Что делают люди, которые зарабатывают на взломе веб приложений и сайтов?

[exopius]

В этом разделе обсуждаются sql инъекции, xss, обход waf и многое другое. Но существуют ли люди, которые зарабатывают на взломе веб сайтов? Потому что лично у меня не получилось взломать какое-либо "крутое" веб приложение, получалось только старые и никому не нужные сайты. И тем более не получилось заработать ничего. Хотя я не плохо знаком с уязвимостями. Как будто это может быть только хоббби, в котором ты можешь пошариться в базе данных богом забытого сайта. Может я не знаю какого-то особого секрета? Или я просто тупой и у меня нет таланта к этому? Или я быстро сдаюсь при анализе веб приложений? Или все дело в том, что без команды (ОПГ) в этом деле не пробиться?

Если тут все таки ессть люди, которые зарабатывают на жизнь взломом, расскажите о своей работе пожалуйста, можно без подробностей если это секретная информация. Потому что очень интересно, как знания про sql инъекции и xss превращаются в деньги

 

[omfisher]

Каких аккаунтов? Банковских типа? Просто везде двухфакторки и подтверждения по смс. И зачем маркетплейсы? Я имею ввиду, там же нет денег на них, или вы какие-то купоны на них пытаетесь найти? Крипто кошельки я так понял в каких-то приложениях без сид фраз, а просто с логином и паролем?
Извините что столько тупых вопросов, просто у меня были такие базы(логин:пасс) и я не знал что с ними делать

Ну любых аккаунтов. Маркетплейсы покупают воркеры для скама.

 

[zdestuta]

Крипто кошельки я так понял в каких-то приложениях без сид фраз, а просто с логином и паролем?

Сид фразу придумали для удобства запоминания, там 2048 слов возможных в 1 позиции ну и 12 позиций - имеем 2048^12 комбинаций "всего-то". На основе сид-фразы можно сгенерить приватный ключ. А у приватных ключей больше комбинаций возможно чем сид-фраз. Короче сид-фразами не все возможные приватные ключи можно сгенерить.
Но по факту для подписи транзакций всегда используется именно приватный ключ, он и является по сути ЭЦП (Электронная Цифровая Подпись, она же Digital Signature)
Именно поэтому тот кто владеет приватным ключем тот и является владельцем кошелька - только он может транзакции подписывать от имени данного кошелька.
А публичный адрес кошелька, который можно хоть на заборе писать, он получается из приватного ключа банально хэшем определённым забыл сейчас какой именно функцией. А так как (криптографический) хэш он односторонний, то из публичного адреса получить приватный ключ естестенно "никак".

Саммари: именно поэтому главным и первичным является всегда именно приватный ключ.

 

[lisa99]

На основе сид-фразы можно сгенерить приватный ключ. А у приватных ключей больше комбинаций возможно чем сид-фраз. Короче сид-фразами не все возможные приватные ключи можно сгенерить.

именно поэтому главным и первичным является всегда именно приватный ключ.

зачем же вводить народ в заблуждение?))) именно сид-фраза (мнемоника для чела) основа для генерации приватключа, который является хеш-функцией от сид (в битах, который уже).
Поэтому из приваткея сид фразу (от кошелька допустим) восстановить невозможно в принципе.
То есть вначале было СЛОВО. Потом его хеш (привкей).
Это раз. И второй пункт программы.
В топике был задан вопрос как данные из дампа (мэйл:пасс) связаны с криптой. А не с прив. кеями)))
=======================
По теме.

Основные цели (могу комбинироваться), зависят от таргета и дают разный заработок


1. Продажа шелла скупщикам шеллов (только доступ к шеллу)
2. Продажа доступов к админке (чаще - шопов или трафистых сайтов), без шелла, или при отсутствии прав на запись
3. Установка редиректа (например, на фишинговые сайты)
2. Установка сниффера (шоп)
3. Эскалация прав, атака на сервер, цель - рут
4. Доступ к совокупности всех сайтов фирмы (сеть шопов, например, на одном сервере), через более слабое звено или тестовый сайт
5. Возможность добраться до "соседей" по хостингу (технически следует из п.3)
6. Слив дампа юзеров (доступ к бд), слив бд
7. Установка сео-ссылок, баннеров на свои ресурсы
8. Создание дорвея на поддомене или в разделе сайта
9. Слив движка (кода) сайта, сервиса и пр. для создания своих сайтов\сервисов\ порталов\ етц
10. Заражение посетителей, протороянивание файлов для скачивания
11. Доступ в корпоративную сеть
12. Спам, продажа доступов спамерам при наличии мэйлеров
13. Продажа уязвимости конкретного движка (его плагинов)
14. Дефейс и взлом на заказ - например, в политических целях (выборы, вражеские ресурсы)
15. Понижение позиций конкурента, залив материал для абузы, залив явных редиректов (js), iframe, попандеров и того, что наказуемо поисковиками
16. Залив ботов разного назначения
17. Проксирование трафика
18. Майнеры
19. Брутфорс, распределенные вычисления

в 2010-11 гг примерно так, грин с ачата говорил мне о 25 способах монетизации сайтов (чужих).
Я тогда могла назвать 3-5.
Сейчас побольше, но тоже не 25. Давайтеж дополним список=)

 

[zdestuta]

зачем же вводить народ в заблуждение?))) именно сид-фраза (мнемоника для чела) основа для генерации приватключа, который является хеш-функцией от сид (в битах, который уже).

ну какое "в заблуждение" то, а? ну да, из сид-фразы генерится приватный ключ. но не только из сид фразы это возможно!
то есть множество приватных ключей вообще больше чем множество приватных ключей только из сид-фраз.
и подпись транзакции производится именно приватным ключем, поэтому даже если сид фраза утеряна но есть приватный ключ из неё - кошельком вполне можно воспользоваться.
что тут я написал выше неправда по вашему?

Поэтому из приваткея сид фразу (от кошелька допустим) восстановить невозможно в принципе.

а это и не надо вовсе! если приватный ключ уже есть, то именно им транзакции можно подписывать. поэтому главный именно приватный ключ. сид-фразы придумали для удобства (мнемоническое запоминание), ну неудобно приватный ключ запоминать человеческому мозгу просто

 

[zdestuta]

1. Установка редиректа
2. Установка сниффера
3. Заливка шелла для доступа к сайтам на хостинге\впс, атака на сервер
4. Установка сео-ссылок
5. Слив дампа юзеров (доступ к бд), слив бд
6. Слив движка (кода) сайта, сервиса и пр. для создания своих сайтов\сервисов\ порталов\ етц
7. Создание дорвея на поддомене или в разделе сайта
8. Заражение посетителей, протороянивание файлов для скачивания
9. Доступ в корпоративную сеть
10. Почтовый спам

А вот за список спасибо!

 

[vagabond]

13. Как вы успеваете пиздеть и работать. (add_to_todo_list)..
норм список

 

[Niteks3]

Дампы бд, сниффер на шопы и продажа панелей сайтов с траффиком.

"selling panels for sites with traffic" can you explain in more detail?

 

[Dark1D]

Т.е. потом долго долго и очень долго разирать, что там наломало ?

У каждого конечно свой подход, но как по мне - лучше для начала набрать цели, с которых ты понимаешь как можно сделать деньги.
И потом по этим целям проводить разведку, раскаладывать эти сайты по пикселям, собрать по ним максимум информации.

SQLi пытаются закрыть, потому что это критический вектор для приложения, но ни кто не даст гарантии, что на прогера в это время не давил
начальник, и он где то не досмотрел... Т.е. даже в чём то мощном, можно встретить что-то чего ты не ожидаешь там увидеть.

От бурпа ты всётаки академию пройди, бесплатно же! Или ты не Русский ?

 

[Bazooka]

Нету тут денег, враньё это всё, последние крошки собираем. Самое правильное решение уйти в ИБ через Standoff

 

[lisa99]

Как вы успеваете пиздеть и работать

потому список неполный+ошибки в текстАх. Да и в работе также =\

У каждого конечно свой подход, но как по мне - лучше для начала набрать цели, с которых ты понимаешь как можно сделать деньги.

Ну так не всегда получается. Самый простой способ - от сохи, то есть экспулуатация уязвимости какой-то. Список выше по функционалу собран, я потом поняла, что есть и другой список))
По финчасти.

Допустим, есть известная уязвимость в magento
1. Собирается список всех cms magento
это уже стоит денег. Но маленьких. 20-200 баксов. От объема и жадности селлера. Просто урлы
2. Делается выборка по гео - цена (условно) 100-300 баксов
3. Делается выборка по посещаемости\платежной системе\...
4. Продаются доступы в админки. Админки для сео условно 1-2 бакса, админки хороших шопов 200-300 баксов и до 3000
5. Не продаются никому, а смолично устанавливается сниффер в шоп (все что выше - продается)

То есть идет дифференциация по стоимости и применению. Поэтому да, можно и наломать и отсортировать. Почему нет?
Все упирается в инструменты - что умеет тс
Некоторые селлеры ничего не умеют. Тупо покупают логи и сортируют найденное. Типичная практика.

но не только из сид фразы это возможно!

откуда еще? из капусты? или аист приносит?

п.с. 11) ломается движок и втридорога продается сама уязвимость

 

[TeamBuilder]

Посмотреть вложение 93010

Было бы неплохо трек увидеть, чтоб я понял, насколько я нулевой

 

[Fuhrer]

Искал по гугл доркам уязвимые сайты, например к sql, и взламывал. Тупо перебирал в поисковике пока не будет на сайте ошибка sql.

я знаком доркам. но в практике я вообще 0.
в лс скинь дорки которые тебе помогал

 

[TeamBuilder]

Нету тут денег, враньё это всё, последние крошки собираем. Самое правильное решение уйти в ИБ через Standoff

точно. А потом в positive пойти, чтоб дружно изучать, как защитить нишу, в которой денег нет)
ТС - глянь, тут на форуме есть пара статей от людей, которые по собственному желанию ушли уже с форума, но, будет полезно, чтоб понять, один из векторов заработка. boriselcin, к примеру, чекни его посты. А потом заодно и погуглить его можешь)))

 

[Litara_B]

я знаком доркам. но в практике я вообще 0.
в лс скинь дорки которые тебе помогал

https://xss.pro/threads/120314

 

[Eminem]

13. Как вы успеваете пиздеть и работать. (add_to_todo_list)..
норм список

Ну так когда много знаешь - это же ценно, и хочется что бы кто то тоже увидел и оценил))
Как в х/ф "Приключения принца Флоризеля", чел говорил "появилось безумное желание показать кому-то" (бриллиант имеется в виду).

Я вот знаю весь ее список и + к тому еще с пяток пунктов.

Но ни с кем не делюсь, потому что я не конкурентный на этом рынке.
Я не умею проникать в чужие сайты.
А расскажешь тем кто умеет, оставят крохи на расколупывание, а все вкусныши уведут из под носа.

Но если уже есть дырка, то с ней могу сделать все для ее монитезации.

Если есть кто как ТС не знает как монетизировать по полной шопы (снифф не имеется в виду моей стороной однозначно) или рейтинговые сайты - пишите в личку - поднабьем баблеца!

Или кто умеет ломать, но не знает в какую сторону смотреть (в корпы начинающим не советую пихаться - очень рисковое занятие), смотрите в сторону шопов - это самая профитная тема.
И пишите.

 

[zdestuta]

Ну так когда много знаешь - это же ценно, и хочется что бы кто то тоже увидел и оценил))
Как в х/ф "Приключения принца Флоризеля", чел говорил "появилось безумное желание показать кому-то" (бриллиант имеется в виду).

Я вот знаю весь ее список и + к тому еще с пяток пунктов.

Но ни с кем не делюсь, потому что я не конкурентный на этом рынке.
Я не умею проникать в чужие сайты.
А расскажешь тем кто умеет, оставят крохи на расколупывание, а все вкусныши уведут из под носа.

Но если уже есть дырка, то с ней могу сделать все для ее монитезации.

Если есть кто как ТС не знает как монетизировать по полной шопы (снифф не имеется в виду моей стороной однозначно) или рейтинговые сайты - пишите в личку - поднабьем баблеца!
Или кто умеет ломать, но не знает в какую сторону смотреть (в корпы начинающим не соверую пихаться - очень рисковое занятие), смотрите в сторону шопов - это самая профитная тема. И пишите.

О, ценно, мастер пост-эксплуатации.
Логично что кто-то в kill chain специализируется на initial access, кто-то на privesc, ну а кто-то на пост-эксплуатации.
Не всем дано совмещать.
Я вот наломал (initial access) каких-то сайтиков с десяток (получил web shell, с правами сайта правда), до privesc (заовнить весь сервак, root получить) - руки не дошли, и тем более не знаю чего с ними делать
У меня это как развлекуха, "вместо мультиков и ютуба"

 

[zdestuta]

откуда еще? из капусты? или аист приносит?

random приносит, он же entropy pool.
как пример https://web3js.readthedocs.io/en/v1.10.0/web3-eth-accounts.html#create - можно даже не давать параметр, но кошельки будут разные каждый раз - ну и какая у ихних приватных ключей seed фраза тогда? ;-)

 

[lisa99]

random приносит, он же entropy pool

так и есть. когда выплывает форма для юзера - это мнемоника (из случ числа), если работать с массивами адресов ..с балансами - да, привкей, вывод баланса, или торговые боты, или автовывод и тд
Я поняла в чем принцип спора - кто чем занимается.

