• XSS.stack #1 – первый литературный журнал от юзеров форума

Дайте скрин с экспы плез

Отслеживать
barnaul

barnaul

(L3) cache
Забанен
Регистрация
07.10.2023
Сообщения
192
Реакции
301
Гарант сделки
1
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Blu-ray, спасибо большое. А какой там title?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Парсер... Шта? Что он парсит? Типа просто чекает жив ли урл, или креды на валид? Нипанятна
 
Пожалуйста, обратите внимание, что пользователь заблокирован
barnaul сказал(а):
Парсер... Шта? Что он парсит? Типа просто чекает жив ли урл, или креды на валид? Нипанятна
Ну если просто url то не обязательно пасс,а так как там пасс то скорее всего чекер, ну и соотвественно неизвестно о какой каптчи речь,то ли при логине, то ли при заходе на страницу
 
Пожалуйста, обратите внимание, что пользователь заблокирован
_lain сказал(а):
Ну если просто url то не обязательно пасс,а так как там пасс то скорее всего чекер, ну и соотвественно неизвестно о какой каптчи речь,то ли при логине, то ли при заходе на страницу
ну вот и я про то же, какой-то сумбур
 
Пожалуйста, обратите внимание, что пользователь заблокирован
barnaul сказал(а):
ну вот и я про то же, какой-то сумбур
Скрытый контент для пользователей: .
 
Пожалуйста, обратите внимание, что пользователь заблокирован
А, я кажись понял, загружаем mail:pass корпы, а он по домену мыла чекает на наличие рдвеба. Пфф, 350 в месяц... ебануться
 
Пожалуйста, обратите внимание, что пользователь заблокирован
barnaul сказал(а):
А, я кажись понял, загружаем mail:pass корпы, а он по домену мыла чекает на наличие рдвеба. Пфф, 350 в месяц... ебануться
Тогда бред, это даже не чекер на креды, можно было бы и получше, а подставлять домен и path и сверять контент страницы ну такое себе, скрипт который за денек написать можно
 
Пожалуйста, обратите внимание, что пользователь заблокирован
да, и у него на первом скрине креды рдвеб без домена, так не бывает. Он просто их подставил из входного списка, лал. И домены совпадают, только преписка remote. и path RDWeb/Pages/en-US (как будто регистр имеет значение)
рубрика "наеби багатага рансамварщика"
 
barnaul сказал(а):
Парсер... Шта? Что он парсит? Типа просто чекает жив ли урл, или креды на валид? Нипанятна
да если бы хотя бы креды чекать он умел, так вообще непонятно за что 350 баксов в месяц отдавать
 
Кстати по сабжу, может кто-то объяснить, неужели и правда это эффективнее чем просто ковырять случайные айпишки брутом?
Просто маил пассы не паблик искать тоже задача нелегкая, а паблик ковырять смысла особо и нет как мне кажется ибо после того как почту выебет какой-нить спаммер они могут поменять пароли все и тд.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ковырять айпишки брутом, и чекать пути на домене из корп-мыла разные вещи. С рдвеб ещё ладно, они часто висят на домене, но остальные впн-гейты висят не на доменах, и на разных портах.
К слову о кредах, это всегда лотерея, и да, они будут зачастую не актуальны. Но, тем не менее, есть уникумы которые составляют базы паролей из утечек и гоняют по ним (типа не дженерик, а пасы реальных людей). А ещё существуют полностью поехавшие, которые думают, что есть какие-то отдельные словари для брута под каждый отдельный сервис (пример)
 
barnaul сказал(а):
Ковырять айпишки брутом, и чекать пути на домене из корп-мыла разные вещи. С рдвеб ещё ладно, они часто висят на домене, но остальные впн-гейты висят не на доменах, и на разных портах.
К слову о кредах, это всегда лотерея, и да, они будут зачастую не актуальны. Но, тем не менее, есть уникумы которые составляют базы паролей из утечек и гоняют по ним (типа не дженерик, а пасы реальных людей). А ещё существуют полностью поехавшие, которые думают, что есть какие-то отдельные словари для брута под каждый отдельный сервис (пример)
Ну я вообще к тому, что на сколько это эффективно, по сравнению с другими методами добычи доступов в целом
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Капитан Очевидность ворвался в тред:
чем метод проще в реализации, тем он не эффективнее и конкурентнее. Условно, если взять масс-чек диапазонов айпишек по портам на наличие там какого-либо гейта, то ты будешь одним из миллиона таких же энтузиастов. Если взять список корпов и работать по ним таргетированно, шансы в разы больше.
Брутить доступы, самое последнее к чему прибегают. Если ты, и, например, Вася Пупкин будете брутить один айпишник разными словарями, то может быть, что верный пароль был в словаре одного из вас. А может и вообще не быть. Это чисто дрочка вероятности, и она легко автоматизируема. Запустил, и пошел по другим делам. Авось что-то и сбрутит. И таких как вы с Васей сотни тысяч. И все хотяр тир-1 страны, поэтому на их хостах миллиарды атак в день.
Из эффективного это логи с загрузок, и какая-либо инсайдерская инфа/доступ
 
barnaul сказал(а):
Капитан Очевидность ворвался в тред:
чем метод проще в реализации, тем он не эффективнее и конкурентнее. Условно, если взять масс-чек диапазонов айпишек по портам на наличие там какого-либо гейта, то ты будешь одним из миллиона таких же энтузиастов. Если взять список корпов и работать по ним таргетированно, шансы в разы больше.
Брутить доступы, самое последнее к чему прибегают. Если ты, и, например, Вася Пупкин будете брутить один айпишник разными словарями, то может быть, что верный пароль был в словаре одного из вас. А может и вообще не быть. Это чисто дрочка вероятности, и она легко автоматизируема. Запустил, и пошел по другим делам. Авось что-то и сбрутит. И таких как вы с Васей сотни тысяч. И все хотяр тир-1 страны, поэтому на их хостах миллиарды атак в день.
Из эффективного это логи с загрузок, и какая-либо инсайдерская инфа/доступ
https://xss.pro/threads/129983/
:)
5к$
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх