D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
[Предисловие]
Решим усадить свою жопу и написать статью, а может если и зайдет и вам понравиться, серию статей, по добыче дампов.
Хочу начать с не большого предисловия обо мне и моем опыте . Я в спам пришел недавно и огромного опыта за плечами в рассылках не имею, но сразу же смекнул, что без постоянного притока баз дампов, тут не обойтись, дабы успокоить себя мыслью, что покупные базы могут идти во много рук и быть паблик, я решил начать добывать базы самостоятельно.
Имея опыт с юникс системах и немного понимаю в Информационной Безопасности(ИБ), я начал изучать, что есть на рынке, кто как ломает сайты, что бы оттуда стянуть наши заветные дампы. Я решил начать с простого, начав парсить даркнет, на предмет софта для достижения моей цели, самое простое в использовании и не требующие почти каких либо углубленных знаний в Пентестинге я нашел так называемую SIB панель, наверное многие про нее слышали, но я все же расскажу тут, что это такое и как начать с ней работать. О более сложным способах и сочных методах я возможно изложу в следующих своих статьях.
[SIB]
Sib панель, а кто то ее называет просто Сибка, представляет собой набор скриптов, которые работают с помощью ресурсов подгруженных ей шеллов и прогибаются по сайтам донорам, ищя там всевозможные SQL инъекции, что бы получить доступ к самым Базам Данным и их таблицам. Панель быстро пробегается по списку, который вы ему подгружаете, выдергивает вам списки мыл и пассов и дампит их в свою базы с последующей сортировкой по бигам, корпам, средам . Выдергиваются все виды данных и раскладываются на 3 категории {MAIL-MAIL
ASS-MAIL:HASH}
[How to SIB]
Давайте я быстренько в 2х словах расскажу, как выглядит эта панель и как с ней работать.
Тут думаю и так все понятно, Добавляет домены (Спарсенные результаты сайтов с GET запросами, добавляет Шеллы для работы 100-200 штук)
Нажимаем кнопку START, остальную всю работу панелька сделает за вас.
Если кому то интересно, где брать панель ( есть краки отвязанные 8х версий, лицуху можно купить на форуме BHF)
[Парсинг GET запросов]
Тут, все просто покупаем лицуху A-Parser профессиональной версии, оплачиваем на ней потоки и прокси, все опции предлагают разработчики как доп опции. У ребят отличный мануал на их сайте, так что освоиться в софтинке будет достаточно просто. Так же у них есть статья как именно парсить GET запросы донор для SIB панели, посредством подставленных Dorks запросов.
[WTF is DORKS?]
Код: Скопировать в буфер обмена
Запросы, которые представляют из себя имя скрипта и вариант его функции, которые работают посредством GET и POST запросов. Использую такой список Dorks запросов и данный парсер, можно парсить огромное количество для нашего последующего поиска уязвимых сайтов с которых мы будем сливать дампы.
[ИТОГ]
По сути ничего сложно, парсим базы запросов использую дорки, я обычно за раз собираю парсеров по 300-500к запросов, кормлю, все это дело SIB панели, из них она принимает только 30-40% в работу, из этих 30-40%, я получаю где то ~1% уязвимых сайтов и еще примерно столько же, уязвимых но не вскрытых сайтов, которые годятся для более продвинутых Пентестеров, которые могу добивать их уже посредством SQLMAP, Разговор о котором пойдет, уже в следующей статье.
Если, вас заинтересовала тема, моей статьи, пишите, что конкретно вам интересно, я буду дополнять ее и писать вам новый контент, который будет ориентирован на добычу дампов.
[Альтернатива SIB]
{SQLi DUMPER}
Если вам не хочется мараться с покупкой Сиб Панели, а быстро и просто начать дампать базы, я вам советую познакомиться с таким инструментов как SQLi Dumper. Программа достаточно просто в использовании и ей может научиться пользовать мне кажется даже ребенок. На просторах сети можно найти кракнутую 9.5 версию, без вирусов внутри, я видел такое на codeby точно. Либо купить за 150 баксов лицуху, автора можно найти на том же bhf[.] Софт работает по тому, же принципу, что и Сиб панель. Грузим в нее список доноров , сканим, эксплуатируем, выдергиваем дампы, единственная раздница, это в том, что Сибка собирает вам еще и админ пароли и путь до админок, доп инфу, карты ссн и прочие, а тут вы сами после того как софт найдет дырявый сайт, вы кликаете на него, открываете дампер и видите содержание базы, ее структуру и количество записей, можете сами выбрать нужные вам колонки, такие как имена телефоны и все, что будет внутри. Как пользоваться софтом рассказывать не буду, т к все достаточно просто, приложу пару скринов и видео мануал.
