- 1
- 2
- 3
- 4
- 5
Вот это да! Идеально, Вы можете отправлять
Результат :
10/10
Официальный тред операции «Говно на вентилятор»
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
0
Вот это да! Идеально, Вы можете отправлять
Результат :
10/10
Официальный тред операции «Говно на вентилятор»
Запилил почту, теперь надо:
1) Придумать тему и текст (https://i.imgur.com/2zNp5ke.jpg);
2) Организовать ПО для рассылки;
3) Запустить и разослать;
4) ?????
5) Говно!
gost 03.10.2019 16:13 # 0
OCETuHCKuu_nemyx 06.10.2019 00:54 # 0
guest8 03.10.2019 16:28 # −999
ropuJIJIa 03.10.2019 16:30 # +1
BATHbIu_nemyx 03.10.2019 20:03 # −102
update: 03-10-2019 (18:22)
В Уфе жители недостроенного жилого комплекса "Лимонарий" по улице Менделева написали письмо Папе Римскому Франциску с жалобой на главу строительной компании СУ-10, которая отказалась включить отопление. Текст обращения опубликован в группе ЖК во "ВКонтакте".
Всего, уточняют "РИА Новости", квартиры в этом доме купили 264 семьи. По словам обманутых дольщиков, строительство должны были закончить еще в 2017 году. От безысходности 60 семей уже заселились в недостроенный дом. Жильцы рассказали, что, помимо отопления, в доме нет горячей воды, системы пожаротушения, не укреплен монолит, часть фасада дома разобрана, в квартирах есть дыры, из которых видна улица.
"Когда мы очередной раз завели разговор о задержках сдачи дома, над нами посмеялись и сказали: "Хоть Папе Римскому жалуйтесь". Мы и пожаловались",
— рассказал один из обманутых дольщиков. В своем письме жители ЖК попросили Его Святейшество отстоять их законные права, помолиться за человечность и благоразумие руководителя СУ-10 Валерия Мансурова, а также выражают надежду на то, что тот прислушается к мудрости и просвещенности Папы Римского.
Тепло подали в дом после того, как история с письмом Папе Римскому разошлась в соцсетях, но через сутки его отключили. Телеграм-канал "Подъем" пишет, что строительная компания объяснила это долгом перед обслуживающим ЖК предприятием "Уфимские инженерные сети".
ropuJIJIa 03.10.2019 20:44 # 0
guest8 03.10.2019 21:13 # −999
ropuJIJIa 03.10.2019 21:19 # 0
guest8 03.10.2019 21:24 # −999
ropuJIJIa 03.10.2019 21:15 # 0
1. С «Вебархива» собрал 2,5 млн. адресов «Mail.ru» (@mail.ru, @list.ru, @inbox.ru, @bk.ru); 54 тыс. адресов @rambler.ru; 200 тыс. адресов @yandex.ru и ещё 1 млн. доменов «Народ.ру».
2. Для брута по ящикам «Гмейла» составил фантастические адреса: к логинам из нескольких баз (из предыдущих плюс из списка пользователей «Хабрахабр», «Diary.ru», «Liveinternet.ru») приставил суффикс @gmail.com. Получил 4,2 млн. хэшей.
3. На «Говнокоде» обнаружилось 711 обладателей ящиков из предыдущих списков.
4. На файлопомойках нашёл результаты утечек: 2 млн. адресов @gmail.com (хотя заявлено 5 млн.); 4,4 млн. адресов «Mail.ru»; 1,2 млн. адресов @yandex.ru. На «Говнокоде» нашёлся 141 пользователь с предположительно компрометированным ящиком.
5. На файлопомойках нашёл списки пользователей некоторых интернет-магазинов. На «Говнокоде», вероятно, 25 пользователей магазина «Lamoda», 41 пользователь магазина «Wildberries», 27 пользователей платёжной системы «Glopart» и 155 участников проекта «Бизнес-молодость». Вполне возможно, что личные данные этих пользователей (ФИО, номер телефона, домашний адрес) сейчас открыто бродят по просторам интернетов.
Такие дела.
guest8 03.10.2019 21:31 # −999
guest8 03.10.2019 21:33 # −999
ropuJIJIa 03.10.2019 21:43 # 0
http://my.mail.ru/inbox/vasya.pupkin
http://video.mail.ru/inbox/vasya.pupkin (теперь редирект на «Мой мир»)
http://foto.mail.ru/inbox/vasya.pupkin (теперь редирект на «Мой мир»)
http://otvet.mail.ru/inbox/vasya.pupkin (теперь там другие адреса, эти в вебархиве)
http://blogs.mail.ru/inbox/vasya.pupkin (проект закрыт, теперь только в вебархиве)
http://deti.mail.ru/inbox/vasya.pupkin
А как одним запросом добыть из вебархива список URL, соответствующих маске, мы уже обсуждали.
guest8 03.10.2019 21:46 # −999
ropuJIJIa 03.10.2019 21:49 # 0
https://archive.org/download/ADULTFRIENDFINDERLEAKEDFILES
guest8 03.10.2019 21:37 # −999
ropuJIJIa 03.10.2019 21:45 # 0
guest8 03.10.2019 21:57 # −999
guest8 03.10.2019 21:58 # −999
guest8 03.10.2019 22:00 # −999
guest8 03.10.2019 22:05 # −999
guest8 03.10.2019 22:05 # −999
guest8 03.10.2019 22:06 # −999
ropuJIJIa 03.10.2019 22:54 # 0
Кстати, в таблице, которую я послал gost'у, его нет. Значит, его е-мейл ни в какие страшные базы не попал.
