Статья Становление на путь хакинга (добыча доступов 1000р VS 5000000000$)

[PR1SM-NSA]

Почитал вот я тред и так лицемерно это обсуждение выглядит я в шоке просто. По мнению некоторых что лучше натягивать простых людей дергая у них с БА/Криптоваллетов/бирж по 3-5к $ или шипая товары в амазоне/etc за их счет? Мне так кажется что именно на такие паттерны совесть должна реагировать!!! А вытянуть пару сотен тысяч баксов с какого то крупного бизнеса у которого оборот неск десятков млн я считаю вполне нормально. Конечно тех кто шифрует совсем все подряд я не поддерживаю, некоторые сейчас инсталлы проливают через лоадер и в половине логов граббер стилера находит кучу записок readme.txt с суммой в 200$, это уже совсем от нечего делать или жадности.

на покушать и плюшки мне всегда хватало.

сам в блэкхате увяз по уши

Глупо полагать что если ты напрямую не локаешь сетки твоя совесть и косвенно чиста от этого. Если ты например базы продаешь то кто нибудь прослал по твоей базе, где то открыли док из аттача и пошифровали целую контору. Много какая блекхат деятельность так или иначе может свестись именно к этому. Примеры можно продолжать без конца.

Мы, славяне, единственная нация, которая сдерживала беспорядки и ебанный хаос на планете, всю историю практически.

Так я тебе открою тайну. Если по твоей логике мы славяне сдерживаем хаос то локеры (не все конечно) примерно этим же и занимаются. Если где то капитал будет бесконтрольно наращиваться то будет наращиваться и власть этого капитала, вот мы от этого капитала и отщипываем кусок что бы не наступила глобальная его гигимония. Многополярный мир, скрепы, все дела.

 

[stepany4]

Ребят. Промышленный шпионаж всегда в любом государстве подразумевает договоренности с властями. Можно украсть 10 долларов, можно 2000. Но потом, на тебя пришлют бумагу, и начнут шить дело. Найдутся куча сторонников, куча врагов, но дело будут шить. И если в РФ можно сидеть на жопе ровно, тебя прикроют, то в Украине сидеть будет стремно. Амеры, бриты, кто угодно будут лоббировать что ты международный преступник и надо тебя ехать паковать. И доказывать что ты исследователь уязвимостей. Ну в суде можно, следователю можно. Ну токо ж им на это по х#й. У них своя правда. А развалить такое дело, будет не просто. Потому что будет доказан ущерб и что ты международный преступник

 

[weaver]

Desoxyn завязывай, со стороны это смотрится некрасиво, мол что ты мало отдыхаешь и тебе нужен сон.

 

[Unknown]

*PopCorn*.

Пульс должен был рано или поздно умереть. Кто это знал, давно уже альтернативы нашёл. Либо сам, либо купил.

 

[kasual63]

Дешевка

Маэстро?

 

[PR1SM-NSA]

Маэстро?

Вполне вероятно что нет, у человека к тому же другое мировоззрение. Его право.

 

[eGO]

Какой бы ты хлеб не ел, культура бытности и взаимоуважение быть обязаны!

А кормить свое эго за счет людей определенного уровня образования, какой либо специфики, вот что по-настоящему не достойно.

 

[Haunt]

Жаль конкурса на 5к уе не было в 2017. Взял бы паблик EternalBlue, да дорк шодана. Да рассказал бы всем какой я мега ахуительный, умею использовать тулзу, написанную не мной, по доркам, которые отсортировал шодан за меня, главное еще красивой историей аля путь к миллионам это все приправить. А где, собственно, твой импакт в этом всем? То, что на гитхабе или в msf смог найти эксплоит и дорк для него? Ну красава, скиллуха. Может ты показал как монетизировать эти доступы пост эксплуатацией? Нет. Или по твоему тут люди настолько овощи, что без тебя не смогли бы узнать как насканить ip под какой нить эксп с exploitdb?)))) В общем, в этой статье конкретно ТЕБЯ я не увидел.

 

[stepany4]

Desoxyn
в мире начата четвертая информационная война. потому что ))

 

[National Hazard Agency]

Жаль конкурса на 5к уе не было в 2017. Взял бы паблик EternalBlue, да дорк шодана. Да рассказал бы всем какой я мега ахуительный, умею использовать тулзу, написанную не мной, по доркам, которые отсортировал шодан за меня, главное еще красивой историей аля путь к миллионам это все приправить. А где, собственно, твой импакт в этом всем? То, что на гитхабе или в msf смог найти эксплоит и дорк для него? Ну красава, скиллуха. Может ты показал как монетизировать эти доступы пост эксплуатацией? Нет. Или по твоему тут люди настолько овощи, что без тебя не смогли бы узнать как насканить ip под какой нить эксп с exploitdb?)))) В общем, в этой статье конкретно ТЕБЯ я не увидел.

Ох братец видел бы ты мою личку после данной статьи.... Не делай выводы просто так, тут не все матерые профи да убер хакеры. Некоторые, даже не знают как отсортировать айпи адреса и как запустить сплоит. Прочти PS и сообщение ниже по теме. (спорить мне не к чему) А если вайтхедов бесит что я слил контору да мне пофиг. Кто захочет найдет пути реализации. Я не буду ни с кем спорить тем более статья хоть и слабая но я осветил тему добычи и она зашла админам конкурса. Если решишься пиши сам ато всем кнопку бабло подавай.

