Написав нескладний exploit, що використовує уразливість в DBMS_SQLHASH.GETHASH. Exploit для роботи потребує sql ін’єкцію в pl / sql процедурі (зазвичай, на Oracle Application server, там і належать такі процедури по дефолту користувачеві з правами, яких нам достатньо). Загалом можна запитати, навіщо нам exploit, якщо є ін’єкція? Я відповім, що часто в таких процедурах йде простий sql select / update / insert, а в них ми можемо використовувати тільки простий sql. Даний exploit дозволяє виконати pl / sql, маючи при цьому тільки ін’єкцію у процедурі, яка виконує, скажімо, select і права тільки create_session.
Read more…
upd: обновив до версії 2.0
сьогодні написав “обфускатор”, який базується лише на одному алгоритму.. час від часу буду додавати в нього алгоритми )
для прикладу, запустіть у себе такий скрипт:
''=~('(?{'.('AC94AiUz29Y9oEd8AQ7vRY' ^ '11PZ5Iw2WU5VCe3W3=SWpb').'$/})');
в результаті побачите:
Hello, World!
як воно працює, і про сам обфускатор, читаємо далі..
Read more…
September 11th, 2009
poma
Я покажу вам скрипт, який працює через баг, та допоможе вам збільшити (накрутити) “опыт” та “обаяние” у щасливому фермері =)
Для тесту був створетий аккаунт з фермером, і після 5и хв. роботи скрипту результат перед нами:
Для запуску скрипту не потрібно ніяких серверів та затрат, все можна запустити у себе дома на компютері )
Read more…
привіт =)
я розкажу вам як “підробити” (фух, як грубо сказано) сертифікат від Соло, від nabiraem.ru. А також ми автоматизуємо цей процес, напишемо простенький скрипт на perl.
Read more…
давно писав цей скрипт, і давно на нього забив )
аж вчора його вирішив дописати )
ці скрипти можуть: брутити пароль для входу на сервер (csBrute-PlayerPassword.pl), брутити RCON пароль двома способами (csBrute-RconPassword1.pl, csBrute-RconPassword2.pl), а також віддалено адмініструвати сервер (чужий чи свій) (csBrute-Rcon.pl)
Read more…
Останні коментарі