И «Никиты» в той таблице нет. И mz и scriptin нужно добавить.
ropuJIJIa 03.10.2019 22:15 # 0
http://govnokod.ru/user/12843 catnikita255
ropuJIJIa 03.10.2019 22:10 # 0
http://govnokod.ru/user/186 wiistriker
http://govnokod.ru/user/2671 mz
http://govnokod.ru/user/4239 scriptin
http://govnokod.ru/user/7313 bjarne-stroustrup
http://govnokod.ru/user/8316 evilbloodydemon
Шок! У Ромы есть файка. Причём у файки на юзерпике стоит его реальная фотка.
guest8 03.10.2019 22:12 # −999
guest8 03.10.2019 22:12 # −999
ropuJIJIa 04.10.2019 01:04 # 0
«Яндекс» находит другого Bjarne_Stroustrup, с подчёркиванием, но это скорее всего не он.
Так что учётка bjarne-stroustrup пустая. Вероятно, сделана про запас.
guest8 03.10.2019 22:15 # −999
ropuJIJIa 03.10.2019 22:20 # 0
https://ru.gravatar.com/romankashitsyn
TOPT 04.10.2019 07:25 # +90
MAKAKA 04.10.2019 22:50 # 0
http://www.cyberforum.ru/lua/
PacTBopeHue 05.10.2019 06:38 # 0
ropuJIJIa 03.10.2019 21:51 # 0
guest8 03.10.2019 23:32 # −999
ropuJIJIa 04.10.2019 00:13 # 0
Е-мейлы видно не у всех, зато видно хэши «Граватара». Можно сопоставить их с хэшами юзеров «Говнокода».
Мне больше нравится метод user.ratedList — выводит список всех юзеров (участвовавших хотя бы в одном соревновании) по убыванию рейтинга. Весь фарш одним запросом.
ropuJIJIa 04.10.2019 00:27 # 0
Что будет, если сообщество вырастет?
ropuJIJIa 04.10.2019 00:36 # 0
Про «Граватар» мне показалось. Там картинки в локальном хранилище, и имена у них случайные.
ropuJIJIa 04.10.2019 00:41 # 0
Самые хитрые, знающие про плюсик:
ropuJIJIa 04.10.2019 01:47 # 0
ropuJIJIa 04.10.2019 01:52 # 0
ropuJIJIa 04.10.2019 00:44 # 0
И снова в базе, которую я передал gost'у, их нет. Точнее, есть, но не все. Нужно добавлять.
ropuJIJIa 05.10.2019 14:42 # 0
Ключи, явки, пароли можно стырить из официального приложения для «Андроида». Всё лежит в libreaderWrapper.so в зашифрованном виде (например, у client_id каждый четвёртый байт поксорен с каким-то ключом).
Всё, что есть, — вот эта статья:
https://habr.com/ru/post/447148/
Автор статьи (кактус ему под подушку) на скриншоте замазал половину ключа.
gost 05.10.2019 15:39 # +1
Зашифрован он только в .so для «i386», а вот в 64-битной либе 16 байт от него в открытую лежат в «_rodata», а оставшиеся 8 (в перевёрнутом виде) пушатся в коде:
Ключ, с которым ксорится client_id, соответственно, вот такой: «['7e', 'c5', '60', '3f', '92', 'c9']».
Именно поэтому я за «64 бит».
ropuJIJIa 05.10.2019 16:02 # 0
А где token спрятан?
gost 05.10.2019 16:11 # +1
Насколько я знаю «OAuth», таким образом ты даёшь доступ приложению с заданным client_id к своему профилю, а приложение получит токен, используя который, оно сможет выполнять запросы от твоего имени.
ropuJIJIa 05.10.2019 16:19 # 0
Ответ:
Какой багор )))
gost 05.10.2019 16:21 # 0
Я сейчас роюсь в джавакоде, но эти пидоры там всё заобфусцировали.
guest8 05.10.2019 16:24 # −999
ropuJIJIa 05.10.2019 16:30 # 0
«tcpdump» и просмотр дампа программой «Wireshark» мне тоже не помогли. Я слишком анскильный для того, чтобы расшифровывать TLS-поток.
gost 05.10.2019 16:36 # +1
Скачай версию 6.1 и проверь логи там.
ropuJIJIa 05.10.2019 16:44 # 0
ropuJIJIa 05.10.2019 16:47 # 0
ropuJIJIa 05.10.2019 16:48 # 0
gost 05.10.2019 16:54 # 0
В новой, обфусцированной, явный API_KEY обфусцировали, в настоящий момент я его ищу. Всё осложняется ещё и говноархитектурой с фабриками фабрик провайдеров.
guest8 05.10.2019 17:04 # −999
hormand 05.10.2019 17:09 # −100
cmepmop 05.10.2019 17:11 # −102
ropuJIJIa 05.10.2019 17:09 # 0
Интересует, можно ли, представившись этим приложением, вытягивать инфу через API, чтобы не парсить HTML-страницы.
cmepmop 05.10.2019 17:12 # −102
guest8 05.10.2019 17:31 # −999
gost 05.10.2019 18:42 # +1
0. Установлен «Fiddler» и настроена расшифровка HTTPS, а также включён флажок «Allow remote computers to connect»;
1. Установлен «Nox Player»;
2. В настройках включён рут;
3. В эмулятор установлены приложения Хабра, приложение «WiFi Info» (https://apkpure.com/ru/wifi-info-wifi-information/com.get.wifiinfo, чтобы узнать IP-адрес компа), приложение Root Certificate Manager (https://apkpure.com/ru/root-certificate-manager-root/net.jolivier.cert.Importer, чтобы установить сертификат);
4. Из «Fiddler» экспортирован рутовый серт и установлен посредством «Root Certificate Manager» на эмулятор;
5. В настройках WiFi эмулятора установлен прокси на адрес_компа:8888;
6. Спизжены все данные.
