tv-bunker.to: Interview mit dem Admin des neuen CS- & IPTV-Forums

Ghandy · 17. Dezember 2025 um 07:32

Kommentare zu folgendem Beitrag: tv-bunker.to: Interview mit dem Admin des neuen CS- & IPTV-Forums

Mit tv-bunker.to ging kürzlich ein neues deutschsprachiges Cardsharing- und IPTV-Forum an den Start. Wir haben den Admin dazu befragt.

VIP · 17. Dezember 2025 um 10:44

Symphatisches Setup auf den ersten Blick - alleine schon, weil sich da jemand mit Invision beschäftigt! Und ein interessantes Routing, welches nicht einfach so lieblos dahingeklatscht wurde. Finde ich top…

knax · 17. Dezember 2025 um 11:28

Illegale Anbieter bündeln einfach alles in einer Liste. Es ist bequemer

Das ist wirklich das ganze Geheimnis des Erfolgs.

nitro · 17. Dezember 2025 um 12:23

Sackwolle alias vitrex.

anon60158052 · 17. Dezember 2025 um 14:23

Sieht für mich null nach Sackwolle aus, eher nach einem von den TV-Lounge Fuzzis aber das passt auch nicht so ganz zu so einem erfahrenen Setup

nitro · 17. Dezember 2025 um 14:59

Auch ok, wenn es sackwolle nicht ist, Dan haben wir noch ein weiteres Forum.

sturmpionier · 17. Dezember 2025 um 17:15

Der größte Fuzzi bist doch du

VIP · 17. Dezember 2025 um 17:35

Wenn ihr euch wieder mal anzicken wollt, macht das entweder bei „Germany’s Next Topmodell“ oder privat per PN, aber nicht hier im Thread!!

BTT

Ghandy · 17. Dezember 2025 um 19:59

Den Banner mit dem Schwein habe ich mal zufällig vor Jahren irgendwo geklaut, kann sein, dass das bei einem Projekt von Vitrex war. So viele Grafiken oder Bilder zum Thema Cardsharing gibt es leider nicht.

omega · 17. Dezember 2025 um 20:26

Macht damit was Ihr wollt. Opsec sieht anders aus.

VIP · 17. Dezember 2025 um 23:01

Da fehlt aber noch der SSH-Zugriffs-Port!

„Wo simmer denn dran? Aha, heute krieje mer de Dampfmaschin. Also, wat is en Dampfmaschin? Da stelle mehr uns janz dumm. Und da sage mer so: En Dampfmaschin, dat is ene jroße schwarze Raum, der hat hinten un vorn e Loch. Dat eine Loch, dat is de Feuerung. Und dat andere Loch, dat krieje mer später, nach dat PROXY!!“

anon60158052 · 17. Dezember 2025 um 23:06

Super, du hast den Da Vinci Code geknackt
Wird,wie er selbst im Interview schreibt einfach einer der erwähnten proxys sein.
Cloudflare ist kein OPSEC und auch kein Schutz vor Behörden. Was meinst du was szene damals ohne CF gemacht haben oder was heute noch manche russischen bzw englischen Foren machen, die weiterhin ohne Cloudflare laufen?

Beim Thema Datenschutz/Anonymität ist Cloudflare eher so Big-Tech-Level, ähnlich wie Google.

https://0xacab.org/dCF/deCloudflare/-/blob/master/readme/de.md

Aber gut, Censys und Proxy ist der Anti-OPSEC. Supii

Was ich mich eher frage ist Wer hinter dem Admin steckt? Vielleicht will er aus Anonymitätsgründen einfach eine saubere Historie haben.

VIP · 18. Dezember 2025 um 19:54

OK…hatte heute mal versucht, einen zweiten, tieferen Blick reinzuwerfen! Ohh ohhhh, sage ich erstmal dazu. Habe über meinen ParrotSec einen „oberflächlichen“ OWASP ZAP drüberlaufen lassen. Zum Endergebnis kann ich momentan noch nichts sagen, da mir der Server abgeschmiert (lag nicht am ZAP) ist, als der ZAP bei ca. 27% war! Werde morgen über eine zweite Maschine weitermachen bzw. wieder von vorne anfangen…
Warum mich das interessiert? Ganz einfach - trotz des frühen Stadiums der Analyse, wurden mir schon ACHT Extreme High Risk-Alarme angezeigt, dazu noch SECHS Vulns mit dem Status Hoch und 12 oder 14 mit Status Mittel…!!!
Wie gesagt, dass schon bei erst 27% der Analyse. Normalerweise „überfliegt“ der ZAP in diesem Prüfungsstadium nur die Site, da werden höchstens mal so Kindergeburtstage wie XSS-Scripting u.ä. angezeigt.
Könnte also noch sehr interessant werden!

VIP · 19. Dezember 2025 um 20:14

Alleine vier versch. SQL-Injection Angriffe möglich etc. pp. Von den anderen Bugs, CVEs, Einstiegspunkten mal ganz abgesehen…!

Hab mal einen abgespeckten Analysebericht hier hochgeschoben:

https://1fichier.com/?35v64a8pdoh5tdxrpf21

https://megadl.fr/?bdi93kwrpqj2y3ixdztg

https://zippyshare.day/atZjzEHgB65PNAq/file

omega · 19. Dezember 2025 um 21:51

Ist ja nicht so das es bereits so im Raum stand.

VIP · 20. Dezember 2025 um 01:53

Nun ja…im Raum steht immer viel. Aber nur vom Draufgucken, ist und bleibt das alles nur eine Vermutung!
Zusätzlich zu dem abgespeckten Report, habe ich noch zwei andere Analyse-Logs hier. Die sind ungefähr um den Faktor 10 größer und ausführlicher, als diese neun Seiten hier.
Und zum Routing muss ich sagen, dass es überhaupt nichts nutzt, zig Proxys vor die originale Büchse zu packen, da die Fehler 1 : 1 durchgereicht werden, wie man sieht…
Bei vier unterschiedlichen Angriffsvektoren im DB-Bereich (SQL), wären bei einem ernsthaften Angriff diese Datensätze erstmal wesch.
Die Originaldaten der Büchse konnte ich mit Hybrid-Analysis recht zügig erhalten!
Man wird sehen, ob sich zukünftig das Forum dann dahin entwickelt, was vollmundig versprochen wurde?

60_0fee60ee345cd9f94de816020beabf54

Mery xmas, sag ich da mal…

60_51f2bff406292b9f97dda3e571813f97

anon60158052 · 20. Dezember 2025 um 15:48

Mach ein Reality Check im Code und erzähl keine Märchen aufgrund von Logs wovon du keine Ahnung hast.

ZAP kann High melden, obwohl es am Ende nur ein normaler Error / Block / WAF / Rate-Limit / 4xx ist. Hast du das eigentlich auch mal geprüft und dich davon überzeugt? In deinem Fall wohl von Cloudflare verursacht.

Ich hätte irgendwie mehr von dir erwartet, du bist doch Mod bei Germania. Ich dachte, du hast mehr Know-how, als dass du dich von so einem Fail-Alert reinlegen lässt.

Beweis ist es erst, wenn du Evidence siehst (z.B. echte DB-Fehler/Stacktrace) wo ist das denn? Kann ich bei meinem Check nicht sehen auch über ZAP.

So viele Unwissende , echt traurig. Ich selbst bin eher bei Toolbase, aber die würden über dein ‚Log‘ lachen.

Aber gut ich , werd auch mal handanlegen. Eventuell gibt es trotzdem ja "richtige"Lücken.

Werde berichten. Dein High Risk SQL ist die Response ein 429 mit Cloudflare error 1015. Damit ist dieser SQLi-Fund nicht valide als “DB-Lücke”.

Edit: Wie vermutet , false Positive!

Jetzt bin ich mal auf die Antwort gespannt.

EDIT:

Eigentlich gehöre ich auch zu denen, die bei solchen Versprechen skeptisch sind. Aber irgendwelche Pseudo-Lücken rauszugraben, nur um irgendeinem VIP-Standard gerecht zu werden, macht dich als User und Mod eiens Darkweb Fraud Forum eher unsympathisch. Deshalb hab ich selbst mal Hand angelegt und das . wie von dir gesagt, mit ZAP und den Meldungen überprüft.

Zu deiner angeblichen Lücken.

„Der SQLi‘Treffer betrifft eine Font-Datei (…/icomoon.woff?v=…) und damit ein statisches Asset ohne Datenbankzugriff. Time-based SQLi-Signaturen schlagen bei solchen Parametern oft fälschlich an (Scanner-Noise). Ergebnis: Dieser ‚SQL Injection-Fehler meldung ist sehr wahrscheinlich ein False Positive und keine nachweisbar ausnutzbare SQLi wie von dir behauptet. @VIP
Die Warnung Vulnerable JS Library – jQuery 3.4.1 bezieht sich nur auf die verwendete Bibliotheks-Version (< 3.5.0). jQuery 3.4.1 ist zwar technisch veraltet, aber ohne dass untrusted HTML in den DOM geschrieben wird (z. B. via .html(), .append(), innerHTML), ist die genannte XSS-Thematik praktisch nicht ausnutzbar. In meinen Tests wird der Input nicht reflektiert; stattdessen kommt HTTP 403 mit IPS-Fehlercode. Scanner werten solche Fehlerseiten oft fälschlich als Schwachstelle, aktuell besteht daher keine bestätigte/akute XSS-Schwachstell.

Bis zum jetzigen Stand gibt es also keine echten Schwachstellen. Du solltest deine „HIGH“-Risk-Alarme (so wie du das in Großbuchstaben schreibst) erst selbst prüfen, bevor du sowas veröffentlichst.

Was mir aber trotzdem aufgefallen ist aber kein Sicherehitsbedenken ist!

Content-Security-Policy (CSP) Header ist nicht gesetzt , es ist jetzt keine Lücke aber fehlende Schutzschicht!
CORS-Header. Wenn keiner gesetzt ist, meldet ZAP das vorsichtshalber. Betrifft -Tags ohne integrity=-Attribut. Das schützt vor Manipulation externer Skripte. Nicht kritisch, aber empfehlenswert
NGINX version ist öffentlich.

Wenn man hier schon den Pentester spielt, dann bitte richtig, mit echter Aufklärung und nicht mit irgendwelchen Märchen und Fake Analysen, die man selbst gar nicht geprüft hat, nur um wichtig zu wirken. ^^

Fazit also:
Der ZAP-Scan meldete mehrere potenzielle Schwachstellen, die sich bei manueller Überprüfung als nicht ausnutzbar oder falsch positiv herausgestellt haben

Ich bin aber noch nicht fertig und werde weiter berichten, weil ich mit dem Scannen jetzt erst richtig loslege.

Ich bin jetzt mal auf deine Antwort gespannt. Nicht alle sind in der Websicherheits-Thematik so ahnungslos. Da musst du eben damit rechnen, dass du irgendwann konfrontiert wirst und dann bröckelt die Fassade.

VIP · 20. Dezember 2025 um 20:51

Ih kann dir nur empfehlen, anstatt Verdünnung eher Cola in den Lack zu kippen bevor du ihn ext…

Wer lesen kann, ist klar im Vorteil und weit vorne! Das Dingen hier soll ja auch nur das allernötigste zeigen, um einen direkten Vergleich zum Interview in die Köpfe zu bringen.
Die beiden anderen Berichte sind über 60 Seiten lang und zeigen einige Highs mehr an, als dein genannter 429er. Bei mind. zwei davon konnte sqlmap einen Einstiegspunkt finden. Mittels Burp hätte auch das Fuzzing dort funktioniert. Feierabend…
Und nochmal für dich zum Mitschreiben → Das Forum und / oder sämtliche bescheidenen Konfigurationen sind mir scheißegal!
Ich wollte lediglich die Aussagen aus dem Interview relativieren, denn demnach dürfte es diese ganzen Fehler (egal, welcher Schweregrad) erst gar nicht geben…
Man muss auch nicht zig Proxies für seine Infra mieten, wenn ntop mit PRTG zusammen, in nicht einmal 10 Minuten das Muttertier trotzdem identifizieren kann.
Da du ja top informiert bist, frage ich dich → Wie kommste auf Germania?? Bock gehabt auf false-positive??

anon60158052 · 20. Dezember 2025 um 21:34

Gute Idee, vielleicht sprudelts dann hier wenigstens ein bisschen Kompetenz und wissen mit hoch.

Das ergibt für mich keinen Sinn… Wenn du „nur das Allernötigste“ zeigen willst, um deine Aussage zu belegen, warum postest du dann ausgerechnet Findings, die offensichtlich False Positives sind, statt der eindeutigen Treffer?

Der Schluss ist für mich nicht schlüssig, Interview-Aussagen kannst du nur dann „relativieren“, wenn du nachweislich echte Sicherheitslücken belegst. Scanner-Findings ohne verifizierbaren Nachweis, gerade wenn es False Positives oder Low-Impact-Konfigurationen sind sagen doch nichts darüber aus, ob die im Interview beschriebenen Server tatsächlich dann doch nicht so betrieben werden. Das reiner Unfug und wichtigtuerei

ntop + PRTG sind super fürs eigene Monitoring – ist ja klar, oder? Aber so viel dazu.

Hast du eigentlich schon mal eine Seite wirklich kompromittiert. Ernst gemeinte Frage!

Ich fand dich eigentlich sympathisch, aber langsam wirkt es so, als würdest bei vielen Artikel auf Tarnkappe einfach nur Scan-Ergebnisse posten, um wichtig zu wirken. Prüfe vorher doch einfach mal, ob man damit überhaupt was anfangen kann „Einstiegspunkte“ finde ich dir auch bei Google, Facebook, FBI

Ich kann dir ein paar E-Books ans Herz legen, wenn du magst.
Ich behaupte ja auch nicht, dass Tarnkappe Lücken hat, poste dann einen ZAP-Bericht mit False Positives und schreibe anschließend: „Die anderen Berichte sind aber RISKY!“

Die einzigen Berichte, die ich sehen kann, sind von ZAP und nutzlos ich verstehe auch nicht, warum man die überhaupt hochlädt. Du behauptest, die Seite sei gefährdet und voller Lücken, und postest dann nur offensichtliche False Positives aus einem Scanner.
Damit beeindruckst du vielleicht technische Laien auf Tarnkappe aber mit allen Respekt.

Die „beiden Berichte über 60 Seiten“ sind dann im Nirwana oder was?

Ich scanne die Seite gerade selbst. Klar, es könnte sein, dass sich irgendwo etwas ausnutzen lässt, keine Frage. Das will ich hier auch gar nicht ausschließen. Aber wenn ich sehe, dass jemand „Lücke!“ und „HIGH“ schreibt und dann irgendwelche False Positives aus einem One-Click-Scanner postet von ZAP, kriege ich als alter Free-Hack-Hase echt Gänsehaut.

zeur · 20. Dezember 2025 um 22:37

Leute, bitte einmal einen Gang runter. Persönliche Angriffe, Spekulationen, irgendwelche Behauptungen ins Blaue und Provokationen bringen niemandem etwas.

Die o.g IP gehört zu unserem DDoS-Proxy. Dort läuft vDDoS (vDDoS-Protection). Das ist nichts Geheimes und wird perspektivisch ohnehin öffentlich sein.

@VIP Danke fürs Teilen des Scanberichts. Ich kann daraus nur leider nichts reproduzierbar nachvollziehen. Dafür fehlen konkrete Angaben (Endpoint/Parameter + Response/Evidence).

Wir nutzen eine ältere Version der Forensoftware. Diese wird seit Jahren in der Szene von vielen Forenbetreibern in der Grauzone bzw. auf Marktplätzen genutzt , teils auch von Foren mit hohem Marktwert (100.000 €). Kennt ihr ein einziges dieser Foren, das wirklich gehackt wurde? Bei solchen Summen hätte es sich ja gelohnt.

Wer konkrete Schwachstellen gefunden hat, kann sie gerne reproduzierbar posten oder mir verantwortungsvoll per PN melden. Ich schaue mir das gern an und fixe es, falls nötig. Bis jetzt sind mir keine wirklich hochriskanten Schwachstellen bekannt, und die Seite wurde vor dem Launch testweise sogar ohne WAF und ohne Firewall-Regeln gescannt. Trotzdem lerne auch ich immer dazu.

Alles andere sind nur Behauptungen. Dafür muss man sich hier doch nicht beefen.

Ich bedanke mich auch für die großartige Resonanz auf das Interview. Dass es manchen offenbar nicht so gefallen hat, ist aber okay. Ich und mein Projekt können und müssen nicht jedem gefallen. Das ist völlig in Ordnung.

Liebe Grüße,
zeur