• XSS.stack #1 – первый литературный журнал от юзеров форума

Что делают люди, которые зарабатывают на взломе веб приложений и сайтов?

Отслеживать

exopius

RAID-массив
Пользователь
Регистрация
27.01.2022
Сообщения
56
Реакции
6
В этом разделе обсуждаются sql инъекции, xss, обход waf и многое другое. Но существуют ли люди, которые зарабатывают на взломе веб сайтов? Потому что лично у меня не получилось взломать какое-либо "крутое" веб приложение, получалось только старые и никому не нужные сайты. И тем более не получилось заработать ничего. Хотя я не плохо знаком с уязвимостями. Как будто это может быть только хоббби, в котором ты можешь пошариться в базе данных богом забытого сайта. Может я не знаю какого-то особого секрета? Или я просто тупой и у меня нет таланта к этому? Или я быстро сдаюсь при анализе веб приложений? Или все дело в том, что без команды (ОПГ) в этом деле не пробиться?

Если тут все таки ессть люди, которые зарабатывают на жизнь взломом, расскажите о своей работе пожалуйста, можно без подробностей если это секретная информация. Потому что очень интересно, как знания про sql инъекции и xss превращаются в деньги
 
Решение
lisa99
переделала свой пост (выше) как примерный образец того, что хотелось бы видеть по ключевым вопросам для тех, кто вливается в тему. Ответ неполный, но есть к чему стремиться.

МОНЕТИЗАЦИЯ ДОСТУПОВ К САЙТАМ
Может использоваться комплексно, суммы зависят от таргета. Также могут давать доход как инструмент для своей работы (косвенный доход).

I. Доступы
  1. Продажа шелла, залитого на сайт (сырец)
  2. Продажа админок
  3. Доступ через сайт к "соседям" по хостингу (к сайтам на этом же сервере)
  4. Доступк сетке сайтов одной компании на одном IP
  5. Доступ в корпоративную сеть
Тэги\ключевые_слова:
shell shells wso шелл шеллы
Обсуждение...
Сортировать по дате Сортировать по голосам
вряд-ли ты взломаешь крупнную корпу через sql и xss
А вообще взлом небольших локальных шопов для установки снифера, довольно прибыльно, либо взлом сайт для дальнейшего распространения стиллера
 
За 0 Против
Да.
ОПГ не надо, плохо кончишь.
Основной доход, кормлюсь и кормлю окружение.
Взломаешь тысячу сайтов, а потом к тебе придёт озорение -=сС\|/Ɔɔ=-

p.s. Хранителя никто не видел, он сохранился хоть перед этим делом )
 
За 0 Против
Fuhrer сказал(а):
дай методы, как ты ломал те сайты. я практикуюсь
методы/отчеты скинь в лс
Искал по гугл доркам уязвимые сайты, например к sql, и взламывал. Тупо перебирал в поисковике пока не будет на сайте ошибка sql.
 
Последнее редактирование:
За 0 Против
Fooliks сказал(а):
вряд-ли ты взломаешь крупнную корпу через sql и xss
А вообще взлом небольших локальных шопов для установки снифера, довольно прибыльно, либо взлом сайт для дальнейшего распространения стиллера
Вот интересно, а как тогда взламывать крупные корпы? Если обычных уязвимостей на них давно уже нет, зачем тогда так много статей и тем про них? Понятно что новичкам надо это знать, но по сути это уже что-то утаревшее получается
 
За 0 Против
exopius сказал(а):
Вот интересно, а как тогда взламывать крупные корпы? Если обычных уязвимостей на них давно уже нет, зачем тогда так много статей и тем про них? Понятно что новичкам надо это знать, но по сути это уже что-то утаревшее получается
Крупные корпы ломают через крупные приложения. А если точнее, то через приложения которые дают доступ в AD -> https://xss.pro/threads/114404/
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
exopius сказал(а):
Вот интересно, а как тогда взламывать крупные корпы?
фишинг.
посмотри отчеты на разные апт, там есть их методы и киллчейны
 
За 0 Против
Fooliks сказал(а):
вряд-ли ты взломаешь крупнную корпу через sql и xss
распространённое заблуждение!
я в одной корпе манагер, но в прошлом разраб (а ИБ типа хобби, точнее не ИБ а хак ради прикола мелкий, не могу остановиться оно как ириски или семки руки сами тянутся что-то поломать), к коду по старой памяти доступ имею, орал-орал безопасникам про конкатенацию строк в апреле, всем пох, в итоге в мае нас китайцы поимели через SQLi, ну ладно заткнули SQLi все и значит такие успокоились, главный манегер-индус ходит такой радостный - ну нет же SQLi, и тут я строю индусов и ору им "вы в курсе чо такое транзакции? чо такое ACID? от чего возникают race conditions?" индусы смешно качают головами на их манер и такие гордо "знаем конечно!" и я им "так а х*ле вы транзакции не юзаете тогда в коде, а?!" , а безопасникам походу вообще похер, им лишь бы "доступы правильно раздать". и никто тебя не слушает, ты помалкивай типа, главный манагер индус он всё решит, он знает лучше тебя, а ты помалкивай. вот тебе и корпорат. да и пох, я "сломался" и "забил" на это, пусть $ платят главное :) а радость жизни я тут на форуме черпаю и вдохновение.
это я не для пожаловаться, а к тому что просто смотри где ИБ поувольняли массово, где на ИБшников х#р кладут и не слушают, где олдсклов поувольняли и школоло "подешевле" наняли оптимизировали - вот туда не только через SQLi и XSS попадёшь, а вообще банально (LFI/RFI, insecure deserialization, etc.) даже позвонив и спросив "hey. I'm your new cybersecurity teammate. btw, what's your password? You know you have rights to setup solitaire game? I can do it for you." 😆
 
Последнее редактирование:
За 0 Против
CheckerChin сказал(а):
фишинг.
посмотри отчеты на разные апт, там есть их методы и киллчейны
Причём что удивительно зачастую фишинг идёт вообще с левых адресов, но недалёкие умудряются по всему кликать, причём from вообще левый, но они смотрят на reply-to и там "о, от босса же письмо!"
Иногда им хочется после очередного phishing campaign руки всем поотрывать чтобы на ссылки не тыкали... но они будут тыкать носом даже походу...
Да и ссылка необязательна даже - они же reply нажмут и там reply-to сработает а не from, ну и своими ручёнками они тебе все отчёты приаттачат к письму какие (грамотно, убедительно) попросишь.
 
За 0 Против
zdestuta сказал(а):
распространённое заблуждение!
я в одной корпе манагер, но в прошлом разраб (а ИБ типа хобби, точнее не ИБ а хак ради прикола мелкий, не могу остановиться оно как ириски или семки руки сами тянутся что-то поломать), к коду по старой памяти доступ имею, орал-орал безопасникам про конкатенацию строк в апреле, всем пох, в итоге в мае нас китайцы поимели через SQLi, ну ладно заткнули SQLi все и значит такие успокоились, главный манегер-индус ходит такой радостный - ну нет же SQLi, и тут я строю индусов и ору им "вы в курсе чо такое транзакции? чо такое ACID? от чего возникают race conditions?" индусы смешно качают головами на их манер и такие гордо "знаем конечно!" и я им "так а х*ле вы транзакции не юзаете тогда в коде, а?!" , а безопасникам походу вообще похер, им лишь бы "доступы правильно раздать". и никто тебя не слушает, ты помалкивай типа, главный манагер индус он всё решит, он знает лучше тебя, а ты помалкивай. вот тебе и корпорат. да и пох, я "сломался" и "забил" на это, пусть $ платят главное :) а радость жизни я тут на форуме черпаю и вдохновение.
это я не для пожаловаться, а к тому что просто смотри где ИБ поувольняли массово, где на ИБшников х#р кладут и не слушают, где олдсклов поувольняли и школоло "подешевле" наняли оптимизировали - вот туда не только через SQLi и XSS попадёшь, а вообще банально (LFI/RFI, insecure deserialization, etc.) даже позвонив и спросив "hey. I'm your new cybersecurity teammate. btw, what's your password? You know you have rights to setup solitaire game? I can do it for you." 😆
// offtop on
как это твоё послание читать? У тебя если такой кавардак в голове как написано, хз? Я не читаю такое.

//накипело
и не читаю когда в телеге мне пишут на каждой строчке по слову.

// offtop off
 
За 0 Против
Тут от обратного: сначала массово взламывают все что найдут в интернете, а потом уже сортируют и разбирается че взломали.
То есть береться какая нибудь уязвимость 0day или CVE, под нее пишется сканер (сканируется примерно весь интернет) и скрипт для получения доступов, а потом уже полученные доступы сортируются (99% это всякий мусор который никак не монетизируешь, по типу сайтов школ, лендингов, визиток и т.д(ну можно редирект на казино партнерку повесить)). И 1% это шопы, корпы, и все что мы любим.
Взломать конкретный сайт очень сложно, особенно если у него минимальная поверхность атаки, есть waf, cdn и установлены последние версии популярных сервисов.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
exopius ты академию у PortSwigger прошел ? или ты решил, что ты сможешь взломать любой сайт с помощью SQL-Injection и XSS ? Забудьте про sqli и xss есть другие уязвимости.
 