Вот, например, парочка запросов:
ropuJIJIa 05.10.2019 20:44 # 0
Спасибо!
cmepmop 05.10.2019 20:47 # −102
Тем не менее, это не даёт тебе права хвалить себя с другой учётки.
ropuJIJIa 05.10.2019 20:48 # 0
cmepmop 05.10.2019 21:00 # −102
gost 05.10.2019 21:07 # 0
Будешь пиздить?
ropuJIJIa 05.10.2019 21:17 # 0
Я теперь о другом думаю.
Кто-нибудь пытался реверсировать приватный API «Инстаграма» и «Твиттера»? В частности, интересует, по какому протоколу их мобильные приложения отправляют на сервер список контактов из записной книжки «Андроида», чтобы найти друзяшек.
Если автоматизировать «синхронизацию контактов», то можно будет по е-мейлу находить учётки в указанных сервисах.
ropuJIJIa 07.10.2019 23:34 # +1
1075072 записей (да, миллион с хвостиком).
Интересного почти ничего. Бо́льшая часть записей — пустышки, у которых ноль комментариев, ноль постов, нет аватарки и нет вообще ничего о себе.
Поле contacts у всех записей пустое. Похоже, что это поле задепрекейтили, но для совместимости сервер его отдаёт.
inho-pidar 08.10.2019 00:29 # 0
ropuJIJIa 08.10.2019 02:01 # 0
Из миллиона учёток «Х-ра» хотя бы один комментарий или хотя бы один пост есть у 116 тысяч. Хотя бы 10 комментариев оставили 50 тысяч хаброюзеров, а рубеж в 100 комментариев взяли почти 15 тысяч хаброюзеров. До тысячи комментариев добралась тысяча хаброюзеров.
guest8 08.10.2019 02:05 # −999
ropuJIJIa 08.10.2019 02:11 # 0
guest8 08.10.2019 02:17 # −999
guest8 08.10.2019 02:32 # −999
inho-pidar 08.10.2019 02:36 # 0
ropuJIJIa 08.10.2019 02:19 # 0
id
login
time_registered
score
fullname
specializm
sex
rating
rating_position
path — фактически совпадает с логином
geo — массив из country, region, city
counters — массив из posts, comments, followed, followers, favorites.
badges — массив ачивок с избыточной информацией (id, title, alias, description, url, is_disabled, is_removable). К каждой ачивке каждого юзера прилагается повторяющееся длинное описание, за что она даётся, отсюда и размер таблицы.
avatar
is_readonly
is_rc
is_subscribed
common_tags — пустое
contacts — пустое
guest8 05.10.2019 21:10 # −999
ropuJIJIa 07.10.2019 23:40 # 0
inho-pidar 07.10.2019 23:59 # 0
guest8 08.10.2019 00:20 # −999
inho-pidar 08.10.2019 00:28 # 0
guest8 08.10.2019 00:29 # −999
inho-pidar 08.10.2019 00:30 # 0
guest8 08.10.2019 00:33 # −999
ropuJIJIa 08.10.2019 01:47 # 0
Скобенировали никнеймы с известными почтовыми доменами и посчитали md5.
никнейм@gmail.com => 869 совпадений с граватарами «Говнокода».
никнейм@{mail.ru, inbox.ru, list.ru, bk.ru} => 440 совпадений.
никнейм@{yandex.ru, yandex.com, yandex.ua, yandex.by, yandex.kz, ya.ru} => 355 совпадений.
никнейм@{ukr.net, i.ua, meta.ua, ua.fm, bigmir.net} => 88 совпадений.
никнейм@rambler.ru => 43 совпадения.
никнейм@{hotmail.com, msn.com, outlook.com, live.com, live.ru} => 34 совпадения.
никнейм@tut.by => 27 совпадений.
никнейм@yahoo.com => 6 совпадений.
inho-pidar 08.10.2019 02:34 # 0
guest8 08.10.2019 03:05 # −999
guest8 08.10.2019 10:58 # −999
inho-pidar 09.10.2019 09:19 # 0
ropuJIJIa 09.10.2019 17:17 # +1
В адресах популярных почтовых сервисов встречаются символы из множества (на языке регулярки): RFC ещё допускает символы !#$%^&*=:/?`~{|}. Из них %,!,:,# использовались шлюзами во всякие непонятные сети (пример реального адреса support%[email protected]), а / и = только в X.400 (пример: /C=CA/ADMD=TELECOM.CANADA/ID=ICS.TEST/S=TEST_GROUP/@nasamail.nasa.gov). Возможно, какие-то непопулярные сервисы разрешают регистрировать ящики с ними. Допускать эти символы можно, но учитывать их при переборе нерационально.
Итак, если взять хотя бы [a-z0-9\-_\.\+], то получим алфавит из 40 символов. Топ-5 длин логинов (взял из нескольких подборок е-мейлов): от 7 до 11 символов. 40 в седьмой степени — это 163 миллиарда. Добавим к 7 символам логина строку «@gmail.com» и 32 символа md5 — для хранения радужной таблицы емейлов с семизначным логином для одного домена понадобится 8 терабайт места на диске.
Владельцы ящиков типа [email protected] могут спать спокойно, потому что в эту таблицу они точно не попадут.
Разумнее строить таблицы для логинов, которые наверняка встретятся.
Что сейчас есть:
• е-мейлы 100 миллионов пользователей «Вконтакте» (за 2011 год);
• 10 миллионов самых популярных логинов с разных сайтов (плюс 1 миллион юзернеймов хаброблядей), которые можно попытаться скомбинировать с почтовыми доменами;
• 2,5 миллиона адресов «mail.ru», 1 миллион адресов «yandex.ru» из вебархива.
• 2 миллиона адресов «gmail.com» (было заявлено 5, но они указались неуникальными), 4 миллиона адресов «mail.ru», 1 миллион адресов «yandex.ru» из разных утечек.
• Ну и некоторые мелкие подборки.
Генерация 100 миллионов хэшей е-мейлов пользователей «ВК» заняла 45 минут (основное время занял не подсчёт, а ввод-вывод), в csv таблица весит 4,5 гигабайта.
ropuJIJIa 09.10.2019 23:46 # +1
Для начала в «Иссык-Куль-Светлый». По глупости назначил колонку с хэшем в качестве PRIMARY KEY. Понял, что включил алгоритм имени маляра Шлемиля: при вставке каждой строки СУБД проверяла все предыдущие строки на наличие совпадений со вставляемой строкой. За сутки СУБД точно с такой работой не справится.
Создал новую таблицу без индексов. Получил файл на 5 гигов. Вставилось быстро. Потом сгенерировал индекс. Файл вырос до 9 гигов.
guest8 10.10.2019 00:09 # −999
ropuJIJIa 10.10.2019 00:27 # 0
Тем временем выяснилось, что как минимум 2816 пользователей «Говнокода» в 2011-м году, вероятно, имели учётную запись «ВКонтакте», к которой хакеры пытались подобрать пароль. Вполне возможно, что у некоторых из них можно узнать реальное имя, фамилию и номер телефона.
guest8 10.10.2019 00:42 # −999
ropuJIJIa 10.10.2019 00:57 # 0
ropuJIJIa 10.10.2019 01:22 # 0
Топ-50 популярных почтовых доменов:
Удивляет наличие yndex.ru и meil.ru (да, именно так). Видимо, в базе есть учётки с неподтверждённым е-мейлом.
guest8 10.10.2019 01:25 # −999
ropuJIJIa 10.10.2019 01:33 # 0
http://web.archive.org/web/*/my.mail.ru/mail.ua/*
guest8 10.10.2019 01:35 # −999
ropuJIJIa 10.10.2019 01:38 # 0
https://i.imgur.com/Cc6QWLv.png
guest8 10.10.2019 10:23 # −999
ropuJIJIa 10.10.2019 14:27 # 0
Регистрант — организация «MGL.Mail.ru Internet Assets Limited», расположенная на Кипре в Лимассоле, на улице 28 октября. Конечно же, к российской организации «Mail.ru» не имеет никакого отношения.
ropuJIJIa 10.10.2019 14:45 # +1
«Согласно данным ЕГРЮЛ учредителями ООО "Мэйл.Ру Груп" являются 2 иностранных юридических лица:
• КОМПАНИЯ "МГЛ МЭЙЛ.РУ ЭКВИТИ ЛИМИТЕД"
Доля: 112 443 852 руб. (99,99%)
• КОМПАНИЯ "МЭЙЛ.РУ ГРУП ЛИМИТЕД" (MAIL.RU GROUP LIMITED)
Доля:
11 148 руб. (< 0.01%)
КОМПАНИЯ МГЛ МЭЙЛ.РУ ЭКВИТИ ЛИМИТЕД
Страна КИПР
Регистрационный номер HE 315347
Дата регистрации 19.11.2012
Адрес 28 ОКТОВРИУ, 365, ВАШИОТИС СИФРОНТ, ОФИС 402, НЕАПОЛИ, 3107, ЛИМАСОЛ, КИПР
Наименование регистрирующей организации РЕГИСТРАТОР КОМПАНИЙ
КОМПАНИЯ " ДИДЖИТАЛ СКАЙ ТЕКНОЛОДЖИС ЛИМИТЕД" ("DIGITAL SKY TECHNOLOGIES LIMITED")
Страна ВИРГИНСКИЕ ОСТРОВА, БРИТАНСКИЕ
Регистрационный номер 655058
Дата регистрации 04.05.2005
Адрес ТРАЙДЕНТ ЧЕЙМБЕРЗ, П.О. БОКС 146, РОД-ТАУН, ТОРТОЛА, БРИТАНСКИЕ ВИРГИНСКИЕ ОСТРОВА
Наименование регистрирующей организации РЕГИСТРАТОР КОРПОРАТИВНОЙ ДЕЯТЕЛЬНОСТИ БРИТАНСКИХ ВИРГИНСКИХ ОСТРОВОВ»
Оказывается, имеет. Надо посмотреть украинские законы, против кого именно они ввели санкции.
guest8 10.10.2019 15:19 # −999
guest8 10.10.2019 15:21 # −999
ropuJIJIa 10.10.2019 15:35 # 0
ropuJIJIa 10.10.2019 14:58 # 0
11) заборона Інтернет-провайдерам надання послуг з доступу користувачам мережі Інтернет до ресурсів сервісів «Mail.ru» (www.mail.ru) та соціально-орієнтованих ресурсів «Вконтакте» (www.vk.com) та «Одноклассники» (www.ok.ru)
Согласно закону запрещены www.mail.ru, www.vk.com и www.ok.ru. Да, именно так.
А ещё, в частности, на территории Украины запрещены такие ресурсы:
https://avia.yandex.ua/?utm_source=yamain&utm_medium=popup&utm_ campaign=allua
https://afisha.yandex.ua/events?city=kyiv&tag=cinema
https://disk.yandex.ua/?source=services-main
https://direct.yandex.ua/?from=all&ncrnd=5179
https://market.yandex.ua/?clid=505
https://yandex.ua/people?lr=143
https://yandex.ua/blogs?rdrnd=234434&lr=143&redircnt=14758 42393.1
https://yandex.ua/maps/143/kyiv/?l=trf%2Ctrfe
https://rabota.yandex.ua/?from=morda_all
https://rasp.yandex.ua/?lang=ru
https://yandex.ua/adv?from=all
https://passport.yandex.ua/auth/update/?retpath=https%3A%2F%2Fsprav.yandex.ua%2 F
https://tv.yandex.ua/187?grid=main&period=now
https://browser.yandex.ua/desktop/?from=prov_all
Да, именно так, с такими GET-параметрами.
ropuJIJIa 12.10.2019 16:02 # 0
https://mail.ru/?from=mailua , после чего в сессии появляется какая-то запись, и при регистрации в выпадающем списке уже пять доменов (добавляется @mail.ua).
