[antvor]

mak каким это образом это лучшая статья за последнее время?
Обьяснены простейшие нюансы, которые освещались тысячи раз на том же школо-бхф (там же обитают и авторы юбк и приваткипера), там же выложены тонны проэктов под него, освещены даже проджэкты под биткоин биржи\сервисы, с антикапчей под брут,на сервисы где можно СРАЗУ выводить бабки себе на кошелек.
Абсолютно ничего нового, статья имитация сотен других. Тем более передертая. Оригинал статьи на скайфрауде, 2017 года. Зачем название в заголовке 2018, если это тема как минимум 3хлетней давности вообще?
То, что он показал на одном конкретном примере виктории, аналогично ДЛЯ ЛЮБОГО шопа из гугла где есть балик в акке и не используется капча. Виктория как пример неуместна.
Более того, набираем в ютьюбе приват кипер или юбк и вы увидите сотни, тысячи ВИДЕО РОЛИКОВ, где все проще и понятнее расписано, есть гораздо более сложные проэкты, так же можно изучать чужие в бесплатном доступе,или купленные за копейки, где используются для парсинга не несколько переменных логин пасс, а только лишь все с запроса.
Я аналогично на биржах делал автовывод баланса при гуде с подстановкой моих реквизитов+одновременное использование в связке с burp suite инструмента анализатора токена+интрудера+подбора токена+автовставки в запрос, использование обхода пассфраз на этой основе (сложно,но прокатывало),антикапчи,и где сразу идет автослив баланса вам на кошелек. Нашли биржу\сервис\бткказино\етк (что и есть самое сложное)->изучили заголовки бёрпом->подставили ответы сервака, завели пару долларов или прочекали акки с минимальным балансом,запустили вывод, опять пропарсили как выводится, подставили.
Далее опять значения\проанализировали токены\подставили->запустили чек с автовыводом. Пьем чай и наслаждаемся выскакивающими всплывающими окнами от electrum о пополнении кошелька. Иногда мелькали так, что я суммы упавшие с свернутом в трее электруме не успевал замечать Без всяких заказов и рероутов с прозвонами.
Я даже больше скажу, в том же берпе в интрудере можно абсолютно бесплатно,без регистраций и смс, чекать и парсить акки используя при чеке редиректы и куки+греп ответа,без заморочек, просто подставляя §pval§ в необходимые места запроса
Ничего нового, актуального не освещено. Просто эти темы на данном форуме не поднимались (а зря, поверьте), потому маку кажется что это лучшее. Сам статью пилить конечно не буду, т.к. не вижу смысла, все давно есть в паблике (даже с видео).Я вам только далее дам пару фишек от себя, которые не освещены ни в одной статье.
Школоте разжевовать тупо (все равно не найдут адекватный сервис). Кто в теме это знают и так,им писать=только смешить народ. Самое сложное-это поиск биржи\сервиса. А проджэкт написать пол часа делов. Причем автовывод не догадались юзать почему то большинство, видимо из за сложности анализа лол. Но в оправдание им скажу, если много не анализируемых динамических данных,то и не прокатит. А таких сервисов большинство.
Если с берпом разберетесь, то с кипером или юбк разберетесь даже без гайдов и видео, это просто не нужно. А статья вообще школьная.
З.Ы. иначе как вы думаете, почему скупают массово запросы блокчейна? Отрабатывают базы 50\50? Просят обходы пробить двухфакторок с бирж? При хорошей базе можно десятки к поднять с базы $, если лень заморачиваться, отдайте у кого все готово под запросы с блокчейна, с норм базы (не пиздатой) пару к $ за пару дней поимеете. Вас чуть чуть конечно тоже поимеют (а может и не чуть чуть),но свои пару к вы получите =) Это плата за лень.
А если вы и сами ломаете базы, вам никакие селлеры\посреды вообще не нужны. Я не буду касаться темы обхода двухфакторок, далее, небольшой лайфхак от меня к вышизложенной, так называемой "статье", лол, который для более менее прошаренного скрипткидди (а иначе я назвать не могу) будет толчком к действию:
Ставим и настраиваем берп, ставим юбк (я им вообще иногда даже не пользовался, использовал интрудер в берпе ), находим сервис\биржу\кази\етк по крипте.
Для начала тщательно анализируем цель (таргет) на pr-cy том же или аналогичных. Изучаем сколько траффа и трастовость, чекаем на сабдомены,просматриваем отзывы, в общем пробиваем сервис тщательно.
Если подходит, изучаем через браузер с запущенным берпом (локальной проксей) саму биржу\сервис.
Заголовки\ответы анализируем,лазим по бирже с включенным спайдером и функциями в сканнере active scanning - use suite scope (не обязательно, можно сканить потом отдельно необходимые передаваемые к бд параметры с наибольшим количеством точек входа,дабы уменьшить трафф) и live passive scanning scan everything. Советую так же использовать расширения.
Делаем так же акк на сервисе (или чекаем свою базку тематического валида на запросы с сервиса (я использую AIO,т.к. к нему привычен), если сервис актуальный и не слишком известный в наших кругах, и у вас адекватная база - запросов будет много) через локальную проксю берпа опять же.
Вообще все делаем через нее в браузере.
При нахождении гудов в aio, пробуем залогиниться руками на таргет с тем же мылом и паролем в сервисе, что и на мыло пасс (в 50-80 % случаев подходят , за пару минут валид на сервисе с валида на мыло пасс и запроса можно найти и ручками) Вообще на данном этапе минимизируем автоматизацию, и пробиваем все руками, ибо нельзя пропустить ни одной детали.
При подтверждении по почте, лезем на ящик и подтверждаем.
И так, логинимся на сервис (для того, чтобы берп сохранил куки и изучил внутреннюю кухню после авторизации,в личном кабинете, там самое главное).
Изучаем секретки если есть, изучаем как работает вывод,двухфакторку, изучаем токены если акков много, все это дело анализируем в том же берпе.
После чего,разлогиниваемся, запускаем интрудер, подставляем переменные в необходимые параметры, прогоняем через интрудер свою базу валида с запросами от сервиса (предварительно прочеканные aio) и грепаем свои параметры.
Отсеиваем подходящие по критериям (т.е. гуды на логин).
Теперь запускаем юбк или приваткипер. Делаем парктически то же что в "статье", но ессно парсим и сохраняем так же баланс, запросы на секретки, свои подходящие параметры.
Настраиваем под себя (автослив возможен только при навыках (иногда необходимо написание расширения под берп) и подходящих условиях на сервисе,повышает количество ошибок или вовсе убивает акки в неумелых руках, вплоть до закрытия слива или ввода дополнительных мер секурности на таргете,потому пока рассматриваем вывод ручками).
Создаем проджэкт. Пускаем, парсим балики и нужные акки, соответствующие нашим параметрам.
Заходим с деда, логинимся на нужный акк. Выводим. Профит.
Теперь дабы не быть голословным, обьясню
Почему советую использовать в связке с берпом (и пускать через него весь трафф):
В моем конкретном случае (и не одном в итоге), после выполнения всех вышеописанных манипуляций, я внезапно обнаруживал при включенных актив и пассив скан кучу уязвимостей на таргете (и даже на особо крупных и трастовых, но там раскрутить нереально).
Т.к. берп это фактически отличный и наиболее полный и гибкий (с возможностью писать любые расширения под себя, под любые задачи) инструмент пентестера и отличный анализатор траффика (прокся), он еще и в режиме серфинга и грамотно настроеный-способен выполнять автоматический поиск выбранных уязвимостей.
При моем анализе траффа для написания проджекта под юбк, я поставил поиск уязвимостей в пассивном и активном режимах. После слива всех доступных балансов с сервиса с моей базы (набралось за два часа работы под феном всего около 3к$ на электрум, все юзеры обычно сразу выводили,и стояла двухфакторка на мобилы во многих крупных акках при выводе и\или авторизации),я обнаружил, что мой берпик нашел в параметре page_id выводящем страницу поиска предложений покупки продажи в сервисе ПОСЛЕ АВТОРИЗАЦИИ в ЛК- sql-inj и xss. Я начал подробнее изучать сервис уже со стороны пентеста.
Про нмап,порты, висящие на них бажные сервисы, сервак и PoCи с CVE под версию,метасплоит я рассматривать не буду.Это обширная тема.
Просканив тем же интрудером по своим словарям скомбинированным из словарей дирбастера и SecLists-master на доступные директории + нмапом на порты и питоновым саблистером на сабдомены, я нашел хитровыебанно спратянную админку,висящую на сабдомене, на нестандартном порту.
Справедливо решив, что возможно если получится залить шелл,я солью вообще все, а это значит профит будет в десятки или сотни раз выше-я погнал крутить скулю через sqlmap.
Расрутив я немного разочаровался
К сожалению доступ к mysql.user не было,я не dba, ветка пятая, инжект error based, все возможные права порезаны, т.е. я в режиме чтения чта уровне прав приложения фактически, без возможности вносить праффки и использовать file_priv+куча зависимостей - я для начала тупо слил пасс и хэш админа.
Хэш md5($salt) но очень сложный пасс, т.к. с пол года уже расшифрововается до сих пор на всех известных платных и бесплатных сервисах и по платным запросам у частников (смотрю уже чисто ради интереса). Так что админка отпала сразу. Я слил всех юзеров, в формате мыло,пасс, полный адрес у кого указан,фио, телефон, секретка и по мелочи.
Пассы в обычном бэйс64 были, чтобы на лету и не нагружать сервак, так что за секунду я их получил. А вот секретки (двухфакторки на трубу откинул сразу) были пошифрованы собственным алгоритмом,обернутым в aes, что расшифрововать равносильно самоубиству. Тем более без доступа к исходникам это невыполнимо.
Отчаявшись, и не обнаружив ничего более снаружи, кроме скули и пары xss, я досливал остальные доступные балансы, что дало профит еще в размере 5к (тут я уже дописал автослив, т.к. владел инфой,и запустив охуел от количества мелких балансов, приходящих на бтк клиент). Отложил сервис на потом, как расшифруется хэш админа,больше вариантов не было (забегая вперед: багу прикрыли,все поменяли, разослали пользователям извинения, некоторым выплатили компенс,у кого были вбиты настоящие данные).
Я приступил к СИ, т.к. у меня была хранимая xss. Составив фэйковое письмо от сервиса,о необходимости смены пасс фразы и пароля в связи блаблабла и приложив линк с xss по которой это менять, я получил несколько пасс фраз (измененных) на свой снифер, что принесло еще несколько к.
Но главный профит я получил не с биржи а с самой базы,как это не удивительно.
Хорошая база-99% успеха, не умея добывать базы самостоятельно, или используя всякие катюши и прочий говноинструмент,или что смешно покупные - все вышеописанное и автором статьи и мной,является говном, не стоящим времени и сил. Если кто продает базы, то он не умеет их отрабатывать (как он их тогда добывает вопрос), они паблик,сборка или отжаты уже автором на свои сервисы, остальные сервисы трудоемки , не его тема и\или требуют высокого кпд а посему не интересны продавану. Что скорее редкое исключение, но отнюдь не правило.
Я впрочем потом продал базу, но сразу сказал на что отжата, и получил хорошие бабки.
Я отработал ее далее на блокчейн примитивнейшим образом из мне на тот момент доступных:
Я aio прочекал базу на валид и запрос с блокчейна с сохранением писем. Из каждого письма я грепнул id блокчейна и сделал список blockchain id:пасс от мыла где валид и где есть это письмо. Написал по характерному паттерну и ключу чекер валида на логин в блокчейн в юбк. Т.е. на отсылку ссылки на мыло для авторизации. Что неудивительно, нашлась куча акков к которым пасс от мыла подходил и к id кошелька блокчейна . Я отсеял из них норм балики, пробил на двухфакторки и повыводил просто смешную для статистики тупости пользователей но просто огромную для меня сумму.
Вы удивитесь, сколько людей оперируют нормальными суммами, при этом используют почти везде одинаковые пароли. При этом не используют двухфакторку (2фа) и не используют пасс на перевод. (да, да, вы не ослышались,даже пасс на перевод частенько равен пассу на мыло и пассу к кошельку!)
Остальное из валида я отдал близкому для меня человечку (он есть и тут, привет бро! ник понятно палить не буду, захочет отпишется) который умеет как то чудесным образом динамить двухфакторку на маленьком, но весомом проценте кошелей. Мы поимели еще нихуево бабла.
После я неоднократно отрабатывал базу на свои сервисы, а в итоге продал человеку, предупредив о отработанных сервисах. Да я бля ее даже на партнерки рассылал имея профит А человек имеет с нее профит до сих пор.
Это краткая история о том, как потратив пару баксов (до сотни) на расходники впн,ссш,носки,дедики и по мелочи (лицуху ту же на юбк,берп бесплатен, про крякнутый), получить пятизначную сумму $ за неделю, включая только руки и голову. Ну и немного фена, чтобы быстро все сделать и не спать (можно заменить пластом с утра и вечером фенибута (легальный и копеечный ноотроп)).
Кто хочет и умеет - направление азиатские страны,бразильские и всякие португальские там, италия, и т.д. локальные сервисы юзайте. Не используйте амерские и топ европы, заезжены.
При должном желании и упорстве, все получится. В наше время нам предоставлен гибчайший интсрументарий для получения необходимой информации и автоматизации. А она как известно правит миром.
А если подключать мозги..это неограниченное поле деятельности. Я работал по крипте, т.к. она мне близка и менее геморна в плане отмыва\обнала.
Можно приспособить под кардинг,фишинг,подключать си. Да что угодно.
Если что упустил-задавайте вопросы. По вопросам могу ответить, которые посчитаю нужными. В пм по этим темам не писать строго, в игнор сразу. Технические детали расписывать не буду, где что достать скачать-тоже. Не умеете добывать информацию-это не для вас.
Но статья выше, это детский лепет. Это в паблике все давно.