21:47
11/6/2012

Oto instrukcja poprawiania ocen w dzienniczkach. Podesłał Johnny.

Niewątpliwie rośnie nam pokolenie hackerów… Nie wiem, czy już niebawem możemy się spodziewać polskich Stuxnetów, ale Flame’ów na pewno (pun intended).

To wszystko, co wam chcieliśmy pokazać. To cześć :* Dawajcie łapki w górę !!! xD xD

PS. A gdybyście jednak chcieli dowiedzieć się jak naprawdę szukać prawdziwych dziur w serwisach internetowych, to zachęcamy do uczestnictwa w naszym szkoleniu z Atakowania i Ochrony Webaplikacji.

Przeczytaj także:

99 komentarzy

Dodaj komentarz
  1. Mam nadzieje, że chłopczyk miał zmienne IP, albo uaktywnione proxy/tor bo może mieć problemy w szkole.

    • A co mu po zmiennym IP?

    • I co mu daje to zmienne IP? Powtarzacie ciągle jakieś mity, a logi choćby z DHCP grzecznie leżą na serwerze providera. Tylko jak mają to wykryć, skoro to lokalna modyfikacja? Zresztą… patrząc po państwówce i innych niskobudżetowych systemach to by i ataku SQLi przeprowadzonego z lokalnego kompa nie wykryli.

    • Dokładnie Tor, proxy, zmienne IP, whatever nic mu nie da. Szkoda chłopaka… teraz mu pewnie FBI wpadnie na chatę… :| Ale swoją drogą mogli się lepiej zabezpieczy przed lokalną edycją htmla ;D

    • Dżizas, ludzie, to przecież ironia.

    • @Slammer to chyba oczywista oczywistość :>

    • na początku przecież mówił, że musi się zalogować.. więc zmienne IP niewiele mu da ;]

  2. To już lepiej jakby podmienił adresy w hosts, gorzej jak mamusia na innym komputerze spojrzy :)

  3. Ciekawie :) Podaje koleś swoje imię i nazwisko :D Niech tylko rodzice to zobaczą xD

  4. TA JEST!! od dzisiaj koniec nauki… wkońcu bez problemu zdam z najgorszych przedmiotów takich jak Polski i Historia xD

  5. pierwszy :p
    HAKJER! HAKJER!

    • ;o takiego response ostatnio tylko na /b/ widziałem

  6. Nic nowego :P Koledzy stosują takie tricki ;P Ja jednak chciałem zrobić skrypt który po cURL pobierze ocenki i np. wyliczy średnią, jednak do dziś tego nie skończyłem :>

    • Bez zbędnego hejtu: ucz się programować, na dobre Ci to wyjdzie. Nie chwal się za bardzo, dobieraj odpowiednie narzędzia do odpowiednich celów.

      A i zdaj podstawówkę ;P

  7. Ta, DOM Inspector i edycja źródła strony…. Przypomina mi się studencki LOL z “hackowaniem” strony Onetu przez “javascript:document.body.contentEditable=true;” :D

    A jak już jesteśmy przy dziennikach: dzienniki Krosoftu to klasyczny przykład bug-as-a-feature. XSS przez pole “hasło” i można przejąć sesję admina :) bo przechowują hasła wpisywane przez userów plaintekstem w DB….

  8. Nareszcie coś ciekawego na Niebezpieczniku. :)

  9. Hmm…W sumie Ameryki nie odkrył, ale miło popatrzeć jak dzieciaki kombinują i rozgryzają coraz to nowe narzędzia.
    Już niedługo, a dostaniecie filmik jak zmienić permanentnie swoje oceny w elektronicznym dzienniczku :)

  10. haaha. poprawiłeś mi humor :D

  11. OMG
    Wystarczyłoby się troszkę pouczyć… Potem idziesz do takiego po pomoc….

  12. Pierwsze o czym pomyślałem widząc tytuł, czego można się spodziewać od armii neokidów.

  13. Żyć nie można jak się widzi jak takie szczeniaki za udostępnianie bezsensownych filmów się biorą! Ale że takie coś trafiło na to forum… rzecz niesłychana!

