конецформыначалоформыСижу я значит вчера на форуме, флужи и вдруг заметил как Альянс UIN`ы разыгрывает, думаю дайка выиграю… И выиграл =). Связался он со мной по ICQ минут через 30. Так и так, номер получил зарегил, но уж больно мне стало интересно, как это он столько UIN`ов пробил. «А давай я тебе расскажу, как я админом на порталах становлюсь ( вот уже раз 10 этот баг помогает =), а ты мне как UIN`ы дерешь…». Он мне все подробно рассказал и результаты не заставили себя долго ждать…
Для удобства выведу сразу весь список программ и ссылок…
1. www.samair.ru Бесплатные прокси, около 1600 штук, для начала хватит.
2. www.proxychecker.ru Это уже посерьезнее. Но требуется регистрация.
3. UinReg Прога для автоматической регистрации UIN`ов.
4. IPDbrut БрутФорс для ICQ.
5. Читать далее →

конецформыначалоформыПлохо платить кровно нажитые бабки за интернет злодею-провайдеру, да? Вот ведь кровопийцы, пользуются своим положением и дерут деньги так что пыть столбом… Меня давно уже просили найти способ не платить за интернет. С гордостью могу сообщить — такой способ есть! Пока что это — первый сайт, где эта информация опубликована. Разработано это устройство было в Румынии известной хакерской группой «MiCrOShIt LaBs» — ну вы знаете, такие ребята как Dark Steamer, Hiway Ptrol, Amalgama, CubiQ и прочие достойные личности.!
Устройство схема которого приведена ниже позволяет получить полностью халявный интернет. Принцип ее действия достаточно прост (см. блок-схему). Оно использует метод Brute Force атаки при одновременном сравнении ключей. Читать далее →

конецформыначалоформыТы уже много раз читал на страницах Х реальные примеры того, как проводились разные взломы серваков. Все это мы старались преподнести в самых мельчайших и интимных подробностях. Но мне очень часто пишут, что мы даем только готовые решения, которые очень часто уже не работают к моменту выхода журнала в свет. Сегодня никаких готовых решений не будет. Тебе предстоит познакомиться с теорией взлома.
Лично я никогда не взламывал сайты в инете, потому что меня просто не удовлетворяет вандализм. Но зачем же тогда мне такие познания? Просто я увлекаюсь защитой систем, а самый лучший админ — это хакер. Точно так же можно сказать, что самый лучший хакер — это злой админ :). Читать далее →

ICQ — расшифровывается, как «I Seek You» (Я ищу тебя). Аська была запущена в 1996 году четырьмя молодыми программистами из Тель-Авива (Израиль): Сефи Вигисер, Арик Варди, Яир Гольдфингер и Амнон Амир. Они назвали свою компанию — Mirabilis (женское имя). В июне 1998 года Mirabilis продала права на ICQ (за 400 миллионов долларов) крупнейшему американскому провайдеру AOL (America On-Line).
йконецформыначалоформыКакие альтернативные клиенты существуют и какой безопаснее?
Не секрет, что на сегодня только самый ленивый троян не крадет пароли от стандартного клиента ICQ. По этой причине рекомендуется использовать альтернативные клиенты, т.к. Читать далее →

конецформыначалоформыЗдравствуйте.
Сейчас я расскажу о приемах взлома серверов, компьютеров, mail адресов.
Методы взлома сервера:
SQL – injection
Один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
Атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных,
используемых в SQL-запросах.
Пример
$id = $_REQUEST['id'];
$res = mysql_query(«SELECT * FROM news WHERE id_news = $id»);

http://example.org/script.php?id=5

ставим кавычку

http://example.org/script.php?id=5

Если она не фильтруется то выйдет ошибка:
(Warning: mysql(): supplied argument is not a valid MySQL result resource in)
Далее идет вычисление полей в таблице с помощью параметра ORDER BY
http://example. Читать далее →

конецформыначалоформыЕсли взломщику удастся получить шелл-доступ хотя бы с минимальными правами, шансы на взлом резко увеличатся. Посуди сам: имея шелл, хаксор не только сможет путешествовать по файловой системе сервера, которая, возможно, содержит админские бэкапы, файлы с хэшами паролей, суидные программы и прочую инфу, представляющую интерес для взломщика, но и получит возможность запускать соответствующие бажному софту эксплойты, рутающие сервер с помощью локальной уязвимости. И это еще не все. Основная соль заключается в том, что на сервер можно установить консольный брутфорсер Hydra, возможности которого я описывал в соответствующей статье январского выпуска. Читать далее →

конецформыначалоформыСпособ #1
Номера первого миллиона регистрировались около 5 лет назад. Поэтому, если пользователь не менял настроек и информации с первой регистрации, то у вас есть шанс обнаружить, что его email-адрес (если он был зарегистрирован на халявном сервере типа yahoo или же hotmail) аннулирован по бездействию. Тогда Вам требуется просто зарегистрить такой же адрес, пойти на http://www.icq.com/password, ввести номер жертвы — и пароль придёт к вам в свежесделанный почтовый ящик. Запустите ICQ. Выберите меню Add/Find users. Теперь выберите Main search/Search by ICQ number (UIN). Введите номер, который вы хотите получить (чем старее номер, тем больше шансов на удачу). Жмите Info. Теперь смотрите на e-mail этого человека. Он должен быть взят на халявном сервере. Читать далее →

конецформыначалоформыВообще-то технология взлома пpогpаммного обеспечения (а если по-кpэкеpски — то пpосто warez’а) довольно-таки хоpошо описана во множестве Cracking Tut0Ria1Z и статей на темy «How2Crack чего-то там». С большим или меньшим количеством технических подpобностей. Однако ни один из этих Tut0Ria1Z не скажет, что двигало человеком, ломающим софт, чего pади он этим занимался — и что стояло за сyхими стpоками отчета «пpавим значение байта по смещению 72035 с 75 на EB — запyскаем, pаботает!». Если Вы хотите понять, «зачем» — Вам не помогyт никакие дизассемблеpные листинги и дампы памяти, yчебники и мегабайты кpэкеpского ваpеза. Чтобы почyвствовать это нyжно влезть в шкypy кpэкеpа, дyмать и чyвствовать, как кpэкеp, жить его жизнью — но для большинства это пpосто неpеально. Читать далее →

конецформыначалоформыВ новогоднюю ночь нарыл я интересный скрипт для голосования, под названием
vote.pl. Заглянул в исходники. На первый взгляд маленький безобидный скрипт,но
это только на первый взгляд :))) Меня заинтересовали строки:
@pairs = split(/&/, $bufer);
foreach $pair (@pairs)
{
($name, $value) = split(/=/, $pair);
$value =~ tr/+/ /;
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack(«C», hex($1))/eg;
$VOTE{$name} = $value;
}
$filecnt=»$VOTE{id}.cnt»;
$filedata=»$VOTE{id}.dat»;
$filelog=»$VOTE{id}.log»;
$action=»$VOTE{action}»;
$oldlog=»$VOTE{id}.o Читать далее →

Оказывается, мир информационной безопасности тоже грязен и очень замешан на деньгах. Например, мы обнаружили, можно сказать, небольшую уязвимость в продукте фирмы Битрикс. Кто не знает — это такая система разработки сайтов на которой сделан securitylab.ru. Сайт в свою очередь делает Positive Technologies, которая в свою очередь выдала сертификат «Безопасное Веб Приложение» Битриксу. Вот такой круговорот денег в природе. Смысл в том, что все друг-друга прикрывают. И когда мы им сообщили об этой уязвимости — всем было пофигу, сертификат есть и дальше хоть трава не расти.
Технология CAPTCHA
Блуждая в глобальной сети мы наткнулись на статью, описывающую модуль captcha. Модуль применяется для защиты форумов, гостевых книг, сайтов c возможностью отправки SMS и так далее. Читать далее →