• XSS.stack #1 – первый литературный журнал от юзеров форума

Техническое обсуждение RCE в Tox 1.17.6

Отслеживать
SKAZKAA сказал(а):
Есть у кого идеи как это реализовано? Кроме переполнения буффера
Открой сорцы qTox, посмотри обработку кнопки Accept, смотри какие функции там вызываются, их не так много, там пара функций, и потом колбэки зарегистрированные дергаются. Судя по гифке отрабатывает сразу же после нажатия Accept, а уже через время диалог прогружается слева, потом появляется ник и статус, поэтому есть предположение, что бага очень близко в обработчике Accept, а не в последующих колбэках подгрузки инфы о собеседнике.
 
pepel сказал(а):
Так я не понимаю рофла, хули ты ёрничаешь тогда? Я тебе написал про реальный факт, что раньше менты не обращали на эти борды внимание. Конкретно знаю только про эксплойт и дамагу. И вот где-то с сентября прошлого года пошли облавы по разным людям из разных тем. Те, кто думал, что не занимается жесткой чернухой, в основном и попадались, потому что не думали что ими заинтересуются. Кодеры, криптообменники, крипто-аферисты, прочие мелкие мошенники обитающие на данных площадках. Они бы и нахуй никому не упали и про них никто не знал, но сам факт посещения этих форумов обязует ментов проверсти проверку. У меня всё.
Инфа интересная без базара. А советовать - придумать легенду тем кто не слушал советов(да хули там советы, это же очевидно) что на дарк форумы нельзя ходить со своего ип, это смешно. Это по определеню граждане которым никакие советы не помогут, да они ими и не пользуются, вот в чем рофл. А инфа да, интересная.
 
k11 сказал(а):
вчера вечером цена 0.5 была, норм-норм
потому что изначально можно было только ип за прокси тора узнать, когда до rce докрутили, повысили цену

SKAZKAA сказал(а):
Есть у кого идеи как это реализовано?
tox.png

github.com

qTox/serialize.cpp at master · qTox/qTox

qTox is a chat, voice, video, and file transfer IM client using the encrypted peer-to-peer Tox protocol. - qTox/serialize.cpp at master · qTox/qTox
github.com
github.com

qTox/serialize.cpp at master · qTox/qTox

qTox is a chat, voice, video, and file transfer IM client using the encrypted peer-to-peer Tox protocol. - qTox/serialize.cpp at master · qTox/qTox
github.com
github.com

qTox/serialize.cpp at master · qTox/qTox

qTox is a chat, voice, video, and file transfer IM client using the encrypted peer-to-peer Tox protocol. - qTox/serialize.cpp at master · qTox/qTox
github.com

автор https://t.me/ShizoPrivacy
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Whisper сказал(а):
А советовать - придумать легенду тем кто не слушал советов(да хули там советы, это же очевидно) что на дарк форумы нельзя ходить со своего ип, это смешно.
Я советовал это тем, кто уже на них так заходил, потому что скоро жди гостей. А не как меру по защите на будущее, очевидно) Там же написано, что начались эти проверки, и скоро к таким придут, поэтому придумайте легенду. Ебушки, ну)
 
pepel сказал(а):
Я советовал это тем, кто уже на них так заходил, потому что скоро жди гостей. А не как меру по защите на будущее, очевидно) Там же написано, что начались эти проверки, и скоро к таким придут, поэтому придумайте легенду. Ебушки, ну)
Скрытый контент для пользователей: .
 
admin сказал(а):
Выше было интересное наблюдение от u0p. Если кто-то не увидел, сообщение (было на модерации).
Разве 1016 это проблема? Или я что то не понял.
 
bratva сказал(а):
Мне даже с этого форума несколько людей предлагали что-то "в войсах" перетереть
хакеры, которых мы заслужили.
 
admin сказал(а):
Выше было интересное наблюдение от u0p. Если кто-то не увидел, сообщение (было на модерации).
Да, это проверка длины при отправке сообщения, то есть когда кидаешь запрос, не можешь всунуть сообщение длиной более 1016 символов, и вероятно, если составить вручную пакет, который не будет следовать этому правилу, то при приеме такого сообщения qTox будет ожидать сообщение не длиннее чем 1016 символов. Я пока не нашел время поковырять сорцы, но смею предположить что переполнение именно там. Либо как указали выше с сылкми на гитхаб - ошибка обрезания числа, это может срабатывать в комплексе, но так как сорцы открыты, думаю пытливые умы скоро напишут PoC в паблик.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DoppleKSE сказал(а):
думаю пытливые умы скоро напишут PoC в паблик.
Это как минимум не этично к покупателю. Как хорошо что я перестал пользоваться токсом еще в 2017 году. Джаббер получше токса будет. Но он тоже не идеал. Учитывая что зеродиум багбаунти сделал. Сейчас многие популярные месседжеры находятся под прицелом. Особенно сигнал.

