| | bramborak: V každé fotce je místo, modrá sféra, kde jsou uloženy EXIF data. Na internetu se dá zdarma stáhnout milion exif editorů. Jednoduše editneš .jpg a přidáš například <?php echo 'foo'; ?>. Případně prostě vytvoříš file.php.jpg, pokud upload nepoužívá getimagesize() k ověření, že jde skutečně o obrázek. V podstatě jsou dvě možnosti, uploadnout "img shell" a editovat .htaccess soubor přidáním "AddType application/x-httpd-php .jpg". To zajistí, že php server bude interpretovat .jpg soubory jako php. Spoustu jednoduchých uploadů má blacklist na koncovky souborů jako ".php", ale na .htaccess se většinou zapomíná, pokud se nekontroluje, zda soubor nějakou koncovku má. Druhá možnost je najít na serveru špatně napsanou include <?php include $_GET["file"]; ?>. Jednoduše pak načteš svůj .jpg soubor, ze kterého se vykoná php kód. S tímhle jsme si hráli, když nám bylo 14 let, vážně myslíš, že aukce podobných "exploitů" by měla smysl? Kdo to zná tak nekoupí a kdo nezná, tak nemá páru, kolik takový programátor bere na hodinu a pravděpodobně by svoje kapesné stejně neutratil. |
|
| | Ahojte , chtěl bych napsat , že kdo má zájem se něco naučit ve VB.NET ať se podívá sem [link] Je to můj kanál , nebudou tam jen tutoriály ale i LetsPlaye to už ne ale ode mě :) Zatím tam toho moc není,ale bude. |
|
| kolemjdouci:
ano myslel jsem php shell do gif,jpg ci bmp,,jako avatar..ono to uz takova sranda neni to udelat.Ale i kdyz to oproti tem exploitum co se prodavaji za statisice,je picovina,tak par takovejhle picovin kdyby tu bylo ke stazeni za jednu placenou sms,tak soom nepotrebuje vytvaret nejake reklamy..tak to bylo mysleno..protoze jakmile se nekdo touto cestou da,tak je otazka casu kdyz tu bude uz jen sama reklama(jako u mnoho jinych webu kde si reklamou odehnali lidi,tak museli dat ty reklamy jeste vic)
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;) |
|
| bramborak:
Jsem opravdu zmaten. Srovnavat psani exploitu a keyloggeru?
A zakomponovat shell do .jpg? Pokud myslis php shell, nebo neco podobneho, tak je to trvivialni, ale nebude ti to fungovat, pokud server neni spatne nastaveny(pripadne objevis nejaky sileny bug).
Pokud bys chtel mit nejaky shell v .jpg na PC, tak to by musel byt uz nejaky opravdu drsny exploit.
Jinak nevim, proc vam vsem vadi Sklik. Me spis pobavil, prihlasuju se, vyskoci na me varovaci okno o SSL certifikatu a vzapeti se mi ukaze reklama na SSL certifikat, oh the irony :) Jinak imho by nebyl spatny selfsigned certifikat, udela se soom session, povymenujeme si verejne klice... Rozhodne by to bylo bezpecnejsi nez slepa duvera v nejakou radoby spolehlivou certifikacni autoritu.
Facebook, Google+, Google Translate a Twitter mi tu vadi vyrazne vic (tedy spis vadily by, kdybych je neblokoval). |
|
| Big Penis | 77.48.106.* | 9.1.2013 14:12 | # |
| | Tvl, to si děláte prdel sem cpát Sklik, ne? To se Vám těch pár korun oplatí? Další web, ze kterého se stala reklamní sračka-klikačka..... |
|
| Bystroushaak_ | 88.102.5.* | 9.1.2013 11:30 | # |
| | phr3akDom_: Jo, Freedom je fajn :) |
|
| phr3ak_ | 213.220.198.* | 9.1.2013 1:23 | # |
| | sekce Burza > blackmarket |
|
| proste projekty co ma soom,jako xss backdoor nebo iewebdoor zpoplatnit,udelat jich vic a pak jeste burzu upravenejch exploitu co jsou k sehnani zdarma a hlavne by se to asi ridilo poptavkou..ja bych mel treba zajem o teb shell v jpg a verim ze bych ho nekoupil jen ja sam
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;) |
|
| bavim se snad jasne o exploitech,ze supiny zdarma ale jen prispusobenejch treba aby umeli jen poslat vypis na xxx.soom. cz a pod...sem myslel ze je to k pochopeni kdyz sem uvedl jako priklad zakomponovani shelu do jpg co bmp a pod....to prece neni zas tak slozita prace
----------
Vetsina serveru se da vyrootit, staci poslat spravnej zivotopis na spravnou adresu ;) |
|
| omg | 193.200.150.* | 9.1.2013 0:29 | # |
| | bramborak - jsi opravdu najivni. kolik lidi kteri umi napsat exploit z ceska nebo slovenska znas? ti se daji spocitat na prstech. nehlede na to ze kdyz uz tohle nekdo umi vetsinou ma dobrou praci protoze je specialista s vybornymi znalostmi. |
|
