LUK
09-12-2009, 12:40
"Un pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general.", así define la Wikipedia el tipo de aplicaciones como pastebin.com (http://pastebin.com/), que tienen por objetivo el intercambio rápido de información entre usuarios de una misma comunidad.
Recientemente lo he estado utilizando para leer el código fuente de una aplicación escrita en Java (¡¡qué cosas aprende uno!!) y pensé en hacer un pequeño script que fuera descargando todo lo que otros usuarios copian para cotillear un poco :-/, ¿versión SbD de Gran Hermano?
La idea no es nueva e incluso hay un blog llamado pastebinfail.com (http://www.pastebinfail.com/) que recoge y comenta algunos ejemplos como: el código de un keylogger (http://www.pastebinfail.com/2009/09/nice-little-keylogger.html), la configuración de un linux para su wifi con clave incluida (http://www.pastebinfail.com/2009/08/free-wifi.html), credenciales de un MySQL en un php (http://www.pastebinfail.com/2009/08/more-mysql-creds.html) o exploits falsos (http://www.pastebinfail.com/2009/06/fake-openssh-exploit.html) que borrarán nuestro sistema.
Para poder descargar todos los archivos y poder tener mi propio pastebinfail, escribí un script (http://sbdtools.googlecode.com/files/pbinmon.sh) en bash. Para que funcione ha de estar siempre en ejecución y monitoriza los cambios en la webs, almacenando los archivos subidos en un directorio especificado.
Después de eso... que cada uno haga los oportunos filtros que prefiera, por ejemplo cadenas del tipo: password, passwd, root:x:, visa, mastercard, connect, localhost, exploit, shellcode, megaupload, imageshack...
Ahora unos ejemplos que he visto durante unas horas:
El mejor código perl: http://pastebin.com/m4003c603 (http://pastebin.com/m4003c603)
http://2.bp.blogspot.com/_LztS6-97iyY/SxqT9ancLYI/AAAAAAAAFZI/35rGwix2xto/s400/pastebin2.png (http://2.bp.blogspot.com/_LztS6-97iyY/SxqT9ancLYI/AAAAAAAAFZI/35rGwix2xto/s1600-h/pastebin2.png)
Credenciales: http://pastebin.com/d6d0e1053 (http://pastebin.com/d6d0e1053)
http://4.bp.blogspot.com/_LztS6-97iyY/SxqT8VZShKI/AAAAAAAAFZA/RnJmZcAbQZA/s400/pastebin1.png (http://4.bp.blogspot.com/_LztS6-97iyY/SxqT8VZShKI/AAAAAAAAFZA/RnJmZcAbQZA/s1600-h/pastebin1.png)
Usuarios y contraseñas de ... vete tú a saber dónde: http://pastebin.com/m43cfd342 (http://pastebin.com/m43cfd342)
http://1.bp.blogspot.com/_LztS6-97iyY/SxqV-Ub38yI/AAAAAAAAFZQ/FL-UK-hXhG4/s320/pastebin4.png (http://1.bp.blogspot.com/_LztS6-97iyY/SxqV-Ub38yI/AAAAAAAAFZQ/FL-UK-hXhG4/s1600-h/pastebin4.png)
Más credenciales en un fichero de configuración de streaming: http://pastebin.com/m40e519b8 (http://pastebin.com/m40e519b8)
http://1.bp.blogspot.com/_LztS6-97iyY/SxqV_ZDHKMI/AAAAAAAAFZY/5qRXYtGS2sg/s320/pastebin3.png (http://1.bp.blogspot.com/_LztS6-97iyY/SxqV_ZDHKMI/AAAAAAAAFZY/5qRXYtGS2sg/s1600-h/pastebin3.png)
Algunos usuarios y contraseñas más: http://pastebin.com/[CENSORED] (http://pastebin.com/[CENSORED])
http://3.bp.blogspot.com/_LztS6-97iyY/Sxt87SuEK6I/AAAAAAAAFZg/Yyz9hmH-kQs/s400/pastebin5.png (http://3.bp.blogspot.com/_LztS6-97iyY/Sxt87SuEK6I/AAAAAAAAFZg/Yyz9hmH-kQs/s1600-h/pastebin5.png)
Otros cuantos! http://pastebin.com/[CENSORED] (http://pastebin.com/[CENSORED])
http://4.bp.blogspot.com/_LztS6-97iyY/Sxt8881Lf7I/AAAAAAAAFZo/7ElIw5fHRkU/s640/pastebin6.png (http://4.bp.blogspot.com/_LztS6-97iyY/Sxt8881Lf7I/AAAAAAAAFZo/7ElIw5fHRkU/s1600-h/pastebin6.png)
Hay muchos más ejemplos, con tarjetas de crédito incluidas, que no merece la pena mostrar.
Está claro que varias personas observan estos servicios que deben de usarse únicamente para información pública. Además, en el caso de pastebin.com permite la eliminación de lo copiado una vez que sabemos que el destino lo ha leido o descargado.
