Misc

Написал несложную программку - архиватор, позволяющий создавать запароленные зашифрованные архивы и прикреплять к ним автораспаковщик. Интерфейс архиватора выглядит так:

Как видно, архиватор позволяет добавить произвольное количество файлов в архив, при случайном добавлении лишних - удалить их или вообще очистить список файлов. Если добавить файлы в архив из разных директорий, архиватор автоматически вычислит самую общую для них и сохранит структуру расположения файлов. Пустые файлы и папки в архив не добавятся. Можно задать заголовок архива и текст, который отобразится в распаковщике перед полем ввода пароля. Также есть возможность задать уровень сжатия и сам пароль для шифрования файлов. Можно создавать архив с автораспаковщиком (формат exe), в этом случае не следует добавлять в него файлов больше, чем на 4 Гб. При создании архива без распаковщика (формат dxa) ограничений на размеры файлов или архива не накладываются, но такой архив можно будет распаковать, только имея разархиватор. Вот как он выглядит:

Распаковываться будут только выбранные в списке файлы. Если файл в папке разархивирования уже существует, распаковщик спросит, заменить ли его. Кроме того, распаковщик создаст все необходимые папки для разархивирования, если это необходимо.

Архивирование производится с помощью zlib, а шифрование - AES256.

Как все это можно использовать? Достаточно вспомнить о большом количестве файловых партнерок и понять, что теперь можно и самим делать платные архивы и распространять их, завися только от биллинга.
А еще это просто хороший архиватор :)

UPD: добавлена возможность создавать просто архивы без пароля.

Скачать: ZIP
Исходн говнокоды: source

В последнее время всеми любимый сервис antigate.com работал не очень стабильно, поэтому многие стали временно использовать известную альтернативу - captchabot.com.
И я решил, так сказать, "заценить", что из себя представляет этот сервис. Не знаю, как с качеством и скоростью распознавания, но меня очень порадовала реализация системы пополнения счета с помощью WebMoney.
Если попытаться пополнить счет, скажем, на 5$, то произойдет переход на промежуточную страницу, в исходном коде которой можно наблюдать стандартную для WebMoney форму запроса проведения платежа.

Однако, довольно интересно себя ведет скрипт, указанный в параметре LMI_RESULT_URL. При простом обращении к нему, во-первых, мы видим раскрытие путей, во-вторых, теоретическую возможность проведения SQL-инъекции (параметры, передаваемые скрипту, можно посмотреть тут). И, как оказалось, скрипт не проводит аутентификацию запроса, что позволяет пополнить счет на любую сумму, используя параметр LMI_PAYMENT_NO со страницы платежа. То есть мы просто передаем скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и деньги зачисляются на счет.

Чтобы не тыкать все это дело ручками, написал программку, которая все сделает за вас. Потребуется ввести только логин, пароль и сумму. Пользуйтесь, хотя быстро прикроют, скорее всего.
Скачать: zip

P.S. На антикапче несколько месяцев назад тоже был замечательный баг, позволяющий делать переводы и выводить средства, превышая доступный баланс.

Привет тебе, читатель. Как ты знаешь, мы некоторые время назад сделали несложный, на наш взгляд, IT-квест, который для желающих пройти оказался не таким уж и простым.

Мы решили сделать второй квест - он отличается от первого тем, что приблизительно половина уровней (по крайней мере, первые 5) в нем действительно элементарная, а дальше сложность постепенно увеличивается.

Ах да, а еще я сделал так знакомого тебе помощника, который намекнет, что делать в каждом задании. С ним ты познакомишься, перейдя по этому адресу и введя в консоль любую команду.

А теперь самое время попробовать свои силы в новом испытании! Мы старались ^_^

Вот кто какие уровни разрабатывал на этот раз:
Kaimi - 3, 4, 7, 8, 10, 11, 13
dx - 0, 1, 2, 5, 6, 9, 12
Совместно - 14, 15

Вот и увидела свет новая версия этого скрипта.

Возможности обфускатора (включая новые):
[+] Замена имен переменных
[+] Замена имен функций
[+] Шифрование статических строк
[+] Шифрование имен стандартных функций PHP
[+] Обфускация INTEGER’ов
[+] Сжатие скрипта
[+] Архивация скрипта
[+] Добавление треш-комментариев
[+] Обфускация констант PHP
[+] Возможность добавления мусорных инструкций и переменных заданной вероятностью
[+++] И многое другое, множество удобств

Исправлены различные недочеты, ошибки, имевшиеся в версии 1.4, улучшена обфускация в некоторых случаях, версия 1.5 более экономно расходует память.

Теперь обфускатор создает каждый раз совершенно новый код, особенно с включенной опцией добавления мусорных инструкций.

Обфускатор не поддерживает конструкции eval() и $$var_name, а также по-прежнему могут быть проблемы со скриптами в кодировке UTF-8.

Вот, например, во что можно превратить простой "Hello, world!":

<? $GLOBALS['_1211036487_']=Array(base64_decode('' .'c3' .'R' .'ydG91cHBl' .'cg=='),base64_decode('Y2' .'91bnQ' .'='),base64_decode('Y3VybF9tdWx0aV' .'9leG' .'Vj'),base64_decode('' .'c3Vic3Ry'),base64_decode('YX' .'Jy' .'YXlfcmFuZA' .'=='),base64_decode('Zmxv' .'b3' .'I='),base64_decode('bXRfcmFuZ' .'A' .'=='),base64_decode('' .'c3RycG9z'),base64_decode('bXlz' .'c' .'WxfY2xv' .'c2U='),base64_decode('Zmdld' .'HN' .'z'),base64_decode('bXRfcmFuZA=' .'='),base64_decode('' .'YXJyYX' .'l' .'fa2V5X2V4' .'aX' .'N0cw=='),base64_decode('Z' .'Gly'),base64_decode('c2Vzc2' .'lvbl9' .'nZ' .'XRfY29v' .'a2llX3Bh' .'cmFtc' .'w=' .'='),base64_decode('bXRfcmFuZA=='),base64_decode('c3Ry' .'cG' .'9z'),base64_decode('YX' .'JyYXl' .'fZGlm' .'Zl9' .'rZXk=')); ?><? function _1513971471($i){$a=Array('Y' .'3V0YQ==','' .'LCB' .'3b3JsZC' .'E=','dmVtYWtm' .'cmpnYnJybm' .'Jpa2Q=','' .'bW' .'Vxbno=','SGVsbG8=','Z2c=','a2I=','amxt' .'dA' .'==','ZmV' .'tY' .'m' .'d' .'1d3V' .'xa293cGU' .'=','cXo=');return base64_decode($a[$i]);} ?><?php function l__0($_0){$_1=$GLOBALS['_1211036487_'][0]($_0);$_2=round(0+813.666666667+813.666666667+813.666666667);if((round(0+1284.5+1284.5)+round(0+15.2+15.2+15.2+15.2+15.2))>round(0+513.8+513.8+513.8+513.8+513.8)|| $GLOBALS['_1211036487_'][1]($_1));else{$GLOBALS['_1211036487_'][2]($_3);}$_3=round(0+861);$_4=_1513971471(0);if((round(0+47.8+47.8+47.8+47.8+47.8)^round(0+119.5+119.5))&& $GLOBALS['_1211036487_'][3]($_3,$_3,$_3))$GLOBALS['_1211036487_'][4]($_5,$_0);print $_1 ._1513971471(1);(round(0+657+657+657+657)-round(0+525.6+525.6+525.6+525.6+525.6)+round(0+1009.5+1009.5+1009.5+1009.5)-round(0+2019+2019))?$GLOBALS['_1211036487_'][5]($_0,$_3,$_1,$_5,$_0):$GLOBALS['_1211036487_'][6](round(0+2285),round(0+1314+1314));if($GLOBALS['_1211036487_'][7](_1513971471(2),_1513971471(3))!==false)$GLOBALS['_1211036487_'][8]($_3,$_1,$_1);(round(0+857+857)-round(0+1714)+round(0+24+24+24)-round(0+72))?$GLOBALS['_1211036487_'][9]($_1,$_1,$_0):$GLOBALS['_1211036487_'][10](round(0+536),round(0+857+857));while(round(0+1621+1621)-round(0+3242))$GLOBALS['_1211036487_'][11]($_3,$_3,$_5);while(round(0+4312)-round(0+862.4+862.4+862.4+862.4+862.4))$GLOBALS['_1211036487_'][12]($_1);$_6=round(0+3584);}l__0(_1513971471(4));$_7=_1513971471(5);$_8=round(0+211.5+211.5+211.5+211.5);(round(0+1645.33333333+1645.33333333+1645.33333333)-round(0+1234+1234+1234+1234)+round(0+947.25+947.25+947.25+947.25)-round(0+1263+1263+1263))?$GLOBALS['_1211036487_'][13]($_0,$_8,$_5):$GLOBALS['_1211036487_'][14](round(0+126+126+126+126+126),round(0+1645.33333333+1645.33333333+1645.33333333));$_5=_1513971471(6);$_9=_1513971471(7);if($GLOBALS['_1211036487_'][15](_1513971471(8),_1513971471(9))!==false)$GLOBALS['_1211036487_'][16]($_1); ?>

В редакторе это выглядит так:

Скачать: ZIP

Обновление 11 октября: поправлены ошибки при обфускации классов, тем не менее, поддержка классов на данный момент неполная.

Думаю, ни для кого не является секретом то, что Российская ОС уже разработана и запущена в тестовую эксплуатацию в некоторых регионах страны. Нам удалось получить доступ к этому творению, и мы предоставляем вам несколько скриншотов, чтобы вы поняли, насколько же сильны и актуальны наши отечественные разработки.

И снова здравствуйте. Представляю вам очередной продукт анализа «защищенности» продукта Vkontakte Inviter Pro v2, выполненного на заказ.
Как пользоваться:
1. Качаем этот архив (включает в себя дистрибутив VIP v2 2.9.3.0).
2. Запускаем serv.exe, ждем появления в окне строки «Server started».
3. Запускаем инвайтер (если у вас 64-битная ОС, то сначала прочтите примечание снизу), но не авторизуемся. Смотрим PID процесса инвайтера через диспетчер задач, нужная строка будет выглядеть как-то так:

Если у вас по каким-либо причинам не отображается PID процесса, то в окне диспетчера нажимаем Вид->Выбрать Столбцы и в появившемся окне ставим галочку рядом со строкой "Идентификатор процесса (PID)". Вводим PID в поле в инжекторе и нажимаем "Inject!".
4. Должен появиться MessageBox с сообщением "Attached!".
5. В качестве логина вводите: weehr
6. Пользуйтесь инвайтером бесплатно.
Читать дальше »