Domanda Togliere counter da sito

  • Autore discussione Deleted member 282990
  • Data d'inizio
Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
D

Deleted member 282990

F3EA01B5-39FA-4B0A-ACC5-39943D1E8E8E.jpeg

Buongiorno ragazzi,
si può vedere cosa c’è sotto il counter? Un sito per far vedere certe informazioni pone un counter. Come posso aggirarlo?
 
Stoksmind ha detto:
Visualizza allegato 63011
Buongiorno ragazzi,
si può vedere cosa c’è sotto il counter? Un sito per far vedere certe informazioni pone un counter. Come posso aggirarlo?
Clicca per espandere...
Prova a dare un'occhiata alla tecnica usata in questo post:
www.inforge.net

PokemonGO cheat - Accesso illimitato gratuito alle funzionalità di pogo.arspoofing.com

DISCLAIMER Questa discussione è stata aperta solo ed esclusivamente per lo studio di una vulnerabilità di tipo Informatica-Hacking nell'ambito Web e non per offrire attrezzi utili per commettere REATI. CHIUNQUE UTILIZZI QUANTO VIENE DESCRITTO IN QUESTA PAGINA PER FINI DIVERSI DA QUELLI RELATIVI...
www.inforge.net www.inforge.net
 
0xbro ha detto:
Prova a dare un'occhiata alla tecnica usata in questo post:
www.inforge.net

PokemonGO cheat - Accesso illimitato gratuito alle funzionalità di pogo.arspoofing.com

DISCLAIMER Questa discussione è stata aperta solo ed esclusivamente per lo studio di una vulnerabilità di tipo Informatica-Hacking nell'ambito Web e non per offrire attrezzi utili per commettere REATI. CHIUNQUE UTILIZZI QUANTO VIENE DESCRITTO IN QUESTA PAGINA PER FINI DIVERSI DA QUELLI RELATIVI...
www.inforge.net www.inforge.net
Clicca per espandere...
In che modo?
 
Se il codice JS è leggibile potresti riuscire a modificare qualcosa, ad esempio la condizione utile allo scadere del timer. In alternativa, se la pagina prende l'ora da una richiesta del server potrebbe bastarti modificare questa richiesta. Devi cercare la vulnerabilità poiché non è la sessa per ogni pagina.
 
  • Mi piace
Reazioni: 0xbro
Ultima modifica da un moderatore:
Maxwell2609 ha detto:
Se il codice JS è leggibile potresti riuscire a modificare qualcosa, ad esempio la condizione utile allo scadere del timer. In alternativa, se la pagina prende l'ora da una richiesta del server potrebbe bastarti modificare questa richiesta. Devi cercare la vulnerabilità poiché non è la sessa per ogni pagina.
Clicca per espandere...
Non ho idea, potresti guidarmi?
Messaggio unito automaticamente:

Maxwell2609 ha detto:
Se il codice JS è leggibile potresti riuscire a modificare qualcosa, ad esempio la condizione utile allo scadere del timer. In alternativa, se la pagina prende l'ora da una richiesta del server potrebbe bastarti modificare questa richiesta. Devi cercare la vulnerabilità poiché non è la sessa per ogni pagina.
Clicca per espandere...
 

Allegati

  • 4EFCD48B-58CD-49E9-976E-068ABC71F5C2.jpeg
    4EFCD48B-58CD-49E9-976E-068ABC71F5C2.jpeg
    2.3 MB · Visualizzazioni: 7
Odisse0 ha detto:
Era un sito di esempio.
Clicca per espandere...
Premessa: Non deve essere un sito di esempio: ogni pagina web ha le sue vulnerabilità, diverse dalle altre pagine, quindi se l'exploit funziona su exploits-it.com potrebbe non funzionare altrove.
Comunque la richiesta che ti interessa è data-obtained.php. Prova a modificarla impostando data-count a 0 e vedi se si azzera il counter. Probabilmente no, ci saranno dei controlli sui cookie di sessione... chi sa, provale un po' tutte.
PS: Se vuoi bypassare il counter come CTF, fai pure. Se invece lo fai per usare il sito, lascia perdere, questo sito ti ciuccia 20 euro per fare cose che potresti fare meglio e gratis. SET toolkit ad esempio, gratis e funzionale. :D
Odisse0 ha detto:
Non va usato per scopi malevoli, ovviamente
Clicca per espandere...
Bruh.
 
  • Mi piace
  • Love
Reazioni: 0xbro e --- Ra ---
Ultima modifica:
Maxwell2609 ha detto:
Premessa: Non deve essere un sito di esempio: ogni pagina web ha le sue vulnerabilità, diverse dalle altre pagine, quindi se l'exploit funziona su exploits-it.com potrebbe non funzionare altrove.
Comunque la richiesta che ti interessa è data-obtained.php. Prova a modificarla impostando data-count a 0 e vedi se si azzera il counter. Probabilmente no, ci saranno dei controlli sui cookie di sessione... chi sa, provale un po' tutte.
PS: Se vuoi bypassare il counter come CTF, fai pure. Se invece lo fai per usare il sito, lascia perdere, questo sito ti ciuccia 20 euro per fare cose che potresti fare meglio e gratis. SET toolkit ad esempio, gratis e funzionale. :D

Bruh.
Clicca per espandere...
Si, avevo già sentito parlare di SET, tuttavia devo ancora installare linux sul pc per poterlo "provare" e verificarne il funzionamento. Anche perché non mi è ben chiaro come impostare l'IP al quale si riceveranno le informazioni raccolte tramite il phishing.
Tra l'altro, non ci sarebbe come url un ip che riporterebbe a me? Che comunque potrei shortare ma risulterebbe sospetto? (gli shorts non sono cliccabili sui social, arrivano come testo e la "vittima" dovrebbe copiare/incollare)

Inoltre, il comando "data-count" come e dove va eseguito? [sono un nabb0]

Grazie infinite comunque, una risposta impeccabile e utile!
 