Существует старый проверенный способ общения, но я о нем говорить не буду. Тот кто понял тот понял.
 
weaver сказал(а):
Это как минимум не этично к покупателю. Как хорошо что я перестал пользоваться токсом еще в 2017 году.
Почему неэтично ? Если я (или любой другой участник форума) смогу взять и повторить, кто запретит мне опубликовать уязвимость ? Не существует патентов на уязвимости, и если один ее нашел, то другим искать запрещено? А когда повторят - это уже решать тому, кто смог повторить, что с ней делать.
Другой вопрос в том, захочет ли человек ее публиковать, или будет использовать сам, или продаст подешевле.
Покупателю надо было думать головой прежде чем платить 20 btc за дыру в опенсорс проекте. Там даже IDA открывать не надо, сорцы достаточно открыть и искать. Причем продавец сам на гифке максимально сильно сузил круг поисков, и облегчил жизнь пытливым умам. Такие уязвимости должны описываться одной строкой "qTox v1.17.6 rce, все подробности в лс". Вот тогда пытливым умам будет гораздо труднее понять где же эта уязвимость, и у покупателя не будет повода волноваться, что то, за что он заплатил 20 btc скоро окажется в паблике.
Если немножко гиперболизировать эту ситуацию, продавец с тем же успехом мог на гифке запалить сорцы срипта, который посылает запрос в друзья, а потом надеяться, что это никто не повторит. Это смех.
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
DoppleKSE сказал(а):
Почему неэтично ? Если я (или любой другой участник форума) смогу взять и повторить, кто запретит мне опубликовать уязвимость ? Не существует патентов на уязвимости, и если один ее нашел, то другим искать запрещено? А когда повторят - это уже решать тому, кто смог повторить, что с ней делать.
Другой вопрос в том, захочет ли человек ее публиковать, или будет использовать сам, или продаст подешевле.
не этично, но не запрещено. хотя это еще с какой стороны посмотреть. Ведь скажем было одно время исходники не отдавали, а выдавали билд. А если билд декомпилировать\крякнуть за такое и бан получали люди, при действующем продажнике. Из всего этого какой вывод? toxcore дырявый, собственно как и любое другое ПО. А коль он опенсурс, можно натравить на него pvs studio и посмотреть.
 
5 страниц обсуждения ВООБЩЕ НИЧЕГО
Есть гифка где ничего не видно, есть профиль тс где ни одного упоминания сплойт дева до этого не было(но был шиллинг брайра и засер токса)
И продажа без гаранта через часов 10 или сколько там?Охуительная история
В описании запуска экплойта .zip домен новый, в описании какие-то непонятные байты
Идите уже отправьте пакет с "AAAAAAAAAA...." в буффере куда в друзья принимаются и провьте че там.
Вангую - нихуя нет.

https://xss.pro/threads/88978/#post-619706
Я вам такие видео могу клепать на любой софт за 50 долларов штука
Тем более с опенсорсным софтом, буквально просто добавить system("putty.exe") на добавление в друзья
 
Последнее редактирование:
weaver сказал(а):
Это как минимум не этично к покупателю. Как хорошо что я перестал пользоваться токсом еще в 2017 году. Джаббер получше токса будет. Но он тоже не идеал. Учитывая что зеродиум багбаунти сделал. Сейчас многие популярные месседжеры находятся под прицелом. Особенно сигнал.

Существует старый проверенный способ общения, но я о нем говорить не буду. Тот кто понял тот понял.
smtp?)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
lol, carrier pigeons with PGP
P.Durov beginning
20171405123318.jpg
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Use xss.pro pm with encryption, and fuck all kind of messengers.

I request from admin kindly to verify this RCE by himself or someone trusted from moderators, this is not verified with gif video, someone must verified it.
 
WellDone сказал(а):
Есть гифка где ничего не видно
Я вот считаю что даже гифка лишняя для такого. Вот ты у себя в соседней ветке с хромом нормально оформил гифку, там вообще нихера не понятно, что просиходит под капотом и чем вызвано срабатывание. А он гифкой сам показал куда копать, что бы найти клад, если он там действительно есть.
WellDone сказал(а):
В описании запуска экплойта .zip домен новый, в описании какие-то непонятные байты
Как написал выше weaver, этот мусор в сообщении может быть просто отображенной там памятью как строка, а повреждение памяти может происходить еще до того, как пользователь нажмет Accept, но сам шеллкод отрабатывает позже.
WellDone сказал(а):
Идите уже отправьте пакет с "AAAAAAAAAA...." в буффере куда в друзья принимаются и провьте че там.
Вангую - нихуя нет.
Всем лень проверить, потому что это надо поднять задницу и сделать это, а ще все так же как ты сомневаются в том что это вообще не фейк, и не хотят тратить время. Но то что токс дырявый, уже пару человек показали, приложив пару ссылок и участков кода из сорцев qTox
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх