Friend
Professional
- Messages
- 2,653
- Reaction score
- 842
- Points
- 113
Всем привет! Моя личка переполнена сообщениями типа "Научи меня хакерству!" Или "Как мне получить номера кредитных карт с сайтов?" Во-первых, если вы обращали хоть какое-то внимание на мои другие статьи, вы бы знали, что до того, как я стал вашим любимым гуру мошенничества, я был пентестером. Да, законным сертифицированным пентестером, которому платят за взлом сайтов.
Так что да, я знаю кое-что о взломе сайтов. Но давайте проясним одну вещь: взлом в 2025 году — это не прогулка в парке, особенно если вы хотите попасть в кардинг. Но раз уж вы здесь и вам, очевидно, лень проводить собственные исследования, давайте поговорим о взломе в 2025 году. Это будет краткий обзор взлома в новой серии, где мы сосредоточимся на всем, что касается взлома.
Забудьте эти голливудские фантазии о взломе как о каком-то быстром нажатии на клавиатуру с зеленым кодом, каскадно спускающимся по экрану. В наши дни это рутина, постоянная шахматная партия против постоянно улучшающейся безопасности. Но для тех, у кого есть смелость, ум и чистая смелость, чтобы взять то, что они хотят, все еще есть добыча.
Хакерство: старые добрые времена (они прошли)
Для начала давайте будем реалистами. Мы уже не в начале 2000-х. Тогда хакерство было детской забавой. Сайты держались на клейкой ленте и молитвах, работающих на древнем PHP и MySQL, полном дыр. Хакерство было похоже на отнятие конфеты у ребенка.
Вы могли запустить Havij, указать на сайт и бум! Базы данных переполнены номерами кредитных карт. Или вы могли взломать установку WHMCS и внезапно получить ключи к тысячам сайтов. Это были славные деньки. Легкая добыча.
Но знаете что? Те времена давно ушли в прошлое. Веб-сайты поумнели и начали использовать фреймворки, которые не были совсем уж отстойными, и исправили эти позорные уязвимости безопасности. А настоящий приз, такой как номера кредитных карт и пароли, начали шифровать. Так что даже если вам удастся взломать, вы будете смотреть на кучу тарабарщины, которую можно будет взломать целую вечность без ключей дешифрования.
Уязвимости
Так что же делать начинающему хакеру ? Вам нужно усвоить основы. Хакерство по своей сути заключается в поиске и эксплуатации уязвимостей. Каждая система, независимо от того, насколько хорошо она построена, имеет трещины. Эти трещины — уязвимости, и они существуют, потому что ничто не идеально.
По мере того, как разработчики наращивают функции и сложность, шансы внесения ошибок резко возрастают. Эти ошибки могут быть чем угодно: от незначительной неполадки до зияющей дыры в безопасности.
Возьмем SQL-инъекцию. Это классическая уязвимость, при которой злоумышленник может внедрить вредоносный SQL-код в запросы базы данных приложения. Если приложение не очищает вводимые пользователем данные должным образом (а многие этого не делают), злоумышленник может манипулировать этими запросами, чтобы делать всякие гадости, например, сбрасывать всю базу данных или даже получать контроль над сервером.
Самое лучшее то, что эти уязвимости можно связать вместе, чтобы создать симфонию разрушения. Позвольте мне привести вам пример:
Вы находите неисправную функцию поиска на веб-сайте какой-то компании. Она уязвима для SQL-инъекции. Немного покопавшись, вы извлекаете файлы cookie сеанса пользователя-администратора из базы данных. Это не просто файлы cookie — это ваш VIP-пропуск к их внутренней панели администратора.
Используя эти украденные файлы cookie, вы вальсируете прямо в их панель администратора. И что вы находите? Функцию загрузки файлов для изображений продуктов. Но эти идиоты не проверяли типы файлов должным образом. Поэтому вместо загрузки фотографий котиков вы загружаете хитрую PHP-веб-оболочку, замаскированную под изображение.
Игра окончена. Это невинно выглядящее изображение — бэкдор, дающий вам полное выполнение команд на их сервере. Оттуда вы можете пробраться глубже в их сеть, повысить привилегии или просто уничтожить всю их систему. Это на самом деле из моего личного опыта, лол.
Это не какая-то голливудская фантазия — это реальный пример того, как одна крошечная трещина (инъекция SQL) может привести к полному компрометированию системы. Каждая уязвимость — это ступенька, ведущая вас глубже в недра цели.
Охота на ошибками (баги)
В 2025 году взлом — это не столько нацеливание на конкретные сайты, сколько поиск уязвимостей в больших масштабах. Это как поиск иголки в стоге сена, за исключением того, что стог сена — это весь интернет. Вот где в игру вступает охота за ошибками, и один инструмент стал для этого незаменимым: Nuclei.
Nuclei: сканирующий швейцарский армейский нож для проверки уязвимости
Думайте о Nuclei как о вашем автоматизированном разведчике уязвимостей. Это инструмент с открытым исходным кодом, который позволяет вам определять конкретные уязвимости, которые вы ищете, а затем сканировать кучу целей, чтобы увидеть, уязвимы ли они. Это как иметь армию роботов, которая проверяет каждую дверь в каждом доме в мире, чтобы узнать, какие из них не заперты.
Красота Nuclei заключается в его простоте и зависимости от шаблонов. Эти шаблоны описывают, как обнаружить определенную уязвимость. Это похоже на написание рецепта для поиска определенного недостатка.
Шаблоны Nuclei: рецепты для эксплойтов
Каждый шаблон Nuclei представляет собой файл YAML, который содержит:
Вот упрощенный пример шаблона nuclei, который проверяет уязвимости SQL-инъекций путем тестирования распространенных полезных нагрузок SQL-инъекций по параметрам:
Этот шаблон отправляет полезные нагрузки SQL-инъекции в параметр с именем «id», затем ищет общие сообщения об ошибках SQL или определенные коды статуса HTTP, которые могут указывать на успешную инъекцию. Он тестирует несколько полезных нагрузок и считает их уязвимыми, если выполняются какие-либо условия сопоставления.
Как Nuclei усиливает охоту за ошибками
Что делает Nuclei находкой для хакеров, так это его способность быстро адаптироваться к последним уязвимостям. Как только появляется новый эксплойт, сообщество сразу же вмешивается, чтобы создать для него шаблон Nuclei. Это означает, что вы можете начать сканирование уязвимых систем практически сразу после обнаружения новой уязвимости.
Например, предположим, что в популярном плагине WordPress обнаружена новая уязвимость. В течение нескольких часов кто-то, скорее всего, создаст шаблон Nuclei для ее обнаружения. Затем вы можете взять этот шаблон, добавить его в свой арсенал и начать сканирование сети на наличие уязвимых сайтов.
Этот подход массового сканирования — фигня. Вместо того, чтобы кропотливо проверять отдельные сайты, мы можем закинуть широкую сеть, определить большое количество потенциально уязвимых целей, а затем сосредоточить наши усилия на самых перспективных. Речь идет об эффективности, а в этой игре время — деньги.
Вам также нужно будет понять дорки. Это определенные поисковые запросы, которые вы можете запустить в Google, Shodan или FOFA, которые могут найти уязвимые системы или конфиденциальную информацию. Например, dork может показать веб-сайты, работающие на определенной версии программного обеспечения с известной уязвимостью. Я уже рассказывал о некоторых здесь: Уловки кардинга/хакерства: погружение в цифровую свалку с Google Dorks.
Взлом карт
Теперь перейдем к самому интересному: к получению номеров кредитных карт. Есть несколько способов сделать это, и ни один из них не является прогулкой в парке.
Сочные базы данных
Сначала вы можете попытаться найти магазины, которые действительно хранят номера кредитных карт в своих базах данных. Но вот в чем дело: большинство современных сайтов больше этого не делают. Они используют управляемое программное обеспечение, такое как WooCommerce, Shopify или Magento, которое токенизирует и безопасно передает данные карты платежному процессору через защищенный iframe во время оформления заказа (вспомните Stripe Elements, Authorize.Net, Adyen и т. д.).
Почему? Потому что хранение номеров кредитных карт — это огромная головная боль в заднице. Это огромный риск для безопасности, и это делает вас объектом всевозможных правил, таких как PCI DSS. Поверьте мне, ни один здравомыслящий владелец магазина не хочет этой головной боли. Итак, у вас остались сайты электронной коммерции эпохи динозавров, которые по-прежнему хранят номера карт в своих базах данных.
Так как же узнать, хранит ли сайт номера карт? Ищите признаки того, что они используют свою собственную платформу электронной коммерции. Проверьте исходный код на наличие подсказок, найдите уникальные потоки оформления заказа и попытайтесь определить платежный шлюз, который они используют. Это не является гарантией безопасности, но это только начало.
Даже если они хранят карты, они обычно зашифрованы. Но не теряйте надежды прямо сейчас. Поскольку эти карты хранятся для будущего использования (подписки, повторяющиеся платежи и т. д.), приложение должно иметь доступ к ключам дешифрования. Опытный хакер может найти и использовать эти ключи для дешифрования данных карты.
Снифферы
Даже если сайт не хранит карты в своей базе данных, они все равно полезны для кардеров, так как вы всегда можете внедрить скрипты сниффера. Это включает в себя внедрение вредоносных скриптов на страницу оформления заказа веб-сайта для захвата данных кредитной карты, которые вводятся ничего не подозревающими клиентами. Это похоже на то, как цифровой карманник тихо крадет номера карт, и жертва даже не подозревает об этом.
Этот метод часто ассоциируется с атаками Magecart, которые становятся все более распространенными. Эти атаки обычно нацелены на платформы электронной коммерции, в частности Magento, и включают внедрение вредоносного кода JavaScript в процесс оформления заказа.
Существует два основных подхода к внедрению снифферов на сайтах электронной коммерции:
1. JavaScript-снифферы: это скрытые скрипты, внедряемые непосредственно на страницу оформления заказа, которые захватывают данные карты по мере их ввода. Их сложнее обнаружить, поскольку они не мешают нормальному потоку платежей. Недостаток? Современные функции безопасности, такие как CSP (Политика безопасности контента), могут усложнить их реализацию.
2. Плагины/фишинг-снифферы: если у вас есть доступ администратора к платформе, такой как WooCommerce, вы можете установить вредоносный плагин для оплаты. Он заменяет законную форму оплаты на вашу собственную, захватывает данные карты, а затем плавно перенаправляет обратно на настоящую страницу оформления заказа. Менее элегантно, чем JS-снифферы, но иногда это ваш единственный вариант при работе с заблокированными сайтами.
Я написал подробное руководство по реализации обоих типов снифферов с примерами кода и методами скрытности. Вы можете найти его здесь: Самодостаточный кардер: ваш первый CC-сниффер.
Ключ к успешной работе сниффера заключается не только в его установке, но и в том, чтобы он оставался незамеченным. Вам нужно:
Есть всевозможные трюки, чтобы сделать эти снифферы труднообнаружимыми. Вы можете запутать код, используя кодировку или даже внедрить скрипт в легитимную стороннюю библиотеку. Но мы поговорим об этом позже.
Человеческий элемент
В наши дни системы заперты крепче, чем задница краба, поэтому хакеры охотятся за самым слабым звеном: людьми, ну да. Социальная инженерия и покупка доступа к корпоративным платформам через логи стали основными векторами атак.
Вам не нужно быть каким-то элитным кодером, чтобы преуспеть в этой игре. Черт, если вы можете уговорить свою бабушку дать вам ее секретный рецепт печенья, у вас есть шанс. Иногда красноречие может быть эффективнее тысячи строк кода. В наши дни умело спланированная хитрость может стоить больше, чем эксплойт нулевого дня. Так с чего же начать начинающему хакеру?
Ну, хакерские группы повсюду в Discord и Telegram пытаются пробраться в системы компании. Они не просто ищут уязвимости кода; они охотятся за логами или другими вещами, которые дадут им доступ. Они исследуют компанию — ее сайты, панели, поддомены — затем прочесывают журналы в поисках логинов. Как только они оказываются в этой двери, они меняют курс. Иногда они уговаривают других сотрудников играть на человеческих слабостях или подменяют их сим-картами, чтобы получить доступ к электронной почте. В других случаях они находят уязвимости во внутренней сети. Это чертовски беспорядок, но знаете что? Это работает.
Помните, что большинство усилий по обеспечению безопасности сосредоточено на продуктах, ориентированных на клиента. Разработчики часто полагают, что их внутренние инструменты безопасны, потому что они не являются общедоступными. Это большая ошибка. Группы вроде Lapsus$ показали, насколько разрушительными могут быть эти атаки, получающие доступ к крупным компаниям, таким как Microsoft и Okta, через скомпрометированные учетные записи сотрудников. Это как войти через входную дверь, потому что какой-то идиот оставил ее незапертой.
Программы-вымогатели
Программы-вымогатели — еще один прибыльный путь, и он часто связан с предыдущим пунктом о получении доступа через социальную инженерию или журналы. Вместо того, чтобы преследовать мелкие цели, группы программ-вымогателей нацеливаются на целые компании. Они шифруют данные компании и требуют солидный выкуп за их раскрытие и обещание не разглашать их общественности.
Эти группы часто работают по партнерской модели, когда отдельные лица или небольшие группы получают доступ к сети компании, а затем развертывают программу-вымогатель. Затем прибыль делится между партнером и операторами программ-вымогателей.
Теперь, если вы собираетесь пойти по этому пути, по крайней мере, имейте какую-то мораль. Не нацеливайтесь на больницы, школы или другие важные службы.
Больше ресурсов
Вот несколько ресурсов, с которых можно начать:
Это просто небольшой аперитив. Мы углубимся в конкретные темы в будущих выпусках этой серии. И когда я говорю «глубоко», я действительно это имею в виду.
Это нелегко, но возможно
Взлом в 2025 году — это не прогулка в парке. Для этого нужны навыки, терпение и куча настойчивости. Но если вы готовы приложить усилия, изучить азы и оставаться на шаг впереди, вы все равно сможете заработать деньги. Просто помните, что это постоянная игра в кошки-мышки. Защитники всегда адаптируются, и вам тоже. По мере продолжения этой серии я помогу вам превратиться из скрипт-кидди в человека с достаточными навыками, чтобы взломать свой первый сайт.
Итак, вы готовы поднять свою игру? Или вы собираетесь остаться скрипт-кидди навсегда? Выбор за вами.
(c) Телеграм: d0ctrine
Так что да, я знаю кое-что о взломе сайтов. Но давайте проясним одну вещь: взлом в 2025 году — это не прогулка в парке, особенно если вы хотите попасть в кардинг. Но раз уж вы здесь и вам, очевидно, лень проводить собственные исследования, давайте поговорим о взломе в 2025 году. Это будет краткий обзор взлома в новой серии, где мы сосредоточимся на всем, что касается взлома.
Забудьте эти голливудские фантазии о взломе как о каком-то быстром нажатии на клавиатуру с зеленым кодом, каскадно спускающимся по экрану. В наши дни это рутина, постоянная шахматная партия против постоянно улучшающейся безопасности. Но для тех, у кого есть смелость, ум и чистая смелость, чтобы взять то, что они хотят, все еще есть добыча.
Хакерство: старые добрые времена (они прошли)
Для начала давайте будем реалистами. Мы уже не в начале 2000-х. Тогда хакерство было детской забавой. Сайты держались на клейкой ленте и молитвах, работающих на древнем PHP и MySQL, полном дыр. Хакерство было похоже на отнятие конфеты у ребенка.
Вы могли запустить Havij, указать на сайт и бум! Базы данных переполнены номерами кредитных карт. Или вы могли взломать установку WHMCS и внезапно получить ключи к тысячам сайтов. Это были славные деньки. Легкая добыча.
Но знаете что? Те времена давно ушли в прошлое. Веб-сайты поумнели и начали использовать фреймворки, которые не были совсем уж отстойными, и исправили эти позорные уязвимости безопасности. А настоящий приз, такой как номера кредитных карт и пароли, начали шифровать. Так что даже если вам удастся взломать, вы будете смотреть на кучу тарабарщины, которую можно будет взломать целую вечность без ключей дешифрования.
Уязвимости
Так что же делать начинающему хакеру ? Вам нужно усвоить основы. Хакерство по своей сути заключается в поиске и эксплуатации уязвимостей. Каждая система, независимо от того, насколько хорошо она построена, имеет трещины. Эти трещины — уязвимости, и они существуют, потому что ничто не идеально.
По мере того, как разработчики наращивают функции и сложность, шансы внесения ошибок резко возрастают. Эти ошибки могут быть чем угодно: от незначительной неполадки до зияющей дыры в безопасности.
Возьмем SQL-инъекцию. Это классическая уязвимость, при которой злоумышленник может внедрить вредоносный SQL-код в запросы базы данных приложения. Если приложение не очищает вводимые пользователем данные должным образом (а многие этого не делают), злоумышленник может манипулировать этими запросами, чтобы делать всякие гадости, например, сбрасывать всю базу данных или даже получать контроль над сервером.
