это наш химический дом для печальных жителей Земли

меня не любят девушки или как накрутить анкету в Фотостране

Есть такой замечательный сайт знакомств Фотострана. Там разнополые, впрочем не всегда, жаждут встретить друг друга и слиться в сексуальном экстазе в единое целое, это не мои домыслы, именно в таком ключе меня познакомили с этим сайтом, видимо у кого-то был высокий CTR на это дело. Процент реальных анкет, насколько я могу судить по своему опыту, там гораздо больше чем в ВК, а следовательно вероятность реальной встречи, что само по себе звучит ужасающе для компьютерных социопатов, довольно велика. Разумеется, чтобы анкету заметили пачки нимфоманок с бешенством матки или крутые поцаны со спермотоксикозом и рваной ширинкой, необходимо сначала грамотно засветить свой мужественный/женственный профиль. О том, как автоматизировать долгий процесс популяризации анкеты здесь и пойдет речь.
В Твиттере Lukmus раскрылся как секссимвол
читать полностью →

referer-спам

Я частенько смотря статистику молодых сайтов или не столь популярных сайтов (типо этого блога), интересуюсь с какого сайта зашли на мой. Хотя бы для того чтобы узнать где размещена молодая ссылка на мой сайт т.к. в статистиках/счетчиках она быстрее зафиксируется, чем в инструментах вебмастера от Яндекса или Гугла. Порой перехожу по этим ссылкам. Ну, а какой URL фигурирует в статистиках, разумеется тот который указан в Referer заголовка HTTP-запроса.
Короче, я думаю, что реферерами в статистике интересуюсь не только я.
читать полностью →

сексуальный Firefox от SynQ

Я не имею никакое отношение к этой штуке, мне она просто очень понравилась. Все благодарности и восторженные вопли поправу должны принадлежать SynQ.

читать полностью →

реализация DoS медленного POST

8-го ноября была опубликована новость о новой уязвимости HTTP, а так же некоторых других протоколов прикладного уровня:

Уязвимость опирается на так называемый «медленный» POST-трафик, который затруднительно дифференцировать от законного обмена данными. DDOS-атаки легко проводить в окружении многопользовательских онлайновых игр как среды распределенных компьютерных сетей, затрагивающих массу вычислительных систем. читать полностью →

добавляем авторизацию к AK-74 Web-shell

AK-74 – отличный шелл, там нет крутых наворотов, AJAX’а и прочей красоты, совершенно не нужной в таком деле. Однако там нет и еще одной вещи, на мой взгляд важной – авторизации. Вероятно, авторы шелла, к сожалению не знаю ссылки на создателей, думали, что любой пользователь сам в состоянии дописать авторизацию т.к. код скрипта прост и нагляден. Там и вправду ничего сложного нет. читать полностью →

поиск админок на множестве сайтов

поиск админкиИногда бывает такая ситуация, когда допустим получив доступ к базе и слив оттуда все пароли нужно найти тот скрипт, где эти пароли подойдут. Все бы было ничего, если бы админка находилась на том же сайте что и уязвимое место. Тогда бы мы просто просканировали сайт по списку, допустим тем же Havij’ом. читать полностью →

особенности файловой системы UFS на Solaris

Недавно возникла у меня неординарная ситуация. Сайт располагался на Solaris 9 и была там слепая Sql-inj (под которую собственно и был написана предыдущая статья). Так как там была MySQL 3 ни о каких UNION и подзапросах речь не шла. Шелл тоже не заливался. Единственное, что я мог так это читать файл через LOAD_FILE. читать полностью →

автоматизация слива через blind sql-inj

sql-injВыкладываю пару скриптов автоматизации слива данных из слепой скули.

Первый скрипт долгий т.к. однопоточный, зато точный т.е. стопудов однозначно вычислит символ до которого дошел. Второй многопоточный, иногда немного недовычисляет при частых обрывах сети, однако допустим для вычисления текста файла функцией MySQL LOAD_FILE в самый раз т.к. гораздо быстрее обработает длинный текст, а не досчитанные символы можно самому догадатся или же пробежатся по ним первым скриптом. читать полностью →

активная XSS плагин mystat wordpress

Плагин MyStat для WordPress один из самых популярных плагинов статистики посещаемости. Официальная локация плагина – http://wordpress.org/extend/plugins/mystat/.

Актиная XSS наблюдается в таких разделах плагина как ‘Рефереры’, ‘Агенты’ итд, короче везде, где наблюдаются данные заголовка HTTP-пакета, разумеется кроме кукисов.
читать полностью →

авария на Ленэнерго или конверт с мертвого контакта лучше живых двух

Я думаю всем прекрасно известно, что сегодня около 5-ти часов вечера Вконтакте.ру упал и долго не вставал. В мире воцарила паника и анархия: марадеры грабили магазины, женщины и дети прятались в бомбоубежищах, бунтари переворачивали автомобили и разбрасывались бутылками с зажигательной смесью, короче как обычно. читать полностью →