Enlaces:
http://pastebin.com/
http://www.pastebinfail.com/
http://www.securitybydefault.com/2009/12/pastebin-fuente-de-noticias.html
Recientemente lo he estado utilizando para leer el código fuente de una aplicación escrita en Java (¡¡qué cosas aprende uno!!) y pensé en hacer un pequeño script que fuera descargando todo lo que otros usuarios copian para cotillear un poco :-/, ¿versión SbD de Gran Hermano?
La idea no es nueva e incluso hay un blog llamado pastebinfail.com (http://www.pastebinfail.com/) que recoge y comenta algunos ejemplos como: el código de un keylogger (http://www.pastebinfail.com/2009/09/nice-little-keylogger.html), la configuración de un linux para su wifi con clave incluida (http://www.pastebinfail.com/2009/08/free-wifi.html), credenciales de un MySQL en un php (http://www.pastebinfail.com/2009/08/more-mysql-creds.html) o exploits falsos (http://www.pastebinfail.com/2009/06/fake-openssh-exploit.html) que borrarán nuestro sistema.
Para poder descargar todos los archivos y poder tener mi propio pastebinfail, escribí un script (http://sbdtools.googlecode.com/files/pbinmon.sh) en bash. Para que funcione ha de estar siempre en ejecución y monitoriza los cambios en la webs, almacenando los archivos subidos en un directorio especificado.
Después de eso... que cada uno haga los oportunos filtros que prefiera, por ejemplo cadenas del tipo: password, passwd, root:x:, visa, mastercard, connect, localhost, exploit, shellcode, megaupload, imageshack...
Ahora unos ejemplos que he visto durante unas horas:
El mejor código perl: http://pastebin.com/m4003c603 (http://pastebin.com/m4003c603)
http://2.bp.blogspot.com/_LztS6-97iyY/SxqT9ancLYI/AAAAAAAAFZI/35rGwix2xto/s400/pastebin2.png (http://2.bp.blogspot.com/_LztS6-97iyY/SxqT9ancLYI/AAAAAAAAFZI/35rGwix2xto/s1600-h/pastebin2.png)
Credenciales: http://pastebin.com/d6d0e1053 (http://pastebin.com/d6d0e1053)
http://4.bp.blogspot.com/_LztS6-97iyY/SxqT8VZShKI/AAAAAAAAFZA/RnJmZcAbQZA/s400/pastebin1.png (http://4.bp.blogspot.com/_LztS6-97iyY/SxqT8VZShKI/AAAAAAAAFZA/RnJmZcAbQZA/s1600-h/pastebin1.png)
Usuarios y contraseñas de ... vete tú a saber dónde: http://pastebin.com/m43cfd342 (http://pastebin.com/m43cfd342)
http://1.bp.blogspot.com/_LztS6-97iyY/SxqV-Ub38yI/AAAAAAAAFZQ/FL-UK-hXhG4/s320/pastebin4.png (http://1.bp.blogspot.com/_LztS6-97iyY/SxqV-Ub38yI/AAAAAAAAFZQ/FL-UK-hXhG4/s1600-h/pastebin4.png)
Más credenciales en un fichero de configuración de streaming: http://pastebin.com/m40e519b8 (http://pastebin.com/m40e519b8)
http://1.bp.blogspot.com/_LztS6-97iyY/SxqV_ZDHKMI/AAAAAAAAFZY/5qRXYtGS2sg/s320/pastebin3.png (http://1.bp.blogspot.com/_LztS6-97iyY/SxqV_ZDHKMI/AAAAAAAAFZY/5qRXYtGS2sg/s1600-h/pastebin3.png)
Algunos usuarios y contraseñas más: http://pastebin.com/[CENSORED] (http://pastebin.com/[CENSORED])
http://3.bp.blogspot.com/_LztS6-97iyY/Sxt87SuEK6I/AAAAAAAAFZg/Yyz9hmH-kQs/s400/pastebin5.png (http://3.bp.blogspot.com/_LztS6-97iyY/Sxt87SuEK6I/AAAAAAAAFZg/Yyz9hmH-kQs/s1600-h/pastebin5.png)
Otros cuantos! http://pastebin.com/[CENSORED] (http://pastebin.com/[CENSORED])
http://4.bp.blogspot.com/_LztS6-97iyY/Sxt8881Lf7I/AAAAAAAAFZo/7ElIw5fHRkU/s640/pastebin6.png (http://4.bp.blogspot.com/_LztS6-97iyY/Sxt8881Lf7I/AAAAAAAAFZo/7ElIw5fHRkU/s1600-h/pastebin6.png)
Hay muchos más ejemplos, con tarjetas de crédito incluidas, que no merece la pena mostrar.
Está claro que varias personas observan estos servicios que deben de usarse únicamente para información pública. Además, en el caso de pastebin.com permite la eliminación de lo copiado una vez que sabemos que el destino lo ha leido o descargado.
Enlaces:
http://pastebin.com/
http://www.pastebinfail.com/
http://www.securitybydefault.com/2009/12/pastebin-fuente-de-noticias.html