В поисках инструмена

[USEbhf]

Привет XSS!
Я тут новенький посоветовали вас на бхф (не реклама) У меня есть вопросик)
Я использую sqlmap, что можете посоветовать нового попробовать? В данный момент изучаю метасплоит, и курю мануалы на данную тематику.
Сразу скажу что я новичок не только на форуме а и в сфере дампов (опыт пару месяцев) так что не особо кидайтесь помидорами.
Вообще интересует весь софт по автоматизацити внедрения и слива дампов.
sql dumper, хевидж и сибку можете не предлагать, это софт для элиты, не для таких простых крестьянин как я)
Всем мир!

 

[BabaDook]

Ну что тебе посоветовать. Изучай, практикуйся и всего пробуй руками, как бы только на теории не останавливайся.

 

[USEbhf]

Ну что тебе посоветовать. Изучай, практикуйся и всего пробуй руками, как бы только на теории не останавливайся.

Практикуюсь , слил уже несколько шопов. И так каждого дня ломаю сайты, вообще руку набиваю, если в день не взломал ни одного сайта , то день зря прошёл. Сейчас в поисках хорошего инструмента, скюлмап отличный инструмент, но все же он туговат если честно( Тот же jsql простые сайты хавает за милую душу, а мап в тоже время ещё пейлоад не подобрал(
Но то что он может раскрутить реально хороший сайт , то это нет никаких сомнений! Но все же долго он это делает, да и не все и не с первого раза, один Лена бывает что нужно несколько раз перекрутить (редко но бывает) чтобы он есплуатировал

 

[Desoxyn]

Туговат не мап, а прокладка между мапом и твоим компьютерным креслом. Он абсолютно гибок, функционален, аналогов просто не существует. Все аналоги построены или на мапе, или на его пэйлоадах. Без вариантов. Юзай софт для "илиты". Метасплоит вообще не для того предназначен, чтобы "дампы" тянуть. На майбахе тоже картошку с дачи возить можно... Сначала все пробуй руками, подучи синтаксис sql как таковой, снифай запросы которые софты посылают, только потом юзать "софты" сможешь, т.к. будешь иметь представление какой вектор в том или ином случае использовать. Пока сам не раскрутишь ручками, именно руками, что то - ты так и не поймешь нихрена, и будешь эти софты пачками перебирать. Да и все равно не поймешь как работает. Ты не "маны" по софтам штудируй, а саму специфику уязвимости, языка, используемых библиотек в том или ином случае, етк, Пока не сможешь сам обходить waf'ы, не сможешь писать специфические тамперы сам, под мап, или расширение под берп под свои задачи так и будешь пачками за кем то полушопы доламывать. Взлом, основоваясь на всего одном типе уязвимости, скуле, для доступа к бд - это даже я хз как назвать...Есть гоооораздо привлекательнее веторы атак, я хз чем эти скули вам так уперлись, еще и в 2020, где в 90% на норм ресах все порезано и доступ только на правах приложения, да и скулей там как таковых нет уже.
"если в день не взломал ни одного сайта , то день зря прошёл " - пздц, нет слов. Лучше бы так - "если в день ни одной главы по sql, python, php, js, c, c++, etc не осилил - день зря прошел."
Сразу видно выходцев с трехбуквенного форума, бля. Но нам и такие нужны, потому оставайся здесь, взрослые дядьки направят на путь истинного джедая =))))))))))

 

[USEbhf]

