11 Antworten in diesem Thema

[Mr_NiceGuy]

Hallo Leute,

 

erstmal zu meiner Person: 

 

Ich bin 23 und ausgebildeter Fachinformatiker in Anwendungsentwicklung.

Ich bewege mich schon sehr lange in der Scene und auch in diesem Forum.

 

Ich kann: 

 - Ein wenig C

 - HTML

 - PHP

 - JS

 - SQL

 - Python

 - Ruby

 - NodeJS

 - Bash

 - C#

 - VB

 

Ich weiß wie man mit Tools wie SQLMap oder Metasploit umgeht und verstehe auch die Exploits die ich benutze.

 

Ich möchte einen Lehrer der mir:

 - Beibringt wie ich selber Exploits schreibe also wie finde ich einen Buffer Overflow usw.

 - Wie finde ich Lücken (Web Exploits) z.B. mit Google Dorks

 - Wie die Vorangehensweise bei einem Vernünftigen Exploit aussieht usw.

 - RAT Development oder KeyLogger Development.

 

Meldet euch bitte bei mir ob ICQ oder PM 

Bearbeitet von Mr_NiceGuy, 22 March 2017 - 18:02 Uhr.

[pi^2]

 - Ein wenig C

 - HTML

 - PHP

 - JS

 - SQL

 - Python

 - Ruby

 - NodeJS

 - Bash

 - C#

 - VB

 

Du sprichst von Können, auch von Beherrschen? Ist ja immer nett wenn man eine riesen Liste anfertigt von diversen Programmiersprachen mit denen man mal einen simplen Task automatisiert hat. Vorallem weil z.B. NodeJS eine JavaScript Laufzeitumgebung ist und keine eigene Programmiersprache ist.

 

Wenn du mir bis zum 25.03 einen simplen HTTP Bot samt PHP-basiertem C&C schreibst (triviale Funktionsweiße) überleg ich mir das ganze (sofern dir meine Kompetenz im Bereich IT-Sicherheit ausreicht). Zum HTTP Bot:

 

- Client in C# (keine 3rd party libraries)

Features: Hidden Startup, Dl&Exec, Persistence, FUD Scan- & Runtime (bei unbekannter Binary einfach zu erreichen), RCE (Remote Code Execution unter verfügbaren Rechten)

- Server in PHP (Ajax Implementierungen gewünscht; da ja anscheinend JavaScript kein Problem)

Features: Login (auf anständigen Loginmechanismus achten; Passwort-Policy!), SQL Datenbank, API Kommunikation via HTTP POST, Job/Task-Management (RCE, Dl&Exec)

 

Sollte für dich eine ziemlich einfache Aufgabe werden ;- )

Bearbeitet von pi^2, 23 March 2017 - 17:16 Uhr.

[Crap]

@pi^2 schicke Aufgabe! Gerade dank der Runtime & Scantime Aufgabe, ist C&P nahezu unmöglich. Gerade im Runtime Bereich hilft die unbekannte Binary leider nicht mehr, sondern man muss beim Netzwerk Traffic etc. auf ein paar Tricks zurückgreifen. Viel Glück beim Lösen.

[pi^2]

Leider bis jetzt immer noch kein Ergebnis erhalten.

Es ist ja immer nett wenn Leute Ansprüche auf Mentoren stellen aber dann nichtmal im Stande sind die simpelsten Aufgaben umzusetzen.

 

Vorallem als ausgebildeter Fachinformatiker und dem Repertoir an Programmiersprachen sollte das doch wirklich zu bewerkstelligen sein.

Da hat wohl jemand geflunkert oder die Vorraussetzungen an die Branche sind in den letzten Jahren ziemlich gefallen...

 

Keiner erwartet hier hochpolierten Code, aber wenn man nichtmal das Interesse für einen HTTP Bot (ein wirklich einfacher Task; dazu noch in C# ... geht auch schlimmer via C) aufwenden kann, wie soll dass dann je was werden?

 

Zu FUD: Selbst mit C# und zig importieren Windows-Libs lässt sich noch Scan- und Runtime UD erreichen. Netzwerkverkehr via TLS verschlüsseln, einer der großen Vorteile eines HTTP Botnet und trivial via C# umzusetzen. Wenn es hier schon Probleme gibt kann man sowieso einpacken.

 

Die ITS entwickelt sich immer weiter, wer hier meint mit sqlmap Spielereien noch etwas erreichen zu können, hat keine Ahnung.

[n1nja]

Ich finde ja das Umsetzen nicht wirklich das Problem.
Aber bevor nan hier so nen Text liefert mit keine Ahnung, naja weis nicht.

Entweder hat er deine Forderung nicht ernst gemeint oder er hat wenig Zeit.

Vllt. erstmal erkundigen und dann kann man sowas posten.

Ich kann auch viele Sprachen und behersche es ziemlich gut, trotzdem schaff ich sowas zeitlich nicht. Und wenn dann jmd kommt ich hab keine Ahnung, dann überlege ich mir 2 mal ob ich noch was für das Forum tue.


Soll jetzt niemand sich angegriffen fühlen. Aber mM ist es schon etwas "frech".

[pi^2]

Ich finde ja das Umsetzen nicht wirklich das Problem.
Aber bevor nan hier so nen Text liefert mit keine Ahnung, naja weis nicht.

Entweder hat er deine Forderung nicht ernst gemeint oder er hat wenig Zeit.

Vllt. erstmal erkundigen und dann kann man sowas posten.

Ich kann auch viele Sprachen und behersche es ziemlich gut, trotzdem schaff ich sowas zeitlich nicht. Und wenn dann jmd kommt ich hab keine Ahnung, dann überlege ich mir 2 mal ob ich noch was für das Forum tue.


Soll jetzt niemand sich angegriffen fühlen. Aber mM ist es schon etwas "frech".

 

Dann les mal meinen Beitrag etwas genauer ;- )

Das "Keine Ahnung" war nicht auf die Programmierfähigkeiten bezogen.

 

Ich habe lediglich geäußert dass ich nicht ganz nachvollziehen kann weshalb eine solche Aufgabe nicht zu bewerkstelligen ist.

 

Ist nunmal wieder typisch und mir unverständlich dass Leute lernen wollen dafür aber anscheinend keine Zeit investieren können. Ist genauso untypisch dass ich mein Wissen anbiete und dass das nicht respektiert wird (nach großer Ankündigung, einer einfachen Aufgabe und eine Auflistung etlicher Programmiersprachen).

 

Aber man darf anscheinend garnichts mehr erwarten.

Schade ~

[n1nja]

Naja ich denke du hast das schon für die Allgemeinheit gesagt.
Denke trotzdem das man daraus nichts schließen kann:)

Anscheinend haben wir da etwas aneinander vorbei geredet.

Was ich halt hier nicht ganz verstehe wieso der TE wirklich nichts dazu gesagt hat. Bzw ich weis nicht ob ihr was privat ausgemacht habt:)

[Mr_NiceGuy]

Ich finde das ein wenig lustig wie sich Pi den Mund zerreißt nur weil ich ihm nichts geschickt habe...

Dazu, wer hat bock auf einen "Lehrer" der einem sofort unsympathisch ist?

Hinzu kommt noch die Frisst von 2 Tagen am Wochenende, also ich find das Thema ja schon interessant aber ich habe halt wie auch gesagt ein Real Life und Aufgaben und Pflichten die man dann doch wichtiger sind.  

 

Ich suche auch nur jemanden der mir hier und da mal was gutes beibringen kann, ich möchte keine voll Ausbildung zum Ub3r Hackzor...

Dazu reicht meine Zeit dann nicht oder mir sind andere Sachen dann doch wichtiger.

[Hansiberg]

Dazu, wer hat bock auf einen "Lehrer" der einem sofort unsympathisch ist?