    • Forum? Naprawdę? Ehh…

  14. Czy ja na prawdę obejrzałem film w którym jakiś ~11 latek edytuje dane za pomocą chromowego “firebug’a”? :D
    Jest godzina 22:30 – myślałem, że już NIC mnie dziś nie zdziwi… :D

  15. +1
    Rzyć mi śę odehćewa ;)

    • Rzyć, to może co najwyżej boleć jak się niewygodnie siądzie :P

      Co do filmiku, każdy kiedyś zaczynał od kombinowania lokalnie w zasięgu swoich możliwości.
      Dużo ciekawsze jest, że filmik jest całkiem sensownie złożony i zaprezentowany, więc chłopak coś tam już potrafi, tylko się rozwijać :)

  16. Sposob na kopie strony + podmianka w hosts lepszy :)

    • Tylko wymaga większego skilla i wiedzy, gdzie w Win znajduje się hosts. ;)

      Ale spoko, dajmy mu czas!

    • Jest jeszcze taka wtyczka Stylish, która pozwala na zmiany w DOMie przy ładowaniu i wtedy reload strony niestraszny.

  17. szok! full disclosure 0-day’a na YT bez powiadomienia vendora!!! 1337 hakzor!

  18. Problem jest tylko jeden – żeby się nie machnąć z rozpędu i nie wstawić sobie, dajmy na to “7” z hiszpańskiego :-)

    A mam jeszcze jeden pomysł, ale muszę sprawdzić loty na Madagaskar…

    • Albercik! To działa…
      https://dl.dropbox.com/u/8604408/mbank.gif

      A tak przy okazji – zna ktoś numer do managera reprezentacji Rosji? Chciałbym mu przekazać, ze jutrzejszy wynik 7:2 dla Polski ma dla mnie … hmmm…ogromną wartość :-D

  19. Łapka w górze, dzięki Niebezpieczniku :* xD xD xD

  20. W kolejnym odcinku nasz zdolny haker odkryje user scripts i podmieni oceny na “stałe” ;-)

  21. Geniusz!

  22. A kto zrobi tutoriala do interneta explorera?

  23. Wow, ale hakuś! :)

  24. Sobie chłopaczek rozkminia. Dobra droga

  25. Kiedys ogladalem “gry wojenne” jednego dnia gosciu hakowal szkole drugiego juz NORAD i prawie III wojne swiatowa wywolal, wiec sie smiejscie poki mozecie :]

    • polecam poczytać o pierwowzorze, Kevinie Mitnicku. to dopiero był h4x10r ;]

  26. Haking to nie jest, ale ciekawe, czy można to podciągnąć pod fałszowanie dokumentów (zakładając, że dziennik szkolny jest dokumentem – interpretacje są różne) :D

    • Dziennik szkolny jest dokumentem. Pytanie na ile dziennik elektroniczny jest tym dokumentem i co ważniejsze czy wersja lokalna generowana przez przeglądarkę jest tym dokumentem. To tak jakby sfałszował kartkę z ocenami ze szkoły. Przynajmniej nie ściemnia, że to jest na stałe tylko wyjaśnia jak tego można użyć.

      U mnie na szkoleniu właśnie z Librusa przedstawiciel tłumaczył, że to jest bezpieczne bo jest kłódeczka przy adresie. Oczywiście to, że średnio rozgarnięty uczeń zna hasło admina zaq… , które jest chyba w 90% sieciach szkolnych. A mając dostęp do sieci szkolonej już bez problemu złapie się hasło nauczyciela/dyrektora kogo tam chcemy.

      Pozdrawiam

    • roczaruje was – w polsce poza paroma wyjatkomi nie ma czegos takiego w prawie jak document elektroniczny, tzn istnieja jako opisane rodzaje doukumentow ale nie maja zastosowania w prawie [ zaden sad tego nie uwzgledni jako dowod w sprawie]
      tylko prosze nie mylic z dowodami rzeczowymi [ np. logi z serwerow, ISP, itp. ] ktore sa rozpatrywane jako uzupelnienie dowodow opisanych w ustawach
      np. taki email lub strona [ jak na filmiku ] na zachodzie mogla byc podstawa prawna do sprawy, w polsce jest to po prostu cos co dlugo musi byc udowadniane przed sadem [ tzn zalezy ile lat ma sedzia :P i jak duze “plecy” maja sadzacy ]
      poza tym on robi to na localhoscie – bojcie sie boga zeby w cos takiego platac policje, pierdola jakich niemalo w necie