Туговат не мап, а прокладка между мапом и твоим компьютерным креслом. Он абсолютно гибок, функционален, аналогов просто не существует. Все аналоги построены или на мапе, или на его пэйлоадах. Без вариантов. Юзай софт для "илиты". Метасплоит вообще не для того предназначен, чтобы "дампы" тянуть. На майбахе тоже картошку с дачи возить можно... Сначала все пробуй руками, подучи синтаксис sql как таковой, снифай запросы которые софты посылают, только потом юзать "софты" сможешь, т.к. будешь иметь представление какой вектор в том или ином случае использовать. Пока сам не раскрутишь ручками, именно руками, что то - ты так и не поймешь нихрена, и будешь эти софты пачками перебирать. Да и все равно не поймешь как работает. Ты не "маны" по софтам штудируй, а саму специфику уязвимости, языка, используемых библиотек в том или ином случае, етк, Пока не сможешь сам обходить waf'ы, не сможешь писать специфические тамперы сам, под мап, или расширение под берп под свои задачи так и будешь пачками за кем то полушопы доламывать. Взлом, основоваясь на всего одном типе уязвимости, скуле, для доступа к бд - это даже я хз как назвать...Есть гоооораздо привлекательнее веторы атак, я хз чем эти скули вам так уперлись, еще и в 2020, где в 90% на норм ресах все порезано и доступ только на правах приложения, да и скулей там как таковых нет уже.
"если в день не взломал ни одного сайта , то день зря прошёл " - пздц, нет слов. Лучше бы так - "если в день ни одной главы по sql, python, php, js, c, c++, etc не осилил - день зря прошел."
Сразу видно выходцев с трехбуквенного форума, бля. Но нам и такие нужны, потому оставайся здесь, взрослые дядьки направят на путь истинного джедая =))))))))))

Обязательно обзываться?
Молодец, садись 5!
Хорошо что умеешь!
Ты это тоже все знал когда только второй месяц был в данной тематике?
И про метасплоит, ты внемательно прочитай что я писал, и про скюл тоже)
Читаю каждый день, узнаю что то новое каждый день, изучаю питон, метасплоит, читаю про скюл, ещё читаю книгу "
Занимайся хакингом
с ловкостью порнозвезды" может для тебя и дичь, но я напомню что в этом котле я варюсь только второй месяц!
А так за советы спасибо, не обязательно было в грубой форме, хз почему ты так отвечаешь , может людей не любишь или ещё какие проблемы, но я тебе плохого ничего не сказал!
И да чем тебе не угодил форум на 3 буквы? Может ещё какие форумы тебе не нравятся? А то я на многих сижу. Или может ты увидел новорега, и решил потролить?
Чёт я не видел похожего твоего комментария, в теме с sql dumper, ах ну да , тут новорег пишет про скюлмап, а там Олд про дампер! Лучше я потролю новорега который использует скюлмап, чем олла который написал про дампер!
Да я ещё ничего не знаю в данной тематике, но стараюсь и изучаю все по максимуму! Да я не пишу свои тамперы (хоть добавил кастомные, не свои тамперы), да я не шарю ещё в яп , и что? Ты что родился с этими знаниями? Или ты читал и узнавал новое? Так что не надо нападать на новорега, вспомни себя , и того чувака который тебя тролил, и ты думал что ты так не будешь поступать , но сейчас поступаешь именно так!
Будьте добрее друг к другу! Всем мир!

 

[BabaDook]

Не ругайтесь. Ещё можешь глянуть тему СКАР-а Новичок не может без помощи (советы опытных).
А инструмента действительно нету, всё херня. руками надо.

 

[Desoxyn]

Ыыыы, бомбануло пацана
Я когда начинал, даже рдота в помине не было, очатик родной даже не знал, что такое файл прив и ни одной статьи по иньекциям не было в ру сегменте. Мы всё, вообще всё делали руками, как то пытались автоматизировать на пэхопэ, и таблицы с полями в третьем мускуле наугад подбирали, т.к. нельзя было вывести их.
Привыкай. Троллил, троллю и троллить буду. Иначе вас никак не направить, пока батя ремня не всыпет Таким как вы, зарвавшиеся и хуевшие дети, у которых вся инфа и весь инструментарий под рукой, но вам лень разбираться - отпадает всякое желание помогать. И да - школофорум твой, говно.
А ты начинай читать отсюда https://rdot.org/forum/ раз уж за советом пришел.

 

[USEbhf]

Ах да, sql дампер твой тоже говно. Мне он не интересен, потому я там не отметился. Обязательно исправлю ашипку

Та ладно? Что правда?
Сам догадался или кто подсказал?
Я сам писал что это софт для элиты! Ну ты ведь с рофлами на ты, должен был догадаться)

 

[USEbhf]

Ыыыы, бомбануло пацана
Я когда начинал, даже рдота в помине не было, очатик родной даже не знал, что такое файл прив и ни одной статьи по иньекциям не было в ру сегменте. Мы всё, вообще всё делали руками, как то пытались автоматизировать на пэхопэ, и таблицы с полями в третьем мускуле наугад подбирали, т.к. нельзя было вывести их.
Привыкай. Троллил, троллю и троллить буду. Иначе вас никак не направить, пока батя ремня не всыпет Таким как вы, зарвавшиеся и хуевшие дети, у которых вся инфа и весь инструментарий под рукой, но вам лень разбираться - отпадает всякое желание помогать. И да - школофорум твой, говно.
А ты начинай читать отсюда https://rdot.org/forum/ раз уж за советом пришел.

