и забудет как страшный сон. Хотя, между тем, вполне себе попадаются таргеты с которыми стоит поработать руками ну или написать свой скрипт со своей логикой парсинга данных.

Прогресс беспощадный) Наплодили кучу инструментов что никто теперь не хочет изучать мат часть, а мы деды андерграунда в свое время в начале 2000х сами писали тулзы для перебора слепых скулей. А современные тулзы тоже не идеальные, я встречал в мсф парочку кривых эксплойтов, хорошо что есть привычка пропускать все через прокси бурпа или снифать пакеты, так и увидел что шлет дичь которую на лету переписывать приходилось.

Скажу больше, были времена, когда приходилось код писать на листочке из-за того, что не было под рукой компьютера. Потом топать на работу и тестировать. А времена, когда инет был не очень доступен? Придешь в интернет-кафе, заплатишь за полчаса и вперед... задача успеть скачать компилятор, собрать код и скрыто запустить. Ну как скрыто, не особо, потому как админами работали нубы те еще. Нет, а что делать-то было? У них и так компы сутками работают, народ непонятный по непонятным сайтам лазит, а мне надо. Зато взгляд админов, когда просил записать данные на флешку, был бесценным. Сомневаюсь, что у них хоть кто-то просил записать 100 мб, т.к. скорость была просто отвратительная. Побольше, чем выдавал родной Zyxel, но до мегабит были еще годы. А тут я, через полчаса работы прошу записать чуть ли не гигабайты. ))))) Эх... пойду картошку полью, портянки залатаю да ушанку простирну.

 

[xargs]

Придешь в интернет-кафе, заплатишь за полчаса и вперед...

помню в далеком прошлом была такая софти "Локер" она стояла в игровых клубах, позволяла запускать только игры с рабочего стола и не позволяла входить в меню пуск и прочее. Но в одном месте была кнопка "помощь" которая открывала блокнотом текстовик, далее через блокнот открываешь explorer.exe и получаешь окно проводника. Я качал visualbasic, писал софтину которая тупо убивает процесс локера и время останавливалось, можно было сидеть часами. Все было хорошо пару до тех пор пока я не начал останавливать время всем друзьям, потом админы меня в гости позвали, сказали так делать не хорошо а через какое-то время сам уже там работал т.к. дома пк еще не было. Веселые времена были.