• XSS.stack #1 – первый литературный журнал от юзеров форума

root LFI на бирже с оборотом 50000 BTC

В этой теме можно использовать автоматический гарант!

Новая сделка
Отслеживать
scoring0

scoring0

root@serv1:#
Premium
Регистрация
06.08.2019
Сообщения
179
Реакции
51
Депозит
0.00
Продам LFI с рутовыми привилегиями на одной из крупнейших бирж с оборотом 50000+ btc в сутки.
Читается всё - включая /etc/shadow и т.д.

На данный момент слито:
  • SSH ключи сервера, конфиги iptables, shadow, passwd, mycnf и тд.
  • Основная база REDIS. В ней все API ключи от всех горячих(?) кошельков. API сервера в локалке.
  • Еще одна база REDIS(х3 что за база, по идее test, но размером побольше).
  • Ключи (ak, sk, region) для доступа в huaweicloud.
  • API доступы к их SMS-гейту (работает извне).
  • Всевозможные конфиги сервера и еще куча плюшек.

Ценник на текущий момент: 5 BTC

Jabber: localmask@exploit.im (не доходят сообщения с xmpp.jp)
Работаю только через ad0@exploit.im
 
ССШ открыт только во внутреннюю сеть.
API ключи зашифрованы в JWT+AES(но AES ключ есть), расшифровывать и разбираться как JWT работает мне лень, ибо все кошельки опять-же находятся внутри сети.

Забыл самое главное:
Есть исходники API сервера на asp.net в виде DLL. (так же я их диассемблировал и есть проект в Visual Studio со всем кодом)
+ API ключи от гейта Aliyun (alibaba cloud)
 
Только сегодня при покупке нормально скину по ценнику. Актуально до 30.08 16:00

Добавлены еще 8 модулей сайта в виде DLL.
Все дизассемблируются с помощью .net reflector.

В них описание взаимодействия с БД, signalr, полное описание api вызовов, в т.ч. withdraw, deposit, trade, описание 2fa таблиц, либа работы с aliyun api и еще куча всего. (https://puu.sh/EbcwH/b0765d8287.png)
Получается полный рип(web) API сервера, за исключением основной базы.
Как выяснилось - redis работает кэширующим сервером запросов к основной базе.
 
Последнее редактирование:
admin


Напишите ответ...
Верх