 

[Desoxyn]

Desoxyn завязывай, со стороны это смотрится некрасиво, мол что ты мало отдыхаешь и тебе нужен сон.

Мне бухать надо перестать, че то ваще в запой бля.... А так да, ты прав, что это со стороны херово совсем. Завтра думаю выбираться из ситуации и ебаную дичь больше не провоцировать. Вот сколько раз себе говорил, не лезь ты бухой в онлайн, ложись и спи. Нет сука, вкл режим "интернет герой"....

 

[Haunt]

Некоторые даже не знают как отсортировать айпи адреса и как запустить сплоит.

=DD
По этому ты решил запилить обзорчик как запускать, написанный не тобой софт именно в раздел на конкурс?(а другого тут и нет ничего, без малейшей твоей правки всей схемы и импакта, только запуск по сути)
Ну сильно, сильно.

 

[Desoxyn]

Посоны, у кого вызвал праведный гнев, сорян. Я немного перебухал. Не оправдание, знаю, бухлишко всегда было отягчающим фактором. pewpewpew три минуса подряд влепил, 100 бачей исправят твое гневное состояние? ))) Кош бтк в пм если да )))) Бывает дебилизм накатывает по синей дыне =( Да у многих так...

 

[National Hazard Agency]

=DD
По этому ты решил запилить обзорчик как запускать, написанный не тобой софт именно в раздел на конкурс?(а другого тут и нет ничего, без малейшей твоей правки всей схемы и импакта, только запуск по сути)
Ну сильно, сильно.

1. Я рассказал как минимум интересную историю. (что тоже входит в условия конкурса)
2. Я рассказал как за минимум бабла можно добыть доступы.
3. Все в рамках конкурса ( А если у тебя жопа горит, что статья имеет большее количество просмотров ну тут уж извини)
4. Если ты на столько крут пиши свою статью забирай 5 косарей обойди меня. (тебе никто не запрещает)

Я аргументировал свой ответ а от тебя я вижу только бомбежку школьника которому делать нечего. (если тебя не устраивает не голосуй либо ставь диз тебе никто не запрещает)
В дальнейшем споре не вижу смысла (читай название статьи)
добыча доступов, а не пост эксплуатация!

 

[Desoxyn]

Еще, парняги, тут есть вариант как спиздить акки с кредами (шодана) с гитхаба, вся инфа у нас на форуме ))) + заделать апи кей, все в питон завернуто, почему то в статейке это не освещено. А к ней (статье) как дополнительный бонус вкатило бы. Т.к. ты с голым аккаунтом ничего там не найдешь, просто не даст юзать топовые кейворды. Да блин, без авторизации даже голимый IP: или hostname: не дает =(

И про censys.io все забыли почему то, и про фофа (с ценсиса выдрать все ипы в режиме разработчика "$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])})" в консоли) аналогов то много, шодан заюзали уже донельзя

 

[NEONFACE]

Еще, парняги, тут есть вариант как спиздить акки с кредами (шодана) с гитхаба, вся инфа у нас на форуме ))) + заделать апи кей, все в питон завернуто, почему то в статейке это не освещено. А к ней (статье) как дополнительный бонус вкатило бы. Т.к. ты с голым аккаунтом ничего там не найдешь, просто не даст юзать топовые кейворды. Да блин, без авторизации даже голимый IP: или hostname: не дает =(

И про censys.io все забыли почему то, и про фофа (с ценсиса выдрать все ипы в режиме разработчика "$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])})" в консоли) аналогов то много, шодан заюзали уже донельзя

Если есть готовый кейс, почему не взять дедик, масскан и не насканить себе таргетов?

 

[National Hazard Agency]

Если есть готовый кейс, почему не взять дедик, масскан и не насканить себе таргетов?

Масскан чекает определенный айпи и порт и все у vpn Логин панелек стандарт порты 443 SSL это одно и то же что сканить весь инет защищенный ssl трафиком по порту 443. Ок если найти сервис и эксплоит к нему который бы висел на определенном порте тогда да соглашусь.

 

[NEONFACE]

Масскан чекает определенный айпи и порт и все у vpn Логин панелек стандарт порты 443 SSL это одно и то же что сканить весь инет защищенный ssl трафиком по порту 443. Ок если найти сервис и эксплоит к нему который бы висел на определенном порте тогда да соглашусь.

С специфичным портом конечно было бы совсем изи.
А так по банеру, почему бы и нет.
Я пока не могу проверить свою теорию, но твиттер говорит что такое бывает:

https://twitter.com/x/status/1214627795373936640

(смотри комментарии)

 

[PR1SM-NSA]

но твиттер говорит что такое бывает

Глянул да бывает.
https://github.com/BishopFox/pwn-pulse

Как вариант можно массканом чекать на 443 порт, а потом по тому что нашлось проходится nmap ом юзая этот скрипт https://github.com/r00tpgp/http-pulse_ssl_vpn.nse

Мне что то подсказывает что именно так и делают)

Твит от 8го числа а пост то кстати написал ТС 6го)))

 

[National Hazard Agency]

С специфичным портом конечно было бы совсем изи.
А так по банеру, почему бы и нет.
Я пока не могу проверить свою теорию, но твиттер говорит что такое бывает:

https://twitter.com/x/status/1214627795373936640

(смотри комментарии)

довольно полезная инфа благодарю