TutaMC

Моя стаття з січневого випуску Хакера про wave. Хоча зараз ажіотаж трішки з Хвилі зійшов, але гадаю цей сервій ще буде розвиватися.

Ручной Wave Робот

Написание робота на Python'е для Google Wave

"Ладно, я построю свой собственный модуль с блек-джеком и шлюхами. Вообще-то, к черту модуль и блек-джека"... Какие хорошие советы могут давать роботы. Посему в статье построим и себе маленького робота, ну хотя бы лишь для Google Wave.

Google Wave получил хороший пиар, и думаю в сим мире не сыскать того, кто не слышал о нем (не считая, соседа Толика, который в запое;)). Хотя этот пиар может даже немножко повредил Волне, поскольку привозносил сие творение как убийца почты, форумов, и чуть ли не всего интернета. Как для меня же, Волна это достаточно классно сделанная IRC с кульным API. С помощью которого мы можем создавать любые гаджеты и, что более интересно, любых роботов, которые могут расширять возможности Wave под любые нужды. И наличие этого API поднимает планку Волне очень высоко. Так что с нашей стороны было бы огромнейшей ошибкой не рассказать тебе о программировании Волны. А мы же почти идеальны и не допускаем ошибок ;)

Continue reading...

Моя стаття з 12 випуска журналу Хакер, як завжди з помилками, і без виправлень.

Троянский Змей

Сказ о троянописании на Python'e

Когда-то Лёня Да Винчи скачал "Существует три разновидности людей: те, кто видит; те, кто видит, когда им показывают; и те, кто не видит". Но в наше время я бы еще добавил группу - те кто видят все, когда им это нужно. Чтобы в ней быть, нужно уметь получать любую информацию - это умение и будем развивать с помощью Python.

Continue reading...

Моя стаття з 11-номеру журнала Хакер в оригіналі зі всіма помилками.

---

Пишем на Python'e снифер используя Google App Engine

Представлял ли ты когда-нибудь, что Google будет ловить лично для тебя сессии пользователей и тем помогать "исследовать", к примеру, чужие почтовые аккаунты? Я тоже нет, пока не появился Google App Engine. Сегодня затестим его создавая супер-крутой снифер.

В моей статье за прошлый месяц с тобою обсудили некоторые сервисы Гугла, но один я сознательно оставил на отдельную статью. Ведь Google App Engine(GAE) одна из перспективнейших масштабируемых "облачных" технологий, которую можно бесплатно заюзать. Это такой себе крутой хостинг, что автоматически увеличивает свою "скорость" в зависимости от количества юзеров. Если сегодня у нас 100 юзеров, то хостинг работает. Если завтра придет еще 1 миллион сверху, то Гугл автоматически подкинет серверов, и все будет также стабильно. Еще в GAE есть куча дополнительных API по работе с базой данных, memcache, почтой, джабером, также огромным плюсом является возможность бесплатного использования (правда с некоторыми мелкими ограничениями). Поэтому нам не затестить такую штуку прям грех ;)

В качестве примера разработки напишем снифер, который будет сохранять данные о зашедших юзерах, а страничка с админкой показывать собранные логи.

Continue reading...

Перша моя стаття з циклу про програмування Google, що була опублікована в журналі Хакер. Тут як завжди повна версія з помилками ;)

---

Наша "Империя зла"

Учимся покорять Google с использованием Python

Многие называют Google "корпорацией зла", хотя я и не вижу в ней ничего плохого, но если народ называет, так тому и быть. И для превращения Google действительно в "зло" научимся использовать его сервисы для своих ооочень благородных хакерских дел.

Continue reading...

Моя стаття з журналу Хакер за 9тий місяць.

Створення сплойт-пака from presidentua on Vimeo.

Пишем на Python'е собственный движок для связки

Fiesta, Fire-Pack, IcePack, Tornado и много-много других связок сплойтов знает (хотя уже в большинстве случаев лишь знал) мир хакеров, но ни одна из них не написана на Python'е. Этот пробел будем устранять.

Связка сплойтов - web-система, которая обьединяет несколько сплойтов. При заходе пользователя на страничку сплойты применяются и производится загрузка полезного программного обеспечения - бота, трояна, кейлогера и прочим. Также связка ведет статистику, где фиксирует кто заходил на страницу, и кто из них был "пробит" сплойтом и заражен нашим трояном. Мы разберем в статье как практически реализуется связка, правда не будем внедряться в сам процесс сплойтописания, ведь это отдельная интересная тема и заслуживает отдельной статьи. Итак в связке я бы выделил 4 части:

Для чего нужна каждая часть - подробно узнаем в процессе ее реализации. Continue reading...

За сьогодні це 3-тій пост в блог. Трохи забагато ;). Але річ в тім, що завтра їду в Ялту на наукову конференцію, та й буду там пропадати десь з тиждень. Тому зараз опублікую багатенько, що вам було що читати в мою відсутність. Хоча ВайФай в мене буде, тому на декілька хвилин в день сможу бувати в інтернеті, то може ще й буду щось публікувати з Ялти.

Отже, ще одна стаття з 8-мого випуска журнала Хакер. І як завжди тут повний оригінал зі всіми помилками, що є невідємною частиною мого стилю ;)

---

Методы не стандартного использования socks-сервера

Хакер от обычного человека отличается способом мышления - у нас мозги "направлены" в иную сторону. Хакеры это не нормальные люди. И я горжусь, когда меня кто-то так называет. Давайте используем эту способность и попробуем посмотреть не нормальным взглядом на socks-сервер.

Для обычного человека socks-сервер - это штука, что позволяет менять IP. Но, эта вещичка хранит в себе еще много секретов, ведь через нее проходит трафик. А это позволяет слушать трафик, легко его изменять, и этим добавлять функционал к любым программам. Рассмотрим парочку примеров, что можно сделать с socks-сервером.

Вариант 1. Прокачаем браузер

После появления браузера Google Chrome я почти полностью перешел на него, и не жалею. Но столкнулся с его ограниченным функционалом и отсутствием плагинов. Исходя из этого, он теоретически для хакинга не подходит. И тут на помощь придет Чип и Дейл локальный socks-сервер, через который можно направлять весь трафик Chrome'a. Это нам дает возможность безгранично увеличить функциональность браузера. Например, изменять заголовки http-запросов и в том числе user-agent на маленький шел, что часто используется при локальных инклудах. Или можно показывать кукисы, параметры, что передавались скрипту, а также их в каком-то автоматическом режиме модифицировать для каких-то действий. Плюс можно б указать сохранять все ресурсы, что загружает браузер, и если немного изменять http-формы, то получиться автоматический создатель фейков. Развивать эту тему можно еще очень много, и конечном итоге реализовать навороченный хак-socks-сервер.

Continue reading...

мая стаття, що була опублікована в журналі Хакер за 8-мий місяць. Це моя улюблена стаття, її вважаю кращою з усіх. Надіюсь вам також сподобається. Як завжди тут оригінал, без виправлень помилок, з усіми цитатами і іншими дрібницями. І спеціальна пісня "в тему" для кращого читання:

---

Принципы проектирования очень больших ботнетов

Для ведения войны мне необходимы три вещи: во-первых — деньги, во-вторых — деньги и в третьих — деньги. (с) Наполеон Бонапарт

Большие ботнеты - закрытая тема, на которую не то что в паблике не разговаривают, а даже в сверх-секретном-привате мало интересных обсуждений. И одна с причин этому - ограниченное количество таких ботнетов. Ведь мы говорим о размере в сотнях тысяч зараженных компов. Но, несмотря на закрытость этой информации, я тебе расскажу абсолютно все самое интересное.

Два года назад моя "аналитическая" группа получила заказ на разработку идеальной архитектуры большого ботнетов. Месяц ушло на изучение существующих решений их анализ, и придумывания своих вариантов. То, что получилось, было реализовано людьми и сейчас отлично работает ;). С заказчиком был договор, что 2 года мы не будем распространять данную информацию, но сейчас время вышло и ты будешь первый кто сможет это узнать, и может быть реализовать данную архитектуру для своего ботнета.

В статье мы рассмотрим:

• условия существования больших ботнетов;
• удержания контроля;
• генерация доменов;
• масштабируемость;
• возможность разделения;
• подача команд, их защита;
• возврат результатов.

Continue reading...

from ][akep #127

---

Юзаем библиотеку PyGame на примере игры "Лестница"

Игры - одно с лучших изобретений человечества. В них все мечты сбываются, в них мы рыцари, короли, боги! За десятки лет существования игр сценаристы придумали для нас множество миров, но порой так хочется создать что-то свое, тот мир, где будут царить только твои правила. В рамках этой статьи я постараюсь научить тебя использовать волшебную палочку для создания игр - PyGame.

Год назад я познакомился с PyGame и влюбился в него с первых строк документации. Сразу же я вспоминал все свои мучения, связанные с программированием на С++ в связке с DirectX, вспоминал как все жутко тормозило, и я мучился над оптимизацией… а оно все равно тормозило. Вспоминал, как для элементарных вещей нужно было писать десятки строк.

PyGame же берет все заботы на себя, нам остается лишь написать саму игру, а не думать, к примеру, как правильно загрузить картинку... А если ты не собираешься писать игры, то можешь заюзать PyGame для создания оригинальных интерфейсов в своих прогах или визуализации какой-либо информации.

