D
Deleted member 282990
Buongiorno ragazzi,
si può vedere cosa c’è sotto il counter? Un sito per far vedere certe informazioni pone un counter. Come posso aggirarlo?
Follow along with the video below to see how to install our site as a web app on your home screen.
Nota: This feature may not be available in some browsers.
Prova a dare un'occhiata alla tecnica usata in questo post:Visualizza allegato 63011
Buongiorno ragazzi,
si può vedere cosa c’è sotto il counter? Un sito per far vedere certe informazioni pone un counter. Come posso aggirarlo?
In che modo?Prova a dare un'occhiata alla tecnica usata in questo post:
PokemonGO cheat - Accesso illimitato gratuito alle funzionalità di pogo.arspoofing.com
DISCLAIMER Questa discussione è stata aperta solo ed esclusivamente per lo studio di una vulnerabilità di tipo Informatica-Hacking nell'ambito Web e non per offrire attrezzi utili per commettere REATI. CHIUNQUE UTILIZZI QUANTO VIENE DESCRITTO IN QUESTA PAGINA PER FINI DIVERSI DA QUELLI RELATIVI...www.inforge.net
Devi trovare nel sito, attraverso il tool "ispeziona elemento" integrato nel browser, eventuali funzioni JavaScript che presentano vulnerabilità, modificarle in base ai parametri più opportuni ed eseguirle tramite Console per estrapolare le info che cerchi.In che modo?
Non ho idea, potresti guidarmi?Se il codice JS è leggibile potresti riuscire a modificare qualcosa, ad esempio la condizione utile allo scadere del timer. In alternativa, se la pagina prende l'ora da una richiesta del server potrebbe bastarti modificare questa richiesta. Devi cercare la vulnerabilità poiché non è la sessa per ogni pagina.
Se il codice JS è leggibile potresti riuscire a modificare qualcosa, ad esempio la condizione utile allo scadere del timer. In alternativa, se la pagina prende l'ora da una richiesta del server potrebbe bastarti modificare questa richiesta. Devi cercare la vulnerabilità poiché non è la sessa per ogni pagina.
Se non è perfettamente legale?Queste immagini sono inutili, posta il nome del sito altrimenti nessuno potrà aiutarti.
Con solamente questa immagine non possiamo aiutarti. Per darti una risposta dovrei analizzare le richieste del sito e fare un po' di pentest. Posta l'URL e ci do un'occhiata.Non ho idea, potresti guidarmi?
Messaggio unito automaticamente:
exploits-it.com ad esempio, grazieCon solamente questa immagine non possiamo aiutarti. Per darti una risposta dovrei analizzare le richieste del sito e fare un po' di pentest. Posta l'URL e ci do un'occhiata.
Ma questo è uno scam grande come una casaexploits-it.com ad esempio, grazie
Era un sito di esempio. Non va usato per scopi malevoli, ovviamenteMa questo è uno scam grande come una casa
Premessa: Non deve essere un sito di esempio: ogni pagina web ha le sue vulnerabilità, diverse dalle altre pagine, quindi se l'exploit funziona su exploits-it.com potrebbe non funzionare altrove.Era un sito di esempio.
data-obtained.php
. Prova a modificarla impostando data-count
a 0 e vedi se si azzera il counter. Probabilmente no, ci saranno dei controlli sui cookie di sessione... chi sa, provale un po' tutte.Bruh.Non va usato per scopi malevoli, ovviamente
Si, avevo già sentito parlare di SET, tuttavia devo ancora installare linux sul pc per poterlo "provare" e verificarne il funzionamento. Anche perché non mi è ben chiaro come impostare l'IP al quale si riceveranno le informazioni raccolte tramite il phishing.Premessa: Non deve essere un sito di esempio: ogni pagina web ha le sue vulnerabilità, diverse dalle altre pagine, quindi se l'exploit funziona su exploits-it.com potrebbe non funzionare altrove.
Comunque la richiesta che ti interessa èdata-obtained.php
. Prova a modificarla impostandodata-count
a 0 e vedi se si azzera il counter. Probabilmente no, ci saranno dei controlli sui cookie di sessione... chi sa, provale un po' tutte.