ну и какая у ихних приватных ключей seed фраза тогда? ;-)

хочешь посмотреть на сид из энтропии - вбей https://iancoleman.io/bip39/ любое число в поле энтропии
Show entropy details
и увидишь сид-фразу.

 

[lisa99]

переделала свой пост (выше) как примерный образец того, что хотелось бы видеть по ключевым вопросам для тех, кто вливается в тему. Ответ неполный, но есть к чему стремиться.

МОНЕТИЗАЦИЯ ДОСТУПОВ К САЙТАМ​

Может использоваться комплексно, суммы зависят от таргета. Также могут давать доход как инструмент для своей работы (косвенный доход).

I. Доступы

1. Продажа шелла, залитого на сайт (сырец)
2. Продажа админок
3. Доступ через сайт к "соседям" по хостингу (к сайтам на этом же сервере)
4. Доступк сетке сайтов одной компании на одном IP
5. Доступ в корпоративную сеть

Тэги\ключевые_слова:
shell shells wso шелл шеллы
Обсуждение: Уязвимости web-приложений
Коммерция: ДОСТУПЫ: сети, rdp, шеллы, ftp, sql-inj, DB's
Статьи: (техники создания\загрузки шеллов, уязвимости веб):

• Создаем модифицированный бинарник утилиты Netstat и получаем Reverse Shell
• Практическая статья. Ломаем таргет

II. Эскалация прав, права root-a

1. Продажа доступа к серверу
2. Эксплуатация мощностей, загрузка и исполнение любого софта

Поиск по форуму (тэги\ключевые_слова): root, root access, повышение прав, эскалация прав
Тематические статьи:

• Ликбез по повышению привилегий на Linux-машинах простыми словами
• Дневник белой шляпы [Часть 4]: Знания [PrivEsc - Linux Capabilities] [Повышение привилегий - Возможности Linux]
• КАК НЕ ДОПУСТИТЬ ЭСКАЛАЦИЮ ПРИВИЛЕГИЙ LINUX // БЕЗОПАСНОСТЬ ROOT, SUDO, USERS
• DirtyCred: повышение привилегий в ядре Linux

III. Слив данных

1. База данных сайта, дампы
2. FTP -доступы
3. Документы
4. Исходники движка сайта или его расширений на продажу
5. Логины, пароли, данные в текстовых файлах на сервере

IV. Финансы (коммерция, кардинг)

1. Установка сниффера для себя (возможно за %)
2. Продажа платежных данных от сниффера

Поиск по форуму (тэги\ключевые_слова): sniffer, сниффер
Тематические статьи:

• Добываем CC из шопов.

V. Траффик, black seo

1. Установка редиректа (перенаправление посетителей на фишинговые страницы, загрузки..)
2. Установка баннеров
3. Переадресация исходнных ссылок
4. Установка своих ссылок
5. Создание лендинга, дорвея на отдельных страницах\поддоменах\разделах

Теги\Ключевики: пироги, дорвеи, дорвейный трафик
Раздел для обсуждения Спам, Трафик, Инсталлы
Коммерческий раздел: ТРАФ: трафик, инсталлы, логи
Тематические статьи: Все деньги здесь: Как построить свою дорвей-империю при помощи PandoraBox и X-GPTWriter
Мануалы:

VI. Инсталлы (малварь)

Непосредственно с сайта или через направление трафика

Разделы для обсуждения Спам, Трафик, Инсталлы; Malware
Коммерческий раздел: ТРАФ: трафик, инсталлы, логи

VII. Спам
1.При наличии мэйлеров
Разделы для обсуждения Спам, Трафик, Инсталлы; Malware
Пример. Куплю shell'ы с функцией mail()

VIII. Использование мощностей сервера, легального IP
1. Прокси\соксы, проксификация трафика
2. Майнеры, майнинг
3. Боты разного назначения, включая тг-ботов
4. Брутфорсы, распределенные вычисления
IX. Взлом сайта на заказ. Конкурентная борьба

1. Понижение позиций сайта или удаление его из выдачи
2. Изменение старой информации (по ТЗ), например, удаление негатива + фейки
3. Дефейсы и фейковые новости - от политической и военной борьбы, до дампа криптовалют.

Топики:
Актуально ли трафить майнеры?
Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании