nikto что дальше делать

Magnit · 30.05.2018

Найдены такие уязвимости, принт выше.
Где искать по ним информацию?
Пробовал в Exploit-DB вбивать OSVDB-* ненаходит таких уязвимостей, если ввожу в гугл, попадаю на подобные моей темы(What I can do with this? и список уязвимостей).

Citizen0 · 30.05.2018

У Вас же все написано.
Например, "Cookie .... httponly flag"
Если найдете xss, то сможете утащить сессионную куку.

Касательно OSVDB

Magnit · 30.05.2018

Все эти ошибки получены при при прохождении CTF
Конечно не может не заинтересовать уязвимость
+ OSVDB-44056: /sips/sipssys/users/a/admin/user: SIPS v0.2.2 allows user account info (including password) to be retrieved remotely.
Перешел по ссылке получил такую страницу:

{"JS_DECIMAL_SEPERATOR_AND_GROUPING_SEPERATOR_CANT_BE_SAME":"Decimal seperator and Grouping seperator cant be same","JS_ENTER_CONFIRMATION_PASSWORD":"Please enter your password confirmation.","JS_ENTER_NEW_PASSWORD":"Please enter your new password.","JS_ENTER_OLD_PASSWORD":"Please enter your old password.","JS_INVALID_PASSWORD":"You must specify a valid username and password.","JS_PASSWORD_CHANGE_FAILED_1":"User password change failed for ","JS_PASSWORD_CHANGE_FAILED_2":" failed. The new password must be set.","JS_PASSWORD_INCORRECT_OLD":"Incorrect old password specified. Re-enter password information.","JS_REENTER_PASSWORDS":"Please re-enter passwords. The \\\"new password\\\" and \\\"confirm password\\\" values do not match.","AM":"AM","INVALID_NUMBER":"Invalid number","INVALID_NUMBER_OF":"Invalid number of","JS_ACCEPT_ONLY_NUMBER":"Accepts only numbers","JS_ACCEPT_POSITIVE_NUMBER":"Accepts only positive numbers","JS_ALLOWED_TO_SELECT_MAX_OF_THREE_RECORDS":"You are allowed to select a maximum of three records","JS_ARE_YOU_SURE_TO_DELETE_WIDGET":"Are you sure to delete widget","JS_CAN_NOT_REMOVE_DEFAULT_WIDGET":"Cannot remove Default Widget","JS_CHECK_FILE_INTEGRITY":"Check File Integrity","JS_CONTAINS_ILLEGAL_CHARACTERS":"contains illegal characters","JS_CURRENT_DATE":"Current Date","JS_DO_NOT_HAVE_AN_EMAIL_ID":"does not have an email address","JS_DUPLIACATE_ENTRIES_FOUND_FOR_THE_VALUE":"Duplicate entries found for the value","JS_DUPLICATE_ENTRIES_FOUND_FOR_THE_VALUE":"Duplicate entries found for the value","JS_DUPLICATE_RECORD":"Duplicate Record","JS_DUPLICTAE_CREATION_CONFIRMATION":"Organization Name already Exists.Do you want to create a duplicate record?","JS_EMAIL_SERVER_CONFIGURATION":"Please configure your outgoing server settings from the settings page","JS_END_DATE_TIME":"End Date & Time","JS_ERROR":"Error","JS_FAILED_TO_SAVE":"Failed to save changes on server","JS_FIELD_MAPPED_MORE_THAN_ONCE":"Field mapped more than once","JS_IMPORT_FILE_CAN_NOT_BE_EMPTY":"Import File cannot be Empty","JS_INFORMATION":"Information","JS_INVALID_PAGE_NUMBER":"Invalid Page Number","JS_IS_DISABLED":"is disabled","JS_IS_ENABLED":"is enabled","JS_ITEMS":"items","JS_ITEMS_DELETED_SUCCESSFULLY":"Items Deleted Successfully","JS_ITEM_ADDED_SUCCESSFULLY":"Item added Successfully","JS_ITEM_RENAMED_SUCCESSFULLY":"Item Renamed Successfully","JS_LBL_ARE_YOU_SURE_YOU_WANT_TO_DELETE":"Are you sure that you want to delete?","JS_LBL_CANCEL":"Cancel","JS_LBL_COMMENT_VALUE_CANT_BE_EMPTY":"Comment value cannot be empty","JS_LBL_PERMISSION":"Permissions","JS_LBL_SAVE":"Save","JS_MAP_MANDATORY_FIELDS":"Please map mandatory fields","JS_MAP_NAME_ALREADY_EXISTS":"Map Name already exists","JS_MAP_NAME_CAN_NOT_BE_EMPTY":"Map Name cannot be empty","JS_MASS_EDIT_LIMIT":"Mass Edit operation can be done on 500 or less records at a time","JS_MAX_FILE_UPLOAD_EXCEEDS":"max file Upload exceeds","JS_MAX_TAG_LENGTH_EXCEEDS":"Tag length exceeds max size","JS_MESSAGE":"Message","JS_MINUTES":"mins","JS_MODULE_DISABLED":"Module Disabled","JS_MODULE_ENABLED":"Module Enabled","JS_MORE_THAN_ONE_ITEM_SELECTED":"More than one Item selected","JS_NO_CREATE_OR_NOT_QUICK_CREATE_ENABLED":"No create permissions or not enabled for quick create","JS_NO_ITEM_SELECTED":"No item Selected","JS_NO_RECORDS_RELATED_TO_THIS_FILTER":"No Records Related to this Filter","JS_NO_RESULTS_FOUND":"No Results Found","JS_NO_VIEW_PERMISSION_AFTER_SAVE":"You will not have permissions to view this record after save. Would you like to continue?","JS_NUMBER_SHOULD_BE_LESS_THAN_32":"Number should be less than 32","JS_PAGE_NOT_EXIST":"Page not exist","JS_PBX_CALL_FROM":"Call From","JS_PBX_FILL_ALL_FIELDS":"Please fill all the fields","JS_PBX_INCOMING_CALL":"Incoming Call","JS_PBX_OUTGOING_FAILURE":"Call Failed","JS_PBX_OUTGOING_SUCCESS":"Pick up the extension receiver to dial the number","JS_PERCENTAGE_VALUE_SHOULD_BE_LESS_THAN_100":"Percentage value should be less than 100","JS_PHONE_NUMBER_LENGTH_EXCEEDED":"phone number length exceeded limit","JS_PLEASE_ENABLE_BASE_CURRENCY_FOR_PRODUCT":"Please enable base currency for product","JS_PLEASE_ENTER_A_TAG":"Please enter a tag","JS_PLEASE_ENTER_DECIMAL_VALUE":"Please enter decimal value","JS_PLEASE_ENTER_INTEGER_VALUE":"Please enter integer value","JS_PLEASE_ENTER_PRIMARY_EMAIL_VALUE_TO_ENABLE_PORTAL_USER":"Please enter Primary email address to enable portal user","JS_PLEASE_ENTER_SOME_TEXT_FOR_COMMENT":"Please enter some text for comment","JS_PLEASE_ENTER_SOME_VALUE":"Please enter some value to search","JS_PLEASE_ENTER_VALID_DATE":"Please Enter Valid Date","JS_PLEASE_ENTER_VALID_EMAIL_ADDRESS":"Please enter a valid email address","JS_PLEASE_ENTER_VALID_TIME":"Please Enter Valid Time","JS_PLEASE_SELECT_AN_ACCOUNT_TO_COPY_ADDRESS":"Please select an Organization to copy address","JS_PLEASE_SELECT_AN_CONTACT_TO_COPY_ADDRESS":"Please select a Contact to copy address","JS_PLEASE_SELECT_ATLEAST_ONE_MANDATORY_FIELD":"Please select at least one Mandatory Field","JS_PLEASE_SELECT_ATLEAST_ONE_OPTION":"Please select at least one option","JS_PLEASE_SELECT_BASE_CURRENCY_FOR_PRODUCT":"Please select base currency for product","JS_PLEASE_SELECT_ONE_FIELD_FOR_MERGE":"Select at least one field for merge criteria","JS_PLEASE_SELECT_ONE_RECORD":"Please select at least one record","JS_PLEASE_SPLIT_FILE_AND_IMPORT_AGAIN":"Please split the file into smaller files and import again.","JS_POSTPONE":"Postpone","JS_PRIMARY_EMAIL_FIELD_DOES_NOT_EXISTS":"Primary email field does not exist to enable portal user","JS_RECORDS_ARE_GETTING_DELETED":"Records are getting deleted","JS_RECORDS_TRANSFERRED SUCCESSFULLY":"Records ownership has been transferred successfully","JS_RECORD_GETTING_DELETED":"Record getting deleted","JS_REQUIRED_FIELD":"* This field is required","JS_SELECTED_ACCOUNT_DOES_NOT_HAVE_AN_ADDRESS":"Selected Organization does not contain address to copy","JS_SELECTED_CONTACT_DOES_NOT_HAVE_AN_ADDRESS":"Selected Contact does not contain address to copy","JS_SELECT_ATLEAST_TWO_RECORD_FOR_MERGING":"Select atleast two records for merging","JS_SELECT_FILE_EXTENSION":"Please select a file with the following extension:","JS_SELECT_MODULE":"Please Select Module","JS_SELECT_RECORDS_TO_MERGE_FROM_SAME_GROUP":"You have to select the records in the same groups for merging","JS_SHORTCUT_ALREADY_ADDED":"This shortcut is already added","JS_SHOULD_BE_GREATER_THAN_CURRENT_DATE":"should be greater than Current Date","JS_SHOULD_BE_GREATER_THAN_OR_EQUAL_TO":"should be greater than or equal to","JS_SHOULD_BE_LESS_THAN_CURRENT_DATE":"should be less than Current Date","JS_SHOULD_BE_LESS_THAN_OR_EQUAL_TO":"should be less than or equal to","JS_SMS_SERVER_CONFIGURATION":"Please configure your SMS notifier from the SMS notifier settings page","JS_START_DATE_TIME":"Start Date & Time","JS_SUCCESSFULLY_PINNED":"Shortcut added successfully","JS_SUCCESSFULLY_UNPINNED":"Shortcut removed successfully","JS_TAG_NAME_ALREADY_EXIST":"Tag name already exist","JS_THIS_DOCUMENT_HAS_ALREADY_BEEN_SELECTED":"This Document has already been attached","JS_THIS_FILE_HAS_ALREADY_BEEN_SELECTED":"This File has already been selected","JS_TOTAL_RECORDS":"Total records","JS_UPLOADED_FILE_SIZE_EXCEEDS":"Uploaded file size exceeds","JS_UPLOADED_FILE_SIZE_SHOULD_BE_LESS_THAN":"Upload file size should be less than","JS_USER_EXISTS":"User Already Exists","JS_VALUE_SHOULD_BE_GREATER_THAN_ZERO":"value should be greater than zero","JS_VALUE_SHOULD_NOT_BE_LESS_THAN":"Frequency of any cron job configured should not be less than","JS_YOU_ARE_IN_PAGE_NUMBER":"You are in page number","JS_YOU_CAN_SELECT_ONLY":"You can select only","LBL_DELETE_CONFIRMATION":"Are you sure you want to delete?","LBL_DELETE_USER_CONFIRMATION":"When a User is deleted, the user will be marked as \"Inactive\" and no new records can be assigned to the User, and the user will not be able to login. Are you sure you want to delete?","LBL_IMAGE_DELETED_SUCCESSFULLY":"Image Deleted Successfully","LBL_IMAGE_NOT_DELETED":"Image Not Deleted","LBL_MASS_DELETE_CONFIRMATION":"Are you sure you want to delete the selected Records?","LBL_NO":"No","LBL_YES":"Yes","NONE_OF_THE_FIELD_VALUES_ARE_CHANGED_IN_MASS_EDIT":"None of the field values are changed in Mass Edit","OVERWRITE_EXISTING_MSG1":"Overwrite the existing address with the selected ","OVERWRITE_EXISTING_MSG2":"address details?","PM":"PM","SHOULD_BE_LESS_THAN_TODAY":"Must occur before today","SINGLE_Accounts":"Organization","SINGLE_Contacts":"Contact","JS_HIDE_PROMOTION":"Hide Promotion","JS_SHOW_PROMOTION":"Show Promotion","JS_PLEASE_ENABLE_PRODUCT_OR_SERVICE_MODULE":"Please Enable Product or Service Module","LBL_SYNC_BUTTON":"Syncronize","LBL_SYNCRONIZING":"Syncronizing","JS_RECORDS_TRANSFERRED_SUCCESSFULLY":"Records ownership transferred successfully.","JS_CHANGES_WILL_BE_LOST":"Your Changes Will Be Lost!"}

Magnit · 30.05.2018

Спасибо Citizen0 за ответ, но или лыжи не едут или я удивлен
вводил OSVDB-724 и просто 724
ответ один и тот же

Citizen0 · 30.05.2018

Magnit сказал(а):
вводил OSVDB-724 и просто 724
ответ один и тот же

Ссылка скрыта от гостей

Magnit · 30.05.2018

Citizen0 сказал(а):
Ссылка скрыта от гостей

Cпасибо за ответ, но на ск-ко я понял по этой ссылке, тут как раз говорится как защититься от этой ошибки, а т.к. это CTF, то мне как раз нужно разобраться как использовать эту ошибку:

Citizen0 · 30.05.2018

Magnit сказал(а):
но на ск-ко я понял по этой ссылке, тут как раз говорится как защититься от этой ошибки,

Напротив

Technical Description
/cgi-bin/ans/ans.pl?p=…/…/…/…/…/usr/bin/id|&blah Looks for ‘uid=’ && ‘groups=’ in the results.

Также посмотрите дополнительные ссылки.
Например,

Ссылка скрыта от гостей

Magnit · 30.05.2018

Citizen0 сказал(а):
Напротив

Также посмотрите дополнительные ссылки.
Например,

Ссылка скрыта от гостей

Итак, то что вижу:
Понимаю, что здесь не используется никаких паттернов и поэтому возможна уязвимость и рекомендуют использовать паттерн для проверки вводимой строки.
То чего не понимаю, это как это использовать
К примеру в этой строке:
OSVDB-724: /ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.

Ссылка скрыта от гостей

default admin string 'admin:aaLR8vE.jjhss:root@127.0.0.1', password file location 'ans_data/ans.passwd'
Говорится, на ск-ко я понимаю англ, что можно как-то получить удаленно доступ к 'ans_data/ans.passwd' так же говорится, что по умолчанию
Login: admin
Pass: aaLR8vE.jjhss

Пишу так как я это понимаю при попытке воздействовать в лоб, т.е. перейти по линку

Ссылка скрыта от гостей

получаю:

Так же зная, что по умолчанию логин это admin пробую подобрать пароль:
Проблема - OWASP-ZAP fuzzer. В чем может быть ошибка?

P.S.
Конечно можно посмотреть прохождение этой лабаратории, но хотелось бы все понять на всех этапах
Из языков владею Java Spring, JS, My\PostgreSQL, CSS, HTML
Perl смотрел/изучал лет 17назад, ну Питон соответственно только от Идеи(pycharm-edu-2018.1.1) прошел частично ввод в основы программирования
Поэтому, возможно, то что видите и для Вас банально я просто не замечаю

n3d.b0y · 30.05.2018

Magnit сказал(а):
Итак, то что вижу:
Понимаю, что здесь не используется никаких паттернов и поэтому возможна уязвимость и рекомендуют использовать паттерн для проверки вводимой строки.
То чего не понимаю, это как это использовать
К примеру в этой строке:
OSVDB-724: /ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.
Ссылка скрыта от гостей
default admin string 'admin:aaLR8vE.jjhss:root@127.0.0.1', password file location 'ans_data/ans.passwd'
Говорится, на ск-ко я понимаю англ, что можно как-то получить удаленно доступ к 'ans_data/ans.passwd' так же говорится, что по умолчанию
Login: admin
Pass: aaLR8vE.jjhss

Пишу так как я это понимаю при попытке воздействовать в лоб, т.е. перейти по линку
Ссылка скрыта от гостей
получаю:
Посмотреть вложение 18844
Так же зная, что по умолчанию логин это admin пробую подобрать пароль:
Проблема - OWASP-ZAP fuzzer. В чем может быть ошибка?

P.S.
Конечно можно посмотреть прохождение этой лабаратории, но хотелось бы все понять на всех этапах
Из языков владею Java Spring, JS, My\PostgreSQL, CSS, HTML
Perl смотрел/изучал лет 17назад, ну Питон соответственно только от Идеи(pycharm-edu-2018.1.1) прошел частично ввод в основы программирования
Поэтому, возможно, то что видите и для Вас банально я просто не замечаю

Не хватает умение знания или еще чего то смотри как другие прошли на хабрхабр есть статься. Смысл тут спрашивать? И так известно что да как

Magnit · 30.05.2018

n3d.b0y сказал(а):
Не хватает умение знания или еще чего то смотри как другие прошли на хабрхабр есть статься. Смысл тут спрашивать? И так известно что да как

Я знаю точно одно, если копировать др ты ненаучишся ничему и никогда. Вместо понтов дайте ответы на мой вопрос, а не разводите флуд и да
есть на хабрхабре, но там не расказано, к примеру, как они подобрали пароль. Там фраза мы использовали Burp для подбора пароля.
OWASP-ZAP или BurpSuite для bruteforce ответ так и не получен
И есть куча др путей, какими можно пройти это задание.
Хочу найти свое.
Вообще сравнивая форум с cyberforum.ru(stackoverflow не берем по понятным причинам) очень плохая поддержка от знающих людей, Citizen0 Вам спс за ответы, не совсем понятные, но впервые за 4 темы были по делу

n3d.b0y · 30.05.2018

Magnit сказал(а):
Я знаю точно одно, если копировать др ты ненаучишся ничему и никогда. Вместо понтов дайте ответы на мой вопрос, а не разводите флуд и да
есть на хабрхабре, но там не расказано, к примеру, как они подобрали пароль. Там фраза мы использовали Burp для подбора пароля.
OWASP-ZAP или BurpSuite для bruteforce ответ так и не получен
И есть куча др путей, какими можно пройти это задание.
Хочу найти свое.
Вообще сравнивая форум с cyberforum.ru(stackoverflow не берем по понятным причинам) очень плохая поддержка от знающих людей, Citizen0 Вам спс за ответы, не совсем понятные, но впервые за 4 темы были по делу

Пойми одно данные лабы сделаны таким образам что бы ты мог пройти их без си и тому подобных методов. Ты конечно можешь упороться и искать уязвимость 0 day в crm но это займет слишком много времени. Так вот если у тебя есть страница входа и это первый этап, эксплойтов ты не нашел нада буртить. Пароль будет с вероятностью 99% популярный, по этому идешь сюда danielmiessler/SecLists и берешь словарь из популярных паролей дальше заливаешь их в любой брут и ждешь результат.

p.s Когда решаешь CTF забудь про фильмы о хакерах. Мысли более рационально! Ибо если начнешь фантазировать убьешь горазда больше времени.

И да ты не прав что если ты будешь читать прохождение других ты не чему не научишься. Дело в том что когда ты прочитаешь пару прохождений у тебя мышление будет по другому работать. Ибо щя ты придумываешь вероятно у себя в голове невероятные похождения хотя все гораздо проще

Magnit · 30.05.2018

n3d.b0y сказал(а):
Пойми одно данные лабы сделаны таким образам что бы ты мог пройти их без си и тому подобных методов. Ты конечно можешь упороться и искать уязвимость 0 day в crm но это займет слишком много времени. Так вот если у тебя есть страница входа и это первый этап, эксплойтов ты не нашел нада буртить. Пароль будет с вероятностью 99% популярный, по этому идешь сюда danielmiessler/SecLists и берешь словарь из популярных паролей дальше заливаешь их в любой брут и ждешь результат.

p.s Когда решаешь CTF забудь про фильмы о хакерах. Мысли более рационально! Ибо если начнешь фантазировать убьешь горазда больше времени.

И да ты не прав что если ты будешь читать прохождение других ты не чему не научишься. Дело в том что когда ты прочитаешь пару прохождений у тебя мышление будет по другому работать. Ибо щя ты придумываешь вероятно у себя в голове невероятные похождения хотя все гораздо проще

Cпс за нормальный ответ.
Я как раз и начал погружаться после того как брут не удался 3 раза используя ZAP и Brute использовал этот сайт и тоже не находит((
использовал словари из раздела password
darkweb2017-top1000.txt
darkweb2017-top10000.txt
ни один не нашел ничего, сайчас поставил darkc0de 250тыс проверенно и пароль не найден пока.

Но все равно не ясно и это интересно, вот выдала nikto уязвимости, а как их искать и использовать?
Ведь от такой:

+ OSVDB-724: /ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.

Ссылка скрыта от гостей

default admin string 'admin:aaLR8vE.jjhss:root@127.0.0.1', password file location 'ans_data/ans.passwd'
Интрес просто бешенный
Еще может ищу неправильно, есть нормальная документация по OWASP-ZAP? Вот, в фазинге куча настроек, а что с ними делать неясно.
Есть какой-то типа как по Spring

Ссылка скрыта от гостей

читай ск-ко хочешь все есть

Сергей Попов · 30.05.2018

Magnit сказал(а):
Cпс за нормальный ответ.
Я как раз и начал погружаться после того как брут не удался 3 раза используя ZAP и Brute использовал этот сайт и тоже не находит((
использовал словари из раздела password
darkweb2017-top1000.txt
darkweb2017-top10000.txt
ни один не нашел ничего, сайчас поставил darkc0de 250тыс проверенно и пароль не найден пока.

Но все равно не ясно и это интересно, вот выдала nikto уязвимости, а как их искать и использовать?
Ведь от такой:

+ OSVDB-724: /ans.pl?p=../../../../../usr/bin/id|&blah: Avenger's News System allows commands to be issued remotely.
Ссылка скрыта от гостей
default admin string 'admin:aaLR8vE.jjhss:root@127.0.0.1', password file location 'ans_data/ans.passwd'
Интрес просто бешенный
Еще может ищу неправильно, есть нормальная документация по OWASP-ZAP? Вот, в фазинге куча настроек, а что с ними делать неясно.
Есть какой-то типа как по Spring
Ссылка скрыта от гостей
читай ск-ко хочешь все есть

Вот так это выглядит:

Citizen0 · 31.05.2018

Magnit сказал(а):
Но все равно не ясно и это интересно, вот выдала nikto уязвимости, а как их искать и использовать?

Не все то золото, что блестит.
nikto, как и многие другие сканеры, дают false-positive результаты. И, если уязвимости по факту нет, то не нужно пытаться ее проэксплуатировать. Поэтому не доверяй и проверяй.

Magnit сказал(а):
Еще может ищу неправильно, есть нормальная документация по OWASP-ZAP? Вот, в фазинге куча настроек, а что с ними делать неясно.

Зачем Вам фаззинг? Это не брут в чистом виде.

Magnit сказал(а):
есть на хабрхабре, но там не расказано, к примеру, как они подобрали пароль. Там фраза мы использовали Burp для подбора пароля.

Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
Автор на примере Patator все разжевал. Там же я немного про burp немного написал.

Magnit · 01.06.2018

Спасибо огромное за развернутый ответ

Citizen0 сказал(а):
Не все то золото, что блестит.
nikto, как и многие другие сканеры, дают false-positive результаты. И, если уязвимости по факту нет, то не нужно пытаться ее проэксплуатировать. Поэтому не доверяй и проверяй.

Как проверять?
Просто попробовать пройтись по сайту используя выпавшие ссылки из nikto? Я думал, нужно подключать метасплоит для проверки ответов от nikto поэтому и искал описание уязвимостей и их эксплуатацию

Citizen0 · 01.06.2018

Magnit сказал(а):
Спасибо огромное за развернутый ответ
Как проверять?
Просто попробовать пройтись по сайту используя выпавшие ссылки из nikto? Я думал, нужно подключать метасплоит для проверки ответов от nikto поэтому и искал описание уязвимостей и их эксплуатацию

Что-то руками, что-то в автоматическом режиме, если есть для этого инструмент.

Касательно результата от nikto, связанного с OSVDB-724
Делаются get-запросы, и проверяется тело ответа на наличие uid=
Откройте, например, исходный код страницы

Ссылка скрыта от гостей

и Вы увидите

Код:

<img src='//stats.vtiger.com/stats.php?uid=&v=6.3.0&type=U' alt='' title='' border=0 width='1px' height='1px'>

stats.php?uid=

Все сервисы Codeby

Поиск

Поиск

nikto что дальше делать

Magnit

Вложения

Citizen0

Magnit

Magnit

Citizen0

Magnit

Citizen0

Magnit

n3d.b0y

Magnit

n3d.b0y

Magnit

Сергей Попов

Citizen0

Magnit

Citizen0