"..что сила держится на чужом бессилии
и слабого в клочья рвут как бумагу"
Дельфин
Сидим мы как-то на канале, никого не трогаем, тут вламываецца msa увидев знакомый ник начинает докапывацца не я ли был на его сайте velsk.km.ru ? Кхм.. не был я на таком сайте =), был на velsk.com.ru а вот.. не был ;). Ну давно ниче не дефал, давай посмотрю может чо и выгорит.. развлекусь.
Кусок лога с ирц:
==================[cut here]===================
[13:48] l0ne_w0lf, ты кто?
[13:48] пля.. да какая разница?!
[13:48] =)
[13:49] msa => говори
[13:49] l0ne_w0lf. было дело?
[13:50] msa, чо было дело?
[13:50] velsk.km.ru мой сайт. помнишь такой?
[13:50] нет
[13:51] я помню
[13:51] в первый раз вижу..
[13:51] а чо там?
[13:51] а velsk.com.ru старый
[13:51] просто кто-то подписывался именем l0ne_w0lf
[13:52] мало ли кто подписывался, всякое бывает
[13:52] или что-то подобное...
[13:52] я вот в нете не одноог лона_вульфа видал
[13:52] msa, дык и чо с того? и при чом тут я? =)
[13:52] а чё значит лона_вульфа?
[13:53] а чо значит мса? =)))
[13:53] да просто ьак. ни хуя порошего // для тебя кнешна ниче хорошего =)
==================[/cut here]===================
Ну нашли xss.. дали пару дней чтобы закрыть багу.. прошло недели две.. новогодние праздники сказались, гг..
==================[cut here]===================
[10:18:46] msa > как твоя пага поживает?
[10:18:56] баги латаешь?
[10:19:03] также
[10:19:06] Zool > он не умеет
[10:19:18] мне надоел сайт
[10:19:21] msa > само собой так же.. забили мы на нее.. даже ломать в падлу.. веришь? =)
[10:19:29] =)))
[10:19:38] msa > как дела с подругой?
[10:19:54] не очень // а очень и не было.. если не считать того что он себе возомнил..
==================[/cut here]===================
Вообщем протестили мы дыру, оказалось не закрыта, поскольку люди мы довольно миролюбывые то не стали делать редирект на майлваре или еще чего-нить в этом духе.. просто добавили сообщение "мол так и так.. вот у тебя дыра".
На следующий день приходит msa, думали ругацца будет.. не, говорит спасибо мол что дыру показали.. закрыл вроде даже =). Давай опять отличацца своей тупостью.. кхм.. бывает у всех но msa выдающийся экземпляр! =).
Еще один кусок ;):
==================[cut here]===================
[12:49:04] я вчера в инет выходил.. на сайт вельска // удивил =)
[12:49:14] и чо?
[12:49:37] ты кстати чо в кукисах хранишь? =) // мне нада узнать стоит у него куки писсдить или нет =)
[12:51:07] просто не думал что если в теге img свойсто src файл рисунка пишешь скрипт . то он его обрабатывает // мда, тяжело думать с непривычки-то..
[12:51:24] стандартная бага =)
[12:51:26] xss
[12:51:28] гг
[12:51:28] =)
[12:51:45] в кукисах чо хранишь? сессию или логин и пароль или то и другое? // развиваем тему по поводу кукисов
[12:51:47] а?
[12:51:48] =)
[12:51:50] кстати спасибо за баг
[12:51:54] исправил багу?
[12:52:03] ни чё я не храню // вупссс
[12:52:17] ну а как тогда админ панель работает?
[12:52:19] =)))
[12:52:30] просто на страницу редиректит?
[12:53:59] хахаха не работает вааще покаа // =/ кто бы мог подумать..
[12:54:06] ясна
[12:54:14] я просто пробовал пхп скрипт найти
[12:54:21] на который редиректит
[12:54:27] не нашел чо-та =))
[12:54:31] какой? // так я тебе бля и сказал чо я искал.. щазз.. гг
[12:54:40] хы, захотел..
[12:54:47] как ты ищещь?
[12:54:56] ну я думал что когда вводишь имя пользователя и пароль
[12:55:00] правильные
[12:55:07] тебя редиректит на страницу
[12:55:12] с настройками паги
[12:55:18] ну чтобы рулить можно было
[12:55:23] а так..
[12:55:29] в кукисах ты ниче не хранишь
[12:55:42] страницы такой нет..
[12:55:46] скучно вообщем =)
[12:55:59] храню только опрос // куки почистил и можно снова голосовать.. все на самом деле просто, как и сам мса =)
[12:56:30] ты логин и пасс будешь в базе хранить или в текстовике? // мне же надо знать чо искать, правильно? ;)
[12:56:54] я вообще на серваке вырубил куки
[12:57:07] кроме опроса
[12:57:25] а таблица одна в базе или несколько разных? =)
[12:57:35] пока в пхп скрипте
[12:57:50] ясна
[12:58:00] эта чтобы с браузера нельзя было забрать? =)
[12:58:05] login = ?????; password = ????????;
==================[/cut here]===================
В-прочем ладно, дальше была соц. инженерия.. ее результаты ниже.. тут пароли на всякое барахло.. чаты, порнуха и прочее.. кхех, не хватает пацану женского внимания =(..
Лана вот фсе что нарыли:
www.RussianBoston.net chat
Login: msa2008
Password: OIl12uP
Adult FriendFinder
http://adultfriendfinder.com
Handle: msa2008
Password: BHC9W
Welcome to ChristianClassifieds.com
Username: msa
Password: qwerty
CrossDaily.com Membership Services
Username: Sergey7195
Password: figfun548
http://www.praize.com/
PraizeID: msa1980
Password: 62pontiff45
http://bigchurch.com
Handle: msa2008
Password: EQJ29
C H A T . N E T
Nickname: msa
Password: seaernesrce
ftp: host5.km.ru
логин для доступа по ftp: zi7b5lt9
пароль для доступа по ftp: Sm1U5Us79B
Ваша база в MySQL называетcя: velsk
Для доступа к базе Login и Password соответственно: zi7b5lt9 Sm1U5Us79B
http://moneyballs.info
Sergey
password is macaryin
http://www.ChristianMingle.com/
Your Username: msa2008
Your Password: qwerty
мыло "подруги", виртуальная любоФь, йопт..
[email protected]
ломать не стали.. потому что оно нам нахер не нужно
wcx_ftp.ini
==================[cut here]===================
[connections]
1=velsk.km.ru
default=velsk.km.ru
2=ftp.narod.ru
3=zdes-referati.narod.ru
4=for-student.boom.ru
[velsk.km.ru]
host=host5.km.ru
username=zi7b5lt9
password=A7A0BC2511916F1E509506DE4CB1
pasvmode=0
directory=www
[default]
[ftp.narod.ru]
host=ftp.narod.ru
username=velsk
password=BC1E8CA73AE5F709BEFE194113
pasvmode=0
[General]
e-mail=
[zdes-referati.narod.ru]
host=ftp.narod.ru
username=zdes-referati
password=B3F3399E70EF598FCF6F218E7BAB
pasvmode=0
[for-student.boom.ru]
host=ftp.boom.ru
username=for-student
password=DB8FF9CF3BA78272B6FC
pasvmode=0
==================[/cut here]===================
здесь не надо ниче расшифровывать! просто заменяем аналогичный файл в винкоме и.. творим добро ;)
это очень личное! не до 18 и.. бла, бла, бла =)
"Позавчера вечером я был на чате чё-то немного нагрубил одному человеку, и меня выкинули с чата и не пускают временно. Я я чё-то очень расстроился хотел с кем-то пообщаться но не получится. Меня опять потянуло к старому, ну точнее мне это не очень хотелось этим заниматься но мне хотелось чего-то приятного, чего что у меня сейчас нету, ну короче я опять начал мастурбировать, ну просто чем-то хотел удовлетвориться наверно. Раза два я кончал. Ну конечно мне стыдно, но мне почему плохо, просто нет наверно близкого человека, не для секса, просто может для ласки, для общения. Вчера мастурбировал, и сегоня наверно буду. Не потому что, что я хочу это делать, а потому что мне просто на душе плохо. Хочется чего-то приятного. Что мне делать?"
====================^^^^^^^ взято с личной переписки msa с его "подругой" Наташей
..перестать читать хакИр.ру.. и почитать статьи хотя бы античат.ру ;)), а лучше заведи ты себе обычную тетку и не еби мозги!
и чтобы я такой вот хуйни:
"Здравствуйте. Я несколько дней назад на вашем чате нагрубил одному посетителю. Прошу извинения за это. Этого больше не не повторится. Что-то я сглупил, мысли дурные пошли, правда. Я раскаиваюсь в этом. Мне очень нужно пообщать с одним человеком. Пожалуйста подключите меня. Я вас очень очень прошу!!!!!!! Логин: Drug_Laski."
====================^^^^^^^ взято с личной переписки msa с его "подругой" Наташей
..больше не видел! =)
Вообще-то тут даже BOPOH'у (не путать с ВОР0НОЙ +) ) должно быть понятно что для входа в чат достаточно заменить одну букву, т.е. заменить "a" на русский аналог и ты в чате! Но в хакере об этом не пишут.. увы и ах.. =((, да и ума за 25 лет своей никчемной жизни мы не нажили.. остаецца только сосать у админов чата.. правда msa? =)
Пользуясь случаем передаю привет:
Zurkum - она знает за что..
Zool - за моральную поддержку, за помощь в реализации идей и вообще за все
Pilot + ATZ - c годовщиной свадьбы вас! =)
клану [xYй] (http://vse-zae.biz)- за то что терпели мя больше года
так же всем тем, кто прочитал эту хрень..
Пользуясь случаем посылаю на хуй:
msa [[email protected]]- ты был дибилом и им помрешь, сексперт не ибацца ;)
ВОРОН [[email protected]]- ты пидар кто бы и чо там не говорил ;))
Отмаза: я не считаю, не считал и не буду считать себя хакИром.. я скрипткиддис ака мне похуй чо ломать и ломать ли вообще =).. и поэтому не нада мне читать лекции по морали или прочей хуйне, я делаю то что хочу!
p.s. было бы весело если бы не было так печально..
================:: Логи
[10:42] Привет админы!
[10:42] ку
[10:43] как дела. вольфина?
[10:43] ку
[10:43] херова
[10:43] кудзу модема не видит
[10:43] а миникома нет..
[10:43] чё-такое?
[10:43] =(
[10:44] кудзу? прога в линухе которая новые устройства в системе находит
[10:44] какая версия линукса? // типа гуру в линухе.. мда.. уШ
[10:44] асп 9
[10:44] хз, может и железо... кстати, с этими момедами траблы имеются
[10:44] попроьуй перезвгрузить камп с включенным модемом // ну.. я ж говорю гуру, йопт \m/
[10:45] делать нехуй
[10:45] это не винда!
[10:45] чтобы ребутить комп
----------[ покоцано
[10:51] * l0ne_w0lf changes topic to 'kudzu падла модема не видит =(('
[10:52] ну я не бычусь сайтом. это я так развлекался и создал.... от него я ничего не имею ну кроме марального удоветворения. да и то не удовл-я вы например меня ругаете
// кто бы тя ругал? сам в залупу лезть начал
[10:52] дык
[10:53] вот помогли бы вместе создали....
[10:53] не попадает в сферу интересов на данный момент
[10:53] а то ругать все могут. а помочь......
[10:53] а нафига оно нада? =)
[10:54] вот-вот ругать можете. а помочь хуй звбиваете
[10:54] ты вот тоже помочь забил
[10:54] машина момед не видит
[10:54] msa => ты еще заплачь =)
[10:54] msa => мы не ругали.. просто думаем что у тя на паге баги есть..
[10:55] я не плачу
[10:55] какие баги?
[10:55] msa => найдем баги.. может тебе адвисори напишем
[10:55] а может и нет..
[10:55] msa => багов нет?
[10:56] что такое адвисори?
[10:56] багов нет, багов нет... ах, багов нет!
[10:56] баги есть
[10:56] Zool => чо такое адвисори?
[10:56] advisory от advise - советовать
[10:56] просто в облом все защиты ставить...
[10:57] эдвайс. это товарищ Ленин
[10:57] msa => например? защита в куках, защита от флуда, защита по ипу? =)
[10:57] неа
[10:57] а чо тогда?
[10:57] защита по ипу ты загнул
[10:58] вышел из инета и зашел снова. вот и сменил ипу
[10:58] msa => а прокс не проще сменить? =)
-----------[ покоцано
[11:06] я только на хакере в основном
[11:07] хотя. я не хакер
[11:07] я тоже НЕ хакер =)
[11:07] куда мне..
[11:07] кстати вроде у меня защита ут куков стоит.
[11:07] надо проверить
[11:07] в чем она заключаецца?
[11:07] проверим, не боись
[11:07] недолго защиту постаить
[11:07] =)
[11:07] а про скл инъекцию через куки слышал чо-нить?
[11:07] но чего ты добъёшься куками?
[11:08] кхе.. смотря чо ты туда будешь складывать =)
[11:08] если сессию админа пароль от своей паги
[11:08] вот-вот
[11:08] ?
[11:08] только говна сможешь на сайт наложить....
[11:09] а ты бы чего хотел?
[11:09] деф устроит?
[11:10] чё за деф
[11:10] ?
[11:10] * l0ne_w0lf changes topic to 'дефаем http://velsk.km.ru победителю ящик пива.. =)'
[11:10] deface
[11:11] говна и так можно наложить понаписать хуйню в объявлениях
[11:11] не
[11:11] тут немного другое
[11:11] изменение самой паги..
