История с покупкой нового ключа благополучно решилась через битки. Особых проблем не возникло.
Кому интересно, вот алгоритм действий:
1. В своем личном кабинете portswigger.net формируете заказа на новый ключик.
2. С номером этого заказа пишите в техподдержку, с просьбой оплаты в BTC.
3. Присылают инвойс с BTC кошельком, и стоимость. Важно, что оплату нужно совершить в течение 1 дня, скорее всего из-за скачущего курса битка.
4. Идете на bestchange, выбираете любой понравившийся обменник по курсу/отзывам, оформляете покупку битков или сразу на указанный в инвойсе кошелек, или, как в моем случае, можно сначала себе закинуть на холодный(он пару месяцев у меня валялся, решил настроить его, PIN, парольные фразы, проверить сопряжение по юсб и блютусу, пощупать приложение), а с кошелька уже спокойно оплатить, минуя всякие охуевшие биржи, типа коинбейса и так далее.
5. Были опасения, что в текущих реалиях, из-за того что ты "lalka from Russian Federation" пошлют нахуй, но нет, для этих бизнес есть бизнес, ничего личного, и все ок.
Предоплаченные карты Visa, Mastercard точно бы не рекомендовал - слишком мутно и не факт, что платеж с них бы прошел.
Можно давить кавычки.
#bb
Кому интересно, вот алгоритм действий:
1. В своем личном кабинете portswigger.net формируете заказа на новый ключик.
2. С номером этого заказа пишите в техподдержку, с просьбой оплаты в BTC.
3. Присылают инвойс с BTC кошельком, и стоимость. Важно, что оплату нужно совершить в течение 1 дня, скорее всего из-за скачущего курса битка.
4. Идете на bestchange, выбираете любой понравившийся обменник по курсу/отзывам, оформляете покупку битков или сразу на указанный в инвойсе кошелек, или, как в моем случае, можно сначала себе закинуть на холодный(он пару месяцев у меня валялся, решил настроить его, PIN, парольные фразы, проверить сопряжение по юсб и блютусу, пощупать приложение), а с кошелька уже спокойно оплатить, минуя всякие охуевшие биржи, типа коинбейса и так далее.
5. Были опасения, что в текущих реалиях, из-за того что ты "lalka from Russian Federation" пошлют нахуй, но нет, для этих бизнес есть бизнес, ничего личного, и все ок.
Предоплаченные карты Visa, Mastercard точно бы не рекомендовал - слишком мутно и не факт, что платеж с них бы прошел.
Можно давить кавычки.
#bb
🎉8
Я уже собирался по обыкновению нахуяриться стекломоем, как вспомнил, что новая багбаунти площадка(добра уважения etc, благое дело парни делоете) от bi.zone запустилась и даже выкатила тестовые задания для набора репутации.
Пикрлейтед.
Как порядочный скрипткид, я полез по ссылке, в исходный код, рефлекта не увидел, только набор каких-то малопонятных символов. Значит это prototype pollution xss, вот моя чуйка скрипткидисса об это говорит :3 Это же ctf'ники - у них только и разговоров, как бы захуярить задание, чтобы модно было.
Чтож, пришла пора окунуться в удивительный мир sinks and sources, dom invider и так далее(Ну, или я обосрался, и придется всю ночь ковырять не в том направлении)
Ну и покопать в сторону работ уважаемого BlackFan по этому вопросу(наводка)
Кто хочет причаститься, вот ссылка на задание. https://app.bugbounty.bi.zone/companies/6/main
Очевидно, что надо зарегаться сначала.
Добра :3
#bb
Пикрлейтед.
Как порядочный скрипткид, я полез по ссылке, в исходный код, рефлекта не увидел, только набор каких-то малопонятных символов. Значит это prototype pollution xss, вот моя чуйка скрипткидисса об это говорит :3 Это же ctf'ники - у них только и разговоров, как бы захуярить задание, чтобы модно было.
Чтож, пришла пора окунуться в удивительный мир sinks and sources, dom invider и так далее(Ну, или я обосрался, и придется всю ночь ковырять не в том направлении)
Ну и покопать в сторону работ уважаемого BlackFan по этому вопросу(наводка)
Кто хочет причаститься, вот ссылка на задание. https://app.bugbounty.bi.zone/companies/6/main
Очевидно, что надо зарегаться сначала.
Добра :3
#bb
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
http://51.250.77.127:23487/search?__proto__[lol]=lol
http://51.250.77.127:23487/#search?__proto__[lol]=lol
Хм...