Так выглядит интерфейс самого дампера, в котором вам остается только нажать кнопку Get tables и загрузяться все таблицы базы, выбрать нужные таблицы и колонки и начать Start dump.
На этом работа софта заканчивается, дожидаемся завершения дампинга и юзает результаты. В софте есть встроенный сканер дорков, но я ничего про него рассказать не могу т.к юзаю A-Parser.
Чего и вам советую !
[Видео мануал]
Вот подробный видео мануал, в котором от и до показано, как работает софт и как с ним работать
Актуальная версия лицухи сейчас 10.1, в которой поправлена ошибки нагрузки железа от работы софта.
Если вас это не пугает либо, есть дедики куда, все поставить, можете смело юзать крак.
Даже лицуха палится АВ, так что сразу предупреждаю, что бы потом не было камней в мой огород.
Ответственности, за то что какой крак вы скачаете не несу !
[Продвинутый парсинг с A-PARSER]
Думаю, в прошлой моей статье, вы научились или уже умеете юзать А парсер, для парсинга запросов по доркам. Давай те рассмотрим продвинутый вариант парсинга данным софтом, доноров для Сиб панелей или SQLi Dumper'a. Я не буду вам рассписывать длинные статьи, а просто солью вам свои настройка, как нужно именно выставить в парсере, так, что бы все результаты, что вы парсите выгружались только с GET запросами, приготовитесь так же загружать постоянно денег на ту же Рукапчу, т к этот проглот жрет очень дофига, у меня выходит где то в среднем 3-4к рублей на лям готовых запросов.
Готовый персет с настройками для АПАРСЕРА
Код: Скопировать в буфер обмена
[ИТОГ]
Думаю, теперь вы с легкостью, сможете напарсить себе доноров и отсканить их сиб панелью или дамперов в ручную и надампать себе баз, более продвинутый способ для взлома дампов, я постараюсь изложить в своих следующих статьях. Надеюсь, что вам понравилось и желаю вам успехов. Помните, что весь материал изложен, исключительно в познавательных целях =)))
Автор: lominis
взято с exploit.in
Решим усадить свою жопу и написать статью, а может если и зайдет и вам понравиться, серию статей, по добыче дампов.
Хочу начать с не большого предисловия обо мне и моем опыте . Я в спам пришел недавно и огромного опыта за плечами в рассылках не имею, но сразу же смекнул, что без постоянного притока баз дампов, тут не обойтись, дабы успокоить себя мыслью, что покупные базы могут идти во много рук и быть паблик, я решил начать добывать базы самостоятельно.
Имея опыт с юникс системах и немного понимаю в Информационной Безопасности(ИБ), я начал изучать, что есть на рынке, кто как ломает сайты, что бы оттуда стянуть наши заветные дампы. Я решил начать с простого, начав парсить даркнет, на предмет софта для достижения моей цели, самое простое в использовании и не требующие почти каких либо углубленных знаний в Пентестинге я нашел так называемую SIB панель, наверное многие про нее слышали, но я все же расскажу тут, что это такое и как начать с ней работать. О более сложным способах и сочных методах я возможно изложу в следующих своих статьях.
[SIB]
Sib панель, а кто то ее называет просто Сибка, представляет собой набор скриптов, которые работают с помощью ресурсов подгруженных ей шеллов и прогибаются по сайтам донорам, ищя там всевозможные SQL инъекции, что бы получить доступ к самым Базам Данным и их таблицам. Панель быстро пробегается по списку, который вы ему подгружаете, выдергивает вам списки мыл и пассов и дампит их в свою базы с последующей сортировкой по бигам, корпам, средам . Выдергиваются все виды данных и раскладываются на 3 категории {MAIL-MAIL
ASS-MAIL:HASH}[How to SIB]
Давайте я быстренько в 2х словах расскажу, как выглядит эта панель и как с ней работать.
Тут думаю и так все понятно, Добавляет домены (Спарсенные результаты сайтов с GET запросами, добавляет Шеллы для работы 100-200 штук)
Нажимаем кнопку START, остальную всю работу панелька сделает за вас.