  27. Mistrz, przydałby się z nim wywiad :)

  28. Bagiety już jado! xD

  29. A czy przypadkiem szkoy nie robia co jakis czas backupu na wydrukach?

    • tiaaa,kiedy ty widziales zeby szkola robila backup czegokolwiek ??? jak padnie to sie postawi na nowo i bedzie hulac :P

  30. Jak zabezpieczyć swoją stronę przed tego typu atakiem?

    • To nie atak, tylko funkcja przeglądarki. Od biedy jest wyłączenie prawego kliku (zdarzenie oncontextmenu), ale zawsze zostaje F12 :)

    • Nawet nie wiedziałem, że da się tego użyć inaczej niż przez F12 :-)

  31. Można się pośmiać, ale z drugiej strony młody wcale nie najgorzej kombinuje i kiedyś będą z niego ludzie, bo jednak orentuje się, że te ocenki nie zostają na stałe, a rodziców rzeczywiście pewnie może w ten sposób shakować (przynajmniej na jakiś czas) :P

  32. Taaaa naśmiewajcie się z hackera naśmiewajcie. Michał zobaczy, że sobie kpiny z niego robicie, to zwoła kolegów z trzeciej ce i Wam zrobią w piątkę DOSa*!

    Błąd celowy :}

    • Tia, chyba na 127.0.0.1 ;)

      PS. Zbieżność imion przypadkowa! :P

  33. Sprawdzałam! W banku można stan konta zmienić! Biegnę do bankomatu zanim mi się wyloguje i zniknie :D

  34. Wszystko spoko, tylko dzieciaki nie zwróciły uwagi, że po odświeżeniu strony będzie jak dawniej. Ten ‘bajer’ tylko zmienia to co wyświetla nasza przeglądarka, serwer dalej odeśle te same oceny.

  35. A od jutra wysyp aukcji typu “Zmieniam wyniki w Librusie za 10 zeta”

  36. hehe :-) dobre

  37. O kurcze, a jak oni jutro shakują wynik meczu na stronie UEFA ?

  38. A śmiejecie się ;) patrząc na inne filmiki w profilu shaczył konto starszemu bratu no albo… zmodulował głos i was trolluje.

  39. Ten wybitny spec od hackingu mnie po prostu zniszczyl :D

    Chyle czolo.

  40. nie śmiejcie się. nie jeden z naszych słynnych dzisiaj hak(i)erów zaczynał od wynalazków typu NetBus w wieku 11 lat :) a filmik naprawdę zabawny, zaraz po “emacsem przez sendmail” :)

  41. TO NIE JEST HACK

    TA ZMIANA OCENY NASTEPUJE TYLKO W PRZEGLADARCE TEGO DZIECKA.
    NA SERWERZE POZOSTAJA TE SAME OCENY.
    INNYMI SLOWY JESLI ZALADUJE TA STRONE JESZCZE RAZ – TYCH ZMIENIONYCH OCEN TAM NIE BEDZIE, BEDA TE STARE.

    Podobny hack byl kiedys rzeczywiscie mozliwy ale wykonywany byl troche inna metoda i teraz dziala tylko na archaicznych nie update’owanych systemach.

    nick

    • Naprawdę? Bo mnie się jednak wydaje, że on serio włamał się na ten dziennik. I przy okazji do NASA. Weź może zobacz ten filmik jeszcze raz…

    • Ilość fanów jest proporcjonalnie odwrotna do ich jakości :)

    • Trolling is a art.

  42. Niezłe trolololo ;D

    “tylko głupie jest to że jak się zmieni na nieobecności…” FTW!

  43. Żal.pl się na usta ciśnie.

