взломЛеонид «R0id» Стройков/ r0id@bk.ru /Программы для хакеровПрограмма: SQL-InjОС: Windows 2000/XPАвтор: Delvish the DamnedРеализуем sql-injectionВ прошлых выпусках ][ я выкладывал нескольконаиболее удачных релизов брутеров/сканеров дляреализаций SQL-инъекций. Настало время порадоватьтебя очередным полезным и незаменимыминструментом — утилой SQL-Inj. Тулза предназначенадля реализации скул-инъектов и функционируетв полуавтоматическом режиме. При первой встречес прогой может появиться немало вопросов, поэтомувкратце ознакомлю тебя с рецептом применениясего зверя.1. В поле «адрес» вводим адрес сайта с бажнымскриптом и параметром(-ами). Пример урла уже забитв адресной строке.2. Далее выбираем пункт «Group by» или «Orderby» и жмем на батон запуска. Количество полейрекомендуется сначала оставлять дефолтным (врядли полей может быть 99 и более, — страница покажетошибку и на основании этого можно понять, проходитзапрос или сразу фильтруется скриптом).3. Уменьшаем количество полей на разумное (10-30)и повторяем проверку. И так далее, до выясненияточного их количества.4. Выбираем пункт «Union Select» — количествополей будет поставлено автоматически на основаниисчетчика. Делаем проверку. Если действия удались ине зафильтровались — тебе повезло.5. Кнопки «Version()», «User()» и«Database()» вставят в строку запроса соответствующиекоманды по курсору. Необходимо поставитькурсор в нужное место строки запроса (например,на место цифры 4, а ее саму удалить) и нажать насоответствующий батон. Если не поставить курсор, токоманды добавятся в начало строки.6. Кнопки «From», «Where», «Table_Name»,«Information_Schema» вставят соответствующийзапрос в самый конец строки, если не былопостфикса (например, «/*») — или же непосредственноперед постфиксом. При выборе значений израскрывающегося меню команда будет вставленатак же, как это делают предыдущее кнопки (в конецили перед постфиксом). Команда из списка колоноквставится по курсору (так же, как и для кнопок«User()», «Version()», «Database()»).7. Присутствует возможность выбора разделителякоманд —«+», «/**/» и « »(пробел). Так же передзапуском запроса на исполнение его можно просмотреть,нажав на клавишу «Предпросмотр».8. Список таблиц и колонок можно отредактироватьсамостоятельно. Делается это, как ты уже догадался,ручками. Таблицы находятся в файле Tables.txt, аколонки — в Columns.txt.9. Доп. параметр — это если строка была вида «site.com/index.php?id=12&page=news» и уязвимостьнайдена в параметре ID. Тогда конец строки«&page=news» нужно записать в доп. параметр.Пример находится в самой программе.10. Имеется возможность указать, что будет вставленов качестве параметров строки:a) цифры (...?id=12+Union+select+1,2,3,4/*);b) слово (если на странице ничего не отображается,а в коде страницы искать нужныецифры утомительно, то выбираем этот пункт). Взависимости от количества столбцов появитсяколичество слов ‘Bla’ с порядковым номером(...?id=12+union+select+’bla1’,’bla2’,’bla3’/*). Таким образом, в коде становитсяпроще находить выводимые поля;c) команда null — для любителей неизвестности :).P.S. Отдельное «спасибо» говорим автору тулзы(Delvish the Damned). Он предоставил свое детище наобщее пользование.Программа: Mail.ru ReggerОС: *nix/winАвтор: DXТак регают аккаунты на mail.ruНаиболее качественным способом спама впоследнее время считается рассылка с использованиемзареганных почтовых аккаунтов.Неудивительно, что актуален софт, позволяющийрегать аккаунты на различных mail-сервисах.Примером является «Mail.ru Regger»— полуавтоматический регистратор аккаунтов наmail.ru, написанный на PHP. Скрипт заполняетвсе необходимые данные рандомно, от тебятребуется только ввести капчу. Утила используеттехнологию AJAX, поэтому регистрация проходитмаксимально быстро.Характеристики тулзы:1. AJAX + PHP2. Минимум настроек, скрипт все заполнитсам рандомно3. Есть поддержка прокси4. Поддерживает два вида капч наmail.ruУчти, что понадобится хост с поддержкой PHP,fsockopen и сессий (бесплатные хосты с рекламойне подойдут).070xàêåð 07 /115/ 08
P.S. Автор и редакция никак не призывают тебя к спамуили иным противозаконным действиям (особенно,по отношению к Mail.ru). За все свои поступки тыотвечаешь сам. Помни, что спам — это плохо.Программа: YourICQ BOTОС:*nix/winАвтор: NOmeR1Поднимаем ICQ-бота3. Есть и стандартные функции: определитьТИЦ и PR сайта, перевеститекст «рус eng рус», закодироватьтекст по заданному алгоритму,раскодироватьЧтобы бот заработал, нужно всего лишь поставить нафайл bot_config.php права на запись (0s777),пройти установку по файлу install.php и удалитьего. После любого изменения в админке необходимоперегрузить бот.Отметим, что функции admin_add, admin_delete,admin_status и admin_xstatus, а также сохранениелогов могут не работать, если установленоограничение времени коннекта с базой.P.S. Бот реализован на классе WebIcqPro.Программа: VKontakte GrabberОС: *nix/winавтор: DX>> взломviewid.php — просмотр данных о человекес указанным ID (вызывается изviewer.php)Требования для работы скрипта:• PHP с поддержкой fsockopen и set_time_limit(0); ignore_user_abort— опционально• MySQL 4.1 и выше• Несколько десятков аккаунтов ВКонтактес рейтингом больше 30%В общем, еще один полезный и функциональныйскрипт от DX. Пользуйся, но не забывай прокопирайты.Программа: Vkontakte MessengerОС: *nix/winавтор: DXПомнится, не так давно на нашем DVD ты мог лицезретьудобного ICQ-бота. Пришла очередь показатьтебе достойный аналог —«YourICQ BOT». Тулзапредставляет собой ICQ-бот, написанный на PHP, садминкой для управления функциями, изменениянастроек и просмотра логов. Перейду непосредственнок описанию утилы.Начнем с админки:• Добавление, изменение и удалениефункций (команд бота)• Изменение настроек бота: номер,пароль, метод сохранения логов, шаблондля доступа к командам и т.п.• Просмотр и очистка логов (удачныекоманды обозначены синим цветом,неудачные — красным)Функции для админа, которые вызываются по ICQ:• Чтобы отключить бота, надо послатьему команду «stop». По дефолту — этосообщение «!stop», но если ты менялшаблон команд, то оно будет другим• Команда «restart» нужна для перезапускабота• Команда «admin_add» добавляет функциюк боту. Можно добавить как статичную(то есть ту, которая не имеетпараметров; например, «help»), таки динамичную (например, «translate»)• Команда «admin_delete» с параметром,в котором указывается названиекоманды, удаляет функцию• Команда «admin_status» имеет 1 параметр— это статус бота, который тыхочешь поставить• Комада «admin_xstatus» также имеет1 параметр — он устанавливает статус-картинкуВ общем, возможности бота можно охарактеризовать так:1. Все функции имеют PHP-синтаксис2. Есть возможность управления статусами,функциями по ICQxàêåð 07 /115/ 08Грабим данные с ВКонтактеВ тулзах я не раз выкладывал полезные софтинки натему популярного ресурса ВКонтакте. Вот и сейчасхочу обратить твое внимание на очередной релизот хакера, скрывающегося под ником DX. УтилаVKontakte Grabber — это комплекс скриптов, позволяющихсобирать анкеты с vkontakte.ru и сохранятьданные в таблицу MySQL.Скрипт собирает данные из открытых анкет.Необходимо задать несколько десятков аккаунтовВКонтакте (сотни валидных хватит за глаза). Утилаавтоматически выберет все валидные и начнетсбор, иногда выводя информацию в браузер. Попути будут отбрасываться аккаунты, имеющиерейтинг менее 30% (если таковые окажутся средизаданных). Все данные будут сохраняться в таблицув БД MySQL. Если запись с заданным id ужесуществует, она просто обновится. Если скриптобнаружит сообщение ВКонтакте «Слишком быстрыйпросмотр страниц», то автоматически будетприменена задержка.С помощью viewer.php можно сделать выборку избазы по всем доступным полям.Несмотря на то, что PHP не поддерживает многопоточность,можно открыть несколько экземпляровскрипта и собирать анкеты с разных диапазонов id.Скрипт умеет собирать практически любые данные изанкеты. Комплектуется тулза из следующих файлов:setup.php — инсталлятор; его необходимозапустить в первую очередьindex.php — сам грабберviewer.php — позволяет сделатьвыборку ID из базы по различным критериямРассылаем мессаги ВКонтактеНесмотря на то, что спам — мировое зло, предлагаютебе ознакомиться с утилой «Vkontakte Messenger».Как видно из названия, тулза предназначена дляспама по довольно известному ресурсу.Скрипт умеет:• Рассылать сообщения на стены ВКонтактепо диапазону id• Рассылать сообщения на стены друзейкаждого заданного аккаунта• Флудить на стене конкретного человека• Рассылать сообщения на собственныестены каждого заданного аккаунта• Добавлять:• Предложение каждому заданномуаккаунту;• Вопрос каждому заданному аккаунту;• Заметку каждому заданному аккаунту.• Позволяет:• Указать задержку отправки• Рандомизировать сообщение— Задать список прокси-серверовИмеется чекер аккаунтов. Скрипт написан на PHPс использованием сокетов, не требует никакихдополнительных модулей и юзает технологиюAjax (это очень удобно). Требуется лишь поддержкасессий и fsockopen.К сожалению, скрипт пребывает в обфусцированноми запакованном виде. Но на функциональностиэто никак не отражается. z071