Если кому то интересно, где брать панель ( есть краки отвязанные 8х версий, лицуху можно купить на форуме BHF)
[Парсинг GET запросов]
Тут, все просто покупаем лицуху A-Parser профессиональной версии, оплачиваем на ней потоки и прокси, все опции предлагают разработчики как доп опции. У ребят отличный мануал на их сайте, так что освоиться в софтинке будет достаточно просто. Так же у них есть статья как именно парсить GET запросы донор для SIB панели, посредством подставленных Dorks запросов.
[WTF is DORKS?]
Код: Скопировать в буфер обмена
Код:
advSearch_h.php?idCategory=
affiliate.php?ID=
affiliate-agreement.cfm?storeid=
affiliates.php?id=
ancillary.php?ID=
archive.php?id=
basket.php?id=[ИТОГ]
По сути ничего сложно, парсим базы запросов использую дорки, я обычно за раз собираю парсеров по 300-500к запросов, кормлю, все это дело SIB панели, из них она принимает только 30-40% в работу, из этих 30-40%, я получаю где то ~1% уязвимых сайтов и еще примерно столько же, уязвимых но не вскрытых сайтов, которые годятся для более продвинутых Пентестеров, которые могу добивать их уже посредством SQLMAP, Разговор о котором пойдет, уже в следующей статье.
Если, вас заинтересовала тема, моей статьи, пишите, что конкретно вам интересно, я буду дополнять ее и писать вам новый контент, который будет ориентирован на добычу дампов.
[Альтернатива SIB]
{SQLi DUMPER}
Если вам не хочется мараться с покупкой Сиб Панели, а быстро и просто начать дампать базы, я вам советую познакомиться с таким инструментов как SQLi Dumper. Программа достаточно просто в использовании и ей может научиться пользовать мне кажется даже ребенок. На просторах сети можно найти кракнутую 9.5 версию, без вирусов внутри, я видел такое на codeby точно. Либо купить за 150 баксов лицуху, автора можно найти на том же bhf[.] Софт работает по тому, же принципу, что и Сиб панель. Грузим в нее список доноров , сканим, эксплуатируем, выдергиваем дампы, единственная раздница, это в том, что Сибка собирает вам еще и админ пароли и путь до админок, доп инфу, карты ссн и прочие, а тут вы сами после того как софт найдет дырявый сайт, вы кликаете на него, открываете дампер и видите содержание базы, ее структуру и количество записей, можете сами выбрать нужные вам колонки, такие как имена телефоны и все, что будет внутри. Как пользоваться софтом рассказывать не буду, т к все достаточно просто, приложу пару скринов и видео мануал.
Так выглядит интерфейс самого дампера, в котором вам остается только нажать кнопку Get tables и загрузяться все таблицы базы, выбрать нужные таблицы и колонки и начать Start dump.
На этом работа софта заканчивается, дожидаемся завершения дампинга и юзает результаты. В софте есть встроенный сканер дорков, но я ничего про него рассказать не могу т.к юзаю A-Parser.
Чего и вам советую !
[Видео мануал]
Вот подробный видео мануал, в котором от и до показано, как работает софт и как с ним работать
Актуальная версия лицухи сейчас 10.1, в которой поправлена ошибки нагрузки железа от работы софта.
Если вас это не пугает либо, есть дедики куда, все поставить, можете смело юзать крак.
Даже лицуха палится АВ, так что сразу предупреждаю, что бы потом не было камней в мой огород.
Ответственности, за то что какой крак вы скачаете не несу !
[Продвинутый парсинг с A-PARSER]
Думаю, в прошлой моей статье, вы научились или уже умеете юзать А парсер, для парсинга запросов по доркам. Давай те рассмотрим продвинутый вариант парсинга данным софтом, доноров для Сиб панелей или SQLi Dumper'a. Я не буду вам рассписывать длинные статьи, а просто солью вам свои настройка, как нужно именно выставить в парсере, так, что бы все результаты, что вы парсите выгружались только с GET запросами, приготовитесь так же загружать постоянно денег на ту же Рукапчу, т к этот проглот жрет очень дофига, у меня выходит где то в среднем 3-4к рублей на лям готовых запросов.