  44. No dobrze kombinuję, pamiętam że jak usuwałem konto na facebooku to chciałem zmienić url facebook.com/jakistekst/ i tam tak ładnie jest napisane, że się nie da czy jakoś tak…
    No i wracając do tematu formularz do edycji profilu wyświetlał te dane w nieaktywnym (disabled=”disabled”) polu <input>, wystarczyło zmienić wartość i zapisać formularz i gotowe ;)

  45. Tym chytrym i przebiegłym sposobem przejąłem niebezpiecznik, teraz nareszcie wszelkie treści będą “po mojemu”!
    Teras jeszcze muszem wymyśleć sobie jakiś nick no i czekać na piniondz ;)

    • 1 kwietnia 2012 mogłeś zupełnie na legalu napisać tu posta ;)

  46. Za moich czasow edytowanie dziennika wymagalo bieglej znajomosci kaligrafi , podzialu godzin i mocnych nerwow przy wchodzeniu do pokoju nauczycielskiego przez okno

  47. Dostał od Niebezpieczników zaproszenie na bezpłatny udział w szkoleniu z atakowania i bezpieczeństwa webaplikacji?:P

    • Dostałe, ale nie jako słuchacz, tylko jako wykładający :)

  48. No, nie tego się nie spodziewałam. Dzieciaki maja chyba za dużo czasu wolnego, że przychodzą im do głowy takie rzeczy.

  49. to ślązak jakiś?
    DZIĘKI ZA TUTKA!!!

  50. Rzecz jest ofc śmieszna, ale teraz powiem Wam jeszcze lepszy numer – widziałem jak w pozwach sądowych (o zniesławienie w internecie) ludzie używali wydruków stronek gdzie ktoś coś o nich napisał. Używając takiego prostego sposobu, jaki tu nasz młody kolega zaprezentował na filmiku, można elegancko naprodukować ‘dowodów’, lub też obalić dowolny tego typu ‘dowód’ ;-).

  51. Dlatego czujny rodzic zamiast sprawdzać oceny w e-dzienniczku, powinien zastosować waterboarding

    • Wygrywasz komentarz miesiąca :-)

    • Pewnie razem z nagrodą za ilość oplutych monitorów :)

    • Z wikipedii: “U ofiar tego rodzaju tortur mogą występować zaburzenia psychiczne. Wiele osób po takim przeżyciu ma np. lęk przed prysznicem.”

      pasujące przysłowie: “zamienił stryjek siekierkę na kijek”

  52. Rzecz faktycznie śmieszna, ale pacjent sobie radzi ;>. Fajniej by było, gdyby zaserwował 0-daya ;>

  53. Geniusz zła :) Pewnie ma 6 z informatyki.

  54. Wczoraj dziennik ucznia, jutro Niebezpiecznik, za dwa dni NASA… Nawet te wasze śmieszne certyfikaty bezpieczeństwa wasz przed nim nie uratują :)

    swoją drogą ważne że kombinuje i próbuje nie od razu Rzym zbudowano jak nie straci zapału to może za parę lat coś z niego wyrośnie.

  55. Przy zabawach z FireBugiem nawet Tor i proxy nie pomogą, pasek go czeka ;)

  56. Ale mi się nie podoba ten dzienniczek. To się nazywa permanentna inwigilacja. Dobrze, że mojego gimnazjum nie było na to stać.

    • No tak, bo bez niego rodzice nie mieli dostępu do Twoich ocen, nie?

  57. Przede wszystkim warto zauważyć też, że akurat w Librusie do każdego konta ucznia jest przypisane dodatkowe, osobne konto dla rodzica. Próba podmiany widocznych ocen jest nieco kiepskim podstępem, kiedy rodzic może w dowolnym momencie zalogować się na własne konto i sprawdzić jak właściwie sprawuje się pociecha.

  58. Bandzior.

  59. MAMO!!! MAMO!!! JESTEM CHAKEREM!!!

  60. Ludzie to nie jest żaden hacking, po odswiezeniu wszystko wraca do normy to jest zwykle narzedzie dla webmasterow/webdeveloperow. Pozatym tak tym mozna zmieniac tresc we wszystkich stronach np. na facebooku zrobic fake komentarz itd

    TO NIE JEST HACKING

  61. Teraz dzieciaki są bardzo sprytne.

  62. Tak czy siak nie da się w prostu sposób zmienić ocen,
    ponieważ nauczyciel, rodzic mają dostęp i tam oceny się nie
    zmienią. Ale.. zawsze można pokazać, że się potrafi :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: