Про Skype и прочих

Posted on Март 8th, 2008 in Cracks by ctocopok

Skype - это один из многих IM (Instant Messengers), программа для мнгновенного обмена сообщениями. Сейчас на рынке полно таких. Тут тебе и ICQ, и MSN Messenger, и Odigo, и mail.ru Агент и черта в ступе. Все они были разработаны для того, чтобы писать короткие сообщения, типа электронной почты, но чтобы доставлялись не по команде получателя “собрать свежую почту”, а сразу же и автоматически. Бонусом была возможность видеть, в сети ли собеседник, или нет.

Skype был написан некими умельцами в хакерском стиле, причем так, чтобы разглядывать его “кишки” неопытному хакеру (исследователю) было бы крайне неудобно. Таковой стиль благотворно сказывается на пользователях - там, где прочие мессенджеры отказываются работать по причине плохо отконфигурированной сети, Скайпу все по фигу, работает.
Почти все перечисленные конкуренты скайпа имеют плагины/надстройки/расширения для того, чтобы обеспечивать общение пользователей голосом (если микрофоны есть), у скайпа же это - основная задача. Там, где конкуренты пасуют, не могут связать двух пользователей каналом связи у этой милой программки не возникает проблем.

Все здорово!

Но вот беда, обнаруженная случайно.
Если, скажем, на одном из компьютеров в сети подключена аська с номером ХХХ, и в это же время на другом компьютере подключается в сеть аська с тем же номером, первый абонент из сети “выпадет” и получит уведомление, мол, ваш номер вошел в сеть с другого компа.

Со скайпом все не так. Один и тот же абонент может находиться в сети с разных компьютеров ОДНОВРЕМЕННО. При этом, сообщения текстового чата будут получать оба.

Что это означает? допустим, у нас есть логин/пароль от человека, за которым мы следим. Запускаем скайп, смотрим, в сети ли тот человек, и, если в сети, тоже логинимся им. Теперь мы будем просто пассивными наблюдателями. Если нашему “клиенту” кто-то что-то напишет, мы получим это сообщение. Он тоже получит. И не узнает, что мы получили дубль. Мы также получим все сообщения, которые “клиент” писал в ответ. Об этом он тоже не узнает. Шикарно. Плохо только то, что по скайпу мало чатятся, в основном, голосом беседуют…

Popularity: 12%

Lasto Blog - keygen возможен.

Posted on Декабрь 10th, 2007 in Cracks by ctocopok

Как я уже писал ранее, появился у меня интерес к продукту от Мастера Ласто - движку его блога.
Какими-то неправдами в мои руки попал комплект скриптов сего продукта, версии LastoBlog-b v.08.02.07 first variant of relise.

В сравнении с тем же ворд-прессом, по пользовательским свойствам сей движок проигрывает вчистую. Начиная от инсталляции (хотя и там, и там инсталляция - нехитра), и заканчивая настройкой. Если у WP вся настройка заключается в том, что редактируется один (!!) файл, где прописывается три или четыре значения, после чего нужно открыть свой сайт в броузере и нажать ОДНУ БОЛЬШУЮ КНОПКУ “INSTALL”, то в продвинутом движке от Ласто этот номер не пройдет.

Прошерстите, пожалуйста, несколько файлов, отредактируйте, пожалуйста, пару-тройку десятков значений, и имейте, пожалуйста, в виду, что в одних файлах синтаксис (правила языка) один, а в других файлах - несколько иной.

Зато ластовский блог, по уверениям автора, самый шустрый, не грузит базу данных (он ею не пользуется), не грузит сервер провайдера и очень любим поисковиками.

Стоит движок около 200 рублей, лицензия на один домен - еще столько же.
Домен www.test.ru и test.ru - разные, с точки зрения скриптов.

Мой интерес не был вызван желанием сэкономить 200-400 рублей, или нарочно не заплатить, чтобы Мастер обеднел.
Мне было интересно, как блог работает с поисковиками, как обрабатывает и выдает статистику, как решает еще некоторые проблемы.
Все это, к сожалению, скрыто Zend Optimizer-ом, поэтому пришлось вооружиться DeZender-ом и исходные коды из бинарников извлечь.
Как я ранее писал, дезенд происходит ужасно, коды не восстанавливаются до уровня работоспособности, но, тем не менее, какие-то алгоритмы, заложенные авторами скрипта, понять можно.

Например, после некоторых ухищрений удалось просмотреть функцию check_license(), и, вынеся ее в отдельный файл, сгенерировать валидную лицензию на домен tort.ru

Сделать это было несложно, ибо в кодах производится проверка if ($licence == $generated_license) {continue_working()} а тремя строками выше идет код, набивающий данными этот самый $generated_license.

Теоретически, из-за примененного алгоритмического решения, возможен даже бит-хак зазенденного файла functions.php, чтобы он работал с любым доменом на данной дефолтной лицензии.

А функции поиска и работы с ним, к сожалению, не столько прозрачны. Их еще придется очистить от дезендовского мусора, и втыкать-втыкать-втыкать суть.