Если не оно, то я обосрался, завтра можете потыкать пальцем.
#bb
http://51.250.77.127:23487/#search?__proto__[lol]=lol
Хм...
Если не оно, то я обосрался, завтра можете потыкать пальцем.
#bb
Media is too big
VIEW IN TELEGRAM
А, в пизду, лучше водяры накачу.
Больше не ногой в сtf'подобные задания.
Сидят, бля, такие зумеры и думают - а давай мы обмажемся тестовым заданием про исследование, которое вышло недавно!
Давай, давай.
И потом у бумеров вроде меня случается баттхерт.
Нах так поступать, ммм?
#bb
Больше не ногой в сtf'подобные задания.
Сидят, бля, такие зумеры и думают - а давай мы обмажемся тестовым заданием про исследование, которое вышло недавно!
Давай, давай.
И потом у бумеров вроде меня случается баттхерт.
Нах так поступать, ммм?
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Все супер хуево.
Через месяц мне 38.
Все женились, а я сижу с вами, задротами.
Так и не решил задачу от bi.zone
Не досмотрел аниме с Наначи.
Где-то я свернул не туда, да?
#bb
Через месяц мне 38.
Все женились, а я сижу с вами, задротами.
Так и не решил задачу от bi.zone
Не досмотрел аниме с Наначи.
Где-то я свернул не туда, да?
#bb
❤3
Media is too big
VIEW IN TELEGRAM
Какой же я охуительный.
Алсо, в ctf-подобные задания больше не ногой.
Иx сочиняют какие-то задроты, которые круглосуточно пердолятся с консолькой.
Пошли бы вы пивка попили, чтоле.
#bb
Алсо, в ctf-подобные задания больше не ногой.
Иx сочиняют какие-то задроты, которые круглосуточно пердолятся с консолькой.
Пошли бы вы пивка попили, чтоле.
#bb
Media is too big
VIEW IN TELEGRAM
Ничего не меняется.
Можно не заходить в телегу неделями, а потом увидеть, что хoхлы дохнут пачками.
Контр-наступ, вся хуйня.
Дякую тобі, Боже, що я не хохіл
)00)))
Оправдывайтесь, хуесoсы чyбатые.
#combatfootage
Можно не заходить в телегу неделями, а потом увидеть, что хoхлы дохнут пачками.
Контр-наступ, вся хуйня.
Дякую тобі, Боже, що я не хохіл
)00)))
Оправдывайтесь, хуесoсы чyбатые.
#combatfootage
👍4😢2💩2🔥1
На Standoff365(265 ололо, ньюфаги не знают, олдфаги не помнят магию чисел) вышла новая программа.
https://bugbounty.standoff365.com/programs/dzen_vk
Жаль только, что уведомление на почту не пришло.
Случайно увидел где-то.
Видимо, это какие-то высокие ракетные технологии - прикрутить рассылку о любом чихе на почту зарегистрированным багхантерам.
#bb
https://bugbounty.standoff365.com/programs/dzen_vk
Жаль только, что уведомление на почту не пришло.
Случайно увидел где-то.
Видимо, это какие-то высокие ракетные технологии - прикрутить рассылку о любом чихе на почту зарегистрированным багхантерам.
#bb
👍3
Media is too big
VIEW IN TELEGRAM
Чтож, я выдул поллитра стекломоя. И значит пришло время поговорить об аниме.
Изначально аниме выдумали ускоглазые островные обезъяны. Ну, те, печально известные, которые устроили Нанкинскую резню, выдумали катану, перерубающую рельсу(на самом дележ пиздеж, из-за хуевого качества железной руды, выкованная катана в руках самурая могла поцарапать разве что крестьянина в деревянных доспехах), и которые отсосали во всех возможных войнах и на которых в довесок ко всему прочему пиндосы скинули пару ядерных бомб. А, ну там еще Фукусима была, это пиздец конечно. Там отдельная история про то как они обосрались с выведением стержней из активной зоны, что-то типа Чернобыля короче, только вот прямо по человеческому фактору. И теперь эти хуесосы до сих загрязняют мировой океан, но о таком не принято говорить в современном обществе, хехмда.
Так вот. Несмотря на все это мы любим ускоглазых островных обезъян за то, что они, пара-па-пам, придумали лучшую девочку.
Эту девочку зовут Артурия Пендрагон. Так же известна как Сейбер, или просто Сэйба. Вы ее можете знать по циклам рассказов из британского фольклора про короля Артура.
