In deze tutorial ga ik je een simpele, leuke truc uitleggen om bij uploadsystemen niet-geaccepteerde bestanden toch te kunnen uploaden.
Vele forums/sites hebben de mogelijkheid een avatar of afbeelding te uploaden. Daar zijn alleen jpg, png en gif bestanden toegestaan. Met de null byte exploit is 't mogelijk om toch php-bestanden te kunnen uploaden.
%00 is de hexadecimale waarde voor NULL. Typ bij google in de adresbalk na ?q= maar eens ho%00i in:
http://www.google.nl/search?hl=nl&q=ho%00i
Als je nu in de zoekbalk kijkt, zie je dat er op 'ho' wordt gezocht. De 'i' wordt niet weergegeven omdat er %00 voor staat. Je zou kunnen zeggen de string wordt afgebroken waar %00 staat. Dat is precies de bedoeling van de null byte exploit.
Wat als we %00 nu eens in een bestandsnaam zetten?
Voorbeeld: C:exploitsc99.php%00.jpg
Het besturingssysteem van de website upload nu c99.php omdat er %00 in staat, maar de server ziet de jpg-extensie en denkt dat het een afbeelding is. Resultaat: een geupload php bestand waar alleen jpg is toegestaan!
Hopelijk begrijp je nu de werking van de null byte exploit.
Met iDEAL kunt u vertrouwd, veilig en gemakkelijk uw online aankopen afrekenen. iDEAL is het systeem dat u direct koppelt aan uw internetbankierprogramma bij een online aankoop. Om gebruik te maken van iDEAL hoeft u zich niet te registreren, bestanden te downloaden of een account aan te maken. Maakt u gebruik van internetbankieren bij ABN AMRO, ASN Bank, Friesland Bank, ING, Rabobank, RegioBank, SNS Bank, Triodos Bank of Van Lanschot Bankiers, dan kunt u direct met iDEAL betalen. U rekent dan snel en gemakkelijk af in de vertrouwde internetbetaalomgeving van uw eigen bank. Betalen zoals u eigenlijk al gewend bent.
In de eerste zin worden al 2 leugens naar voren gebracht, namelijk: Vertrouwd & Veilig.
IDEAL pakketten:
Er zijn (in ieder geval bij de ING) 2 verschillende iDEAL pakketten beschikbaar:
iDEAL basic
iDEAL Advanced
Meer mensen kiezen voor iDEAL basic, omdat deze veel makkelijker te integreren is. Deze is dan ook niet veilig. IDEAL advanced daarintegen heeft een iets betere beveiliging, maar dus veel moeilijker te integreren. Mensen kiezen dus sneller voor de basic/lite versie.
Op iDEAL.nl word dan ook door iDEAL het volgende verkondigd:
iDEAL Lite biedt GEEN betrouwbare terugkoppeling wat betreft de betaalstatus.
De uitleg:
Zoals ik dus al aangaf gaan we opzoek naar een `webshop` die gebruik maakt van de iDEAL Lite versie. Voor deze tutorial gebruik ik de website: http://www.eye-wear.nl/
Maak op deze website een account aan en zoek je een leuk brillensetje op.
Wij gaan voor de Ray-Ban Aviator zonnebril. Gouden kleurtje, Gouden glaasjes en voor de groothoofden onder ons gaan we voor een maatje M.
Eenmaal ingevuld, klikken we op bestellen en gaan we door naar stap 2. Log nu in met het account dat je hebt aangemaakt. Gooi er voor de aardigheid ook maar een luxe geschenkverpakking omheen en druk op: Ga verder. Selecteer vervolgens bij betalingsmogelijkheden: iDEAL. Lees de algemene voorwaarden (uhu...) indien je akkoord gaat vink je deze aan en druk je op: bestellen.
Vervolgens zie je deze pagina:
Nu gaat het `moeilijkste` komen.
Rechtsklik op de pagina en klik op: Bron bekijken. Dat was moeilijk, of niet jongens?
Dat is de link, waar we heen gestuurd worden na de betaling. Deze plakken wij in onze browser drukken op enter en ontvangen een leuk emailtje met: Bedankt voor uw bestelling. En we hebben Betaald.
Hoe kun je deze 'lek' voorkomen?
Ik heb al een hoop geprobeerd, curl & php... javascript & autosubmit... maar niets hielp.
