csrf-атака и заливка шела

Discussion in 'Видео-Конкурс [лето 2010]' started by Kusto, 28 Jul 2010.

  1. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    927
    Likes Received:
    679
    Reputations:
    510
    Это видео нельзя назвать чьей-то авторской работой, трудились над ним мы вместе с
    Satana-fu (к сожалению ,по семейным обстоятельствам, он конечный результат увидет нескоро-
    и надеюсь ему это будет приятным сюрпризом ) и morty10 (это действительно профессионал своего дела)

    Для начала посмотрим что об этом нам говорит Википедия:
    Идея снять видео появилась спонтанно, просто понаблюдав за темами ачата,
    я ни разу не видел описание данной уязвимости, хотя и пользовались мы (те кто с этим знаком ) ими часто.
    Многие считают данный вид уязвимости несерьезным (к этому типу можно отнести например разлогивание юзера и т д),
    но как говорится : "в умелых руках и ...- баллалайка", и данный вид атаки уже давно "стоит на вооружении" многих
    продвинутых юзеров (просторы здесь открываются грандиозные от накрутки голосования и кражи голосов вашего любимого
    вконтакта- до взлома сайта и заливки шелла ), последнее и решили вам продемонстрировать.Этой уязвимости подверженны
    большинство сайтов, и для взлома определенного сайта нам надо всего лишь скачать себе его двиг
    (это если будем подделывать админские запросы), изучить его и посмотреть запросы которые отправляются на сервак

    В нашем видео мы специально не касались темы скулей либо xss, хотя все эти уязвимости и присутствуют там и этот сайт можно
    было-бы взломать в "два клика мыши", так-же специально не делали связку XSS+CSRF(хотя зрелищность бы повысилась)
    решили показать csrf-атаку без примесей (невсегда удается найти ту-же скуль или ксску в известных движках),
    мы просто незаметно заставим админа поднять нам права до своего уровня (сделать из нас нового админа) и под новым админом
    зальем шелл на сайт, ну а впрочем, зачем я вам это рассказываю? Смотрите сами

    [​IMG]

    http://vimeo.com/13696467


    [​IMG]

    http://www.youtube.com/watch?v=A_Mk3p0sVaM

    C уважением
    Kusto , morty10 и Satana-fu

    P.S. Ждем администрацию взломанного сайта у нас в рубрике-"проверка на уязвимости", где им будет оказанна квалифицированная помощь и данны рекомендации по устранению найденных багов.
     
    #1 Kusto, 28 Jul 2010
    Last edited: 28 Jul 2010
    25 people like this.
  2. morty10

    morty10 [electric winter]

    Joined:
    26 Nov 2008
    Messages:
    661
    Likes Received:
    432
    Reputations:
    238
    да, хороший способ.
    немного модификации, и можно было-бы провернуть все еще проще.
     
    5 people like this.
  3. Lilo

    Lilo Banned

    Joined:
    10 Mar 2009
    Messages:
    1,052
    Likes Received:
    780
    Reputations:
    313
    смотрел еще вчера=)
    просто шик видос
     
  4. [Dark Green]

    [Dark Green] Banned

    Joined:
    13 May 2010
    Messages:
    239
    Likes Received:
    430
    Reputations:
    567
    Хорошее видео, авторам - уважение. Зрелище достойно античата :-*
     
  5. GrandMaster

    GrandMaster Active Member

    Joined:
    16 May 2009
    Messages:
    219
    Likes Received:
    115
    Reputations:
    24
    Видео понравилось. Легко смотрится.

    P.s только шелл можно было удалить, нажав на "Self remove"
     
    #5 GrandMaster, 28 Jul 2010
    Last edited: 29 Jul 2010
  6. HIMIKAT

    HIMIKAT Elder - Старейшина

    Joined:
    12 Jan 2007
    Messages:
    2,724
    Likes Received:
    578
    Reputations:
    402
    Хороший видос. Только извечная проблема, как впарить ссылку, чтобы по ней перешли. А так гуд.
     
