Сайты onion пароли
Tor Browser хорош тем, что есть возможность без блокировок и onion всевозможных запретов посещать не только обычные, всем доступные сайты, а и так называемые «луковые», анонимные сайты Интернет-сети. Они размещаются в зоне onion и в общедоступной сети не открываются, поэтому зайти на onion сайты можно только через Tor. Далее представлен список onion-сайтов, которые пользуются большой популярностью в сети, а некоторые их них обоязательно нужно посетить при первом знакомстве с сетью.
LegalRC - Крупнейший в мире и в рунете RC форум.WayAway - Первый форум о необычных веществах в TOR.Годнотаба - Открытый мониторинг годноты в сети Tor.Флибуста - Название знают многие – знаменитая электронная библиотека. Этот сайт – ее зеркало, только в «луковом» варианте. Язык – русский.TORCH - удобный поисковый ресурс для сети Tor. Хранит более полумиллиона страниц, изредка подвисает и зарабатывает на рекламе onion сайтов, качество которых часто вызывает сомнения.CrypTor - сервис обмена временными сообщениями анонимно и бесплатно.not Evil - Аналог поиска от корпорации добра в сети тор. Никакой рекламы и отслеживания — просто поиск.Hidden Answers - Сервис с отзывами обо всем в сети тор. Сомневаетесь в onion ссылке — задите сюда и поищите отзывы.Runion - Форум а-ля торговая площадка. Говорят, что здесь можно купить даже ответы к ЕГЭ.Anthill - Рынок в сети тор. Проверьте, что скрывается за формой регистрации.
imgbifwwqoixh7te.onion - по-настоящему безопасное хранилище картинок. Главное преимущество - вы можете анонимно загружать картинки в сеть и делиться ими. Надо сказать, что хранилище доступно не только в Tor сети, но и в чистом Интернете, и в сети I2P. Выбирайте сами, какой ссылкой поделиться. Самое важное - все картинки шифруются случайным ключом до загрузки на сервер, поэтому даже администратор сервера не сможет их посмотреть. И да, сервис не хранит никаких следов вашего пребывания - остается только ссылка на картинку.sms4tor3vcr2geip.onion - сервис безопасного обмена сообщениями без регистрации. Прелесть сервиса в том, что сообщение хранится зашифрованным и живет до первого прочтения. Заходите на сайт, вводите сообщение и отправляете ссылку адресату. Как только получатель откроет ссылку, она перестанет работать, т.е. второй раз прочесть сообщение невозможно. И не надо ничего сжигать после прочтения:).bitmailendavkbec.onion - еще одна служба для безопасного обмена сообщениями в сети. Для использования придется зарегистрироваться, указав существующий почтовый адрес (можно использовать временный). На адрес придет письмо с паролем для доступа к учетной записи. Сервис позволяет обмениваться сообщениями не только внутри Tor и I2P сетей, но и отправлять электронную почту анонимно на обычные почтовые адреса (в том числе yandex.ru и gmail.com).shopsat2dotfotbs.onion - хотите открыть магазин на темной стороне сети? Обязательно загляните на TorShops! Да-да, в Tor сети тоже процветает торговля, и готовый интенет-магазин с оплатой биткоинами приходится очень кстати. Стоимость магазина - 100$. И это совсем немного для интернет-магазина.answersdx4tm2tqr.onion - удобный сервис вопросов и ответов. Очень похоже на сервисы от Google и Mail в "чистой" сети Интернет. Любой пользователь Tor может задать вопрос собществу анонимно. И ответят на него такие же обычные пользователи. Ведь все же лучше один раз спросить о надежности ссылки, чем оказаться обманутым мошенниками, коих в Tor сети предостаточно.Источник: torify.me© 2001-2020 Барабульки
Сайты onion пароли - Как зайти на kraken по новой ссылке
Пока продолжается регистрация на питерскую «очную ставку» NeoQUEST-2016, посетить которую может любой желающий, мы продолжаем разбирать задания online-этапа.И на очереди задание «Эти горькие луковые слёзы», в котором участникам предстояло взломать скрытый сервис, расположенный в даркнете Onionland. Доступ к таким сервисам возможен только через сеть Tor и только по имени, но в остальном они ничем не отличаются от обычных сайтов. Было два принципиально разных способа решения задания:
поиск уязвимости «вручную»;настройка сканера веб-уязвимостей для работы с .onion-сайтами.
Разбор обоих способов — под катом!
Исходные данные
Участникам был дан адрес сайта cx7b2vy6foxjlzsh.onion и имя пользователя randomradon, чей пароль необходимо было достать.Псевдо-домен верхнего уровня .onion указывает на то, что сайт находится в сети Tor. Для входа на такой сайт нужно использовать либо Tor Browser, либо сервисы вроде tor2web или onion.city. Так или иначе, попав на сайт, можно увидеть вот такую картину:Тут мнения участников о том, что делать дальше, расходились. Кто-то искал уязвимость «вручную», кто-то использовал сканер веб-уязвимостей для работы с .onion-сайтами. Рассмотрим оба пути.Способ 1 — ищем уязвимость «вручную»
Просмотр сайта не дает ничего интересного, кроме многочисленных указаний на то, что сайт находится в разработке. Это намекает на возможное наличие отладочных страниц. И действительно, попробовав различные стандартные названия, можно найти страницу test.html с какими-то формами.Последняя форма отправляет запрос на сервер и содержит SQL-инъекцию (это можно обнаружить, например, оставив пустым поле ввода при отправке формы).Дальше нужно понять, что же возвращает сервер. Простейший запрос показывает, что возвращается md5-хэш от единственного результата запроса:0 AND 1=0 UNION SELECT 1; --Следующим шагом является извлечение имеющихся баз данных. Очевидно, запрос вроде такого:0 AND 1=0 UNION SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 1 OFFSET 0; --не может извлечь названия, так как он возвращает хэш названия БД, а не само название. Это можно обойти, доставая названия по буквам с помощью функции SUBSTR() и определяя извлеченную букву по хэшу:0 AND 1=0 UNION SELECT SUBSTR(SCHEMA_NAME, 1, 1) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 1 OFFSET 0; --В базе данных находится три схемы:
information_schematesttorsite
Далее с помощью запросов вида0 AND 1=0 UNION SELECT SUBSTR(TABLE_NAME, 1, 1) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA="TORSITE" LIMIT 1 OFFSET 0; --можно получить таблицы в torsite (test была пустой):
keymessageuser
Затем аналогичным образом можно получить поля таблиц, увидеть, что пароли хранятся в таблице user, достать оттуда пароль пользователя randomradon (хранящийся в виде хэша) и обратить хэш (например, с помощью онлайн-сервисов или радужных таблиц).Способ 2 — используем сканеры
Простейший способ найти уязвимость в сайте – воспользоваться сканером уязвимостей! А вот настроить сканер для работы со скрытыми сервисами Tor – не такая простая задача. Основная проблема состоит в том, что многие сканеры опираются на IP-адрес сайта. В сети Tor IP-адреса не используются, и сканеры работают некорректно.Популярный сканер Nmap может быть настроен для работы в даркнете Tor. Для этого нужно сделать следующее:
Скачать и установить специальную версию nmap-nseportscan-socks4aДобавить в файл hosts запись «127.0.0.1 cx7b2vy6foxjlzsh.onion», это позволяет избежать ошибки разрешения имени cx7b2vy6foxjlzsh.onionСкачать и запустить TorЗапустить nmap с правами root, используя следующие параметры:
sudo ./nmap -sK --script connectscan, --proxy socks4a://127.0.0.1:9050 cx7b2vy6foxjlzsh.onion –FNmap не находит уязвимостей, зато обнаруживает потенциально интересную тестовую страницу:Изучив код страницы, в одном из скриптов можно найти запрос, который «упускает» Nmap:Для исследования отдельного запроса удобнее использовать Sqlmap. Этот инструмент поддерживает работу с .onion-сайтами, никакая специальная настройка не нужна, запуск осуществляется командой:python sqlmap.py -u «cx7b2vy6foxjlzsh.onion/qwertyqwerty.php» --data=«id=1» --tor --tor-port=9050 --tor-type=SOCKS5Sqlmap обнаруживает SQLi уязвимость:Далее при помощи Sqlmap можно вытащить всю необходимую информацию о базе данных:Sqlmap получает данные несмотря на то, что они возвращаются в виде хэша. Невозможность прямого получения данных обходится с помощью техник Time-based blind SQLi и Boolean-based blind SQLi. Обе техники извлекают информацию посимвольно, значение символа находится бинарным поиском: каждым запросом очередной символ сравнивается с некоторым числом.При использовании первой техники в запрос вставляется SLEEP() в случае выполнения условия; по времени, за которое приходит ответ на запрос, Sqlmap понимает, выполнилось условие или нет. При использовании второй техники Sqlmap сравнивает результат выполнения запроса с некоторым заранее полученным шаблоном и на основе этого определяет, было ли выполнено условие.Time-based blind SQLi не подходит для использования в сети Tor из-за больших (и зачастую случайных) задержек; зато Boolean-based blind SQLi вполне работает. Символ за символом, Sqlmap «высасывает» базу данных.To be continued
Обычно даркнет ассоциируется с таинственными, секретными сетями, темные углы которых кишат незаконной деятельностью: управлением ботнетами, продажей наркотиков и т. п. Такое представление не совсем верно, ведь нелегальный контент – вовсе не основное предназначение даркнета. Впрочем, нельзя отрицать наличие там действительно опасных скрытых сайтов и сервисов.Все меньше заданий online-этапа остается разобрать, и все меньше остается времени до «очной ставки», в программе которой — множество докладов на самые разнообразные темы! Мы поговорим о безопасности Intel ME, о том, как найти ботов в социальных сетях, расскажем о незащищенности публичных беспроводных сетей, «залезем» в процессор, обсуждая Intel SGX и Intel MPX, расскажем, какие опасности поджидают «модников» — пользователей всевозможных «умных» гаджетов, и многое многое другое!
Огромную базу данных, выложенную хакерами в даркнете, которая состоит из 1,4 миллиарда паролей, может получить любой желающий — тот, кто ее найдет. Но самое, пожалуй, удивительное, что сервер с этой базой продолжает свой стремительный рост и что многие пароли там актуальные. Введение«Хозяйке на заметку»: что сделать, чтобы ваш пароль не утёкКак обезопасить себя в будущем?Выводы ВведениеОбращаем внимание, что статья написана исключительно в ознакомительных целях и не призывает читателей к противоправным действиям!Ежедневно в крупную базу в даркнете попадают логины и пароли тех, кто халатно относится к своим конфиденциальным данным, ставя пароли по типу qwerty,1234567 и подобные, но удивительно, что не реже попадают туда данные тех пользователей, кто старательно пытается скрыть свою переписку от чужих глаз, устанавливая сложные пароли. А происходит такое масштабное пополнение базы из-за того, что при регистрации пользователи ставят везде один и тот же логин и пароль. Сейчас данный сервер активно расширяет свои границы и собирается всерьез и надолго засесть в глубинах даркнета. Вот так выглядит в настоящее время главная страница этого самого ресурса. Рисунок 1. Главная страница ресурса, хранящего 1,4 млрд логинов и паролей А началось все 5 декабря 2017 года, база стала пополняться уже тогда. На тот момент она была весом 41 GB, что уже позволяло хакерам найти агрегированные данные по типу ЛОГИН:ПАРОЛЬ. Другие ресурсы, например AntiPublic и Exploit.in, вряд ли можно было сравнить с этой базой данных. 4iQ — компания по безопасности, которая первоначально обнаружила базу и нашла в ней 133 различных вида данных из существующих, не включенных в базы ресурсов, таких как AntiPublic или Exploit.in. В целом, 385 миллионов новых учетных пар, 318 миллионов новых уникальных пользователей и 147 миллионов новых паролей были подтверждены. Рисунок 2. Примеры данных с сервиса Mail.ru Если пролистать вниз, то список окажется внушительных размеров. Таким же образом можно раздобыть данные пользователей почты сервиса Gmail.com. Рисунок 3. Примеры данных с сервиса Gmail.com В общем, если грамотно распорядиться этой базой, то в умелых руках это будет настоящее грозное оружие.Для примера мы решили поискать в базе некоторых знакомых — их электронные адреса и аккаунты от различных социальных сетей. К сожалению, все обнаружилось, но мы сообщили им об утечке, и те благополучно сменили свои пароли. Рисунок 4. Данные из базы работают — логин и пароль подошли Рисунок 5. Gmail.com тоже «не подкачал»: можно удалять и изменять данные от лица владельца «Хозяйке на заметку»: что сделать, чтобы ваш пароль не утёкНе берите для паролей ключевые слова, которые вы используете в повседневной жизни, диалогах. Они должны быть связаны совсем с другими вещами, атрибутами, которые вас, возможно, не касаются в жизни (это должны быть сложные слова) и вы редко вспоминаете о них.Если же вы забыли пароль и у вас есть возможность восстановления по контрольному вопросу, то не берите контрольный вопрос из тех вариантов, которые вам предлагает сервис. В противном случае опытный злоумышленник может применить социальную инженерию, вводя вас в заблуждение, и вы сами не заметите, как сообщите ответ на контрольный вопрос. Придумайте сложный вопрос и ответ на него, о котором даже не знают близкие родственники — возможно, злоумышленники попытаются узнать информацию через них.Всегда и везде помните условие своего контрольного вопроса. Когда кто-то попытается выудить у вас информацию, то вы сразу поймете, к чему клонит злоумышленник, и тогда сами можете ввести его в заблуждение, сообщив неправильный ответ, и после неудачных попыток он перестанет вас беспокоить. Как обезопасить себя в будущем?Периодически изменяйте пароли, даже если нет прямых подозрений на компрометацию учетных записей.Важно! Используйте двухфакторную аутентификацию везде, где это возможно. В качестве второго фактора могут выступать одноразовые пароли (Onetime Password, например, при помощи Google Authenticator) или SMS на ваш номер телефона.Следите за безопасностью устройств, на которых вы авторизуетесь в защищенных интернет-сервисах. Установите все обновления, используйте современные средства антивирусной защиты, не работайте под админом и т. д.Не входите в важные сервисы с чужого компьютера или используя публичные сети Wi-Fi. ВыводыДаже если вы будете применять сложные пароли, это еще не значит, что вы полностью защищены. Ведь идеальной защиты не существует — все, что создано рукой человека, возможно взломать. Но если вы будете придерживаться советов, описанных выше в данной статье, то есть вероятность, что подобные неприятности обойдут вас стороной.В настоящее время киберпреступники изобретают все новые и новые способы, чтобы получить ваши персональные данные и сохранить их в подобную базу данных. И если вдруг вы случайно нашли такую базу в Сети, то не поленитесь — проверьте, есть ли ваши персональные данные в ней. Если да — сразу же поменяйте все логины и пароли на более сложные.