iSecure blog

Ani nevim co mě k tomu vede, možná nuda v cz :) Možná touha ukázat něco konečně ‘užitečnýho’, každopádně tím nechci nikoho poškodit, tahle botka je pro mě vzásadě k ničemu. O cz se nezajímam od doby kdy jsem zjistil že na webu jdou vydělat peníze, v čr si malým webem bez podovdů nevyděláte ani na jídlo. Vyhledávače jako seznam, centrum a atlas jsou mi tak jako tak ukradený, protože vyhledávat je to poslední co umí dobře a efektivně. Ani nenabádam nikoho aby tohle používal a někomu ‘ničil’ blog, prostě užívejte pro studijní účely :)

Proč vůbec spamovat blog.cz ? je to jeden z nejpoužívanějších hromadných blogovacích systémů. Zkuste si najít v googlu něco o tokio hotel, co vidíte ? 90% odkazů vede na blog.cz . Prakticky všechny mají komentáře…a to komentáře s možností zadání webu. Kdo by nechtěl > 1k backlinků ?

tak…

K rozpoznávání se používá 15 různých kritérií analyzujících samotný text, uvedené url, e-mail, IP adresy, HTTP hlavičky, stáří diskuze a další faktory. (viz. http://jyxo.blog.cz/0605/spamfiltr-na-blog-cz)

15 ? to si trošku přehnal ne :) analýza textu určitě vyřadí penis enlargement, ne nás. Url…hmm pokud to nepřeženete a nikdo vás nenabonzuje tak ok. IP adresy - samozřejmě proxy. HTTP hlavičky, jedna z nejsnadněji ovlivnitelných věcí. Nevím co je myšleno pod pojmem stáří diskuze protože většina těch blbějších botů spamuje hned první příspěvek co najde, my taktéž. Těmaa dalšíma faktorama se necháme překvapit.

Začneme asi přímo od nějakého blogu a zkusíme postnout bez cookies a javascriptu. Pak s Javascriptem. Já na to používam většinou links, je to pohodlnější než si roz….nastavit vlastní prohlížeč :)

Ha první ochrana se zjevila uživateli bez javascriptu. Takže nás čeká se podívat dovnitř html kódu.

Mmm druhá ochrana bude skrytá nejspíš v cookies. Tady bude asi nejjednoduší se podívat do komunikace mezi browserem a serverem.

Javascript na stránce vypadá asi takhle:

<noscript>
   napište "pekny den": <input type="text" name="secondaryMail" value="" />
</noscript>
<script type="text/javascript">
// <![CDATA[
   document.write('<input type="hidden" name="secondaryMail" value="pekny d' + 'en" />');
   /* S timto kodem jsou problemy v IE - zjistit, co mu nevoni (zmetkovi)
   var hdColumn = document.createElement('input');
   hdColumn.name = 'secondaryMail';
   hdCom��V���G�R�v��FFV�s��D6��^umn.value = 'pekny' + ' den';
   var form = document.getElementById('articleCommentForm');
   form.appendChild(hdColumn);
   */
// ]]>
</script>

Opravdu výzva hh, ještě před tím než sem to viděl jsem chtěl použít perl implementaci javascriptu, ale to je opravdu zbytečné :) má odpověď je tedy (samozřejmě v perlu)

if($content =~ /hdColumn.value = (.*)/im ) {
    my $tmp = $1;
    $tmp =~ s/\+/\./g;
    my $newval;
    eval('$newval = '.$tmp);
    $form{'secondaryMail'} = $newval;
  } else {
    print "  ! parse error, nemame tajny heslo :)\n";
    exit;
  }

ještě existuje varianta se sčítáním čísel a tim jsou veškeré javascriptové zábrany zlomeny (trik na sčítání v tomto případě zafunguje taky). Při procházení html kódu ještě narazíte na nestandarní položku atNum, která má fungovat asi taky jako ochrana nabýváním náhodných hodnot…anebo nevim…odparsujem prostě :)

if($content =~ /<input type="hidden" name="atNum" value="([^"]*)/im) {
    $form{'atNum'} = $1;
  } else {
    print "  ! parse error, nemame tajny heslo 2 :)\n";
    exit;
  }

Zbytek formulářových hodnot by měl být statický.

Tužší už budou cookies, protože stále formulář nelze odeslat i po zapnutí HTTP::Cookies. Tak jsem vzal ethereal mistra sniffu a mrknul se co si kluci mezi sebou vyměňujou navíc. Zaujala mě jedna věc

K čemu myslíte že tohle v cookiee slouží ? Nejdřív jsem měl podezření na gemius nebo nějakou takovou šílenou trackingovou službu, kterou by se toeriticky měřil čas strávený na stránce, ale zdrojáky tomu nenasvědčovali. Pak mi to došlo. Další kontrola spočívá jednoduše v časování…za jednu sekundu komentář nenapíšete, za dvacet sekund už ano. A máme vymalováno …pozdravuju mamku a taťku :)

#!/usr/bin/perl -w    

#
#           perl blog spammer project
#       --------------------------------
#
#          usage: ./spamurl.pl url
#
#           (c) 2006 sh@isecure.cz
#

use strict;
use warnings;
use LWP;
use HTTP::Cookies;


use constant COOKIESFILE    => 'cookies.lwp';

if (@ARGV != 1) {
  print "usage: ./spamurl.pl url\n";
  exit;
}
my $url = $ARGV[0];

my @ns_headers = (
  'User-Agent'      => 'Mozilla/5.0 (Windows; U; Windows NT 5.1; cs; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7',
  'Accept'          => 'text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5',
  'Accept-Charset'  => 'windows-1250,utf-8;q=0.7,*;q=0.7',
  'Accept-Encoding' => 'gzip,deflate',
  'Accept-Language' => 'cs,en;q=0.7,en-us;q=0.3',
  'Connection'      => 'keep-alive',
  'Keep-Alive'      => '300',
);

my @text = (
  'Posledni dobou smrdim cimdal vic',
  'Seo hnuj utoci, zahlen sie bitte',
  'Radek Hulan je ukazkova vyzirka, vice na http://hulanator.kompost.cz',
  'Ty jeden plesnivej chomacku rektalnich chloupku',
  'atd :)'
);

my %form = (
  'discuss_name'      => 'Vozdr',
  'discuss_email'     => 'seo@smrdi.v.cz',
  'discuss_web'       => 'http://www.blackhats.cz',
  'discuss_text'      => $text[rand @text],
);

my $proxy = "http://sopl:80/";


my $response_get;
my $response_post;
my $form_send_to;
my $line;

my $browser = LWP::UserAgent->new(parse_head => 0);
#$browser->proxy(['http', 'ftp'], $proxy);

$browser->cookie_jar( HTTP::Cookies->new(
    'file' => COOKIESFILE,  # where to read/write cookies
    'autosave' => 1,        # save it to disk when done
));


print '+ uhm shitting on ' . $url . "\n";

$response_get = $browser->get( $url , @ns_headers);
my $content = $response_get->content;
my $asstring = $response_get->as_string;

if(
  $content =~ /discuss_name/i &&
  $content =~ /discuss_text/i
) {

  print "  - yeaaah mame koment\n";

  if($content =~ /discuss_web/) {
    print "  - yeaaah a muzeme sem nacpat i web\n";
  } else {
    print "  - nonweb comment :-/ ale i tak fajn\n";
  }
  
  # tajny heslo ;)   
  # hdCom��V���f�VR�sr�srs�Т�b�F6��FV�B����D6��V���f�VR��⢒�����ТגGF��C�ТGF���2�²����s�ТגF�WwfðТWf‚rF�Wwf��r�GF���ТFf�&ײw6V6��F'����w��F�WwfðТ�V�6R�Т&��B"'6RW'&�"��V��RF���W6������#�ТW��C�Т�ТТ�b�F6��FV�B���Ɩ�WBG�S�&��FFV�"��S�&D�V�"f�VS�"���%Ң���Ғ�ТFf�&ײvD�V�w��C�Т�V�6R�Т&��B"'6RW'&�"��V��RF���W6��"����#�ТW��C�Т�ТТv���R�ג�F�W��Gf�VR��V6��Vf�&Ғ��Т&��B"�F�W���Gf�VU��#�Т�ТТ&��B"�6�VW��r#5��#�Т6�VW#�ТТG&W7��6U��7B�F'&�w6W"���7B�GW&���Vf�&���5��VFW'2�u&VfW&W"r��GW&“�Т&��B"�"�G&W7��6U��7B���W76vR�%��#�ТТ&��B"��FW6�����#�ТТ�V�DD�UB�s�F�r��Т&��BDD�UBG&W7��6U��7B��6��FV�C�Т6��6R�DD�UB��ТЧ�V�6R�Т&��B"��R��2GR�R��6���V���#�ТW��C�Ч�

Michale kde je těch patnáct ochran, který proklamuješ ? :) Spider si najděte/naprogramujte sami, technickou podporu taky neposkytuju, tak jestli máte nějaké otázky jděte z dovolením doprd…