Опубликовано 21 ноября 2010, 12:04

1) Устанавливаем 3proxy. В конфиг, помимо всего прочего, пишем:

plugin /usr/local/etc/3proxy/bin/PCREPlugin.ld.so pcre_plugin
pcre_rewrite cliheader dunno "Accept-Encoding: (gzip,deflate|deflate,gzip|gzip|deflate)" "X-Sergey: true"
pcre_rewrite srvdata dunno "Сергей  *****ов" "Серёга Гусь :-D"

2) Запускаем, перенаправляем через него трафик:

iptables -t nat -I PREROUTING -s 192.168.0.5 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8081
iptables -t nat -I POSTROUTING -s 192.168.0.5 -p tcp --dport 80 -d 192.168.0.1 -j SNAT --to-source 192.168.0.1

И радостно гыгыкаем, ожидая когда же Сехый зайдёт вконтакт.

Хотелось бы немного прояснить ситуацию. С Accept-Encoding получается, конечно, подло: мало того, что портим человеку интернет, так он ещё и работать будет медленнее. Но ничего не поделаешь: разжимать gzip'аный контент перед тем, как работать с ним, авторам плагина лень, и в доке они о таком препятствии просто умолчали.

Обратите внимание на два пробела между именем и фамилией. Это так и должно быть (там же ещё ник посередине). К своему стыду, потратил на обнаружение сего факта минут пять. По непонятным причинам, подстановка должна быть той же длины, что и исходная строка, в противном случае страница будет обрываться где-нибудь на середине. Ну в данном случае нам просто повезло.

И, наконец, конфиг надо сохранить в кодировке cp1251, потому что вконтакте, очевидно, для минимизации трафика, использует именно её. Добавьте версию с одним пробелом, чтобы заменялось ещё и в списке друзей (там ника нет), и версию в UTF-8, чтобы заменялось в том, что пришло AJAX'ом.

Пацаны приняли фишкан на ура. Один высказал предположение, что так происходит, потому что у нас с Серым айпишник одинаковый, а второй — что дело в неком плагине, и почти угадал. Теперь я Вова Плагин

А ещё вчера научился плевать и, наконец-то, обоссал свою школу

Опубликовано 21 июля 2010, 01:54

У меня на сервере есть единственная учётка, на которую по ssh можно заходить откуда угодно. Логин — слово, пароль — слово, оба можно узнать, поошивавшись часик-другой на ФПМИ. Рутовый пароль угадать чуть посложнее, но тоже вполне реально, особенно, если хоть раз видеть как я его набираю, пусть и молниеносно. На storage.thelogin.ru есть (теперь уже, к сожалению, был) скрипт, позволяющий залить произвольный файл, в т.ч. и .php. На тестовый vBulletin тоже тривиальный логин/пароль: хочешь — просто качай продукт, не оплачивая, а хочешь — поставь шелл, благо система модулей позволяет.

И, что интересно, до сегодняшнего дня всё было прекрасно. Ну дырки и дырки — я могу запомнить пароль, таскать с собой на плеере ключ и запретить загрузку .php/.htaccess/index.htm/index.html/default.htm/default.html, просто лень. Я уже давно не считаю сколько раз эта учётка, изначально созданная на время для тестирования кое-чьего курсача1, спасала мне или кому-то другому жизнь, да и upload.php тоже. И надо же было одному долбоёбу залить в index.html сторейджа митспин. Неибаться весело, просто-таки чудеса хакерского искусства. Эксперт нашёл брешь в безопасности, апплодисменты!

Наши улицы — просто рай для такого эксперта. К примеру, очень небезопасны велозамки — пусть угнать велосипед быстро и бесшумно не получится, зато есть возможность обоссать и проколоть шины! Очень странно, что до сих пор никто этого не заметил, надо обязательно сообщить всем велосипедистам, а то что это они, дурачьё такое, полагаются на эти уязвимые тросики. Крайне безалаберно так же устроены урны для мусора — промасленая ветошь, спичка, готов локальный и очень вонючий пожар! Надо их все обязательно закрыть на амбарный замок, а дальше что-нибудь придумаем. И так буквально всё, к чему мы привыкли. Везде одни сплошные баги. Пойду юзать. Напишу «хуй» на заборе. Взломаю жизнь

Заебись, да? Мне заняться больше нечем, как две минуты уделять парольной авторизации в upload.php. И всё из-за одного весельчака-балагура с шилом в жопе. Хуже Димки

[1] —
Опубликовано 5 апреля 2008, 23:47 под Limewax & Dylan - Cleansed by a nightmare
iPod shuffle

