Forwarded from Ilya 🦁
Вот чета решали год назад, мб это и была итра опенер 2018 🌚
Короч, я считаю, что таски будут тип такие
Остальные таски и местами решения в чатик форданул, конечно не все, что было, по другим чатикам валяется где-то. @MarshalCh
Короч, я считаю, что таски будут тип такие
Остальные таски и местами решения в чатик форданул, конечно не все, что было, по другим чатикам валяется где-то. @MarshalCh
Making a PyPI-friendly README
Либу как и обещал, довёл до следующего релиза после полной документации, только вот установка через PyPi сломалась.
Во-первых я был удивлён достаточно быстрой реакцией сообщества, что не могут обновиться.
Во-вторых все пошли ставить либу через исходники (
Я не мог представить даже чего так. Не хватало файла
В общем скачал я два релиза с пупича, валид и инвалид. Начал сравнивать где жопа. Сразу бросилось в глаза то, что кто-то добавил в архив
Раз ето не я, значит кто-то захардкодил по именам файлов их добавление. Пошёл гуглить…
https://packaging.python.org/guides/making-a-pypi-friendly-readme/
Очень интуитивно-понятно. В итоге ридми добавляется само, а ченджлог в манифесте ✨
Либу как и обещал, довёл до следующего релиза после полной документации, только вот установка через PyPi сломалась.
Во-первых я был удивлён достаточно быстрой реакцией сообщества, что не могут обновиться.
Во-вторых все пошли ставить либу через исходники (
setup.py, LOL).Я не мог представить даже чего так. Не хватало файла
CHANGES.rst (склеиваю ридми и список изменений в лонг дескрипшен пакета). Думал, что раз ридми проходит, то и ченджлог должен. Оба же использую в setup.py через with open(), в метатеге description. В общем скачал я два релиза с пупича, валид и инвалид. Начал сравнивать где жопа. Сразу бросилось в глаза то, что кто-то добавил в архив
README.rst (ето точно не я, ведь все что хочу добавить я - указываю в файле MANIFEST.in).Раз ето не я, значит кто-то захардкодил по именам файлов их добавление. Пошёл гуглить…
https://packaging.python.org/guides/making-a-pypi-friendly-readme/
Очень интуитивно-понятно. В итоге ридми добавляется само, а ченджлог в манифесте ✨
Ору, прям про меня. Тока у меня еще + пару пунктов https://t.me/MarshalC/508
Telegram
Marshal`s channel
Я переписал сайтец до момента, что уже есть всё то, что было и даже больше. Бедненько, но для начала класс.
Дааа, там звезда при загрузке на весь экран. Дааа, это какой-то рофл gatsby (на других сайтах тоже такие траблы (дока bootstrap компонентов реакта…
Дааа, там звезда при загрузке на весь экран. Дааа, это какой-то рофл gatsby (на других сайтах тоже такие траблы (дока bootstrap компонентов реакта…
Статистика в телеге совсем скоро (уже от 1к сабов, пасибо Аня) ✨
Forwarded from Илон Маск | Elon Musk
"Когда я был ребенком, то задавался вопросом - в чем смысл жизни, почему мы здесь, зачем это все? Потом я пришел к выводу, что главное - это задавать правильные вопросы. И чем выше будет сознательность человечества, тем более правильными будут вопросы."
— Илон Маск
— Илон Маск
Илон Маск | Elon Musk
"Когда я был ребенком, то задавался вопросом - в чем смысл жизни, почему мы здесь, зачем это все? Потом я пришел к выводу, что главное - это задавать правильные вопросы. И чем выше будет сознательность человечества, тем более правильными будут вопросы." …
Если тут есть олды, а это с ~декабря месяца, то я подводил итоги как я изменился. И там был один пунктик, что я перестал задаваться подобными вопросами, на которых нет ответов. Жить стало лучше, приоритеты другие ✨свободное время пошло на правильные вещи
И вы не задавайтесь такими вопросами. Классно быть любознательным и задавать вечно вопросы, особенно в айтишке. Чем раньше перестанете, тем лучше будет для вас. Мне вот только в 20 дошло 🙃
И вы не задавайтесь такими вопросами. Классно быть любознательным и задавать вечно вопросы, особенно в айтишке. Чем раньше перестанете, тем лучше будет для вас. Мне вот только в 20 дошло 🙃
Социальный мониторин
@itsorm поднял тему с этой аппкой, начали разбор.
Из главного:
http://watch.telemetry.mos.ru - сюда шлют все данные без SSL. Другие хосты на скрине тут: https://t.me/itsorm/1562
Вот админка http://watch.telemetry.mos.ru/card/#
Куча запросов прав и байпассы для получения мак адреса без них.
Для распознавания юзают сервис Identix.one, токен вшит в аппку, слили, только что хотел получить все их сурсы, токен БОЛЬШЕ НЕ ВАЛИДЕН
“В QR-кодах приложения для слежки за жителями Москвы зашифрованы MAC/IMEI девайса”
‼️Декомпиль аппки https://github.com/iTaysonLab/gorkiy/tree/master/src/main
Го продолжать изучение и искать дыры по фану. Буду дополнять пост
Atmosphere Framework
Один из эндпоинтов
В ответ Access denied, пока непонянто где чек
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/GaskarApi.java - билдер запросов
Аппка вообще пашет? Я даже на онлайн симку отправить смску не могу скачав их прилу
Доступно и без watch. -> https://telemetry.mos.ru/
idxid - ваш уникальный ID в базе сервиса по распознаванию лиц! Возвращается в ответе на запрос, когда отправляется ваша фотка
@itsorm поднял тему с этой аппкой, начали разбор.
Из главного:
http://watch.telemetry.mos.ru - сюда шлют все данные без SSL. Другие хосты на скрине тут: https://t.me/itsorm/1562
Вот админка http://watch.telemetry.mos.ru/card/#
Куча запросов прав и байпассы для получения мак адреса без них.
Для распознавания юзают сервис Identix.one, токен вшит в аппку, слили, только что хотел получить все их сурсы, токен БОЛЬШЕ НЕ ВАЛИДЕН
“В QR-кодах приложения для слежки за жителями Москвы зашифрованы MAC/IMEI девайса”
‼️Декомпиль аппки https://github.com/iTaysonLab/gorkiy/tree/master/src/main
Го продолжать изучение и искать дыры по фану. Буду дополнять пост
Atmosphere Framework
Один из эндпоинтов
http://watch.telemetry.mos.ru/card/rest/workshift/start?deviceEUI=da&idxid=da&latitude=0.1&longitude=0.1deviceEUI - IMEI устройства (стринг)idxid - уникальный ИД резопитория (стринг, не знаю что за репа) latitude, longitude - дабл, локации (коорды) double longitude = 0.0d;
double latitude = location != null ? location.getLatitude() : 0.0d;
В ответ Access denied, пока непонянто где чек
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be84df0c94fb07934ac89f841032f5778/src/main/java/com/askgps/personaltrackercore/GaskarApi.java - билдер запросов
Аппка вообще пашет? Я даже на онлайн симку отправить смску не могу скачав их прилу
Доступно и без watch. -> https://telemetry.mos.ru/
idxid - ваш уникальный ID в базе сервиса по распознаванию лиц! Возвращается в ответе на запрос, когда отправляется ваша фотка
Telegram
IT и СОРМ
Другие хосты, к которым обращается приложение для слежки. И снова http — никакого шифрования. Государство способно выпускать только дырявое говно
PATIENT_PHONE = http://185.221.153.208
PATIENT_WATCH = http://185.221.153.208
BUILDER_WATCH = http://195.93.229.67:12310
К трем выше: address (это и есть ИП),sendLocationInterval, updateLocationInterval инты
Ещё больше эндпоинтов для тестов. Начало урла есть
А адеса вверху я скинул. Жаль, что они лежат.
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be8/src/main/java/com/askgps/personaltrackercore/PersonalTrackerApi.java
PATIENT_WATCH = http://185.221.153.208
BUILDER_WATCH = http://195.93.229.67:12310
К трем выше: address (это и есть ИП),sendLocationInterval, updateLocationInterval инты
Ещё больше эндпоинтов для тестов. Начало урла есть
BaseMainActivity.Companion.getCustomer().getAddress()А адеса вверху я скинул. Жаль, что они лежат.
https://github.com/iTaysonLab/gorkiy/blob/0ed9ca5be8/src/main/java/com/askgps/personaltrackercore/PersonalTrackerApi.java
Не хотелось бы конечно сделать дикий вброс, НО, авторизации там нет! Регистрация проходит отправкой информации о вашем девайсе (телефоне). Туда входит адрес, номер телефона, ФИО и т.д.
Сразу после регистрации с вас требуют фотку и загружают уже её к “вам в профиль”. На самом деле для того, чтобы указать чья эта фотка, указывается доп параметр в запросе - IMEI. Как я понимаю, он находится в поле deviceId модели Device, которую мы отправили при первом шаге регистрации.
И знаете в чем рофл? Нуу, например, что я могу всем какашку на фотку залить, только IMEI перебрать.
Вы могли сказать что Илья, смотри, вверху есть запрос пароля! Ага, да, есть. Только вот с обработки ответа этого эндпоинта я ору в голос (скрин ниже). Он просто отнимает попытки если запрос не прошел, а если прошел - возвращает true. Опять для запроса передаются данные устройства.
И так везде! Получение информации (статуса) об акке - пожалуйста, только IMEI введи. Не важно твой это или нет.
Отправить фейковую локацию и подставить человека? Ок, только придумай на какие острова его киданем и опять же давай IMEI.
Ну и да, что уж тут говорить, что мы, имея фотку любого человека из РОССИИ, можем отправить его на распознавание И ПОЛУЧИТЬ ДАННЫЕ О ЧЕЛОВЕКЕ? ОЧЕНЬ УДОБНОЕ ПРИЛОЖЕНИЕ СО СЛИВОМ ВСЕХ ГРАЖДАН.
Многое из этого чисто факт по коду, с паролем лютый кек, возможно, тут декомпилятор орнул.
Классный метод с запросом пароля
Кста, они логируют абсолютно все. Любой пук летит в файл. Любой запрос к апи, его ответ, всё тааам.
Очень хорошо, что они оффнули сервера и убили свой токен от сервиса для распознавания, я бы не удержался покекать 🌚
Upd. Регистрация устройства возвращает какой-то код (authCode), но он не используются в других запросах (просто сохраняется)
Сразу после регистрации с вас требуют фотку и загружают уже её к “вам в профиль”. На самом деле для того, чтобы указать чья эта фотка, указывается доп параметр в запросе - IMEI. Как я понимаю, он находится в поле deviceId модели Device, которую мы отправили при первом шаге регистрации.
И знаете в чем рофл? Нуу, например, что я могу всем какашку на фотку залить, только IMEI перебрать.
Вы могли сказать что Илья, смотри, вверху есть запрос пароля! Ага, да, есть. Только вот с обработки ответа этого эндпоинта я ору в голос (скрин ниже). Он просто отнимает попытки если запрос не прошел, а если прошел - возвращает true. Опять для запроса передаются данные устройства.
И так везде! Получение информации (статуса) об акке - пожалуйста, только IMEI введи. Не важно твой это или нет.
Отправить фейковую локацию и подставить человека? Ок, только придумай на какие острова его киданем и опять же давай IMEI.
Ну и да, что уж тут говорить, что мы, имея фотку любого человека из РОССИИ, можем отправить его на распознавание И ПОЛУЧИТЬ ДАННЫЕ О ЧЕЛОВЕКЕ? ОЧЕНЬ УДОБНОЕ ПРИЛОЖЕНИЕ СО СЛИВОМ ВСЕХ ГРАЖДАН.
Многое из этого чисто факт по коду, с паролем лютый кек, возможно, тут декомпилятор орнул.
Классный метод с запросом пароля
Кста, они логируют абсолютно все. Любой пук летит в файл. Любой запрос к апи, его ответ, всё тааам.
Очень хорошо, что они оффнули сервера и убили свой токен от сервиса для распознавания, я бы не удержался покекать 🌚
Upd. Регистрация устройства возвращает какой-то код (authCode), но он не используются в других запросах (просто сохраняется)