Popularity: 24%

DeZend

Posted on Декабрь 5th, 2007 in Cracks, Мой компьютер by ctocopok

Недавно в сети стал общедоступен инструмент DeZender, предназначенный для “вскрытия” зашифрованных файлов PHP.
Поясню. PHP - это язык программирования, тесно связанный с созданием страниц сайтов, с его помощью очень удобно делать различные динамические страницы, когда, скажем, одна и та же страница видоизменяется, в зависимости от внешних факторов.
Идеальный пример динамической страницы - “карточка товара” в каком-нибудь интернет-магазине, меняется номер товара, меняется содержимое страницы, но шаблон остается.

Так вот, для того, чтобы распространять коммерческие продукты на РНР, и избежать пиратского тиражирования, были напридуманы защиты разные. А для того, чтобы саму защиту было не подглядеть - кодировщики (обфускаторы, скрамблеры и т.п.) скриптов РНР. Действительно, что толку в защите, если исходные коды видны, и в нужном месте любой идиот поставит “заглушку”, как будто у него необходимые лицензии на софт есть.

Так вот, одним из таких кодировщиков, условно говоря, был Zend Optimizer - бесплатная программа, которая оптимизировала скрипты РНР, переводя их в бинарный “наполовину откомпилированный” код. Глядя блокнотом в такой файл, понять ничего нельзя. А вот компьютеру - все понятно.
За расшифровку Zend-protected файлов брали братцы-китайцы до $10 за скрипт. Грабеж, конечно, но сервисов не было много, а спрос - велик. И вот, случилось, движок этих платных сервисов стал доступен публике.

Я опробовал этот движок на скриптах от Lasto, но, честно говоря, результатом удовлетворен не был. То ли ДеЗендер работает не так, как надо, то ли Мастер Ласто слишком хитрожоп, но исходные коды от дезендера оказались неработоспособны.
Буду продолжать исследования.

Popularity: 23%

Про секретность вконтакте (II).

Posted on Октябрь 26th, 2007 in Cracks, Мой компьютер by ctocopok

Тему запалили.
Взял в топе Яндекса вот этот пост.
Перекликается с моим постом “Про секретность в контакте“, только чуть подробнее.
К сожалению, ничего нового я не узнал. :(
Жаль, у автора по OpenID комментировать нельзя.

Popularity: 19%

Про секретность в контакте.

Posted on Сентябрь 9th, 2007 in Cracks, Без рубрики by ctocopok

Вот тут некоторые (а возможно, и я тоже) понаставили себе секретностей в настройках. Получается, что для того, чтобы зайти на страничку к пользователю, надо быть его другом. Вот, например, Татьяна Дмитриева (Татьяна Дмитриева ) училась со мной в одной школе, вроде бы, выпуск моего года, на аватарке ее не разглядеть, и я не могу вспомнить, знаю ли я ее. И на страницу не попасть к ней. Что делать? Сначала дружить, а потом знакомиться (то есть, узнавать, а действительно ли знакомы)?
Или вот - Елена Жигалина (Елена Жигалина ). Тоже, возможно, знакомая - аватар-то хрен рассмотришь.

Есть, однако, способ преодолеть неловкость. Можно посмотреть фотографии. Правда, не фотографии пользователя, а фотографии, на которых есть пользователь.

Делается это так: http://vkontakte.ru/photos.php?act=user&id=<

Popularity: 14%

Как взломать банк.

Posted on Январь 23rd, 2007 in Cracks, Финансы by ctocopok

В журнале “Хакер”, в ноябрьском номере за 2006 год, размещена статья про взлом Сберегательного банка Украины. Написана она хакером R0ID, и есть там слова “можно себе представить, что было бы, если бы я поменял курсы валют…”

Странно, товарищ, вроде, толковый, деньги в руках, наверное, держал, как работают сберкассы, пожалуй, должен представлять. Наивно предполагать, что в сберкассы курсы валют поступают с веб-сайта банка, а не по спец-каналам связи (в т.ч. на бумаге). Полагаю, что максимум, чего бы добился хакер, сменив курсы валют - это неправильный курс на сайте в течение суток… Очевидно, что сеть банка и сайт функционируют в однонаправленном режиме - на сайт данные попадают из банка, но никак не наоборот.

А так, в общем, ничегошная статья. Инетересная.

Да и вообще, журнальчик неплохой. Особенно - статьи от Криса Касперски (aka мыщъх). Раньше он и на e-mail отвечал, теперь вот молчит.

Popularity: 22%

Уязвимость в Sitesystem CMS

Posted on Ноябрь 28th, 2006 in Cracks, Без рубрики by ctocopok

Сегодня разбирался с взломом сайта приятеля, который, очевидно, был взломан злостными хакерами. Сайт перенаправлял весь трафик на ltraffic.biz, зачем - уж не знаю. В процессе поиска дыры, через которую сайт был взломан, обнаружил, что в установке по умолчанию CMS Sitesystem оставляет в каталоге /admin файл, выдающий, при определенном к нему обращении, перечень пользователей и паролей сайта. Открытым текстом.

Я обнаружил с пол-тычка порядка 10 сайтов на этой CMS, имеющих подобную уязвимость.

Эту дырку мы прикрыли.

Жаль, что той, через которую сайт был поломан - не нашли :(

Popularity: 10%