X-Tools

Evalhook 0.1

• ОС: *nix/win
• Автор: Stefan Esser

Очень часто бывает так, что ты получаешь доступ к интересному php-скрипту, но не можешь продолжать дальнейшую работу с ним из-за мерзопакостной обфускации. Не секрет, что php-кодеры любят зашифровывать свои творения, например, так:

<?php
/* Demo by www.php-crypt.com */
$keystroke1 = base64_decode("d2RyMTU5c
3E0YXllejd4Y2duZl90djhubHVrNmpoYmlvMzJ
tcA==");
...
?>

Как поступить в таком случае? Советую воспользоваться расширением для PHP Evalhook за авторством Стефана «Наше Все» Эссера. Итак, данный инструмент представляет собой PHP extension, с помощью которого ты сможешь поэтапно выполнить скрипт, и тем самым выяснить, что же он, собственно, делает. Алгоритм работы расширения заключается в простом прерывании вызова конструкции eval и других функций с динамическим вызовом кода.

Распознается даже такой код:

<?php
array_map('assert',
array('phpinfo()'));
?>

На выходе ты увидишь, что данная конструкция попыталась выполнить банальный "phpinfo()":

Script tries to evaluate the following string.
---return phpinfo() ;
---Do you want to allow execution? [y/N]

В *nix-системах установка Evalhook достаточно тривиальна:

1. Проверяем систему на наличие PHP >= 5.2, php-devel, PHP Zend Optimizer;

2. Создаем файлик run.sh со следующим содержанием:

tar xvfz evalhook-0.1.tar.gz
cd evalhook
phpize
./configure
make
sudo make install

3. Запускаем расширение из консоли с правами рута: sh run.sh.

После данного процесса ты легко сможешь воспользоваться всеми преимуществами Evalhook. Например, так: php -d extension=evalhook.so закодированный_скрипт.php. Статью на английском языке от автора, а также комментарии к ней ты сможешь найти по адресу php-security.org/2010/05/13/article-decoding-a-user-spaceencodedphp-script.

Conky

• ОС: *nix
• Автор: brenden1, joemyre, pkovacs

Настало время представить в нашем обзоре знаменитый никсовый монитор Conky! Итак, Conky — это программа, которая может отображать самую различную информацию в окне рута в X11. Отображаемая информация может быть, например, такой: дата, температура CPU (i2c), MPD инфо, CPU usage, а также все, что ты сам пожелаешь 🙂

Основные фичи монитора:

• отображение статусов ОСИ: uname, аптайм машины, использование CPU, использование памяти и диска, статистика процессов;
• встроенная поддержка IMAP и POP3;
• встроенная поддержка многих популярных плееров (MPD, XMMS2, BMPx, Audacious);
• расширяемость с помощью встроенной поддержки Lua и других твоих собственных скриптов и программ;
• поддержка Imlib2 и Cairo;
• отображение информации в виде текста, прогресс баров, виджетов.

Установить сие чудо технического прогресса достаточно просто:

Debian/Ubuntu

sudo apt-get install conky
zcat /usr/share/doc/conky/examples/
conkyrc.sample.gz > ~/.conkyrc

Gentoo

emerge app-admin/conky

FreeBSD

cd /usr/ports/sysutils/conky && make
install clean

Компиляция из сорцов (нужны девелопментбиблиотеки X11)

$ ./configure
$ make
# make install

После установки проги необходимо будет ее правильно сконфигурировать.

1. Копируем пример конфига в домашнюю директорию:

zcat /usr/share/doc/conky/ examples/conkyrc.sample.gz > ~/.conkyrc;

2. Запускаем свой любимый редактор (например, vim):

vim ~/.conkyrc.

3. Для примера получаем диаграмму скорости закачки, для чего вписываем в конфиг следующее:

${downspeedgraph rl0 32,155 104E8B 0077ff}.

В данном примере:

• rl0 — интерфейс;
• 32 — ширина;
• 155 — длина;
• 104E8B — конечный цвет;
• 0077ff — начальный цвет.

4. После внесения изменения в конфиг перечитываем его: killall -SIGUSCR1 conky. Как видишь, все достаточно просто. Напоследок хочу показать тебе описание основных переменных Conky:

1. exec — выводит на экран текст, возвращаемый вызываемой программой;
2. execbar и execgraph — визуализируют вывод исполняемой команды в виде диаграммы или графика;
3. execi и texeci — запускают команду циклом с интервалом;
4. if_running, if_existing и if_mounted — выводят все данные до endif, если выполняется процесс, существует файл и подключена точка монтирования;
5. else — выводит событие, если ложны все вышестоящие выражения.

Подробнейшую информацию, а также все обновления и примеры конфигов ты сможешь найти на официальном сайте монитора conky.sourceforge.net.

OWASP HTTP Post Tool

• ОС: Windows 2000/XP/2003 Server/Vista/2008 Server/7
• Автор: Tom Brenann

В ходе OWASP 2010 Application Security Conference, прошедшей в Вашингтоне, исследователи продемонстрировали то, как протокол HTTP может помочь хакерам провести новую форму распределенной атаки типа «отказ в обслуживании», которая заваливает веб-сервера медленным HTTP POST трафиком.

Исследователь Вонг Онн Чи, в 2009 году первым обнаруживший атаку с группой исследователей в Сингапуре, и разработчик Proactive Risk Том Бреннан также показали, как онлайн игра может быть использована для создания ботов для ботнета, который может управлять атакой HTTP POST DDoS. Чи говорит, что HTTP обладает дефектами, и что все сервера или системы с веб-интерфейсом очень восприимчивы к такой атаке. «Если у вас есть веб-интерфейс, то мы можем разрушить его (этой атакой – прим. ред.)», — сказал Чи в начале этого месяца.

В отличие от традиционной DDoS-атаки, где происходит очень много соединений за короткий период времени, новый тип атак «потребляет соединения» и похож на относительно короткую очередь пассажиров, проходящих контроль, но где большинство – те, кого необходимо проверять долго. Атака HTTP POST посылает POST-заголовки, которые позволяют серверу узнать, сколько информации передано, но когда дело касается самого сообщения, оно отсылается очень медленно (чтобы занять соединение и лишить сервера ресурсов). По словам Чи такая атака, использующая всего несколько тысяч медленных соединений HTTP POST, может разрушить сайт за считанные минуты.

Более подробную историю обнаружения данного типа DDoS-атаки ты найдешь в слайдах OWASP по адресу owasp.org/images/4/43/Layer_7_DDOS.pdf, а для собственно тестирования атаки HTTP POST ты можешь воспользоваться прогой OWASP HTTP Post Tool. Интерфейс утилиты достаточно прост.

Для начала тестов тебе всего лишь необходимо выбрать тип атаки, URL жертвы, число соединений, частоту соединений, таймаут, User-Agent, длину контента и переменную POST.

Все обновления и дополнительную информацию ищи на официальной страничке проекта www.owasp.org/index.php/OWASP_HTTP_Post_Tool.

Facebook Brute

• ОС: Windows 2000/XP/2003 Server/Vista/2008 Server/7
• Автор: Zdez Bil Ya

Представляю твоему вниманию замечательный брут социальной сети Facebook.com от мембера grabberz.com Zdez Bil Ya.

Возможности проги:

• поддержка SOCKS4/SOCKS5;
• отображение подробной статистики (бэды, гуды, PPS, ошибки);
• режим брутфорса «один логин + список паролей» (не рекомендуется, так как происходит блокировка аккаунта);
• режим брутфорса один пароль + список логинов;
• режим брутфорса по списку «логин;пароль»;
• режим брутфорса по списку логинов и списку паролей.

Тесты брутфорса впечатляют: успешное нахождение валидного аккаунта достигается при переборе без прокси после 10 000 попыток.
Автор с удовольствием прочитает твои пожелания и замечания в топике grabberz.com/showthread.php?t=26298.

Mail.ru Registrator 4

• ОС: Windows 2000/XP/2003 Server/Vista/2008 Server/7
• Автор: Zdez Bil Ya

Еще одна полезнейшая программа от Zdez Bil Ya — регистратор мыл на сервисе mail.ru (домены mail.ru, bk.ru, list.ru, inbox.ru).
Прога может работать как с ручным вводом капчи, так и автоматически через сервис антикапчи (antigate.com).

В главном окне ты сможешь выбрать метод генерации логина:

• генерировать из случайных символов (логин определенной длины);
• генерировать псевдочеловечный логин (более похож на настоящий);
• регистрировать логины из файла (записи в файле должны иметь формат вида «логин@домен»).

В настройках программы ты сможешь выбрать следующие опции регистрации мыльных аккаунтов:

• дата рождения (выбрать одну для всех или поставить случайный выбор);
• контрольный вопрос;
• пол;
• домен (mail.ru, list.ru, bk.ru, inbox.ru);
• пароль (один для всех или случайный);
• использование антикапчи (вписать ключ);
• использование прокси (HTTP, SOCKS4 или SOCKS5);
• опция удаления прокси, если для нее наступил лимит регистраций;
• создание «Моего Мира»;
• использование имен и фамилий (имена берутся из файла name.txt, фамилии – из family.txt);
• загрузка аватара (берутся в случайном порядке из папки ./avatars).

После завершения работы утилиты ты сможешь увидеть все свои свежезареганные аккаунты в файле accounts.txt в формате «email@domain;password».

За обновлениями и помощью заходи на официальную страничку программы avtuh.ru/2010/09/27/mail-ruregistrator4.html.