Odisse0 ha detto:
Tra l'altro, non ci sarebbe come url un ip che riporterebbe a me?
Clicca per espandere...
Sì e no, ovvero: se usi il tuo pc il tuo ip sarebbe esposto, ma è molto facile trovare un server gratuito (o molto economico) sul quale hostare il tuo sito fake fatto con set. La migliore soluzione sarebbe una CVM (Cloud Virtual Machine) alla quale collegarsi con una VPN.
Odisse0 ha detto:
Inoltre, il comando "data-count" come e dove va eseguito?
Clicca per espandere...
Non è un comando, è un campo della richiesta che informa periodicamente il counter di quanti secondi mancano alla scadenza. Per capirsi è un dato che dice i secondi rimanenti allo scadere del counter. Modificando questa richiesta (ci sono molti tool gratuiti per farlo, BurpSuite penso vada bene, ma credo anche direttamente dalla scheda "Network" dell' ispeziona di Chrome) "intercettandola" prima che arrivi al browser farai credere al counter di essere arrivato a 0. Questo in teoria, nella pratica immagino ci siano protezioni per evitare exploit così basilari. Quindi prova un po'...
 
Maxwell2609 ha detto:
Sì e no, ovvero: se usi il tuo pc il tuo ip sarebbe esposto, ma è molto facile trovare un server gratuito (o molto economico) sul quale hostare il tuo sito fake fatto con set. La migliore soluzione sarebbe una CVM (Cloud Virtual Machine) alla quale collegarsi con una VPN.
Clicca per espandere...
Non ho mai usato Linux, tantomeno ho dimestichezza con hosting di siti. Penso sia una comodità trovare il tutto già predisposto online, accedendo e copiando un link. Poi magari è più facile di ciò che penso installare Kali Linux e predisporre il programma, fare l'host, fare una cvm e una vpn interna, sperando che internet non rallenti (non so, dovrei mettermi una giornata a provare e vedere effettivamente in termini di tempo quanto costi).
Maxwell2609 ha detto:
Non è un comando, è un campo della richiesta che informa periodicamente il counter di quanti secondi mancano alla scadenza. Per capirsi è un dato che dice i secondi rimanenti allo scadere del counter. Modificando questa richiesta (ci sono molti tool gratuiti per farlo, BurpSuite penso vada bene, ma credo anche direttamente dalla scheda "Network" dell' ispeziona di Chrome) "intercettandola" prima che arrivi al browser farai credere al counter di essere arrivato a 0. Questo in teoria, nella pratica immagino ci siano protezioni per evitare exploit così basilari. Quindi prova un po'...
Clicca per espandere...
Proverei anche, non mi è chiaro dove inserire la richiesta modificata. Sarebbero utili degli screen (ti ringrazio anticipatamente se mi spiegherai tutto il processo, so che in termini di tempo è costoso).
 
Odisse0 ha detto:
Non ho mai usato Linux, tantomeno ho dimestichezza con hosting di siti. Penso sia una comodità trovare il tutto già predisposto online, accedendo e copiando un link. Poi magari è più facile di ciò che penso installare Kali Linux e predisporre il programma, fare l'host, fare una cvm e una vpn interna, sperando che internet non rallenti (non so, dovrei mettermi una giornata a provare e vedere effettivamente in termini di tempo quanto costi).

Proverei anche, non mi è chiaro dove inserire la richiesta modificata. Sarebbero utili degli screen (ti ringrazio anticipatamente se mi spiegherai tutto il processo, so che in termini di tempo è costoso).
Clicca per espandere...
Mi sento di consigliarti di partire dalle basi prima di provare a fare queste cose. Prendi dimestichezza con i sistemi operativi Linux, studia le basi del funzionamento delle reti e di Internet. Studia un po' di programmazione (lato web). Dopo puoi sfruttare i tools di Linux e più nello specifico di Kali per fare pentesting o quello che vorrai fare. Purtroppo, o per fortuna, non si può pretendere di trovare vulnerabilità web senza avere le conoscenze di base né tantomeno di farlo ogni tanto per sfizio perché richiede di essere preparati. 😉
 
  • Mi piace
Reazioni: 0xbro e hackynonpointer
Stato
Discussione chiusa ad ulteriori risposte.
Metti la tua Discussione in rilievo in questa sezione

DISCUSSIONI SIMILI

J
Domanda eCPPT recensioni sul corso
  • 0
  • 173
0
173
Sicurezza Informatica
J.A.R.V.I.S.
J
Domanda Risolto Dubbio se sito streaming ha installato un malware
  • Chiuso
  • 14
  • 380
14
380
Sicurezza Informatica
Jack639
M
Domanda Wannabe hacker
  • 5
  • 227
5
227
Sicurezza Informatica
mrcamarium
A
Discussione Attacchi regolari a siti italiani da Hacker team da medesime location
  • Chiuso
  • 17
  • 708
17
708
Sicurezza Informatica
Libroe
S
Domanda I Servizi segreti italiani a cosa possono accedere
  • Chiuso
  • 2
  • 488
2
488
Sicurezza Informatica
DjCanigia
Top Bottom
Indietro