Naja wenn dieser Lehrer dadurch "unsympathisch" wird, dass er hohe Anforderungen stellt, dann will ich sicher so einen.
Insbesondere wenn das "Fach" sowieso ein spezielles ist, welches ein hohes Mass an Disziplin und Motivation abverlangt.

Real Life und Aufgaben und Pflichten die man dann doch wichtiger sind.
....
Dazu reicht meine Zeit dann nicht oder mir sind andere Sachen dann doch wichtiger.

Wenn es nur so nebenbei sein soll, dann motivierst du kaum Jemanden ein Teil seiner Zeit zu "opfern" um dir zu helfen.
Bei so einer "tiefen" Priorität, würde ich beim Lesen von Foren und schauen von Videos bleiben, statt einen Mentor zu suchen.
Und wenn ich alles glaube was du schreibst, dann hast du schon enorm viel gelernt und alleine zusammengekratzt!
Da könnten Bücher sehr gut weiterhelfen! Am besten solche für fortgeschrittene.

Gruss

[pi^2]

Ach ist doch alles gut! Entschuldige falls ich hier etwas ruppig rüberkam. Es ist nunmal immer das gleiche, ob man das jetzt als unsympathisch bezeichnet oder meine Perspektive versteht sei einem anderem überlassen.

 

Die Sache ist doch die: Alle wollen lernen, aber leisten wollen sie nicht. Wenn man dazu noch ein Thread eröffnet in dem man "explizit nach einem Mentoren sucht" und sich dann nichtmal auf die Anforderungen einlassen will bzw. nichtmal im Stande ist zuzugeben dass man vorerst ein wenig dick aufgetragen hat und die Anforderung nicht erfüllen kann, dann ist das einfach frech, vorallem wenn sich Leute anbieten und man das einfach nicht zu respektieren weiß (egal ob das jetzt ich bin oder eine andere Person).

 

Das man garnichts mehr erwarten darf ist mir schon seit Jahren bewusst. Die deutsche Szene (where is it) ist tot und auf unterstem Niveau hängen geblieben (kompetente aktive Leute an einer Hand abzählbar). Man braucht die klassiche Forenszene auch nicht mehr, man findet mittlerweile alles relevante und aktuelle via Sozialen Netzwerken und Google. Aber es ist auch ein enormer Vorteil wenn man "Experten" zu Rate ziehen kann die ihr Wissen nicht aus Büchern sondern aus "Praxis" - Erfahrung beziehen.

 

Ich nehme dein Beitrag mal auseinander:

 

 

 

- Beibringt wie ich selber Exploits schreibe also wie finde ich einen Buffer Overflow usw.

Du willst Exploits schreiben lernen, funktioniert so nicht. Für einen Exploit brauchst du eine Schwachstelle, die musst du zuerst finden, ein Exploit ist nur das Ausnutzen (meist automatisiert) einer Schwachstelle, steht also nichtmal in einem Zusammenhang zur Programmierung. Nach genauem Wortlaut soll also ich (oder eine andere Person) dir beibringen wie man Schwachstellen identifiziert (z.B. den Buffer Overflow also etwas aus dem Bereich Application Security) UND ausnutzt (für z.B. Buffer Overflow ohne C nichts los). Also im Endeffekt die halbe Miete der IT-Security.

 

 

 

- Wie finde ich Lücken (Web Exploits) z.B. mit Google Dorks

 

Ich interpretiere das mal so dass du auch Sicherheitslücken in Webanwendungen finden und exploiten möchtest. Via Google Dorks denn so gibts ein großes Output unabhängig des Targets hmmmm..

 

 

 

- Wie die Vorangehensweise bei einem Vernünftigen Exploit aussieht usw.

 

Interpretiere ich jetzt mal so dass du den Prozess des Pentesting erlernen willst, wie man vorgeht, die versch. Phasen z.B. das Inforamtion Gathering etc.

 

 

 

- RAT Development oder KeyLogger Development.