«Mail.ru Group» приобрела домен mail.ua в 2012-м году:
https://internetua.com/Mail-ru-Group-priobrela-domen-Mail-ua
Интересно, есть ли у mail.ru ещё какие-нибудь скрытые домены, которые видно не сразу.
guest8 12.10.2019 16:57 # −999
nymuHckuu_nemyx 12.10.2019 18:18 # −102
ropuJIJIa 12.10.2019 18:44 # 0
https://e.mail.ru/settings/aliases
Анонимайзер
Письма, отправленные на этот адрес,
будут доставлены в ваш основной ящик,
но его адрес будет скрыт
На вашем ящике не указан номер.
Чтобы создать анонимный адрес, добавьте телефон к почте.
Т. е. чтобы воспользоваться их «анонимайзером», нужно деанонимизироваться. Какой багор ))) Проще несколько учёток сделать.
ropuJIJIa 12.10.2019 18:54 # 0
https://my.mail.ru/mailua/guestinho/
В вебархиве удалось найти около двух тысяч таких профилей:
http://web.archive.org/web/*/my.mail.ru/mailua/*
(тут показывает 5 тысяч, потому что нашлись ещё вложенные страницы).
ropuJIJIa 12.10.2019 19:13 # 0
http://web.archive.org/web/*/my.mail.ru/yandex.ru/*
http://web.archive.org/web/*/my.mail.ru/gmail.com/*
http://web.archive.org/web/*/my.mail.ru/fb/*
http://web.archive.org/web/*/my.mail.ru/vk/*
http://web.archive.org/web/*/my.mail.ru/ok/*
ropuJIJIa 12.10.2019 19:27 # 0
https://my.mail.ru/yandex.ru/tolocalestring/
guest8 12.10.2019 19:39 # −999
gost 12.10.2019 19:40 # +102
ropuJIJIa 12.10.2019 19:56 # 0
Для того, чтобы в «Мой Мир» можно было войти через «OAuth» с произвольного домена, компания «Mail.ru Group» должна зарегистрировать «Мой Мир» как приложение» на каждом домене. Владелец сервиса OAuth на каждом домене должен одобрить заявку и выдать компании «Mail.ru Group» client_id и приватный ключ.
guestinxo 12.10.2019 21:19 # −5
https://memepedia.ru/wp-content/uploads/2018/09/eskobar-shablon.jpg
ropuJIJIa 12.10.2019 22:20 # +1
gost 12.10.2019 23:01 # +102
Хотя нет, я вообще против всех этих хипстерских «ID». У меня есть логин, у меня есть пароль — и этого должно быть достаточно.
guest8 12.10.2019 23:04 # −999
cmepmop 12.10.2019 23:14 # −102
gost 12.10.2019 23:00 # +103
cmepmop 12.10.2019 23:15 # −102
ropuJIJIa 12.10.2019 20:01 # 0
guest8 12.10.2019 20:36 # −999
nymuHckuu_nemyx 12.10.2019 20:57 # −102
Ватники говнокода поголовно сидят в мой мир усманова.
Неудивительно, что борманд решил завести отсюда трактор.
ropuJIJIa 12.10.2019 22:23 # 0
guestinxo 12.10.2019 22:26 # −6
inho-pidar 13.10.2019 07:51 # 0
Это который про цены пиздит? Показывает одно, а снять пытается другое. Я перевел им ровно на одну смс, пришлось покладывать.
guestinxo 12.10.2019 21:16 # −6
ropuJIJIa 12.10.2019 23:01 # −1
guest8 12.10.2019 16:59 # −999
ropuJIJIa 12.10.2019 17:18 # 0
Китайцы же не любят слова на английском языке. У них либо пиньинь (например, социальная сеть на домене renren.com, что с китайского переводится как «человек-человек»), либо нечитаемые комбинации буков (например, мессенджер qq.com), либо цифры: если имя домена заканчивается на 6, то это видеохостинг (6.cn, ku6.com, 56.com); девятка может означать музыкальный сайт (9sky.com, wo99.com, 9ku.com, 99music.net). Есть вообще адреса из цифр типа 163.com.
guest8 12.10.2019 17:26 # −999
ropuJIJIa 12.10.2019 17:49 # 0
ropuJIJIa 12.10.2019 17:52 # 0
https://vc.ru/flood/3681-chinese-numbers
Цифры оказываются ещё более удобными, если выходит так, что они являются омонимами для других слов. Например, URL интернет-гиганта Alibaba — 1688.com, что произносится как «yow-liu-ba-ba» (достаточно похоже по звучанию на «Alibaba»). У цифр часто есть и собственное значение — видеохостинг 6.cn выбрал такой адрес, потому что слово, обозначающее цифру «шесть», также обозначает «поток». Число 5 произносится как «wu», что похоже на «wo» («я» по-китайски), а число 1 произносится «yao», что с другой интонацией будет значить «хочу». Поэтому домен сайта по поиску работы 51job.com звучит очень похоже на «Я хочу работу». Доставка еды из McDonalds находится по адресу 4008-517-517.com, где «517» звучит немного похоже на «Я хочу есть».
Такой «язык чисел» стал очень распространённым среди китайских пользователей интернета: 1 значит «хочу», 2 — «любовь», 4 — «смерть» или «мир», 5 — «я», 7 — «жена» или «поглощать пищу», 8 — «стать богатым» или «нет», 9 — «алкоголь» или «долгое время». Набор чисел 5201314 приравнивается к «Я буду любить тебя вечно», 687 — «прошу прощения».
guest8 17.11.2019 03:26 # −999
XYPO3BO3 17.11.2019 11:06 # 0
guest8 12.10.2019 17:27 # −999
ropuJIJIa 12.10.2019 17:47 # 0
Desktop 17.11.2019 03:22 # 0
P.S. А, ты ниже написал про 2012
guest8 17.11.2019 03:25 # −999
XYPO3BO3 17.11.2019 11:09 # 0
guest8 17.11.2019 12:43 # −999
XYPO3BO3 17.11.2019 13:14 # 0
guest8 17.11.2019 13:19 # −999
OCETuHCKuu_nemyx 17.11.2019 14:10 # 0
XYPO3BO3 17.11.2019 14:12 # 0
OCETuHCKuu_nemyx 17.11.2019 14:14 # 0
XYPO3BO3 17.11.2019 14:18 # 0
guest8 10.10.2019 00:46 # −999
guest8 10.10.2019 00:54 # −999
guest8 10.10.2019 04:04 # −999
ropuJIJIa 10.10.2019 15:19 # 0
guest8 10.10.2019 16:00 # −999
guest8 10.10.2019 00:46 # −999
inho-pidar 10.10.2019 10:20 # 0
inho-pidar 10.10.2019 01:25 # +1
Что наводит на мысль, что радужные таблицы нахуй здесь не нужны. Их вообще можно генерить со словарями?
ropuJIJIa 10.10.2019 01:29 # 0
ropuJIJIa 10.10.2019 01:45 # 0
https://forum.antichat.ru/threads/41361/
Только не гугли сокращение «HRT» — ты найдёшь совсем не то, что искал.
guest8 10.10.2019 04:03 # −999
inho-pidar 10.10.2019 04:13 # −1
raMagPuJI 10.10.2019 04:14 # 0
ropuJIJIa 10.10.2019 06:01 # 0
Как строятся цепочки для радужных таблиц? Берём возможный пароль (pass), вычисляем от него хэш:
Далее, чтобы получить цепочку, нужно отобразить найденный хэш на другой возможный пароль: Следующие шаги очевидны: И так далее, пока не получим цепочку требуемой длины, от которой можно будет сохранить только начало и конец.
Так вот сложность здесь заключается в построении функции R. Она должна отображать множество значений хэш-функции (для md5 это числа от 0 до (2 в степени 128) - 1) на множество значений пароля, причём делать это «равномерно», чтобы в итоге цепочки не слились в одну точку. Сложность подбора такого алгоритма сопоставима со сложностью подбора алгоритма для генератора псевдослучайных чисел. Именно поэтому в некоторых реализациях используют готовую функцию rand, подсовывая ей в качестве зерна биты, выдернутые из хэша (и опять возникает вопрос, как эти биты рациональнее выдернуть).
К слову об отличиях между разными видами радужных таблиц: оно в функции R. В случае полного перебора R должна выдать массив битов, равный по длине искомому паролю. В случае перебора по словарю R должна выдать номер слова в словаре. В случае гибридной атаки (HRT) функция R должна вернуть вектор: список индексов в соответствующих словарях каждой части искомого пароля. Ну то есть если она вернёт вектор (14,88), в первом словаре индексу 14 соответствует «свино», а во втором словаре индексу 88 соответствует слово «собака», то искомый пароль «свинособака».
Сколько тебе понадобится времени, чтобы получить функцию R такую, чтобы в итоге не возникло неподвижных точек, циклов, слияний цепочек в одну и чтобы в итоге был покрыт весь словарь (ну или хотя бы 90% его)?
inho-pidar 10.10.2019 10:19 # 0
Статистически невозможно найти функцию редукции, которая бы не давала коллизий. Что такое неподвижных точек, циклов, слияний цепочек в одну?
guest8 10.10.2019 11:18 # −999
ropuJIJIa 10.10.2019 15:32 # +1
Цикл — это когда, например, x = R(md5(R(md5(R(md5(x)))))). Т. е., начиная с какого-то звена цепочка вместо того, чтобы расти, ходит по кругу.
И то, и другое несмертельно, просто цепочки получаются короткими. Цикл труднее распознать, чем неподвижную точку, поэтому он будет снижать пирфоманс.
А слияниями цепочек я обозвал коллизии. Это когда R(md5(R(md5(R(md5(x)))))) = R(md5(R(md5(R(md5(y)))))), но при этом x≠y. В принципе, тоже несмертельно, но тоже снижает пирфоманс, потому что при обращении хэша придётся перебирать несколько веток, дающих одно и то же конечное значение.
Хорошо, это задача невыполнимая. Например, коллизии хэш-функций находили спустя несколько лет после начала использования.
В любом случае нужно постараться покрыть как можно большую часть словаря, а это с первого раза может не получиться.
ropuJIJIa 10.10.2019 19:07 # 0
http://ideone.com/rxqpj1
Выводит:
guest8 10.10.2019 16:00 # −999
inho-pidar 11.10.2019 06:10 # 0
И твою писанину про граватар скушно читать. Поделился бы напарсеным, а то получается "смотрите какой я крутой".
guest8 11.10.2019 15:32 # −999
Dpyrou_Pycoqpo6_CEMA 11.10.2019 16:35 # −101
ropuJIJIa 12.10.2019 20:11 # 0
Просто замени в формуле md5 на «соленый хеш от хеша». Ты получишь таблицы для конкретной соли.
