А вот тут будут проблемы.
Если ав с хипсом, то спалит.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Вопросы по кодингу бота
- Автор темы Quake3
- Дата начала
Если ав с хипсом, то спалит.
- Автор темы
- Добавить закладку
- #22
Хотел также спросить - по поводу ддос атаки методом пост.
Допустим, есть форма вида
<form method="post">
<input type="text" name="login"/>
<input type="password" name="pass"/>
<input type="text" name="captcha"/></form>
Надо отправить запрос, но заранее неизвестно, как будут называться поля в форме (иногда login называют username или есчо как нибудь). Поэтому надо парсить хтмл код и в соотвествии с ним формировать пост-запрос. Вопрос - где лучше парсить - чтобы сам бот это делал, или же на сервере посылать запрос, анализировать страницу, и боту уже передавать сразу пост параметры, какие есть на странице, вида login / pass / captcha ?
Допустим, есть форма вида
<form method="post">
<input type="text" name="login"/>
<input type="password" name="pass"/>
<input type="text" name="captcha"/></form>
Надо отправить запрос, но заранее неизвестно, как будут называться поля в форме (иногда login называют username или есчо как нибудь). Поэтому надо парсить хтмл код и в соотвествии с ним формировать пост-запрос. Вопрос - где лучше парсить - чтобы сам бот это делал, или же на сервере посылать запрос, анализировать страницу, и боту уже передавать сразу пост параметры, какие есть на странице, вида login / pass / captcha ?
ну если ты просто пост атаку хочешь провести, то лучше конечно чтоб бот сам парсил, если попроще, то нужно боту заранее это передавать ну типа showtopic=%RNDNUM% и так далее, чтоб он сам формировал случайные запросы, а если ты хочешь провести словпост атаку то тут вообще похер че слать, можешь просто мусор слать, прикол в том что сервер не закроет соединение до тех пор пока не примет все данные размер которых указан в Content-Length
- Автор темы
- Добавить закладку
- #24
waahoo, а помощью чего проще всего парсить хтмл в Masm? В плане, в какую сторону смотреть - winapi | встроенные конструкции асма, вида rep scas | что-то экзотичное, вида регулярок?
Дай ка я тоже тут ченьить отчибучу... Ведь у нас тут выдумай и реализуй....)) Лан, класический и боянестый вариант...)
Я отступлюсь от того как работают АВ, логистика и эвристика....В тапок её, нудно про это писать, а если есть всё же желающие, то вот тут есть весьма миленькие статейки на этот счёт...+))
ЗЫ:Quake3, а Вы на чём писать ПО собрались, какой язык Вам ближе всего?
Я отступлюсь от того как работают АВ, логистика и эвристика....В тапок её, нудно про это писать, а если есть всё же желающие, то вот тут есть весьма миленькие статейки на этот счёт...+))
- Ну первым делом стоит проверить не живём ли мы уже тут уже *
*//Ведь мы можем попасть в систему которая нами УЖЕ захваченна, мутаксы не плохой вариант, так же можно использовать временные файлы для детекта самого себя в системе, но это пальево, так что на мутоксах остановимся. И так, если ключ реестра удаётся создать с именем нашего мутекса тогда---> - Определяем своё местоположение в системе.
- Сравниваем полученный результат с вариантом(ами) рабочих директорий, ну назовём это WorkDir
- Если путь отличается от вариантов, то копируемся в любой из них, заносим новый адрес в автозапуск, после чего application.Terminate; ну или любой дргой вариант прибить своего Бота.....
- Если путь есть в списке вариантов, проверяем присутствие мутекса, если есть, то application.Terminate;, если нет, пишемся в HKCU.
- Проверяем наличие прав админа, если есть, то пишемся в HKLM. Если нет прав админа, то переходим к телу бота, запускаем цикл запроса команд, если не достучались до админи, то UpTime/3, reconncet, ели же команда получена, и она не является командой к началу атаки, а скажем команда Wait, то UpTime...
- Если команда, ну к примеру httpflood, то запускаем цикл атаки, и так же запускаем UpTime, по истечению интервала времени, снова стучимся на стату, хаваем команду, etc...
ЗЫ:Quake3, а Вы на чём писать ПО собрались, какой язык Вам ближе всего?
Неплохо бы проверить, есть ли доступ в инет =)
- Автор темы
- Добавить закладку
- #27
DarckSol, спасибо. Единственное, неясно зачем:
Что дает HKLM? Работу бота под всеми пользователями?
Masm32
- Автор темы
- Добавить закладку
- #28
Насколько палевно использовать НТТР 1.0? Если бот будет общаться с админкой/отправлять запросы на такой версии протокола, палят ли это аверы/хостеры, или нет?
Думается что на сервере надо задавать чтото типа шаблона
login=$value&pass=$value&captcha=$value
сам бот заменяет переменные на случайные значения и шлет запросы
Если парсить страницу- смотреть в сторону mshtml&&xml, чего на масме я и врагу не пожелаю <_<
- Автор темы
- Добавить закладку
- #30
Подниму тему. Интересует такой нюанс. Есть мой код, который инжектит длл в какой-то процесс, для перехвата там винапи. Допустим, я перехватил апи, все ок. Но - юзер взял и закрыл прогу, а потом переоткрыл, и ес-но перехвата уже нет. Как быть в таком случае?
Я придумал только вариант вида: обрабатывать dll_process_detach в подгружаемой дллке, если это случилось - то перевести в сигнальное состояние событие (event), чтобы уведомить процесс инжектор. Тогда мой процесс-инжектор начинает каждые 5 секунд перебирать процессы, и если там снова появился нужный (т.е. снова запустили), то опять же делает туда инжект.
Но интересно вот что:
1. Нормально ли это вообще? Не подвесит ли систему если каждые 5 секунд перебирать список процессов?
2. какая может быть алтернатива этому? Как я понимаю, хук на критпроцесс не поставишь, ибо нужны админ права да и на что ставить, на эксплорер? А если юзер запустит иначе, не через эксплорер.
3. Реален ли вообще такой вариант с событиями? Или надо юзать pipe/еще что-то? Вроде как события могут быть между процессами, или я ошибаюсь (т.е. не в пределах потоков одного процесса, а глобально).
И да, как быть, если без длл? Т.е. есть шеллкод, который записывает себя куда-то для перехвата. Или нужно завести еще 1 ехе, который бы отслеживал наличие процесса-жертвы, и периодически себя туда записывал?
Я придумал только вариант вида: обрабатывать dll_process_detach в подгружаемой дллке, если это случилось - то перевести в сигнальное состояние событие (event), чтобы уведомить процесс инжектор. Тогда мой процесс-инжектор начинает каждые 5 секунд перебирать процессы, и если там снова появился нужный (т.е. снова запустили), то опять же делает туда инжект.
Но интересно вот что:
1. Нормально ли это вообще? Не подвесит ли систему если каждые 5 секунд перебирать список процессов?
2. какая может быть алтернатива этому? Как я понимаю, хук на критпроцесс не поставишь, ибо нужны админ права да и на что ставить, на эксплорер? А если юзер запустит иначе, не через эксплорер.
3. Реален ли вообще такой вариант с событиями? Или надо юзать pipe/еще что-то? Вроде как события могут быть между процессами, или я ошибаюсь (т.е. не в пределах потоков одного процесса, а глобально).
И да, как быть, если без длл? Т.е. есть шеллкод, который записывает себя куда-то для перехвата. Или нужно завести еще 1 ехе, который бы отслеживал наличие процесса-жертвы, и периодически себя туда записывал?
примерный концепт:
wasm.ru ⇒ СТАТЬИ ⇒ Секреты Win32 ⇒ Как стать невидимым в Windows NT ⇒ 7. Перехват и распространение
wasm.ru ⇒ СТАТЬИ ⇒ Секреты Win32 ⇒ Как стать невидимым в Windows NT ⇒ 7. Перехват и распространение
инжектиться(или dll или шел-код) в 2 процесса, и пусть они друг друга проверяют - жив ли друг
если нет - реинкарнация друга (уже в другой какой нить процесс) насчет событий не знаю, но есть же [ межпроцессное взаимодействие windows ] (нормал гуглится)