 

Klar das hat ja noch gefehlt, nachdem dir dein platonischer Mentor alles über Schwachstellen finden und ausnutzen (in Web und App) beigebracht hat, soll er dir noch beibringen wie man Malware programmiert um z.B. Rechte auszuweiten oder andere Wege beim Pentesting einzuschlagen. Keylogger/RATs hmm.. eine ziemlich spezielle Sparte.

 

 

 

Meldet euch bitte bei mir ob ICQ oder PM

 

Ja ICQ ist eine super Idee ... Total sicher. Du hast nichtmal die Grundlagen von Anonymität/Sicherheit erfasst und willst direkt mit dem "deep shit" anfangen, nein sogar den ganzen "deep shit" vorgekaut haben.

 

 

- Ein wenig C

 - HTML

 - PHP

 - JS

 - SQL

 - Python

 - Ruby

 - NodeJS

 - Bash

 - C#

 - VB

 

Je mehr Programmiersprachen desto besser! Wer braucht Python, ich schreib lieber in NodeJS *hust*. Du hast meine simple Aufgabe nicht realisiert bekommen, gibst hier aber mit ner Stange von Programmiersprache an von denen du vermutlich 1-2 halbwegs beherrschst. Für App- und Websecurity wird C#, C und Python sowieso ausreichen. Dabei geht es aber um programmieren KÖNNEN nicht 1-2 mal genutzt für Taks a.

 

 

Ich bin 23 und ausgebildeter Fachinformatiker in Anwendungsentwicklung.

 

Wo ist das Problem? Dann müsste es ein WITZ sein diese Aufgabe in drei Tagen zu realisieren. Ich kenne Leute die klatschen dir das ohne 3rd party in 30 Minuten hin. Sein Alter zu offenbaren ist sehr wichtig für die Anonymität.

 

 

 

Ich bewege mich schon sehr lange in der Scene und auch in diesem Forum.

Das erstere mag stimmen, aber gelernt hast du anscheinend wenig. Meine Antwort soll nicht angreifend wirken sondern dir einfach mal deine Naivität aufzeigen.

 

Du erwartest dass man dir die komplette IT-Sicherheit (Schwachstellen finden, ausnutzen, Malware schreiben) beibringt ohne dass DU ÜBERHAUPT etwas bieten kannst (ich lese nichts von Bitcoin). Und dann meldet man sich noch weil man so nett ist und wird ignoriert und als unsympathisch angestempelt.

 

Gucke ich mir deine Stichpunkte an sieht das für mich alles sehr outputorientiert aus. Ich will WebApps exploiten, Google Dorks, Keylogger/Trojaner. Du willst wohl eher einfach ein wenig Cash machen in dem du Datenbanken und Logs verkaufst. Dafür willst du aber nichts investieren, nein ein Mentor soll dir das benötigte Wissen noch auf dem Silbertablett servieren, arbeiten willst du dafür nicht, hast ja besseres zutun, aber das Geld darf dann ruhig kommen.

 

Ein solches Denken (und das war nur meine Hypothese was dich betrifft) sorgt dafür dass diese Szene nichts mehr Wert ist. Jedes Erstsemester in Informatik hat mal was von SQL Injection gehört, die Leute interessiert nur dass was Geld einbringt und SQL Injection hat sich da wohl bewehrt. Es geht hier nicht um Wissen, sondern um Mittel zum Geld, output-orientiert wie ich schon sagte.

Ist wohl auch der Grund warum sich gefühlt nur noch Leute mit nem IQ von 80 auf den Foren rumtreiben (gibt natürlich viele Ausnahmen; no offence). Mit Hacking hat das nichts mehr zutun. Hacking ist Kreativität, ein hoher Wissensgrad und vorallem ein Interesse das bei dir nicht zu finden ist. Widme dich lieber anderen Themen, du wirst in diesem Bereich so nicht weiterkommen.

 

Warum? Deswegen:

 

 

 

Hinzu kommt noch die Frisst von 2 Tagen am Wochenende, also ich find das Thema ja schon interessant aber ich habe halt wie auch gesagt ein Real Life und Aufgaben und Pflichten die man dann doch wichtiger sind

 

Output-orientiert? Deswegen:

 

 

 

ch möchte keine voll Ausbildung zum Ub3r Hackzor...

 

Wird nie was werden? Deswegen:

 

"Dazu reicht meine Zeit dann nicht oder mir sind andere Sachen dann doch wichtiger"

 

bye ~

Rechtschreibfehler darf man behalten, war nicht als Fleißarbeit gemeint.

Bearbeitet von pi^2, 27 March 2017 - 22:07 Uhr.

[Mr_NiceGuy]

ICQ + VPN ich weiß nicht wo da das Problem sein soll?
Meine Alter zu offenbahren, darin sehe ich jetzt auch kein Problem. Wie viele 23 Jährige in Finnland wird es wohl geben? hmm

 

Das mit dem unsympatisch war vielleicht auch ein wenig schroff meiner seits! Entschuldige mich dafür.

Den Server hatte ich fertig den Bot in Python auch, wo ich natürlich auch verstehen kann das die exe viel zu groß wird!

 

Eins möchte ich noch klar stellen, ich bin nicht der Typ der irgendwann Logs oder Ähnliches verkaufen werde, auch keine RATs oder Crypter oder was noch alles dazu gehört. Ich interessiere mich für das Thema weil ich dann lieber meine Anwendung absichern möchte oder wissen möchte wie Rats vorgehen.

 

Vielleicht hätte ich das alles ein wenig anders Formulieren sollen.. ein Buch Tipp wär ja auch schonmal was
 

[Crap]

Ich habe dieses Thema seit einigen Tagen verfolgt und melde mich nun auch zu Wort. @pi^2 drückt sich zwar recht ruppig aus, aber ohne Elan kommt man nicht weiter. Ein strenger Mentor != ein schlechter Mentor. Ich finde, das wird von einigen falsch interpretiert.

 

Du hast gerade eben deine Nationalität + dein Alter bekannt gegeben. Jetzt kann man das ganze auf Fachinformatiker im Bereich Anwendungsentwicklung eingrenzen. Scheinbar bist du jemand, der auch Zeit ins RL investiert und in den letzten Tagen weniger online war. Bei 5.5 Millionen Einwohnern kommt man am Ende (wenn überhaupt) auf einige Tausende. Des Weiteren bist du Benutzer eines iPhones, sowie einem Apple und Windows Rechner. Du kannst scheinbar Python mit am besten von allen Sprachen, denn sonst hättest du den Client (wie gefordert) in C# geschrieben.  Würde ich jetzt weiter in deinen Posts suchen, würde ich möglicherweise noch mehr herausfinden. Vorsicht, sowas kann nach hinten los gehen. Ich will dir damit lediglich zeigen, wie aufmerksam du mit deinen Daten in dieser Szene umgehen musst!

 

Jetzt aber mal Back2Topic. Ich bin der Letzte der Leute bei Fragen abweist. Schließlich hat jeder mal angefangen und genauso Frage ich auch gelegentlich Leute bei Problemen. Aber bevor man jemanden fragt, sollte man sich selber erstmal ein gewisses Grundwissen aneignen. Dass du als Ausgebildeter Fachinformatiker nicht weißt, wie eine RAT oder ein Keylogger funktioniert, kann ich mir nicht vorstellen. Sofern deine Aussage überhaupt stimmt.

 

Ich finde du solltest das ganze langsamer angehen. Ich selber bin überwiegend .NET Developer und habe Jahre gebraucht, um zu meinem jetzigen Stand zu kommen. Ein Mentor, welcher dir diese ganzen Bereiche (wie auf einem Tablett) serviert, ist a) schwer zu finden und mit extrem langer und ausgeprägter Arbeit verbunden.

 

Tipp an dich: Spezialisier dich auf einen Bereich, sammel möglichst viel Grundwissen an, gebe wahrheitsgemäße Aussagen an, pass auf mit deinen privaten Daten und nehme die vor allem viel Zeit.