[11:11] главной страницы
[11:11] только я знаю кто это сделает. я тому ебальник разобъю
[11:11] это сложнее сделать зато интереснее
[11:12] =)
[11:12] а чем доказывать будешь?
[11:12] * Zool плакает и смеецца
[11:12] * Zool показывает пальцем на мса
[11:12] ну допустим что это я сделал?
[11:12] ип?
[11:12] мои тут понты?
[11:12] а?
[11:13] просто если ты ошибешься вдруг.. то =)
[11:13] я всех подряд
[11:13] нас тут трое..
[11:13] =))
[11:13] * Zool делает большие глаза
[11:13] писсдец боевик чтоли?
[11:14] Zool => нам писсдец =((
[11:14] * Zool баицца
[11:14] Zool => не.. нам реально писсдец..
[11:14] * Zool реально баицца
[11:14] =)
[11:14] слу
[11:14] а если мы найдем багу.. и тебе скажем
[11:15] я шахид риду с поясом....
[11:15] то чо будет?
[11:15] * l0ne_w0lf вспомнил про фэсэбэ..
[11:15] =)
[11:15] а я телефон фсб знаю
[11:15] четыры трупа
[11:15] херовый с тя шахид
[11:15] почему?
[11:15] мда.. а как же твоя подруга которую ты так любишь?
[11:16] 4-е трупа.. не серьезно.. =)))
[11:16] 100 - как минимум
[11:16] иначе и затеватьне стоит
[11:16] ладно я пушутил насчет шахида. а подруга моя хорошая....
[11:16] золотце
[11:16] в чем это заключаецца? =)
[11:16] в ангельском минете может быть?
[11:16] золотого цвета, наверно
[11:17] все проще
[11:17] золотой дождь йопт!
[11:17] \m/
[11:17] вашу мать
[11:17] чо?
[11:17] маму нэ трогай, да?
[11:17] не раздражайте меня давайте мсеним тему
[11:18] ты сам про подругу заикнулся..
[11:18] =)
[11:18] так тчо уж лучше разовьем тему
[11:18] разговор о твоей подруге тебя раздражает?
[11:18] а где крэзарь?
[11:18] хочешь поговрить об этом?
[11:18] =)
[11:18] помер
[11:18] угу r.i.p
[11:18] br0
[11:18] йоу мэн!
[11:18] ;)
[11:19] нига, нига, нига, нига
[11:19] пис!
[11:19] хоть бы у вас ху отмерз.....
[11:19] хуй
[11:19] не дождешься
[11:19] а у тя чо отмерз уже?
[11:19] они у нас большие игорячие
[11:19] неа
[11:19] сразу не было?
[11:19] а как же.. кхм.. у тя с подругой платаническая любоФь наверна..
[11:19] слу..
[11:19] у вас. ровери друг у друга?
[11:20] а подруга тя твоя любит?
[11:20] ровери? чо за?..
[11:20] а?
[11:20] да
[11:20] он сам типа не понял, что сказал
[11:20] за что?
[11:20] а вот не скажу
[11:20] дык не знаешь
[11:20] потому что не знаешь =)
[11:20] =)
[11:20] чё-то вас прёт эта тема
[11:20] ыыы
[11:20] не то слово!
[11:20] =))
[11:20] дык йопт
[11:21] заведит одругу.....
[11:21] куда?
[11:21] далеко?
[11:21] заведите подругу
[11:21] заведит одругу.. это чо?
[11:21] одну?
[11:21] нас же двое
[11:21] даже трое иногда
[11:21] каждый пдругу
[11:21] я пожалуй промолчу =)))
[11:21] а куда ее заводить?
[11:21] msa => дык.. у мя есть.. еще одну завести?
[11:21] на хуй
[11:22] а
[11:22] это проще простого =))
[11:22] по клитору поводил.. сама на хуй запрыгивать начнет =)
[11:22] ну, пробовал женицца, в общем, жалкое подобие левой руки
[11:22] * l0ne_w0lf slaps Zool со всей дури
[11:22] ыыы
[11:23] msa => нашел у своей подруги клитор?
[11:23] у нее нету
[11:23] как же?
[11:23] бракованная
[11:25] * Yakushenok has joined #bla-bla-bla
----------^^^^^^^^^^ под директора нашего косит, мудак.. =)
[11:25] обана
[11:25] а хост кто будет менять?
[11:25] здравствуйте ребята!
[11:25] дарова
[11:25] =))
[11:26] Yakushenok => хост смени
[11:26]