TutaMC

Моя стаття з 12 випуска журналу Хакер, як завжди з помилками, і без виправлень.

Троянский Змей

Сказ о троянописании на Python'e

Когда-то Лёня Да Винчи скачал "Существует три разновидности людей: те, кто видит; те, кто видит, когда им показывают; и те, кто не видит". Но в наше время я бы еще добавил группу - те кто видят все, когда им это нужно. Чтобы в ней быть, нужно уметь получать любую информацию - это умение и будем развивать с помощью Python.

Continue reading...

Моя стаття з 11-номеру журнала Хакер в оригіналі зі всіма помилками.

---

Пишем на Python'e снифер используя Google App Engine

Представлял ли ты когда-нибудь, что Google будет ловить лично для тебя сессии пользователей и тем помогать "исследовать", к примеру, чужие почтовые аккаунты? Я тоже нет, пока не появился Google App Engine. Сегодня затестим его создавая супер-крутой снифер.

В моей статье за прошлый месяц с тобою обсудили некоторые сервисы Гугла, но один я сознательно оставил на отдельную статью. Ведь Google App Engine(GAE) одна из перспективнейших масштабируемых "облачных" технологий, которую можно бесплатно заюзать. Это такой себе крутой хостинг, что автоматически увеличивает свою "скорость" в зависимости от количества юзеров. Если сегодня у нас 100 юзеров, то хостинг работает. Если завтра придет еще 1 миллион сверху, то Гугл автоматически подкинет серверов, и все будет также стабильно. Еще в GAE есть куча дополнительных API по работе с базой данных, memcache, почтой, джабером, также огромным плюсом является возможность бесплатного использования (правда с некоторыми мелкими ограничениями). Поэтому нам не затестить такую штуку прям грех ;)

В качестве примера разработки напишем снифер, который будет сохранять данные о зашедших юзерах, а страничка с админкой показывать собранные логи.

Continue reading...

Моя стаття з журналу Хакер за 9тий місяць.

Створення сплойт-пака from presidentua on Vimeo.

Пишем на Python'е собственный движок для связки

Fiesta, Fire-Pack, IcePack, Tornado и много-много других связок сплойтов знает (хотя уже в большинстве случаев лишь знал) мир хакеров, но ни одна из них не написана на Python'е. Этот пробел будем устранять.

Связка сплойтов - web-система, которая обьединяет несколько сплойтов. При заходе пользователя на страничку сплойты применяются и производится загрузка полезного программного обеспечения - бота, трояна, кейлогера и прочим. Также связка ведет статистику, где фиксирует кто заходил на страницу, и кто из них был "пробит" сплойтом и заражен нашим трояном. Мы разберем в статье как практически реализуется связка, правда не будем внедряться в сам процесс сплойтописания, ведь это отдельная интересная тема и заслуживает отдельной статьи. Итак в связке я бы выделил 4 части:

Для чего нужна каждая часть - подробно узнаем в процессе ее реализации. Continue reading...

Сьогодні MakZzz написав коментар, де вказав що статтю Бота для адміністрування я опублікував 2 рази. За що вибачаюсь. Коли це побачив, то зрозумів, що якусь статтю пропустив. І це якраз "Конвеєрний взлом". Відео до статті і файли можна знайти в її анонсі: http://tutamc.com/node/159

---

Конвейерный взлом

Автоматизация взлома сайтов за минимальное время с помощью Python

"Денег много не бывает" эта пословица корректна и для хака в варианте "сайтов много не бывает". Захватить один сайт, к примеру, за час - хорошо, а сотню… Вот - действительно здорово. Но для этого нужно все максимально автоматизировать. И в статье на основе конкретного примера напишем тулзу на Python с помощью которой захватим пару десятков сайтов.

У меня на RSS-читалку подписано много сайтов и среди них крупнейший баг-трекер http://milw0rm.com/. Поэтому постоянно приходят все самые последние уязвимости. Но с некоторых пор начал задумываться над тем, что интересно бы было применить все эти уязвимости на практике, ведь что же они будут лежать без пользы. Так сказать, создать маленький заводик, в котором исходные материалы на конвейер будут браться с milw0rm, а на выходе конвейера будем получать много-много паролей к сайтам. К сожалению, полностью автоматический такой завод создать не получится на практике, но что-то приближенное - вполне реально.

Continue reading...

Стаття публікувалась в 4-тому випуску журнала "Хакер" за 2009 рік. Самі скріпти вже викладалися окремо мною на сайті - шукайте їх в розділі "Python". І маленький анонс: "5-тий випуск Хакера вже в продажі і в ньому стаття про "Автоматизованний взлом сайтів"

---

Недавно мне попался на глаза пост на хабре с располагающим названием "Коммерческий инструмент для спама в твиттере - TweetTornado". Я заглянул на официальный сайт (tweettornado.com) этого чуда-юда и чуть не упал со стула. Он же стоит целых 100 долларов!

Разумеется, написать аналог TweetTornado можно за один день без всяческого напряжения. Позволь мне поделится своим опытом создания подобного чуда! Сегодня мы увидим, как злые хакеры создают рабочий инструмент для спама в твиттере. Он будет представлять собой 4 скрипта:

• для отсылки одиночного сообщения;
• бота для имитации активности аккаунта;
• для добавления друзей;
• для удаления "не друзей".

Ну что же, приступим.

Continue reading...

Предисловие: Статья расказывает словами, то что я расказывал в предидущем скринкасте. Я ее не думал как-то публиковать, но потом решил что можеш некоторые вещи станут более понятнее, чем после просмотра видео.
Предисловие 2: статья готовилась не для блога, поэтому может быть не полностью соблюдены зависимости, так что за это извиняюсь.

Сколько языков программирования ты знаешь - один? два? а может быть десять? И в каждом есть свои плюсы и минусы. Но один с языков сейчас у многих на слуху, про него много пишут, много говорят, а если верить ведущим подкаста Радио-Т, то его даже используют в больших песочницах, таких как Яндекс. И этот язык Python, вот о нем и поговорим.

О Python есть несколько статей, но к сожалению они не дадут знаний для использования Python в хакерских целях. Ведь вывод букв и суммирования 2 + 2 хоть и важно, но для того чтобы начать практически использовать Python нам более важнее многопоточность, робота с сетью и сохранение результатов нашей роботы. И обо всем это можете прочитать тут. Поехали ;)

Но перед прочтением рекомендую ознакомится с какой-то начальной статьей о Python, но это не обязательно и можно обойтись без этого.

Continue reading...