Потихоньку подкручиваем себе баланс или баг в мерчанте
Потихоньку подкручиваем себе баланс или баг в мерчанте
В этой статье я хорошенько опишу баг, при помощи которого в буксах с инъекциями можно подкручивать себе баланс...

Итак. Поехали.

Сегодня в качестве примера я приведу вам 5b-u-x.com
Потихоньку подкручиваем себе баланс или баг в мерчанте

На данный момент всё канает, но IP сайта изменился, поэтому автовыплат там нет - код ошибки -110

Пункт 1.
Для начала работы со взломом качаем любой софт, скрывающий ваш IP адрес. Можно использовать HideIP Easy, вполне нормальная программка. Аналогично, для начала работы необходимо обзавестись левым аттестатом, либо левой симкой, либо левым счётом и т.п. Чтобы было всё левое.

И для начала сего беспредела нам необходим левое мыло. Я рекомендую использовать такие, как 10minutemail.com или testemail.net

Обзавелись левым счётом, мылом и скрыли IP - готовим оперу.

Для начала работы скрываем IP и запускаем оперу. Опера не скрывает IP, если вы начали его прятать во время её работы. Необходим перезапуск.

Запустили оперу? Приготовили счёт, скрыли IP, сидим во временном мыле? => Переходим к пункту 2.

Пункт 2.
Узнаём, есть ли у нас на сайте не фильтруемые id и прочая ересь, где можно сделать инъекцию. Если есть, тогда продолжаем работать. Если нет, не отчаиваемся, я дальше ещё баг распишу более простой.

Если же инъекция есть - нам необходимо узнать SecretKey мерчанта. В vns-sc его нет, как и в liderwm (сори за палево, обстоятельства). Т.е. мы просто вместо него ничего не будет вводить.

Как узнать SecretKey на 5b-u-x.com?

http://5b-u-x.com/news.php?id=0%27+union+select+1,secretkey,3,4+from+tb_site+--+

Идём по ссылке и смотрим на надпись над цифрой 3.) SecretKey для мерчанта на 5b-u-x.com - secretno

Отлично. Можно продолжать. Регистрируемся и переходим к пункту 3.

Пункт 3.

Потихоньку подкручиваем себе баланс или баг в мерчанте

Мы зарегистрировались успешно, зашли в аккаунт. Идём и создаём заявку на пополнение баланса, в сумму вводим че хотим. Далее нам пишет, мол для подтверждения заявки оплатите её. Мы останавливаемся. Жмём правой кнопкой на свободное место на странице и смотрим исходный код:

Потихоньку подкручиваем себе баланс или баг в мерчанте

Из исходного кода нам необходимо запомнить только id. На скрине это 103. Ну и сумму тоже не забываем. Теперь нажимаем CTRL+A (выделяем и удаляем весь код из исходного) ну и вставляем туда:

Потихоньку подкручиваем себе баланс или баг в мерчанте

Я решил код не писать сюда кодом, я просто выложил его скрином. Кто действительно заинтересуется - тот перенаберёт это всё вручную.

Что же мы должны понять из вставленного кода:
1. Адрес - URL на результ URL, указанный в мерчанте. Почти везде это site.ru/payresult.php
2. Везде для простоты проставим единички, кроме оплаты, ID и LMI_HASH (хеш всей этой каши в собранном порядке)

Теперь, чтобы у нас всё получилось - мы идём на prime-speed.ru и вводим туда следующее:
1ОПЛАТА11111КЛЮЧ11

Заменяем слова ОПЛАТА и ключ на сумму оплаты и секрет кей соответственно. Стоит обратить внимание, что оплата должна быть не меньшей чем заказана сумма на пополнение (либо сумма заявки).

Ставим галочку "Верхний регистр" и жмём "Кодировать". Полученный хеш вбиваем вместо хеша в коде со скрина. Жмём в опере "Применить изменения" и у нас обновится страница, где вы заказывали пополнение баланса. Там клацаем на кнопочку и, вуаля...

Потихоньку подкручиваем себе баланс или баг в мерчанте

Вот теперь что с этими деньгами делать я хз - решать вам.

Вот ещё парочка интересных проектов:
- clicken.ru - на ликпей по 15 рублей в сутки максимум автовыплата.
- avangard-bux.ru - по-моему по 10 или 15, я уже не помню.

Ну и ещё много много всяких буксов.


Фикс.
Фикса,как такового нету. Есть только несколько советов.
1. Файл payresult.php переименовываем и соответственно, меняем ссылку в настройках мерчанта.
2. Естественно, открываем его и где строка:
$mymerchantkey=$mm["secretkey"];

Просто пропишем его вручную:
$mymerchantkey="ваш секрет кей";

3. Выбрасываем букс и занимаемся нормальными делами.

P.S. Кстати, в дельте и в ликпее, если задаётся через базу, то тоже можно подмутить пост запрос.


Рубрика: Бесплатное » Дыры, ошибки   |   Автор: Alex   |   Просмотры: 8830
Комментариев: 19
Публикаций: 0
ICQ: 614925814
- 43 +
  Автор: kar   |   Группа: V.I.P.   |   Дата: 30 марта 2012  
Ахереть!!! Извините, закрываю нафиг свой букс и иду бомбить! )))
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
1.при каждом новом "пополнении" создавайте заявку
2.в сеоедитах тоже достаточно service поменять да ид добавить и херачить се балансы.главное секрет кей знать
3.если сеоедит на ручном приёме и не получается прикопаться и найти секрет кей - попробуйте просто ввести "Secret Key" - оно по умолчанию и обычно админы не трогают =)
А НУ И В сеоедитах достаточно пополнить любую рекламную компанию и удалить её - деньга на баланс придёт :D

Цитата: kar
Ахереть!!! Извините, закрываю нафиг свой букс и иду бомбить! )))

wm-kar.ru более менее защищён...
Комментариев: 240
Публикаций: 6
ICQ: 573235722
- -896 +
  Автор: VELIK505   |   Группа: Программисты   |   Дата: 30 марта 2012  
Kar у тебя нету такого.

Alex
wm-kar.ru более менее защищён...

Там только в форуме есть дыра но форум не мой. А так во всём остальном вроде всё нормик.
Комментариев: 19
Публикаций: 0
ICQ: 614925814
- 43 +
  Автор: kar   |   Группа: V.I.P.   |   Дата: 30 марта 2012  
Да я прикалуюсь))) Прикольная статья+
Комментариев: 117
Публикаций: 0
ICQ: 444249
- 482 +
  Автор: BITbOK   |   Группа: Модераторы   |   Дата: 30 марта 2012  
Опера сильно глючит,когда включил прогу) невозможно работать
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: VELIK505
Там только в форуме есть дыра но форум не мой. А так во всём остальном вроде всё нормик.

а велег не прикалвается
Комментариев: 150
Публикаций: 8
ICQ: --
- 80 +
  Автор: PHPmaster   |   Группа: Пользователи   |   Дата: 30 марта 2012  
chrome используйBITbOK,
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: PHPmaster
chrome используйBITbOK,

опера для того чтоб исходный код менять ок да?

кто скок спи3дил? с кликена к примеру или с авангарда?))

мне лично впадлу на кликене у меня 1219 рублей.мне на мобилу понадобилось - я пятнарик вывел,закинул и пи3жу хожу неделю =))а на авангард впадлу о5 пост запрос составлять и с хешами мучаться =)
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: Alex
опера для того чтоб исходный код менять ок да?

Ахахахах) Ну ты нуб) В Хроме есть "Код элемента".
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Green-wm,
сам нуб я хром использовал года полтора назад последний раз.там нельзя было "на лету" менять код ещё

а понезнанке пена не липнет ок да?
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Alex,
+1 у меня тоже в хроме не меняет
Комментариев: 78
Публикаций: 2
ICQ: 438544012
- 123 +
  Автор: finbux.info   |   Группа: Пользователи   |   Дата: 30 марта 2012  
пробовал на скрипты где не фильрируется данные и установлена моя защита, иньекция не работает winked

так что люди пробретайте мою защиту и даже если что то не фильтрируется все равно иньекция не срабатывает
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: aktanoff
Alex,
+1 у меня тоже в хроме не меняет

Это всё потому что ты еще нуб.
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
не стоит покупать - качайте нгсовскую и в буй не дуйте!там просто тупо не пускает дальше при галимом $_GET или $_POST =))
Комментариев: 207
Публикаций: 5
ICQ: 403746846
- 339 +
  Автор: BaMiS   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: aktanoff
+1 у меня тоже в хроме не меняет

там просто не всё так просто, а надо правой кнопкой по блоку щёлкнуть и выбрать edit as HTML
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 30 марта 2012  
всё я пшёл залипну до утра.утром мож ещё статьи буду.

з.ы: GREEN PIZDUK
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 30 марта 2012  
Цитата: finbux.info
так что люди пробретайте мою защиту и даже если что то не фильтрируется все равно иньекция не срабатывает

facepalm

Во и фсё) А ну и POST также мона)

Ну лучше конечно от NGS'а защиту поставить, она более правильная.
Комментариев: 121
Публикаций: 2
ICQ: 819374
- 118 +
  Автор: Rufus   |   Группа: Программисты   |   Дата: 30 марта 2012  
Стоило какому-то алику написать статью про хак говнобуксов и понеслась...
Комментариев: 738
Публикаций: 50
ICQ: --
- 4 +
  Автор: Green-wm   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Данунах????
Комментариев: 117
Публикаций: 0
ICQ: 444249
- 482 +
  Автор: BITbOK   |   Группа: Модераторы   |   Дата: 31 марта 2012  
Alex,
Попробовал зделать все как ты написал - когда уже жму Оплатить кидает, открывает белую пустую страницу..Что я не так зделал?
Комментариев: 125
Публикаций: 2
ICQ: --
- 81 +
  Автор: aktanoff   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Цитата: BITbOK
Попробовал зделать все как ты написал - когда уже жму Оплатить кидает, открывает белую пустую страницу..Что я не так зделал?

ты секрет кей неправильно ввел там шифровать надо
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Цитата: BITbOK
Попробовал зделать все как ты написал - когда уже жму Оплатить кидает, открывает белую пустую страницу..Что я не так зделал?

при нажатии и откроет в новом окне пустую страницу

потом на ней просто вбей адрес букса исмоти на баланс

чтоб сработало надо быть предельно внимательным
1.ид в коде кнопки записать,когда заказал нормально
2.сумма оплаты должна быть введена также,как вводил ты на сайте чтоб узнать хеш.там же внимательно смотри чтоб правильно ввёл секрет кей)

у меня ж в конце концов получилось :D
Комментариев: 7
Публикаций: 0
ICQ: --
- 4 +
  Автор: advertwm   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Спасибо! НА зря так в паблик кинули! ШКолота налетит! + вэбмани увидит!
Комментариев: 47
Публикаций: 1
ICQ: 777042
- 93 +
  Автор: Fiesta   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Цитата: advertwm
+ вэбмани увидит!

И что они сделают?

P.S. Да и как увидят? Они что думаешь шоп читают?
Комментариев: 7
Публикаций: 0
ICQ: --
- 4 +
  Автор: advertwm   |   Группа: Пользователи   |   Дата: 31 марта 2012  
НЕт, фиг знает, может у нас тут чужие?)))
Комментариев: 207
Публикаций: 5
ICQ: 403746846
- 339 +
  Автор: BaMiS   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Цитата: advertwm
Спасибо! НА зря так в паблик кинули! ШКолота налетит! + вэбмани увидит!

Судя по тому что ты написал тут комент, школота уже налетела...
Комментариев: 117
Публикаций: 0
ICQ: 444249
- 482 +
  Автор: BITbOK   |   Группа: Модераторы   |   Дата: 31 марта 2012  
Alex,
хз) а какой на этом сайте был секрет кей? походу secretno?
Комментариев: 338
Публикаций: 169
ICQ: 650073308
- 291 +
  Автор: Alex   |   Группа: Пользователи   |   Дата: 31 марта 2012  
DA)

а чо поменялся?
Комментариев: 117
Публикаций: 0
ICQ: 444249
- 482 +
  Автор: BITbOK   |   Группа: Модераторы   |   Дата: 31 марта 2012  

всё правильно зделал,результат 0 ))
Комментариев: 1
Публикаций: 0
ICQ: --
- 0 +
  Автор: fok81   |   Группа: Пользователи   |   Дата: 31 марта 2012  
Все это хрень ставь пополнение баланса через roboxchange.com и все будет нормалек
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.