Оптимальный вариант добычи сс

[donself36]

Есть несколько вариантов по добычи сс, хотелось бы узнать у опытных людей, какой вариант оптимальней, исходя из ихнего опыта:
1) Фейковый ИМ - наполнить товарами ИМ, пустить на него трафик с помощью карженных аккаунтов различных рекламных сайтов (контекстка, тизерка и т.д.). И соответственно снифать сс. В данном моменте есть несколько вопросов:
- Я знаю, что ранее можно было каржить Яшу (у меня знакомый находил в ней дыры) - но естественно по РУ не собираюсь работать, интересует ЮСА. Поэтому в случае с контексткой больше всего интересуют аккаунты Гоголя. У кого-нибудь был успешный залив на Гоголь Эдвoрдc с ЮСА СС?
- Кто снифал подобным методом, как вы считаете, затраченные ресурсы и время оправдвют себя?
2) Заливка шелла на ИМ - как я понимаю конечная суть данного метода именно снифать с форм заполнения карты, вопросы по данному методу:
- Как работает этот шел? Он передает заполненные данные через JS во время того, как уже юзер заполнил форму и нажимает кнопку, или он перехватывает данные со стороны сервера до того как они зашифруются в md5?
- Каким образом можно залить шелл к примеру на WP? И какие версии WP уязвимые? Какой нужен софт для поиска данных магазинов и по шеллу как обычно делают, заливают готовый (скаченный/купленный) или пишут сами?
3) Взлом БД ИМ - ранее взламывал SQL ИМ с помощью простенького софта хэвиджа, мне ломались немногие ИМ, а те которые ломались были с зашифрованными данными, так как на многих магазах стоит ssl. Тут есть вопросы:
- Если ИМ с ssl - нет смысла его ломать?
- Многие ли ИМ хранят сс в БД и зачем они вообще их хранят?) Какой смысл в хранении?
- Есть ли смысл сейчас заниматься таким методом добычи сс? Если да, то помимо упомянутого хэвиджа можете посоветовать софт?
Так же давно была мысль развернуть 3eуc, слышал что он может БА добывать, а СС тоже может добывать?

[Scrooge McDuck]

сейчас очень редко сс хранится в БД

[donself36]

Quote:

Originally Posted by Demidoff

сейчас очень редко сс хранится в БД

Понял, мне кажется в ходу больще все таки 2-ой вариант с заливкой шелла, как я понял это реализовывается с помощью Burp Suite

[Scrooge McDuck]

Quote:

Originally Posted by Furoion

Понял, мне кажется в ходу больще все таки 2-ой вариант с заливкой шелла, как я понял это реализовывается с помощью Burp Suite

на экспе поинтересуйся
там добытчиков много.

[jawus]

Можно ещё фишингом добывать креды... и даже не просто креды а фулки...

[Zlatoglaviy]

ищи уязвимые версии ИМ не надо ломать конкретные магазины надо искать магазины с конкретными уязвимыми версиями движков магазина
https://www.exploit-db.com/ тут может поискать известные уязвимости в зависимости от конкретной CMS
шелл можешь лить чужой только поменяй пароль на свой и обязательно закрой от индексации каталог куда ты залил шелл иначе твой шелл смогут найти через обычный поиск того же гугла по заголовкам
и запомни всегда найдутся ленивые или глупые админы которые незакрывают уже известные уязвимости вопрос только в личном упорстве и времени мне понадобилось 2 месяца каждодневной работы по изучению и поиску целей для атак пока появились первые удачные атаки по заливке шеллов
все по заветам ильича учиться учиться и учиться и тогда будет много ццешек

[donself36]

Quote:

Originally Posted by ivvan

ищи уязвимые версии ИМ не надо ломать конкретные магазины надо искать магазины с конкретными уязвимыми версиями движков магазина
https://www.exploit-db.com/ тут может поискать известные уязвимости в зависимости от конкретной CMS
шелл можешь лить чужой только поменяй пароль на свой и обязательно закрой от индексации каталог куда ты залил шелл иначе твой шелл смогут найти через обычный поиск того же гугла по заголовкам
и запомни всегда найдутся ленивые или глупые админы которые незакрывают уже известные уязвимости вопрос только в личном упорстве и времени мне понадобилось 2 месяца каждодневной работы по изучению и поиску целей для атак пока появились первые удачные атаки по заливке шеллов
все по заветам ильича учиться учиться и учиться и тогда будет много ццешек

Понял, спасибо за информацию. Тоесть этыпы примерно такие:
1) Ищу шопы с нужной мне уязвимой версией движка
2) С помощью уязвимости заливаю шелл
3) Закрываю дерективу с шелем через robots
4) Потихоньку тырю сс
Это да, упорство и время - самое важное. Я помню когда начал каржить упорно сидел дома примерно 3-4 месяца перед тем, как пошло дело.

[Zlatoglaviy]

Quote:

Originally Posted by Furoion

Понял, спасибо за информацию. Тоесть этыпы примерно такие:
1) Ищу шопы с нужной мне уязвимой версией движка
2) С помощью уязвимости заливаю шелл
3) Закрываю дерективу с шелем через robots
4) Потихоньку тырю сс
Это да, упорство и время - самое важное. Я помню когда начал каржить упорно сидел дома примерно 3-4 месяца перед тем, как пошло дело.

и ещё выжди минимум 2 недели перед использованием или продажей цц иначе админ шопа быстро вычислит взлом магазина