Популярная социальная сеть Вконтакте.ру (благодаря ей я забыл когда последний раз логинился на не запоминающий сессии mail.ru чтобы поиздеваться над долбоёбами) объявила «Конкурс в %s», где вместо %s следует подставить название вашего крупного города России в предложном падеже. Не избежал увлекательной акции и Новосибирск — жителям города предлагалось пригласить как можно больше своих друзей на сайт, чтобы получить один из девяти iPod'ов. (Далее)

Опубликовано 11 февраля 2008, 19:09

themylogin@the-desktop:~$ ./a.out
-----------------------------------
 Linux vmsplice Local Root Exploit
 By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7de8000 .. 0xb7e1a000
[+] root
root@the-desktop:~#  

Опубликовано 26 января 2008, 08:03

Не прошло и двух лет, как, наконец, кто-то нашёл мою Wi-Fi точку доступа.

Jan 26 02:40:01 thelogin dhcpd: DHCPACK on 192.168.1.249 to 00:09:2d:a6:97:16 (WM____________1) via ath0

Теперь можно, наконец-то, включить ulog и посмотреть куда лазят первые люди из окрестностей нашего дома, имеющие ноутбук или КПК (судя по хостнейму, скорее всего именно он). Мне нисколько не жалко безлимитной мегабитной полосы. Зато жутко интересно кто этот человек. И если он думает, что нашёл сетку themylogin, «несанкционированно» подключился и остался в выигрыше, то он глубоко заблуждается

Опубликовано 27 ноября 2007, 16:16 под Uriah Heep - Easy Livin'

cat /var/log/httpd/thelogin.ru/error.log (Далее)

Опубликовано 20 октября 2007, 16:32 под Scratch Perverts, Dynamite MC - Come Get It

Мультикасса в магазине на студенческой снова шалит. На сей глючат «мультикарты» - можно ввести любой номер - и всё равно она будет валидная и с бесконечным балансом. (Далее)

Опубликовано 23 сентября 2007, 16:16

Как известно, show_ads.js (скрипт, вызывающий показ блока ссылок AdSense), пропущен через обфускатор (скорее всего, ручной), что существенно затрудняет его чтение и уж тем более понимание. Вот что я нагуглил: (Далее)

Опубликовано 8 января 2007, 09:55

http://forum.1ps.ru/viewtopic.php?t=576

Пока 70 процентов населения - идиоты, этим надо пользоваться.

Опубликовано 4 января 2007, 11:12

По ТВЦ шёл замечательный документальный фильм: Детективные истории: Хакеры на тропе войны. Фтыкал с удовольствием. Вот отч0т: (Далее)

Теги
1nsk C++ E-Business GNU/GPL-софт HTML/CSS ICQ IDE KDE last.fm Linux Linuxnsk Microsoft Motivator MySQL P2P Party PCI PHP Python Qt SATA SEO Sibnet thelogin.ru Timelapse USB VHDL Web 2.0 Webstream Windows Wireless А я говорил! Авто Админ Алкоголь Аниме Атмосфера Аудио Безобразие Бизнес Блоги Боты Бред Быт Велосипед Весна Вечер Взлом Видеозахват Винил Винтаж Вконтакте Вода Воспоминания Гетто Гламур Гопота Горский Графити Грузовики Дача Девушки Деньги Дизайн Домофон Драки Европа Еда Железо Затулинка Зима Игрушки Игры Идея Интересно Интернет Исследование История Казань Карикатуры Квартира Класс Концерты Коромшук Коты КПК Красиво Криминал Крыши Курение Лето Литература Лицей НГТУ Лохи Магнитофоны Маркса Мат Математика Машинный перевод Мегафон Менты Метро Мечты Мифы Мне стыдно Мобайл Можга Москва МТС Музыка Мультикассы Мультфильмы Мы помним Надписи Наука Недвижимость Непоняятно Новосибирск Ночь Обидно Обман Образование Омск Опечатки Орфография Осень Парк Пиратство Плохо Погода Поезда Политика Помойка Праздники Презрение Природа Провайдеры Программирование Протест Психология Путешествия Радиотехника Растения Реклама Религия Ремонт Рисунки Руины Рэп Салют Серверы Сервис Сериалы Скриншоты Смешно СМИ Снег Собаки Совет Софт Спам Спасём Россию Стоп-ляп Страх Стройка Студяга Танцы ТВ Трамваи Транс Транспорт Уважаю Ужас Умный дом Утро Филдрепорты Философия Форум ФПМИ Франция Хикки Хостинг Цитатник Школа 208 ЭГ Эксперимент Юго-Западный