Аниме называется Fate Stay Night. Теперь это уже не просто аниме, а целая франшиза, с мерчем, гача-играми и так далее.
Рекомендую к ознакомлению.
Ну еще, из примечательно, у них есть:
Парк с оленями - Нара-парк (https://en.wikipedia.org/wiki/Nara_Park)
Остров с лисичками(https://ru.wikipedia.org/wiki/%D0%94%D0%B7%D0%B0%D0%BE-%D0%9A%D0%B8%D1%86%D1%83%D0%BD%D1%8D-%D0%9C%D1%83%D1%80%D0%B0 https://youtu.be/92wtDKCtOiU)
Остров с котейками(https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D1%81%D0%B8%D1%80%D0%BE_(%D0%BE%D1%81%D1%82%D1%80%D0%BE%D0%B2))
Такие дела.
#anime
Изначально аниме выдумали ускоглазые островные обезъяны. Ну, те, печально известные, которые устроили Нанкинскую резню, выдумали катану, перерубающую рельсу(на самом дележ пиздеж, из-за хуевого качества железной руды, выкованная катана в руках самурая могла поцарапать разве что крестьянина в деревянных доспехах), и которые отсосали во всех возможных войнах и на которых в довесок ко всему прочему пиндосы скинули пару ядерных бомб. А, ну там еще Фукусима была, это пиздец конечно. Там отдельная история про то как они обосрались с выведением стержней из активной зоны, что-то типа Чернобыля короче, только вот прямо по человеческому фактору. И теперь эти хуесосы до сих загрязняют мировой океан, но о таком не принято говорить в современном обществе, хехмда.
Так вот. Несмотря на все это мы любим ускоглазых островных обезъян за то, что они, пара-па-пам, придумали лучшую девочку.
Эту девочку зовут Артурия Пендрагон. Так же известна как Сейбер, или просто Сэйба. Вы ее можете знать по циклам рассказов из британского фольклора про короля Артура.
Аниме называется Fate Stay Night. Теперь это уже не просто аниме, а целая франшиза, с мерчем, гача-играми и так далее.
Рекомендую к ознакомлению.
Ну еще, из примечательно, у них есть:
Парк с оленями - Нара-парк (https://en.wikipedia.org/wiki/Nara_Park)
Остров с лисичками(https://ru.wikipedia.org/wiki/%D0%94%D0%B7%D0%B0%D0%BE-%D0%9A%D0%B8%D1%86%D1%83%D0%BD%D1%8D-%D0%9C%D1%83%D1%80%D0%B0 https://youtu.be/92wtDKCtOiU)
Остров с котейками(https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D1%81%D0%B8%D1%80%D0%BE_(%D0%BE%D1%81%D1%82%D1%80%D0%BE%D0%B2))
Такие дела.
#anime
🔥1
Посоны из гугла дали добро на врайтап по SSRF стоимостью 5k$
Алсо, люблю тральнуть пиндосов в переписке, напомнив, что я из России-матушки.
Постараюсь разродиться на днях, но поскольку мой инглиш вери бед(London is the capital of Great Britain, вся хуйня), это займет время.
#bb
Алсо, люблю тральнуть пиндосов в переписке, напомнив, что я из России-матушки.
Постараюсь разродиться на днях, но поскольку мой инглиш вери бед(London is the capital of Great Britain, вся хуйня), это займет время.
#bb
👍7🔥2😁1
Зарепортил юбилейный 300-ый репорт.
Хорошо ощущать себя причастным к чему-то хорошему.
standoff365, bugbounty.ru, bizone - добра вам :3
#bb
Хорошо ощущать себя причастным к чему-то хорошему.
standoff365, bugbounty.ru, bizone - добра вам :3
#bb
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Зашел на https://2ch.hk/wm/res/3892965.html
В бесконечный тред по специальной операции в Свинарнии.
Там вроде как обычно - круговорот зрадоперемог, обеспокоенные патриоты, все пропало, сдаемся, отступаем. Но есть одно но.
Кажется, наконец-то им въебали по ТЭЦам, случился блкэкаут, и количество нахрюка в ру-сегменте Интернета резко сократилось :3
Какое совпадение))0)
Ебать хохлов, ебать!
#кжхдпп
В бесконечный тред по специальной операции в Свинарнии.