  7. BrainDeaD

    BrainDeaD Elder - Старейшина

    Joined:
    9 Jun 2005
    Messages:
    785
    Likes Received:
    293
    Reputations:
    214
    отличное видео. соц-инжинеры в своём репертуаре: "на этом ресурсе выложили личные данные" :D
    ачат -жив.
     
  8. morty10

    morty10 [electric winter]

    Joined:
    26 Nov 2008
    Messages:
    661
    Likes Received:
    432
    Reputations:
    238
    я-же говорю, немного модификации, и можно вообще без линка использовать фишку.
     
    #8 morty10, 28 Jul 2010
    Last edited: 28 Jul 2010
  9. GrandMaster

    GrandMaster Active Member

    Joined:
    16 May 2009
    Messages:
    219
    Likes Received:
    115
    Reputations:
    24
    Можно было 2.php сделать в виде картинки и сунуть в комментарий. Дальше кинуть линк админу, мол тут что-то плохое написали. На свой ресурс они бы точно перешли :)

    P.s хотя не уверен, что вышло бы
     
  10. goodv1n

    goodv1n Member

    Joined:
    11 Dec 2009
    Messages:
    148
    Likes Received:
    60
    Reputations:
    5
    Красиво) смотрел как фильм.. захватывает..
     
  11. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    927
    Likes Received:
    679
    Reputations:
    510
    ребят ссылку впаривать необязательно , достаточно использовать КССку (слава богу их там в каждом поле- и все активные, но повторюсь)

     
    2 people like this.
  12. morty10

    morty10 [electric winter]

    Joined:
    26 Nov 2008
    Messages:
    661
    Likes Received:
    432
    Reputations:
    238
    лишь-бы руки... ну ты понел.
     
    1 person likes this.
  13. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    393
    Likes Received:
    130
    Reputations:
    54
    Ммм очень гуд видос, очень понравился! Молодцы!
     
  14. Serafim

    Serafim Elder - Старейшина

    Joined:
    24 Oct 2006
    Messages:
    226
    Likes Received:
    104
    Reputations:
    18
    Музыка на видео: Ilaria Graziano- Somewhere In The Silence
    Искал для себя но решил поделиться. :)
     
    2 people like this.
  15. morty10

    morty10 [electric winter]

    Joined:
    26 Nov 2008
    Messages:
    661
    Likes Received:
    432
    Reputations:
    238

    Ilaria Graziano- from the roof top ~ somewhere in the silence (sniper's theme)
     
  16. Blizzard

    Blizzard Member

    Joined:
    27 Jul 2010
    Messages:
    26
    Likes Received:
    16
    Reputations:
    0
    Парни, молодцы.
     
    #16 Blizzard, 30 Jul 2010
    Last edited: 30 Jul 2010
  17. olegator

    olegator Member

    Joined:
    10 Feb 2009
    Messages:
    17
    Likes Received:
    38
    Reputations:
    0
    "удалено" ;)
    Mолодец Kusto видео оригинально на 5+ :) :) :)
     
    #17 olegator, 30 Jul 2010
    Last edited: 30 Jul 2010
    1 person likes this.
  18. WapGraf

    WapGraf New Member

    Joined:
    12 Apr 2010
    Messages:
    38
    Likes Received:
    3
    Reputations:
    0
    Классное видео и шелл мой любимый был)
     
  19. lukmus

    lukmus Elder - Старейшина

    Joined:
    18 Nov 2009
    Messages:
    450
    Likes Received:
    114
    Reputations:
    23
    действительно короткометражка какая-то, я бы отправил ее на Канский.
    режиссер, сценарист, звукорежиссер, актеры - все достоины Теффи ))
     
  20. preda1or

    preda1or Member

    Joined:
    27 Oct 2008
    Messages:
    240
    Likes Received:
    97
    Reputations:
    6
    Что за музыка в видео?
    Возьмите за хороший тон публиковать эту информацию, пожалуйста.
     
Loading...
Similar Threads - csrf атака заливка
  1. Konqi
    Replies:
    20
    Views:
    36,871