AlexDezertir
RIPPER
- Messages
- 170
- Reaction score
- 33
- Points
- 28
В последнее время всеми любимый сервис antigate.com работал не очень стабильно, поэтому многие стали временно использовать известную альтернативу – captchabot.com.
И я решил, так сказать, «заценить», что из себя представляет этот сервис. Не знаю, как с качеством и скоростью распознавания, но меня очень порадовала реализация системы пополнения счета с помощью WebMoney.
Если попытаться пополнить счет, скажем, на 5$, то произойдет переход на промежуточную страницу, в исходном коде которой можно наблюдать стандартную для WebMoney форму запроса проведения платежа.
Однако, довольно интересно себя ведет скрипт, указанный в параметре LMI_RESULT_URL. При простом обращении к нему, во-первых, мы видим раскрытие путей, во-вторых, теоретическую возможность проведения SQL-инъекции (параметры, передаваемые скрипту, можно посмотреть тут). И, как оказалось, скрипт не проводит аутентификацию запроса, что позволяет пополнить счет на любую сумму, используя параметр LMI_PAYMENT_NO со страницы платежа. То есть мы просто передаем скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и деньги зачисляются на счет.
Чтобы не тыкать все это дело ручками, написал программку, которая все сделает за вас. Потребуется ввести только логин, пароль и сумму. Пользуйтесь, хотя быстро прикроют, скорее всего.
Скачать: kaimi. ru/wp-content/uploads/2010/10/gimme. zip
P.S. На антикапче несколько месяцев назад тоже был замечательный баг, позволяющий делать переводы и выводить средства, превышая доступный баланс.
Взято с того же сайта.
-------
Какого было мое удивление, что софтина действительно работает и мгновенно было начислено 30$. Никогда особо не ленился вбивать каптчу. Но как говорят - в хозяйстве все сгодиться)
Пользуемся кому это необходимо, пока дыру не закрыли
(нашел подобную дыру на сайте реселлера доменов года полтора тому назад. Все заявки рассматривали вручную и моя была отклонена а на е-мейл было выслано грозное послание из саппорта, что логи уже у отдела К
)
---------- Сообщение добавлено в 03:08 AM ---------- Предыдущее сообщение размещено в 03:08 AM ----------
Инвайты, кому нужны.
e192b6cd
b1d24633
fe3b9b81
И я решил, так сказать, «заценить», что из себя представляет этот сервис. Не знаю, как с качеством и скоростью распознавания, но меня очень порадовала реализация системы пополнения счета с помощью WebMoney.
Если попытаться пополнить счет, скажем, на 5$, то произойдет переход на промежуточную страницу, в исходном коде которой можно наблюдать стандартную для WebMoney форму запроса проведения платежа.
Однако, довольно интересно себя ведет скрипт, указанный в параметре LMI_RESULT_URL. При простом обращении к нему, во-первых, мы видим раскрытие путей, во-вторых, теоретическую возможность проведения SQL-инъекции (параметры, передаваемые скрипту, можно посмотреть тут). И, как оказалось, скрипт не проводит аутентификацию запроса, что позволяет пополнить счет на любую сумму, используя параметр LMI_PAYMENT_NO со страницы платежа. То есть мы просто передаем скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и деньги зачисляются на счет.
Чтобы не тыкать все это дело ручками, написал программку, которая все сделает за вас. Потребуется ввести только логин, пароль и сумму. Пользуйтесь, хотя быстро прикроют, скорее всего.
Скачать: kaimi. ru/wp-content/uploads/2010/10/gimme. zip
P.S. На антикапче несколько месяцев назад тоже был замечательный баг, позволяющий делать переводы и выводить средства, превышая доступный баланс.
Взято с того же сайта.
-------
Какого было мое удивление, что софтина действительно работает и мгновенно было начислено 30$. Никогда особо не ленился вбивать каптчу. Но как говорят - в хозяйстве все сгодиться)
Пользуемся кому это необходимо, пока дыру не закрыли
(нашел подобную дыру на сайте реселлера доменов года полтора тому назад. Все заявки рассматривали вручную и моя была отклонена а на е-мейл было выслано грозное послание из саппорта, что логи уже у отдела К
)---------- Сообщение добавлено в 03:08 AM ---------- Предыдущее сообщение размещено в 03:08 AM ----------
Инвайты, кому нужны.
e192b6cd
b1d24633
fe3b9b81