За 0 Против
Вспомнилась история, как FB поломали через поддомен beta, если не ошибаюсь. Поддомен был гораздо более лоялен. Я к тому, что косяки есть у всех, а чем больше людей задействовано в процессе, тем выше вероятность возникновения ошибок

zdestuta сказал(а):
Причём что удивительно зачастую фишинг идёт вообще с левых адресов, но недалёкие умудряются по всему кликать, причём from вообще левый, но они смотрят на reply-to и там "о, от босса же письмо!"
Иногда им хочется после очередного phishing campaign руки всем поотрывать чтобы на ссылки не тыкали... но они будут тыкать носом даже походу...
Да и ссылка необязательна даже - они же reply нажмут и там reply-to сработает а не from, ну и своими ручёнками они тебе все отчёты приаттачат к письму какие (грамотно, убедительно) попросишь.
Была одна история, как в контору пролезли через юриста. По левым ссылкам он не кликал, по ненужным сайтам не лазил. Условно 3-4 важных для работы сайта и все. Типы заморочились, нашли форум на котором тот плотно общается. Втерлись в доверие, хваля его на форуме, а когда надо помогая ему разобраться в тонкостях. Хз, может другим юристам платили за консультации, может жестко собирали информацию. И в один прекрасный день, в ответе на очередной вопрос подпихнули ему в личке архив со всеми нужными данными. Что было внутри, я хз, но этого было достаточно чтобы организовать себе доступ к его компу в корпоративной сети...

dunkel сказал(а):
Тут от обратного: сначала массово взламывают все что найдут в интернете, а потом уже сортируют и разбирается че взломали.
То есть береться какая нибудь уязвимость 0day или CVE, под нее пишется сканер (сканируется примерно весь интернет) и скрипт для получения доступов, а потом уже полученные доступы сортируются (99% это всякий мусор который никак не монетизируешь, по типу сайтов школ, лендингов, визиток и т.д(ну можно редирект на казино партнерку повесить)). И 1% это шопы, корпы, и все что мы любим.
Взломать конкретный сайт очень сложно, особенно если у него минимальная поверхность атаки, есть waf, cdn и установлены последние версии популярных сервисов.
Не обязательно редирект. Если ресурс хороший и хорошо толкается по SEO, ресурс может аккуратно использоваться как "пирог". Пилят субдомен или отдельную страничку под ту же казиноху, дальше пользуясь трастом сайта достаточно быстро выползают в топ поисковиков и спокойно соседятся с владельцем сайта. Редирект сразу видят и тема глохнет на корню, а соседа могут не замечать годами. При этом сосед может получать хороший объем трафика. Раньше часто встречался подобный подход, правда не у хацкеров, а у серых и черных SEO-шников. Народ скупал доступы и толкал таким образом все, что угодно: фарму (астероиды, членостоялки), чистейший скам, казинохи, дейтинг, да что угодно из серых и черных тематик.

Я это к чему. Все не так однозначно, везде нужен креативный подход. И ни в коем случае небльзя мерить рынок по себе...
P.S.
Не призываю лезть в серые и, тем более, черные схемы. Вас поймают и накажут однозначно.
 
За 0 Против
exopius сказал(а):
зарабатывают на взломе веб сайтов?
Конечно, самое очевидное дамп баз данных mail:pass. Ой, суммы на самом более чем достойные.., Для чего нам нужны дампы? -Для брута аккаунтов! Есть много запросов, много ребят кто отрабатывают крипто-кошельки, лично я отрабатываю маркетплейсы- Vinted.de and kleinanzeigen.de. Цены url (vinted) :mail:pass доходят до 8$ за строку. Для дампера есть 2 варианта монетизации своего материлала- отдавать под отработку таким как я :) Либо же продавать целиком БД что ествесвенно минимум в 3-4 раза менее выгодно. Дам конкретно свой пример. Познакомился так же тут с дампером, довольно простым, работающим через дампер-софты, то есть уже много таргетов "неподвластных/упущеных" в сравнении инъекций вручную через мапу к примеру.. Но даже при этом на его мате с 200к строк (~25% валида) от 2.5-3к$ для дампера, И это только на валиде, и как уточнил выше через дампер-софтины.
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
За 0 Против
Vandalism сказал(а):
Конечно, самое очевидное дамп баз данных mail:pass. Ой, суммы на самом более чем достойные.., Для чего нам нужны дампы? -Для брута аккаунтов! Есть много запросов, много ребят кто отрабатывают крипто-кошельки, лично я отрабатываю маркетплейсы- Vinted.de and kleinanzeigen.de. Цены url (vinted) :mail:pass доходят до 8$ за строку.
Крипто кошельки я так понял в каких-то приложениях без сид фраз, а просто с логином и паролем?
 
Последнее редактирование:
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх