это наш химический дом для печальных жителей Земли

меня не любят девушки или как накрутить анкету в Фотостране

Есть такой замечательный сайт знакомств Фотострана. Там разнополые, впрочем не всегда, жаждут встретить друг друга и слиться в сексуальном экстазе в единое целое, это не мои домыслы, именно в таком ключе меня познакомили с этим сайтом, видимо у кого-то был высокий CTR на это дело. Процент реальных анкет, насколько я могу судить по своему опыту, там гораздо больше чем в ВК, а следовательно вероятность реальной встречи, что само по себе звучит ужасающе для компьютерных социопатов, довольно велика. Разумеется, чтобы анкету заметили пачки нимфоманок с бешенством матки или крутые поцаны со спермотоксикозом и рваной ширинкой, необходимо сначала грамотно засветить свой мужественный/женственный профиль. О том, как автоматизировать долгий процесс популяризации анкеты здесь и пойдет речь.
В Твиттере Lukmus раскрылся как секссимвол
читать полностью →

referer-спам

Я частенько смотря статистику молодых сайтов или не столь популярных сайтов (типо этого блога), интересуюсь с какого сайта зашли на мой. Хотя бы для того чтобы узнать где размещена молодая ссылка на мой сайт т.к. в статистиках/счетчиках она быстрее зафиксируется, чем в инструментах вебмастера от Яндекса или Гугла. Порой перехожу по этим ссылкам. Ну, а какой URL фигурирует в статистиках, разумеется тот который указан в Referer заголовка HTTP-запроса.
Короче, я думаю, что реферерами в статистике интересуюсь не только я.
читать полностью →

добавляем авторизацию к AK-74 Web-shell

AK-74 – отличный шелл, там нет крутых наворотов, AJAX’а и прочей красоты, совершенно не нужной в таком деле. Однако там нет и еще одной вещи, на мой взгляд важной – авторизации. Вероятно, авторы шелла, к сожалению не знаю ссылки на создателей, думали, что любой пользователь сам в состоянии дописать авторизацию т.к. код скрипта прост и нагляден. Там и вправду ничего сложного нет. читать полностью →

поиск админок на множестве сайтов

поиск админкиИногда бывает такая ситуация, когда допустим получив доступ к базе и слив оттуда все пароли нужно найти тот скрипт, где эти пароли подойдут. Все бы было ничего, если бы админка находилась на том же сайте что и уязвимое место. Тогда бы мы просто просканировали сайт по списку, допустим тем же Havij’ом. читать полностью →

особенности файловой системы UFS на Solaris

Недавно возникла у меня неординарная ситуация. Сайт располагался на Solaris 9 и была там слепая Sql-inj (под которую собственно и был написана предыдущая статья). Так как там была MySQL 3 ни о каких UNION и подзапросах речь не шла. Шелл тоже не заливался. Единственное, что я мог так это читать файл через LOAD_FILE. читать полностью →

автоматизация слива через blind sql-inj

sql-injВыкладываю пару скриптов автоматизации слива данных из слепой скули.

Первый скрипт долгий т.к. однопоточный, зато точный т.е. стопудов однозначно вычислит символ до которого дошел. Второй многопоточный, иногда немного недовычисляет при частых обрывах сети, однако допустим для вычисления текста файла функцией MySQL LOAD_FILE в самый раз т.к. гораздо быстрее обработает длинный текст, а не досчитанные символы можно самому догадатся или же пробежатся по ним первым скриптом. читать полностью →

авария на Ленэнерго или конверт с мертвого контакта лучше живых двух

Я думаю всем прекрасно известно, что сегодня около 5-ти часов вечера Вконтакте.ру упал и долго не вставал. В мире воцарила паника и анархия: марадеры грабили магазины, женщины и дети прятались в бомбоубежищах, бунтари переворачивали автомобили и разбрасывались бутылками с зажигательной смесью, короче как обычно. читать полностью →

AOL сошел с ума или авторегер на mail.com

Не понятно какие тараканы укусили админов AOL, но подконтрольный AOL’у сервис mail.com с какого-то перепуга отменил капчу при регистрации мыла.

В связи с этим событием, с которым может сравнится только финал ЧМ-2010, в адекватности судьи которого, кстати, я не уверен и не признаю никакого другого ЧМ кроме Нидерландов,  я считаю просто необходимо написать авторегер под эту штуку. читать полностью →

спамим МирТесен

Во-первых, хотелось бы отметить недобросовестность веб-мастеров и верстальщиков этой СС, так например, если заходить на нее через линуксовую мозиллу, то заглавная страница предоставляет не совсем дружественный интерфейс: читать полностью →

распределенный POP3-брутфорс или брут мыл через фрихосты

Современные почтовые сервера поголовно ограничивают попытки авторизации с одного IP, однако если этот IP принадлежит какой-нибудь хостинговой конторе, то обычно для нее делаются небольшие исключения и количество попыток увеличиваются. На этом я хочу сыграть.

Ниже я покажу как можно бесплатно (обычные брутфорсы обычно работают через прокси/соксы, которые либо бесплатные и очень долгие, либо платные) и главное быстро перебирать пароли к ящикам.
Моя первоначальная идея состояла в организации злой бот-сети из фрихостов, но об этом я расскажу в другой статье, пока лишь ограничимся одной функцией бота – попытка авторизации на POP3-сервере. читать полностью →