Если убрать всю воду, то радужные таблицы — это не что-то крутое, а просто способ сжатия таблиц, чтобы они занимали меньше места на диске. Архиватор с бесконечным зожатием.
При построении радужных таблиц строится не линейный список хэшей и паролей, а двухмерный: таблица цепочек. Потом от каждой цепочки уже в линейном списке сохраняется только первое и последнее звено, потому что остальные звенья можно восстановить во время поиска.
Эта манипуляция экономит место на диске. Если места на диске хватает, вместо радужных таблиц проще построить линейный список с индексом.
guest8 12.10.2019 20:25 # −999
syoma 13.10.2019 07:45 # 0
ropuJIJIa 13.10.2019 08:38 # 0
Если hash = md5(md5(pass) + salt), то для обращения мне приходят в голову следующие варианты.
Вариант А:
1. Найти по обычным таблицам значение md5(pass) + salt.
2. Угадать, сколько нужно отрезать, чтобы получить md5(salt). Хотя зачем гадать, когда длина значения хэш-функции известна.
3. Найти salt.
Вариант Б:
Сгенерировать радужную таблицу для каждой возможной соли.
Вариант В:
Написать редуцирующую функцию, которая возвращает не пароль, а вектор из пароля и соли. Тогда одна радужная таблица будет для всех возможных солей.
Какие подводные камни видишь у каждого из вариантов?
inho-pidar 13.10.2019 09:06 # 0
ropuJIJIa 13.10.2019 12:53 # 0
Код для поиска покажу чуть позже.
cmepmop 13.10.2019 22:22 # −102
Это касается гипертоников, ревматиков и лиц, имеющих заболевания почек и ЖКТ.
gost 27.06.2020 12:58 # 0
rotoeb 13.10.2021 11:52 # +300
inho-pidar 10.10.2019 04:12 # −1
ropuJIJIa 10.10.2019 16:20 # 0
Чисто теоретически можно построить функцию редукции, которая новые слова будет возвращать только для тех значений хэша, которых нет ни в одной старой цепочке. На практике для построения такой функции нужно полностью просканировать все старые цепочки, что по затратам эквивалентно генерации таблиц с нуля.
Хотя у меня есть другая идея: заранее зарезервировать некоторые значения функции редукции, чтобы в них можно было добавлять новые слова, а при генерации цепочек прерывать цепочку, если встретилось зарезервированное значение. В теории это должно ухудшить статистику (будет много коротких цепочек, значит, таблицы займут больше памяти, и трудно угадать, как это отразится на покрытии словаря), но зато будет возможность добавлять слова без перестроения (кстати, можно будет продолжать старые цепочки, которые оборвались из-за получения зарезервированного значения).
inho-pidar 11.10.2019 04:07 # 0
ropuJIJIa 11.10.2019 04:26 # 0
Радужные оставлю на будущее, если вдруг совсем поеду и захочу перебрать чудовищные комбинации, которые в обычные таблицы не влезают.
Готовый софт есть для радужных таблиц полного перебора, но они мне не нужны. Для гибридных радужных таблиц пока скачать не удалось. Свой велосипед для забавы я продемонстрировал. Сейчас он выдаёт короткие цепочки с циклами, хотя возможно, что это из-за короткого словаря. Нужно поколдовать с функцией редукции R.
ropuJIJIa 09.10.2019 23:38 # 0
Так вот теперь смотри и слушай. Бывают простые таблицы полного перебора, бывают простые таблицы по словарю, бывают радужные таблицы полного перебора, бывают так называемые «hybride rainbow tables».
Простые таблицы полного перебора весят много и считаются долго. В случае полного перебора радужные могут весить поменьше простых таблиц, но полный перебор нам не нужен. Мы же знаем, что в е-мейле будет ровно один символ @, причём он будет не первым и не последним символом строки, после @ будет валидный домен.
Возможно, тут бы подошли «hybride rainbow tables».
Я посчитал простые таблицы по словарю. «Радужные» в данном контексте было гиперболой, вроде как «передал в отдел по big data» у gost'а (или что там у него было).
inho-pidar 10.10.2019 01:27 # −1
inho-pidar 10.10.2019 10:17 # −1
scvhost 08.10.2019 00:52 # −2
guest8 05.10.2019 22:09 # −999
ropuJIJIa 06.10.2019 21:26 # 0
По умолчанию «Fiddler» не захотел работать с протоколами TLS 1.1 и TLS 1.2. Проблема решилась вводом в окошке «QuickBox» команды:
Какой-то прыщепердолинг.
https://www.telerik.com/blogs/fiddler-and-modern-tls-versions
Почему эти прыщебляди по умолчанию TLS 1.1 и TLS 1.2 не включили?
gost 06.10.2019 21:33 # +1
Не смог себя заставить исправить «эмудятор».
guest8 08.10.2019 03:09 # −999
ropuJIJIa 05.10.2019 17:05 # 0
guest8 05.10.2019 16:22 # −999
guest8 08.10.2019 03:27 # −999
ropuJIJIa 05.10.2019 16:33 # 0
И ещё на каких популярных сайтах используются граватары?
ropuJIJIa 05.10.2019 21:42 # 0
guest8 05.10.2019 22:08 # −999
ropuJIJIa 06.10.2019 00:31 # 0
gost 05.10.2019 22:51 # +1
ropuJIJIa 06.10.2019 19:15 # +1
Анонам дают 300 запросов в сутки, зарегистрированным приложениям 10 тысяч запросов в сутки.
Кстати, askubuntu.com — это один из сайтов платформы SO. Полный список в подвале страницы.
2. gitlab.com. Граватары опциональны, юзеры могут загружать свои картинки на сервер «Гитлаба».