Там вроде как обычно - круговорот зрадоперемог, обеспокоенные патриоты, все пропало, сдаемся, отступаем. Но есть одно но.
Кажется, наконец-то им въебали по ТЭЦам, случился блкэкаут, и количество нахрюка в ру-сегменте Интернета резко сократилось :3
Какое совпадение))0)
Ебать хохлов, ебать!
#кжхдпп
👍4💩4👎1🤯1
Устав воевать с хохлами в этих ваших интернетах, я вспомнил, что хотел написать отчет по 5$k SSRF на g/vrp
Посан сказал, посан сделал.
Cобственно, вот он https://0x01alka.medium.com/ssrf-g-vrp-for-5000-d08c8f515c95
Хинт: найдете ssrf и получите гугловский access token, обязательно причаститесь к исследованию https://www.youtube.com/watch?v=UyemBjyQ4qA Повысите импакт, все такое.
Были у меня подозрения, что SSRF на *.gateway.dev это не случайность, а закономерный факт. Хотел задеплоить свой проект, подключить Google Cloud API Gateway, посмотреть че там и как, но так и забил. А может там до сих пор что-то есть.
#bb
Посан сказал, посан сделал.
Cобственно, вот он https://0x01alka.medium.com/ssrf-g-vrp-for-5000-d08c8f515c95
Хинт: найдете ssrf и получите гугловский access token, обязательно причаститесь к исследованию https://www.youtube.com/watch?v=UyemBjyQ4qA Повысите импакт, все такое.
Были у меня подозрения, что SSRF на *.gateway.dev это не случайность, а закономерный факт. Хотел задеплоить свой проект, подключить Google Cloud API Gateway, посмотреть че там и как, но так и забил. А может там до сих пор что-то есть.
#bb
Medium
SSRF(g/vrp) for 5000$
Hi.
🔥5
Media is too big
VIEW IN TELEGRAM
Как вы помните, там Dzen https://bugbounty.standoff365.com/programs/dzen_vk выкатили программу на СтэндоФФ65.
Не может такого быть, чтобы там не было IDOR(комментирование закрытых видео и прочие шалости.)
Плюс там есть функционал добавления редакторов/админов в свою ололо Дзен-Студию. Тут точно непаханное поле для работы и есть где развернуться.
Что как бы намекает, да?
А значит пришло то самое время - подключить в Burp наше любимое расширение Autorize.
Но это все будет завтра, а сегодня мы просто послушаем музыку.
Ой-вей.
#bb #music
Не может такого быть, чтобы там не было IDOR(комментирование закрытых видео и прочие шалости.)
Плюс там есть функционал добавления редакторов/админов в свою ололо Дзен-Студию. Тут точно непаханное поле для работы и есть где развернуться.
Что как бы намекает, да?
А значит пришло то самое время - подключить в Burp наше любимое расширение Autorize.
Но это все будет завтра, а сегодня мы просто послушаем музыку.
Ой-вей.
#bb #music
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Если при работе возникло подозрение, что стандартные домены (oastify.com и burpcollaborator.net) Burp Collaborator'а блочатся - неплохо иметь возможность быстрой замены, чтобы исследовать входящие http запросы. Когда нет своего выделенного сервера, чтобы поднять какой-нибудь простенький листенер, а поковырять потенциальную багу хочется, могут сойти за альтернативу:
https://beeceptor.com/
https://ngrok.com/
https://webhook.site/
Мне лично нравится webhook.site(500 запросов в день, более чем достаточно и полностью бесплатно), перепрофилировал на него все свои файлики с OAST пейлоадами.
#bb
https://beeceptor.com/
https://ngrok.com/
https://webhook.site/
Мне лично нравится webhook.site(500 запросов в день, более чем достаточно и полностью бесплатно), перепрофилировал на него все свои файлики с OAST пейлоадами.
#bb
👍4🔥1
Media is too big
VIEW IN TELEGRAM
Смотрите, какая хуйня, посоны.
Пруф применения "Изделия 305".
https://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B4%D0%B5%D0%BB%D0%B8%D0%B5_305
Редкий гость, я думал он из разряда "не трогай - это на Новый год".
Ложится в "крестик", как у швятого западного барена.
intredasting...
#combatfootage
Пруф применения "Изделия 305".
https://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B4%D0%B5%D0%BB%D0%B8%D0%B5_305
Редкий гость, я думал он из разряда "не трогай - это на Новый год".
Ложится в "крестик", как у швятого западного барена.
intredasting...
#combatfootage
🔥2