PS: Se vuoi bypassare il counter come CTF, fai pure. Se invece lo fai per usare il sito, lascia perdere, questo sito ti ciuccia 20 euro per fare cose che potresti fare meglio e gratis. SET toolkit ad esempio, gratis e funzionale.
Bruh.
Sì e no, ovvero: se usi il tuo pc il tuo ip sarebbe esposto, ma è molto facile trovare un server gratuito (o molto economico) sul quale hostare il tuo sito fake fatto con set. La migliore soluzione sarebbe una CVM (Cloud Virtual Machine) alla quale collegarsi con una VPN.Tra l'altro, non ci sarebbe come url un ip che riporterebbe a me?
Non è un comando, è un campo della richiesta che informa periodicamente il counter di quanti secondi mancano alla scadenza. Per capirsi è un dato che dice i secondi rimanenti allo scadere del counter. Modificando questa richiesta (ci sono molti tool gratuiti per farlo, BurpSuite penso vada bene, ma credo anche direttamente dalla scheda "Network" dell' ispeziona di Chrome) "intercettandola" prima che arrivi al browser farai credere al counter di essere arrivato a 0. Questo in teoria, nella pratica immagino ci siano protezioni per evitare exploit così basilari. Quindi prova un po'...Inoltre, il comando "data-count" come e dove va eseguito?
Non ho mai usato Linux, tantomeno ho dimestichezza con hosting di siti. Penso sia una comodità trovare il tutto già predisposto online, accedendo e copiando un link. Poi magari è più facile di ciò che penso installare Kali Linux e predisporre il programma, fare l'host, fare una cvm e una vpn interna, sperando che internet non rallenti (non so, dovrei mettermi una giornata a provare e vedere effettivamente in termini di tempo quanto costi).Sì e no, ovvero: se usi il tuo pc il tuo ip sarebbe esposto, ma è molto facile trovare un server gratuito (o molto economico) sul quale hostare il tuo sito fake fatto con set. La migliore soluzione sarebbe una CVM (Cloud Virtual Machine) alla quale collegarsi con una VPN.
Proverei anche, non mi è chiaro dove inserire la richiesta modificata. Sarebbero utili degli screen (ti ringrazio anticipatamente se mi spiegherai tutto il processo, so che in termini di tempo è costoso).Non è un comando, è un campo della richiesta che informa periodicamente il counter di quanti secondi mancano alla scadenza. Per capirsi è un dato che dice i secondi rimanenti allo scadere del counter. Modificando questa richiesta (ci sono molti tool gratuiti per farlo, BurpSuite penso vada bene, ma credo anche direttamente dalla scheda "Network" dell' ispeziona di Chrome) "intercettandola" prima che arrivi al browser farai credere al counter di essere arrivato a 0. Questo in teoria, nella pratica immagino ci siano protezioni per evitare exploit così basilari. Quindi prova un po'...
Mi sento di consigliarti di partire dalle basi prima di provare a fare queste cose. Prendi dimestichezza con i sistemi operativi Linux, studia le basi del funzionamento delle reti e di Internet. Studia un po' di programmazione (lato web). Dopo puoi sfruttare i tools di Linux e più nello specifico di Kali per fare pentesting o quello che vorrai fare. Purtroppo, o per fortuna, non si può pretendere di trovare vulnerabilità web senza avere le conoscenze di base né tantomeno di farlo ogni tanto per sfizio perché richiede di essere preparati.Non ho mai usato Linux, tantomeno ho dimestichezza con hosting di siti. Penso sia una comodità trovare il tutto già predisposto online, accedendo e copiando un link. Poi magari è più facile di ciò che penso installare Kali Linux e predisporre il programma, fare l'host, fare una cvm e una vpn interna, sperando che internet non rallenti (non so, dovrei mettermi una giornata a provare e vedere effettivamente in termini di tempo quanto costi).
Proverei anche, non mi è chiaro dove inserire la richiesta modificata. Sarebbero utili degli screen (ti ringrazio anticipatamente se mi spiegherai tutto il processo, so che in termini di tempo è costoso).