Деталі:
Стаття писалася в той час коли останніми версіями CPython були:
2.6.2 для другої гілки і 3.1.1 для третьої гілки.У статті використовуються нововведені в CPython 2.6 with statements, тому при бажанні використання цього коду у більш ранніх версіях доведеться переписувати код на розсуд. У процессі написання данної статті використовувалися лише стандартні модулі, доступні “з коробки”. Також, виходячи з того, що я є не професійним програмістом, а самоучкою, то прошу вибачення у поважної аудиторії за возморжливі неточності відносно трактування тих чи інших понять. Тому, запрошую вас задавати питання, на які я буду по можливості давати відповіді.
Read more…

Таки дійшли руки, почнемо.
Ми маємо:
1. DBA (можна й більш “дрібні” права, головне, щоб був доступ до Java, або DBMS_SCHEDULER або ALTER SYSTEM)
2. Все написане тестувалося на Win32 XP SP3 та Oracle XE (у мене немає ліцензії на платний Oracle. Тестувати дані скрипти на робочому сервері я не став) Тут ми будемо розглядати приклад тільки з DBMS_SCHEDULER.  Служба OracleJobScheduler% ORACLE_SID% повинна бути запущена, інакше нічого не вийде )
Read more…

Написав нескладний exploit, що використовує уразливість в DBMS_SQLHASH.GETHASH. Exploit для роботи потребує sql ін’єкцію в pl / sql процедурі (зазвичай, на Oracle Application server, там і належать такі процедури по дефолту користувачеві з правами, яких нам достатньо). Загалом  можна запитати, навіщо нам exploit, якщо є ін’єкція? Я відповім, що часто в таких процедурах йде простий sql select / update / insert, а в них ми можемо використовувати  тільки простий sql. Даний exploit дозволяє виконати pl / sql, маючи при цьому тільки ін’єкцію у процедурі, яка виконує, скажімо, select і права тільки create_session.

Read more…

Сьогодні я став щасливчиком та магічним способом отримав інвайт на Google Wave! А сталось це так: зайшов гмейл, та побачив лист з наступним повідомленням: (як отримати інвайт – читайте далі)
Read more…

Ну ось, щось затихло на блозі, вирішив викласти свій класс для роботи з антикапчею (antigate.com).

Стандартний приклад вже аж занадто мені не подобається.

Read more…

Збулася моя мрія, і в цьому місяці з допомоги Хаханова Володимира Івановича я буду проводити в Харківському Національному Університеті Радіоелектроніки 8 лекцій по безпеці:

Технологическая культура против хакерского мира
1. Введения в хакерский мир. Структура, иерархия хакерского мира.
Общее рассмотрение всех отраслей хакинга.
2. Почта. Уязвимости почтовых протоколов. Е-майл спам. Монетизация
е-майл спама. Написания скриптов для спама. Способы защиты.
3. Социальные сети. Веб-спам. Монетизация веб-спама. Капча и
антикапча. Написание автореггеров. Способы защиты.
4. Социальная инженерия. Практическое применения. Фейк. Практика
создания фейка. Способы защиты.
5. Ботнет сети. Способы создания. Монетизация. Текущий рынок ботнет
сетей. Создание идеальной ботнет-сети.
6. Троянские программы. Создание. Криптовка. Обход антивирусов.
7. Веб-безопасность. Виды уязвимостей сайтов. Рассмотрение уязвимостей
вида XSS, Inlude, SQL-inj и других. Способы их устранения.
8. Взлом и банковская информация. Кредитные карты. Скимеры. Способы защиты.

Тож якщо ви студент з Харкова і є бажання послухати лекції, то ласкаво просимо – для цього лише потрібно відіслати маленький лист – подробиці на http://tutamc.com/node/224.

Read more…

Вітаємо з 0×100 днем року! Усіх кодерів, хакерів, програмерів, тестерів, комп’ютерщиків та системщиків з професійним святом!!

Як відомо, на світі 10 типів людей – ті які розуміють двійковий код, і ті, які не розуміють
Бажаємо вам поменше помилок, побільше вдалих рядків коду, та шоб робота була вам на радість! =)

За сі, за perl, за Unix-shell,
За Windows, Гейтса та Intel ,
За скрипт, за байт, за Unicode,
За Linux та “Hello, World!”

привіт =)

я розкажу вам як “підробити” (фух, як грубо сказано) сертифікат від Соло, від nabiraem.ru. А також ми автоматизуємо цей процес, напишемо простенький скрипт на perl.
Read more…

маленький аякс-шелл (командний рядок php, навіть можно сказати ), розміром:
955 Байт

Read more…