Не путай тролинг с обзывательством! Это совсем разные вещи!
Ничего, ты где то оступишся , я тоже тебя головой в гавно, и скажу что это тролинг) я не спорю что советы норм даёшь , только по мягче будь с людьми!

 

[BabaDook]

Не путай тролинг с обзывательством! Это совсем разные вещи!
Ничего, ты где то оступишся , я тоже тебя головой в гавно, и скажу что это тролинг) я не спорю что советы норм даёшь , только по мягче будь с людьми!

Это его style.

 

[USEbhf]

Это его style.

Ну сразу видно что я новорег, теперь буду знать) ну ладно доктор на больных не обежаеться.
Не ну ты скажи как это так уметь , и обосрать с ног до головы и помочь?) У чувака талант!

 

[BabaDook]

Ну сразу видно что я новорег, теперь буду знать) ну ладно доктор на больных не обежаеться.
Не ну ты скажи как это так уметь , и обосрать с ног до головы и помочь?) У чувака талант!

Он не первый день за мужем. Ты тоже так сможешь, надо только практиковаться, и курсы купить специальные.

 

[Desoxyn]

USEbhf thnnx сэнсэей, я обязательно прийму к сведению твое ценное для меня мнение.
"Мааама, он меня посчитаааал" хнык xD Кто тебя обзывал, дите? Угомонись.Дезо ффсегда такой, ты не особенный. Он со всеми такой, асоциальный мерзкий ублюдок.
И поищи, раз на мету заикнулся, тут на форуме русскоязычное руководство есть по мета, от криптоманьяка заказанный перевод, правда для веб морды, возьми себе триал офиц. 14 days, с офиц сайта https://www.offensive-security.com/metasploit-unleashed/ и практикуйся сначала по нему. Данные под регу тут возьми https://www.fakenamegenerator.com/
Потом к командной оболочке лезь.
Но тебе вообще мета рано еще. Оч рано.
Сначала просто попробуй где нить на своих "ломанных" шопах реверс прокинуть или бэкконнект, получи доступ к баш оболочке и потренируйся https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/30264/

 

[USEbhf]

USEbhf thnnx сэнсэей, я обязательно прийму к сведению твое ценное для меня мнение.
"Мааама, он меня посчитаааал" хнык xD Кто тебя обзывал, дите? Угомонись.Дезо ффсегда такой, ты не особенный. Он со всеми такой, асоциальный мерзкий ублюдок.
И поищи, тут на форуме русскоязычное руководство есть по мета, от криптоманьяка заказанный перевод, правда для веб версии, возьми себе триал офиц. 14 days, и практикуйся сначала по нему. Данные под регу тут возьми https://www.fakenamegenerator.com/
Потом к командной оболочке лезь.
Но тебе вообще мета рано еще. Оч рано.
Сначала просто попробуй где нить на своих "ломанных" шопах реверс прокинуть или бэкконнект, получи доступ к баш оболочке и потренируйся https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/30264/

Сразу не знал про уровень твоего тролинга) Ну да ладно, юмор это хорошо!
Спасибо за советы, берусь за работу!

 

[Desoxyn]

Системные переменные MySQL сервера, конфигурационный файл

Системные переменные для настройки MySQL сервера, конфигурационный файл my.cnf

vds-admin.ru

пригодится
А это под тамперы (ваф щас почти везде), чтоб знал какой для чего а не пихал пачкой их, только навредишь

SQLMap Tamper Scripts (SQL Injection and WAF bypass) Tips

Use and load all tamper scripts to evade filters and WAF :

medium.com

и еще почитай про Cloudflare bypass, это вообще тебе в первую очередь надо. Он сука везде, и если реал ip не вытянешь, то и 80% сайтов тебе клауд просто не даст раскрутить. И про сервисы типа http://crimeflare.org:82/cfs.html , но лучше пробивать руками
https://viewdns.info/iphistory/ и похожие, отталкиваться уже от них и в шодан, ценсис, фофа, етк