PyGame - это кроссплатформенный набор модулей, построенный поверх SDL библиотеки и предназначенный для написания видеоигр. Он включает в себя библиотеки для работы с графикой и звуком, реализованные с использованием язык Python. Автор этого чуда - Pete Shinners.

Но чтобы все сказанное о PyGame не было лишь теорией, разберем написание простой игры "Лестница". Выбор игры был обусловлен редактором рубрики, который прямо сказал, что или я напишу про эту игру, или он не отдаст мне ящик минералки, который он проспорил мне на последней "научной конференции" в баре. Однако, наша "Лестница" уже не будет текстовой игрушкой. У нас будет хакерский Колобок, который должен будет пройти снизу вверх по лестницам к двери. А сверху вниз будут падать камни, так и норовящие подвергнуть нашего Колобка кровавому прессингу. Сперва я хотел рассказать тебе о каждой строчке с этой игре, но, к сожалению, игруха получилась аж на 300 строчек кода, поэтому я буду рассказывать основные моменты, которые позволят тебе понять принципы работы с PyGame, а полный код игры будет ждать тебя на диске.

Continue reading...

Вже є більше 7 статтей які опубліковані чи будуть опубліковані в Хакері, і сьгодні я б хотів розповісти про сам процес написання.

Отже, десь числа 13 пише мені лист редактор і каже щоб я прислав ідеї для наступної статті. Після цього я думаю десь день, формую штук 5 ідей - деякі сам вигадую, а деякі формую на основі прохать читачів. Далі редактор вибирає одну таму і дає мені час до слідуючого місяця на написання. Тобто в мене є десь два тижні.

Після цього наступний тиждень проходить так, що я нічого не пишу, а лише думає що потрібно б починати писати. Залишається в мене один тиждень.

Тут я розумію, що часу в обмаль і розпочинаю писати... Десь добу включаючи ніч пишу як программу для статті, так і саму статтю. Щоб вночі добре працювати запасаюся снікерсами і макофе. В результаті чорнова версія статті готова.

Далі висипаюся, і відчуваючи що все майже написане, а залишилося лише редагування тексту, і часу досить багато (днів 5) - я трішки розслабляюся і знову нічого не пишу.

Так проходить днів 4, і коли залишається доба до здачі, розпочинаю другий етап, коли правлю текст, переписую деякі речення, абзаци, інколи все переписую... В результаті безсонна ніч і стаття відправлена редактору.

Ось так дещо дивно я пишу статті. Звичайно редактору роботи я залишаю багатенько, бо без помилок як не вмів писати, так напевно і не навчуся.

Доречі вже появився анонс нового журналу, і там зверніть особливу увагу на статтю, про те як правильно будувати велику Бот-мережу, бо матеріал новий, і він ще ніде не те що не опубліковувався, а навіть не використовуються на практиці, але принципи опубліковані там будуть в майбутніх бот-мережах.

ПС: і на додачу маленький кулінарний рецепт від мене. Купив сьогодні яєць, хліба і кетчупа. Прийшов додому, а вдома не виявилося олії. А в магазин вертатися лінь, тому взяв на сковорідку кетчупа!, і на ньому піджарив яйця. І що ж виявилося, що блюдо не лише не підгоріло, але й було краще чим приготоване на олії, бо кетчуп трішки розігрівся і був в середині білку, тобто білок внизу і вверху піджарився, а в середині чомусь зібрався кетчуп. Було дуже смачно! Тепер навіть якщо буде колись олія в домі, я все одно інколи буду готувати це блюдо. Смачного!

Сьогодні MakZzz написав коментар, де вказав що статтю Бота для адміністрування я опублікував 2 рази. За що вибачаюсь. Коли це побачив, то зрозумів, що якусь статтю пропустив. І це якраз "Конвеєрний взлом". Відео до статті і файли можна знайти в її анонсі: http://tutamc.com/node/159

---

Конвейерный взлом

Автоматизация взлома сайтов за минимальное время с помощью Python

"Денег много не бывает" эта пословица корректна и для хака в варианте "сайтов много не бывает". Захватить один сайт, к примеру, за час - хорошо, а сотню… Вот - действительно здорово. Но для этого нужно все максимально автоматизировать. И в статье на основе конкретного примера напишем тулзу на Python с помощью которой захватим пару десятков сайтов.

У меня на RSS-читалку подписано много сайтов и среди них крупнейший баг-трекер http://milw0rm.com/. Поэтому постоянно приходят все самые последние уязвимости. Но с некоторых пор начал задумываться над тем, что интересно бы было применить все эти уязвимости на практике, ведь что же они будут лежать без пользы. Так сказать, создать маленький заводик, в котором исходные материалы на конвейер будут браться с milw0rm, а на выходе конвейера будем получать много-много паролей к сайтам. К сожалению, полностью автоматический такой завод создать не получится на практике, но что-то приближенное - вполне реально.

Continue reading...