Bij javascript & autosubmit heb je ook het probleem dat je met Tamperdata ( Firefox plugin ) de postwaarden kunt bekijken en dus alsnog deze link achterhaald.
Enige oplossing is: Neem iDEAL Advanced en niet de basic versie. Want zoals je kunt zien, gaat dit je straks meer geld/werk kosten dan het opleverd.
De anonieme, op bitcoins draaiende online winkel waar het om gaat heet Silk Road en is een website die de laatste tijd de wind flink van voren heeft gekregen nadat een Amerikaanse senator het een marktplaats voor illegale drugs noemde. Deze anonieme drugsmarkt vind je echter niet op Google, maar zodra je toegang hebt weten te krijgen gaat er een verrassend simpele wereld voor je open.
Stap 1 - Download een TOR-programma
Download:
https://www.torproject.org/download/download
TOR is niet alleen het favoriete middel van rebellen met computerkennis of Wikileakers, het is ook jouw toegangsbewijs voor de donkere krochten van het internet. Het is een slimme applicatie die het mogelijk maakt om jouw IP-adres te verstoppen achter andere IP-adressen, zodat je altijd van adres kunt wisselen. Ook geeft het je toegang tot .onion-sites, waar the deep web (ook bekend als het onzichtbare web, DarkNet, Undernet, of het verborgen web) voor een groot deel uit bestaat.
Het is onderdeel van het internet, maar onvindbaar voor zoekmachines. Het is dus een hele klus om op zon site terecht te komen. Wie maakt er gebruik van deze websites? Voornamelijk hackers, libertariërs en kinderpornografen. Sommige onderzoekers denken dat deze verborgen online wereld drie keer zo groot is als het normale web. Alsof het internet het topje van de ijsberg is, waaronder zich kwade Russische onderzeeërs bevinden die hun digitale torpedos gericht hebben op s werelds regeringen.
Stap 2 - Open silk road
Open tor browser en voer de volgende url in in je adres balk:
Zodra je inlogt kom je in een simpel ogende maar onvoorstelbare wereld terecht. De drugs zijn onderverdeeld in verschillende categorieën, en daaronder worden de verkopers beoordeeld. Het is dus niet alleen een anonieme markt voor drugs en wapens. Je kunt ook de verkopers beoordelen, en commentaar achterlaten voor latere gebruikers. Het is net Yelp.
Silk Road biedt bijna alleen maar drugs aan, maar je hebt een paar andere categorieën zoals Huis en Tuin, die waarschijnlijk alsnog voor het fabriceren van drugs bedoeld zijn.
Speel snake op youtube, stel je voor dat je een filmpje aan het kijken ben op youtube en het laden duurt nog allang,
Hoe?
klik even op de pauze knop en hou het linkerpijltje even ingedrukt en druk dan het pijltje na boven tegelijk in en laat beide toetsen tegelijk los. En daar is hij dan de oude vertrouwende snake slang, ergens op je scherm knippert een puntje wat je moet pakken.
Beste Mensen willen jullie leren hacken mensen laten schrikken hun gsm op Afstand bedienen en nog veel meer VOLG DAN MIJN FACEBOOK PAGINA En youtube pagina TopHack.2013
Normaal gezien moet je bij jamba voor ringtones voor je mobieltje betalen.
Maar de file die je afluisterd (de link naar die mp3 files) worden in de cache van je browser gesaved
Als je nu deze link download heb je die mp3 file dus voor niets.
Ik heb dit geprobeerd met de nederlandse jamba en het werkt echt.
even in het kort:
1) ga naar jamba (http://www.jamba.nl/)
2) klik de ringtone aan die je wilt hebben, bijv: hips don´t lie van shakira: http://order.jamba.nl/jow/slp_order.do?contentType=9&doc=3418601&paren tId=994987&jhs=409&XY=Gk8LPr4Qn1!1647426411!1151663176775
3) je kunt hem nu luisteren
4) ga daarna naar de cache van je browser (bij firefox geef je in je browser about:cache aan)
5) ga nu naar de cache van je harddisk en zoek dan in je cache naar mp3 files (in firefox met Cont F)
6) Save de file op je harddisk
Nu hoef je de file alleen maar op je mobieltje te saven (met IR, bluetooth of kabeltje)