API есть, но доступ к некоторым функциям предоставляется только владельцам «серебряных» и «золотых» аккаунтов. Надо разбираться, что можно делать с бесплатной учёткой.
3. bitbucket.org. API есть, но там вообще всё сложно: вместо REST и OAuth/OAuth2 у них какая-то сложная питушня. И опять же не всё доступно бесплатным учёткам.
10. npmjs — граватары повсюду. API частично документирован в исходниках npm.
Другие сайты: github.com пару лет назад отказался от граватаров. Но у него есть API, который иногда сливает е-мейлы.
Нашёл такую штуку: https://libraries.io/api
Это единый поисковик по репозиториям Go, npm, Packagist, PyPI, NuGet, Maven, Rubygems, Bower, CocoaPods, WordPress, CPAN, Cargo, Clojars, CRAN, Hackage, Meteor, Atom, Hex, Pub, PlatformIO, Puppet, Emacs, Homebrew, SwiftPM, Carthage, Julia, Sublime, Dub, conda, Racket, Elm, Haxelib, Nimble, Jam, Alcatraz, PureScript, Inqlude, Shards. Иногда в ответе можно поймать е-мейлы.
ropuJIJIa 08.10.2019 05:22 # 0
Найтмарец наклепал сайт с граватарами.
Если его сайту передать неизвестный User-Agent, то вместо HTML-страницы он возвращает:
ropuJIJIa 08.10.2019 06:01 # 0
inho-pidar 08.10.2019 09:54 # 0
ropuJIJIa 09.10.2019 05:07 # 0
Наглядный пример информационной «безопасности» граватаров.
guest8 09.10.2019 22:38 # −999
gost 09.10.2019 23:10 # +102
ropuJIJIa 09.10.2019 23:39 # 0
inho-pidar 08.10.2019 09:54 # 0
guest8 08.10.2019 10:49 # −999
MPA3uIII 08.10.2019 10:55 # −102
ropuJIJIa 08.10.2019 12:06 # 0
ropuJIJIa 08.10.2019 12:23 # 0
https://github.com/NightmareZ/russiancoders-2
А исходники новой версии он публиковать боится:
https://russiancoders.dev/topic/ENBRTXlyGhutGK4CYNH0/22/
guest8 08.10.2019 14:51 # −999
ropuJIJIa 08.10.2019 14:54 # 0
guest8 08.10.2019 14:58 # −999
ropuJIJIa 08.10.2019 15:11 # 0
guest8 08.10.2019 16:20 # −999
guest8 08.10.2019 14:35 # −999
cmepmop 08.10.2019 14:53 # −102
guest8 08.10.2019 22:45 # −999
guest8 08.10.2019 11:01 # −999
guest8 08.10.2019 11:06 # −999
guest8 08.10.2019 11:15 # −999
ropuJIJIa 11.10.2019 06:23 # 0
gost 05.10.2019 22:56 # +1
gost 05.10.2019 23:16 # +1
Какой багор )))
guest8 08.10.2019 02:42 # −999
gost 08.10.2019 16:23 # 0
gpyrou_nemyx 08.10.2019 16:56 # 0
ropuJIJIa 10.10.2019 15:43 # 0
Desktop 17.11.2019 03:46 # 0
Зато можно красиво спамить с разноцветными аватарками
guest8 17.11.2019 04:28 # −999
guest8 17.11.2019 07:28 # −999
guest8 17.11.2019 17:51 # −999
XYPO3BO3 17.11.2019 19:19 # 0
gost 03.10.2019 21:18 # 0
ropuJIJIa 03.10.2019 21:26 # 0
1. «Гмейл» игнорирует точки в имени. Ящики [email protected], [email protected] и [email protected] принадлежат одному пользователю. Если перебрать всевозможные положения точек между символами, то можно сильно увеличить размер радужной таблицы.
2. Для «Яндекса» в логине минус и точка равнозначны. Ящики [email protected] и [email protected] принадлежат одному пользователю. Поменяв в адресах точки на минусы или минусы на точки, можно увеличить размер радужной таблицы.
3. Наконец, и у «Гмейла», и у «Яндекса» можно добавлять «соль». [email protected] принадлежит тому же, кому и [email protected]. Однако, брут соли — слишком затратная операция, сопоставимая с брутом паролей, поэтому за него лучше не браться.
guest8 03.10.2019 21:32 # −999
guest8 03.10.2019 20:59 # −999
gost 03.10.2019 21:18 # 0
ropuJIJIa 03.10.2019 21:36 # 0
inho-pidar 03.10.2019 22:15 # 0
raMagPuJI 04.10.2019 02:09 # 0
OCETuHCKuu_nemyx 06.10.2019 00:59 # 0
BATHbIu_nemyx 03.10.2019 23:01 # −102
guest8 09.10.2019 09:09 # −999
guest8 09.10.2019 20:16 # −999
guest8 11.10.2019 05:57 # −999
nymuHckuu_nemyx 11.10.2019 06:12 # −102
https://upload.wikimedia.org/wikipedia/commons/f/fe/KL_Break_Out_Box_RS-232.jpg
ropuJIJIa 11.10.2019 16:52 # 0
guest8 11.10.2019 17:24 # −999
cmepmop 11.10.2019 19:58 # 0
ropuJIJIa 12.10.2019 06:32 # +2
Топ почтовых доменов:
P.S. Новую таблицу передал в почтовый отдел gost'а.
inho-pidar 12.10.2019 06:44 # 0
XYPO3BO3 17.11.2019 01:33 # 0
https://faketempmail.com/huroz
Он мне предложил такие ящики:
[email protected]
[email protected]
[email protected]
[email protected]
guest8 17.11.2019 01:38 # −999
guest8 17.11.2019 01:55 # −999