Archives
- September 2011 (1)
- February 2011 (1)
- December 2010 (1)
- November 2010 (1)
- September 2010 (7)
- August 2010 (7)
Dostałem dzisiaj przez formularz kontaktowy na stronie taką oto ciekawą wiadomość:
Od: Suriv... <cos@cos.pl> Temat: wsadz se te matematyczne dzialania w 4 literyxD Treść wiadomości: Oblicz sam sin(0) + cos(360)... jest 8 liczb po przecinku a mozesz wpisac 3 znaki xd
Z mojej strony chciaÅ‚bym prosić autora o wyjaÅ›nienie w jaki sposób wyszÅ‚o Mu/Jej z równania sin(0) + cos(360) coÅ› z oÅ›mioma liczbami po przecinku… No, chyba, że byÅ‚o to 1.0000000, to wtedy siÄ™ zgodzÄ™ ;)
Żeby nie było, poniżej dowód matematyczny, że trzy znaki na wynik w zupełności wystarczają:
http://www.wolframalpha.com/input/?i=sin%280%29+%2B+cos%28360%29
Tak, jeszcze żyjÄ™ ;) . Dzisiaj zostaÅ‚em poproszony o reupload jednego ze starszych filmików – prezentacji skanera czÄ™stotliwoÅ›ci radiowych, co oczywiÅ›cie uczyniÅ‚em. Film możecie zobaczyć tutaj. MiÅ‚ego oglÄ…dania :)
DziÅ› wpadÅ‚ mi w rÄ™ce taki oto artykuÅ‚ http://blog.sjinks.pro/wordpress/858-information-disclosure-via-sql-injection-attack/ . Przyznam szczerze, że nie miaÅ‚em czasu żeby sprawdzić jak to dziaÅ‚a w praktyce, ale czytaÅ‚em na kilku stronach, że bug rzeczywiÅ›cie byÅ‚ obecny. PiszÄ™ byÅ‚, gdyż po aktualizacji WP do najnowszej wersji już go nie ma… Jak jednak wiadomo, masa administratorów stron nie dba o aktualizacjÄ™ silnika na którym jest oparta ich witryna (sam znam kilka Joomli w bardzo dziurawych wersjach), tak wiÄ™c nie zdziwiÄ™ siÄ™ jak na dniach powstanie jakiÅ› bot automatyzujÄ…cy wykorzystanie opisanej podatnoÅ›ci.
Miłego łatania :)
Nie, ta strona nie została opuszczona :) . Niestety ostatnio nie miałem czasu, żeby tworzyć nowe filmy czy uzupełniać materiały, dla tego nic się tutaj nie działo. Dzisiaj postanowiłem się zebrać i dodać przynajmniej jeden nowy film. Wybór padł na coś, co nakręciłem podczas brania udziału w konkursie Security Days kilka lat temu. Zapraszam do oglądania klik.
Zgodnie z obietnicą umieszczam wyniki swoich analiz nad możliwością podsłuchiwania najnowszych wersji Gadu-Gadu wykorzystujących szyfrowanie. Film wraz z opisem jest dostępny tutaj. Atak nazwałem Gadu-Gadu SSL Bypass, mam nadzieję, że nazwa się Wam spodoba :) . Miłego oglądania.
Jak obiecałem, tak uczyniłem :) Sposób na podsłuchiwanie rozmów, również prowadzonych przez najnowsze wersje Gadu-Gadu które wykorzystują szyfrowanie został opracowany i sfilmowany. Jednakże, jako, że nie mam do niego jeszcze skończonego opisu, a napisy jeszcze nie zostały nawet ruszone postanowiłem, że umieszczę w pierwszej kolejności inny film o tej samej tematyce. Zobaczycie na nim w jaki sposób można podsłuchiwać nieszyfrowane rozmowy prowadzone za pomocą Gadu-Gadu (klik). Obecnie sposób ten już jest średnio skuteczny, ale informacje w nim zawarte przydadzą się podczas oglądania zapowiedzianego wcześniej filmu.
Dla niecierpliwych:
Film o podsÅ‚uchiwaniu najnowszych wersji Gadu-Gadu jest już na Youtube. Możecie go obejrzeć pod adresem: http://www.youtube.com/watch?v=MccEBbOoZN4 . PojawiÅ‚y siÄ™ już komentarze, że jest nieczytelny. Niestety, nagrywaÅ‚em go w rozdzielczoÅ›ci 1920×1200 i jeÅ›li nie bÄ™dziecie go oglÄ…dać w najwyższej jakoÅ›ci (Oryginal) to niewiele na nim zobaczycie. To samo tyczy siÄ™ oglÄ…dania go na ekranie o maÅ‚ej rozdzielczoÅ›ci – teksty nie bÄ™dÄ… czytelne! Sorry ;)
Od jakiegoś czasu nie pojawiają się nowe materiały na stronie. Nie oznacza to jednak, że nic nie robię ;) . Szykuję dla Was materiał o sniffingu Gadu-Gadu. Film o tym już był przeze mnie tworzony, lecz od jakiegoś czasu GG wprowadziło szyfrowanie połączeń za pomocą SSLa, tak więc przedstawiony wtedy sposób obecnie średnio będzie działać. Od rana kombinuję jak zmusić GG do tego żeby nie korzystało z SSLa i mam już kilka pomysłów. Co z tego wyjdzie, przekonacie się niedługo jak umieszczę film z moją koncepcją ataku na najnowsze wersje GG :)
Jeśli ktoś z Was ma jakiś ciekawy pomysł na film, to zapraszam do podzielenia się swoim pomysłem w komentarzach do tego wpisu :)
Przyznam szczerze, że ostatnio strasznie mi siÄ™ nie chce ;) . PrzerabiaÅ‚em napisy do filmu który dzisiaj dodaÅ‚em jakieÅ› 5 dni, a powinno mi to zajÄ…c max pół godziny… Ale siÄ™ udaÅ‚o :)
Dzisiaj trochę odmiennie, w filmie pokazuję jak w bardzo banalny sposób można stworzyć swoją powłokę systemową w Linuxie (klik).
Zaktualizowałem też dział z programami. Pojawiło się kilka aplikacji steganograficznych które mogą się komuś przydać np. przy ukrywaniu tekstu w obrazkach itd.
Dzisiaj doszedłem do wniosku, że można by zamieszczać na stronie również linki do ciekawych exploitów i bugów.
Zaczynamy od exploita na switche firm 3com i dell pozwalające na wyliczenie hasła dla użytkownika __super (pełen dostęp do atakowanego urządzenia) z adresu mac. Bardzo ciekawa sprawa :)