Ну попробую самое интересное тут выкладывать. Посмотрим что получится.
[14:47:24] <q3> Кто кодит на Wininet? Зачем нужна функция HttpAddRequestHeaders , не пойму
Ведь заголовки можно передать и в HttpSendRequest напрямую. Зачем еще 1 функцию лишнюю вызывать
[14:47:46] <TrashGen> Всем привет кого не видел
[14:47:49] <S1> я лично с ним не встречался
[14:47:54] <q3> TrashGen, привет
[14:48:00] <S1> но по идее это возможно модифицирование хеадеров
[14:48:01] <S1> ?
[14:48:15] <q3> S1, но ведь все это можно сделать и в HttpSendRequest
[14:48:20] <q3> изменить хидеры
[14:48:31] <S1> не ну если просто перевести то это
[14:48:36] <S1> добавить запрос к хиадерам
[14:48:39] <S1> тока запрос к чему
[14:48:42] <S1> к отправке или получение
[14:48:44] <S1> или куда
[14:48:47] <q3> отправке
[14:48:58] <S1> а ну дык просто это значит для юзабилити
[14:48:59] <S1> по идее
[14:49:03] <TrashGen> Вининет не нужен
[14:49:03] <S1> в конце концов ты генератор зла
[14:49:04] <S1> и а нея
[14:49:16] <q3> S1,причем здесь это
[14:49:19] <q3> TrashGen, ну ну
[14:49:35] <q3> TrashGen, напешите на сокетах многопоточное приложение с пост запросами и парсингом строк
[14:49:40] <q3> посмотрим, что скажите
[14:52:11] <Apocalypse> х#йня вопрос
[14:52:11] <Apocalypse> ы
[14:52:29] <Apocalypse> главное сформировать функу работы с сетью
[14:52:48] <q3> Apocalypse, но зачем изобретать велосипед
[14:52:53] <S1> это из главы кто о чем
[14:53:48] <Apocalypse> ну когда не нужен вининет
[14:54:00] <Apocalypse> на более низком уровне
[14:54:05] <Apocalypse> хотя да
[14:54:09] <Apocalypse> нахуй все это
[14:54:23] <q3> мне для http сугубо, хз какую альтернативу взять. вининет пока наиболее приглянулся
[14:54:54] <TrashGen> q3: и написал
[14:55:28] <Ar3s> Apocalypse: живой. Сэмпл вечером скину. он дома лежит
[14:55:32] <Apocalypse> ок
[14:55:42] <Ar3s> inc: пока никто не стучал
[14:56:17] <TrashGen> (и скажу что ничего сложного в этом нет)
[14:57:16] <el-> q3 в зависимости от разных параметров надо добавить ту или иную строчку, например куку или рефку, и что бы не держать кучу блоков полного хидера со всеми возможными вариантами, можно добавить хидер по строчно
[14:57:44] <q3> el-, понятно, спасибо.
[14:57:47] <S1> во , я это и хотел сказать
[14:57:50] <S1> наверное
[14:57:51] <S1>
[14:58:16] <S1> аха лол
[14:58:19] <S1> знакомый сервер
[14:58:24] <S1> **h.ms
[14:58:46] <TrashGen> el-: случаем не разбирались с внутренней структурой ssl-пакетов, именно интересует проверяется ли целостность уже расшифрованных пакетов средствами протокола?
[14:59:44] <el-> точно не знаю, но по логике вещей сообщение подписывается, а сталобыть от него берется хеш
[14:59:56] <TrashGen> А то какой то хэш в конце пакета расшифровывается непонятный и я вот не пойму к ссл принадлежит это или же нет
[15:01:30] <Shyrka> all:
[15:01:35] <S1> Shyrka:
[15:01:38] <S1> привет рисовый бандит
[15:02:27] <TrashGen> Ну да, хэшируются шифрованные данные притом довольно хитро и этот блок данных является какбы заодно данными аутентификации входящего, например, пакета и это явно сказано в документации. Тут же я наблюдаю после расшифровки данных в конце оных опять же хэш по которому аналогично хитрым образом проверяются уже расшифрованные данные. Чую это уже к ссл не относится
[15:02:35] <xlt> TrashGen целостность не проверяется
[15:02:59] <q3> el-, вы случайно не знаете, как в вининет дела обстоят с куками? Они передаются автоматически или надо их парсить и добавлять к хидерам? Ну т.е. я сделал пост запрос, авторизовался на форуме. Далее хочу сделать гет страницы - куки добавлятся сами, или надо парсить их и добавлять?
[15:03:46] <S1> q3: скорее всего аддреквест для ручного парсинга и есть там
[15:03:59] <q3> S1, ясно, плохо это
[15:03:59] <S1> ну это так предположение
[15:04:07] <TrashGen> xlt: целостность шифрованного ссл-пакета проверяется по блоку с кодом аутентификаци, который идет после заголовка, но до зашифрованных данных. Как то так я понял
[15:04:17] <el-> q3, есть флаг INTERNET_FLAG_NO_COOKIES, тогда куки не будут обрабатываться, и можешь гемороится с ними сам
[15:04:33] <Shyrka> S1:как делы)
[15:04:44] <S1> Shyrka: норм ты как рисовыый варюга)
[15:04:47] <TrashGen> q3: куки там вроде средствами библиотеки обрабатываются и вставляются ежеле надо
[15:04:55] <Shyrka> ыыы
[15:04:55] <q3> el-, а мне надо наоборот, чтобы сам вининет обрабатывал их. Тогда просто не ставить этот флаг - и они сами будут ставится?
[15:05:07] <q3> TrashGen, понятно.
[15:05:07] <el-> он и так их обрабатывает
[15:05:37] <xlt> TrashGen ну да это есть, но сам алгоритм AES и DES изначально не имеет никаких проверок, это апатч ssl сам проверяет контрольную сумму
[15:06:52] <TrashGen> xlt: причем тут аес дес? Это алго шифрования, а не протоколы передачи данных
[15:07:39] <S1> не трожьте дес священный
[15:07:43] <S1> ироды
[15:07:52] <TrashGen> S1: десу
[15:08:14] <S1> да хоть дэсэ
[15:08:19] <S1> des*
[15:08:20] <xlt> TrashGen SSL это лишь обертка на лагоритмы шифрования
[15:08:29] <xlt> алгоримты
[15:08:49] <TrashGen> xlt: это не на это обертка
[15:10:23] <TrashGen> Вообщем это всем понятно чо эт такое. Вопрос я уж задавал сто раз. Чо та собственно никто особо в этом не разбиралсо на таком уровне. Надобно есчо мессенджеров, которые юзают ссл и сравнить чо делают они. Кто какие знает? Ацку юзает, например?
[15:11:02] <xlt> в самом SSL нету никаких проверок, тотже openvpn по UDP тупо шлет пакеты, и ему похуй расшифровал ты пакет или нет… это апатч проверяет вроде как только…
[15:11:34] <TrashGen> xlt: ну канешна, ага нету
[15:11:55] <TrashGen> Я хоть матчасть почитал прежде чем писать
[15:12:12] <xlt> TrashGen джаббер юзает, но там xml внутри которого шифрованный текст
[15:12:44] <el-> xlt ты что то городишь
[15:13:23] <xlt> el- про что именно?
[15:14:23] <TrashGen> Там не просто хэш шифрованных данных, а хеш их (мд5, ща больше сха-1) передроченый на какойто секрет, на порядковый нумер сообщения и есчо мб на что то и ежеле этот хэш при вычислений не совпал данные считаются порчеными и соединение разрывается
[15:14:33] <el-> я ща смотрю на реализацию ссл сокет, там юзаются EncryptMessage апиха, в описание которой есть Including this information protects against replay, insertion, and suppression of messages., стало быть там идет контроль целосности соо
[15:14:46] <el-> сообщения, его порядковый номер и т.д. и т.п.
[15:14:56] <TrashGen> Вот вот
[15:14:58] <el-> дабы не вклинились в поток и ничего не потерялось по дороге
[15:18:36] <TrashGen> Это явно оговорено в доках по протоколу. Про расшифрованные данные таки ничего нет, сталобыть это к ссл не относится. Я бы мог уже давно спокойно спать после этого, если бы некий кодер мышью не сказал мне что кинул опенссл компонент на форму и у него теперь типа поддержка протокола этого мессенджера в зашифрованном виде. Нихрена не глядя даже чего там внутри. Я же видя какую то нёх вроде как не относящуюся к протоколу не могу в это поверить и вот такие дела
[15:19:30] <TrashGen> Продает кстати за 8 баков, желания покупать у меня нет
[15:20:30] <q3> так вроде в инде или где есть бесплатные компоненты для ссл. если не ошибаюсь
[15:21:19] <TrashGen> Ну мне как то не с руки релизить с опенссл, а мышью на формы я не умею
[15:39:04] <Apocalypse> 1337 (Elite) Exploit Pack слышал кто что
[15:39:06] <Apocalypse> ?
[15:39:29] <el-> ar3s а ботов что нету что ли для жаберов ?
[15:41:48] <TrashGen> Ваахоо надобно заказать годного бота. Он же любитель жаббер-сокетов.
[15:42:39] <Ar3s> el-: есть и я их пытался запустить. Но это такой пиздец, что словами трудно передать. Просто сделать логирование - надо с бубном сутки танцевать.
[15:42:59] <Ar3s> попрошу 12309 помочь. У него опыта больше
[15:44:37] *** profitu (profeto@thesecure.at/notebook) выходит из конференции (Компьютер вошёл в спящий режим)
[15:46:14] <TrashGen> Ar3s: так готовые жаббер библиотеки есть на том же питоне. Там сорок две строки кодеса и все дела
[15:46:41] <TrashGen> Ну эт ежеле можно всякие питоны на сервер вообще
[15:46:56] <q3> у крима был бот
[15:49:35] <el-> есть у кого нить депозитфалес акк ?
[15:50:04] <r00nix> TrashGen, истину глаголете
[15:52:07] <TrashGen> r00nix: да поди и вы на пэхопэ магаете пяток жабберботов за день то?
[15:52:26] <xlt> TrashGen джаббер библиотеки есть на пхп еще и на перл
[15:52:36] <r00nix> TrashGen, на пэхопэ сложновато. пайтон в этом плане идеален
[15:53:13] <r00nix> просто писать бота на пэхопэ это как писать хтмл-странички на осемблере. можно, но бессмысленно
[15:53:30] <xlt> TrashGen на пхп, только джаббер либы кривые, они с шифрованием криво работают
[15:54:17] <r00nix> Ar3s, а зойчем бот? почему бы просто не поставить логирующий модуль для ejabberd?
[15:54:18] <xlt> r00nix пхп не заточен под сокеты вообще, попробуй создать 100 ассинхронных не блокируемых соединений и глянь как быстро это будет работать и сколько памяти сожрет...
[15:54:32] <TrashGen> Как то в хэккере мусарок какой то по петонам писал. Он выкладывал жаббер бота плугинного и прочее для жаббера на петоне. Кодеса там совсем же чуть. А робит, я даже попробовал. Пара костылей и бот в конференции
[15:54:34] <xlt> Ar3s: на перл пиши, 5 минут работ
[15:54:39] <r00nix> xlt, согласен)
[15:55:14] <el-> http://mukki.org/0day/zynamics-bindiff-v4-...-embrace-197498
[15:55:31] <xlt> Ares http://search.cpan.org/~beecee/Jabber-Lite.../Jabber/Lite.pm
[15:56:37] <xlt> Ar3s: http://search.cpan.org/~qmacro/Jabber-Conn...r/Connection.pm
[15:57:09] <xlt> второй вариант лучше, так как хандлеры можно использовать сразу
[15:57:36] <xlt> http://search.cpan.org/~hanenkamp/Bot-Back...e/JabberChat.pm
[15:57:40] <xlt> еще есть такая поебень
[15:57:46] <xlt> сразу бот
[15:58:00] <r00nix> лол
самое смищное в MSE - так это то, как у него происходят обновления сигнатур.
он системные сервисы удаляет/создает при каждом апдейте
выглядит это примерно так
http://gyazo.com/839ca297f1875fc1787727e63b0ff895
вот попробуй догадайся, что сервис с этим непроизносимым названием написан в микрософт и вполне даже нужный
[15:58:45] <r00nix> xlt, да чо вы тут. вон году в 2007 на пайтоне товарищ с эксплоента допилил бота. талисман называется
[15:58:59] <r00nix> самое лучшее что я видел
[16:00:01] <xlt> r00nix да это х#йня все, там писать бота нечего… главное норм библу взять для реализации протокола jabber. я вот в свое время писал icq протокол 7й версии на perl
[16:01:24] <TrashGen> xlt: как насчет перл интерпритатор на айсикью протоколе написать?
[16:02:34] <xlt> TrashGen попробуй узнаешь!)
[16:03:25] <xlt> TrashGen я гавнокодер, мне до таких как вы далеко!)
[16:03:41] <TrashGen> Нет, кстати, не горю желанием. Вообще в этом ойсикью протоколе чорт поломается пополам типа как и в жаббере, но первый ко всему есчо бинарный и закрытый
[16:03:58] <TrashGen> xlt: нет я гавнокодер!
[16:05:54] <xlt> TrashGen: там все просто x00x01размерблокаданныхлогинx02размерблокаданныхпароль там типа такой х#йни все просто
[16:07:10] <xlt> TrashGen джаббер не сложный протокол, там данные в xml формате передаются
[16:07:57] <TrashGen> Ну я смотрел, видал так вообщем то..
[16:08:19] <TrashGen> И жабберы и оскары
[16:09:05] <xlt> TrashGen: http://www.codenet.ru/progr/inet/icq/
[16:09:26] <TrashGen> xlt: о, так так. Коденетчик
[16:10:03] <TrashGen> На конфочке сидите там у них?
[16:10:10] <xlt> только соврал там служебные коды в WORD 2 байта передаются а не 1. тоесть типа x00x001
[16:10:24] <q3> Вы случайно не знаете, что за макрос масма
$CTA0
[16:10:30] <xlt> TrashGen: нет… просто нагуглил протокол
[16:11:42] <TrashGen> Ну да пофиг, я ж все равно не вдавалсо. выб есчо хекскодеса полкилобайта запостиле и попросили всех внимательно посмотреть начиная с 0х5b смещения