 

[USEbhf]

Системные переменные MySQL сервера, конфигурационный файл

Системные переменные для настройки MySQL сервера, конфигурационный файл my.cnf

vds-admin.ru

пригодится
А это под тамперы (ваф щас почти везде), чтоб знал какой для чего а не пихал пачкой их, только навредишь

SQLMap Tamper Scripts (SQL Injection and WAF bypass) Tips

Use and load all tamper scripts to evade filters and WAF :

medium.com

и еще почитай про Cloudflare bypass, это вообще тебе в первую очередь надо. Он сука везде, и если реал ip не вытянешь, то и 80% сайтов тебе клауд просто не даст раскрутить. И про сервисы типа http://crimeflare.org:82/cfs.html , но лучше пробивать руками
https://viewdns.info/iphistory/ и похожие, отталкиваться уже от них и в шодан, ценсис, фофа, етк

Клауд вообще на постоянку спокоя не даёт. Вот это рили нужная инфа!
Но в большенство случаев получается достать реал айпи

 

[weaver]

Была такая книжка The Web Application Hacker's Handbook . И решили не выпускать новое издание. А в место этого сделать лабы.

The Web Application Hacker's Handbook | Web Security Academy

For over a decade, The Web Application Hacker's Handbook (WAHH) has been the de facto standard reference book for people who are learning about web ...

portswigger.net

USEbhf Я думаю тебе стоит освоить Burp Suite если ты занимаешься вебом. Без этого инструмента никуда.

Web Security Academy: Free Online Training from PortSwigger

The Web Security Academy is a free online training center for web application security, brought to you by PortSwigger. Create an account to get started.

portswigger.net

Список тем с лабами
SQL injection
XSS
CSRF
Clickjacking
DOM-based
CORS
XXE
SSRF
Request smuggling
Command injection
Directory traversal
Access control
Web cache poisoning
WebSockets

 

[USEbhf]

Была такая книжка The Web Application Hacker's Handbook . И решили не выпускать новое издание. А в место этого сделать лабы.

The Web Application Hacker's Handbook | Web Security Academy

For over a decade, The Web Application Hacker's Handbook (WAHH) has been the de facto standard reference book for people who are learning about web ...

portswigger.net

USEbhf Я думаю тебе стоит освоить Burp Suite если ты занимаешься вебом. Без этого инструмента никуда.

Web Security Academy: Free Online Training from PortSwigger

The Web Security Academy is a free online training center for web application security, brought to you by PortSwigger. Create an account to get started.

portswigger.net

Список тем с лабами
SQL injection
XSS
CSRF
Clickjacking
DOM-based
CORS
XXE
SSRF
Request smuggling
Command injection
Directory traversal
Access control
Web cache poisoning
WebSockets

Спасибо Модер)

 

[Desoxyn]

На ачате есть ctf, делают сами пользователи, довольно интересные моменты по вебу проскакивают

Search Results for Query: Task | ANTICHAT - Security online community

forum.antichat.ru

советую посмотреть, а лучше поучаствовать в тасках, или хотя бы почитать врайтапы для понимания сути. Да и вообще,любые ctf чтобы "набить руку" в этом деле (а не на порнхабе) - вещь незаменимая, ибо это практика. Теория без практики - говно. Вообще если честно - всё говно, но это моньшее говно из всех говен говёных. Просто сами таргеты не часто дают нестандартные ситуации и уязвимости,а их, в свою очередь, без понимания куда смотреть - просто не увидишь.

 

[USEbhf]

На ачате есть ctf, делают сами пользователи, довольно интересные моменты по вебу проскакивают

Search Results for Query: Task | ANTICHAT - Security online community

forum.antichat.ru

советую посмотреть, а лучше поучаствовать в тасках, или хотя бы почитать врайтапы для понимания сути. Да и вообще,любые ctf чтобы "набить руку" в этом деле (а не на порнхабе) - вещь незаменимая, ибо это практика. Теория без практики - говно. Вообще если честно - всё говно, но это моньшее говно из всех говен говёных. Просто сами таргеты не часто дают нестандартные ситуации и уязвимости,а их, в свою очередь, без понимания куда смотреть - просто не увидишь.

О_о то что надо, но вроде сейчас нету таргетов, но попробую обязательно!