Готовый персет с настройками для АПАРСЕРА
Код: Скопировать в буфер обмена
eyJwcmVzZXQiOiIxIiwidmFsdWUiOnsicHJlc2V0IjoiMSIsInBhcnNlcnMiOltb IlNFOjpHb29nbGU6Ok1vZGVybiIsImRlZmF1bHQiLHsidHlwZSI6Im92ZXJyaWRl IiwiaWQiOiJwcm94eXJldHJpZXMiLCJ2YWx1ZSI6IjEwMCJ9LHsidHlwZSI6Im92 ZXJyaWRlIiwiaWQiOiJVdGlsX1JlQ2FwdGNoYTJfcHJlc2V0IiwidmFsdWUiOiJS VUNBUFRDSEEifSx7InR5cGUiOiJvdmVycmlkZSIsImlkIjoicGFnZWNvdW50Iiwi dmFsdWUiOjN9LHsidHlwZSI6Im92ZXJyaWRlIiwiaWQiOiJxdWVyeWZvcm1hdCIs InZhbHVlIjoiaW51cmw6JHF1ZXJ5In0seyJ0eXBlIjoiZmlsdGVyIiwicmVzdWx0 IjpbInNlcnAiLCJsaW5rIl0sImZpbHRlclR5cGUiOiJjb250YWluIiwidmFsdWUi OiI/Iiwib3B0aW9uIjoic2VucyJ9LHsidHlwZSI6Im92ZXJyaWRlIiwiaWQiOiJo bCIsInZhbHVlIjoiZGUifSx7InR5cGUiOiJvdmVycmlkZSIsImlkIjoiZ2wiLCJ2 YWx1ZSI6IkRFIn0seyJ0eXBlIjoib3ZlcnJpZGUiLCJpZCI6ImxyIiwidmFsdWUi OiJsYW5nX2RlIn0seyJ0eXBlIjoidW5pcXVlIiwicmVzdWx0IjpbInNlcnAiLCJs aW5rIl0sInVuaXF1ZVR5cGUiOiJzdHJpbmciLCJ1bmlxdWVHbG9iYWwiOnRydWV9 XV0sInJlc3VsdHNGb3JtYXQiOiIkcDEucHJlc2V0IiwicmVzdWx0c1NhdmVUbyI6 ImZpbGUiLCJyZXN1bHRzRmlsZU5hbWUiOiJERU5FVy50eHQiLCJhZGRpdGlvbmFs Rm9ybWF0cyI6W10sInJlc3VsdHNVbmlxdWUiOiJubyIsInF1ZXJpZXNGcm9tIjoi ZmlsZSIsInF1ZXJ5Rm9ybWF0IjpbIiRxdWVyeSJdLCJ1bmlxdWVRdWVyaWVzIjpm YWxzZSwic2F2ZUZhaWxlZFF1ZXJpZXMiOmZhbHNlLCJpdGVyYXRvck9wdGlvbnMi Onsib25BbGxMZXZlbHMiOmZhbHNlLCJxdWVyeUJ1aWxkZXJzQWZ0ZXJJdGVyYXRv ciI6ZmFsc2UsInF1ZXJ5QnVpbGRlcnNPbkFsbExldmVscyI6ZmFsc2V9LCJyZXN1 bHRzT3B0aW9ucyI6eyJvdmVyd3JpdGUiOmZhbHNlLCJ3cml0ZUJPTSI6ZmFsc2V9 LCJkb0xvZyI6ImRiIiwibGltaXRMb2dzQ291bnQiOiIwIiwia2VlcFVuaXF1ZSI6 Ik5vIiwibW9yZU9wdGlvbnMiOnRydWUsInJlc3VsdHNQcmVwZW5kIjoiIiwicmVz dWx0c0FwcGVuZCI6IiIsInF1ZXJ5QnVpbGRlcnMiOltdLCJyZXN1bHRzQnVpbGRl cnMiOltdLCJjb25maWdPdmVycmlkZXMiOltdLCJydW5UYXNrT25Db21wbGV0ZSI6 bnVsbCwidXNlUmVzdWx0c0ZpbGVBc1F1ZXJpZXNGaWxlIjpmYWxzZSwicnVuVGFz a09uQ29tcGxldGVDb25maWciOiJkZWZhdWx0IiwidG9vbHNKUyI6IiIsInByaW8i OjUsInJlbW92ZU9uQ29tcGxldGUiOmZhbHNlLCJjYWxsVVJMT25Db21wbGV0ZSI6 IiIsInF1ZXJpZXNGaWxlIjpbInJlc3VsdHMvZG9ya2xpc3QudHh0Il0sImNhdGVn b3J5IjpbXX19[ИТОГ]
Думаю, теперь вы с легкостью, сможете напарсить себе доноров и отсканить их сиб панелью или дамперов в ручную и надампать себе баз, более продвинутый способ для взлома дампов, я постараюсь изложить в своих следующих статьях. Надеюсь, что вам понравилось и желаю вам успехов. Помните, что весь материал изложен, исключительно в познавательных целях =)))
Автор: lominis
взято с exploit.in