Самое лучшее то, что эти уязвимости можно связать вместе, чтобы создать симфонию разрушения. Позвольте мне привести вам пример:
Вы находите неисправную функцию поиска на веб-сайте какой-то компании. Она уязвима для SQL-инъекции. Немного покопавшись, вы извлекаете файлы cookie сеанса пользователя-администратора из базы данных. Это не просто файлы cookie — это ваш VIP-пропуск к их внутренней панели администратора.
Используя эти украденные файлы cookie, вы вальсируете прямо в их панель администратора. И что вы находите? Функцию загрузки файлов для изображений продуктов. Но эти идиоты не проверяли типы файлов должным образом. Поэтому вместо загрузки фотографий котиков вы загружаете хитрую PHP-веб-оболочку, замаскированную под изображение.
Игра окончена. Это невинно выглядящее изображение — бэкдор, дающий вам полное выполнение команд на их сервере. Оттуда вы можете пробраться глубже в их сеть, повысить привилегии или просто уничтожить всю их систему. Это на самом деле из моего личного опыта, лол.
Это не какая-то голливудская фантазия — это реальный пример того, как одна крошечная трещина (инъекция SQL) может привести к полному компрометированию системы. Каждая уязвимость — это ступенька, ведущая вас глубже в недра цели.
Охота на ошибками (баги)
В 2025 году взлом — это не столько нацеливание на конкретные сайты, сколько поиск уязвимостей в больших масштабах. Это как поиск иголки в стоге сена, за исключением того, что стог сена — это весь интернет. Вот где в игру вступает охота за ошибками, и один инструмент стал для этого незаменимым: Nuclei.
Nuclei: сканирующий швейцарский армейский нож для проверки уязвимости
Думайте о Nuclei как о вашем автоматизированном разведчике уязвимостей. Это инструмент с открытым исходным кодом, который позволяет вам определять конкретные уязвимости, которые вы ищете, а затем сканировать кучу целей, чтобы увидеть, уязвимы ли они. Это как иметь армию роботов, которая проверяет каждую дверь в каждом доме в мире, чтобы узнать, какие из них не заперты.
Красота Nuclei заключается в его простоте и зависимости от шаблонов. Эти шаблоны описывают, как обнаружить определенную уязвимость. Это похоже на написание рецепта для поиска определенного недостатка.
Шаблоны Nuclei: рецепты для эксплойтов
Каждый шаблон Nuclei представляет собой файл YAML, который содержит:
- Метаданные: информация об уязвимости, такая как ее название, серьезность и описание.
- Запрос: HTTP-запрос(ы), необходимые для проверки уязвимости. Здесь вы определяете, что отправлять цели.
- Соответствия: Правила для определения уязвимости цели на основе ответа. Здесь вы определяете, что искать в ответе для подтверждения уязвимости.
Вот упрощенный пример шаблона nuclei, который проверяет уязвимости SQL-инъекций путем тестирования распространенных полезных нагрузок SQL-инъекций по параметрам:
YAML:
id: sql-injection-test
info:
name: Basic SQL Injection Test
author: d0ctrine
severity: high
description: Tests for SQL injection vulnerabilities using common payloads
tags: sql,injection,vulnerability
requests:
- method: GET
path:
- "{{BaseURL}}/page.php?id={{payload}}"
payloads:
payload:
- "1' OR '1'='1"
- "1 UNION SELECT null,null--"
- "1' AND 1=1--"
- "' OR '1'='1"
matchers-condition: or
matchers:
- type: word
words:
- "SQL syntax"
- "mysql_fetch_array"
- "ORA-01756"
- "SQLite3::query"
condition: or
- type: status
status:
- 500
- 503Этот шаблон отправляет полезные нагрузки SQL-инъекции в параметр с именем «id», затем ищет общие сообщения об ошибках SQL или определенные коды статуса HTTP, которые могут указывать на успешную инъекцию. Он тестирует несколько полезных нагрузок и считает их уязвимыми, если выполняются какие-либо условия сопоставления.
Как Nuclei усиливает охоту за ошибками
Что делает Nuclei находкой для хакеров, так это его способность быстро адаптироваться к последним уязвимостям. Как только появляется новый эксплойт, сообщество сразу же вмешивается, чтобы создать для него шаблон Nuclei. Это означает, что вы можете начать сканирование уязвимых систем практически сразу после обнаружения новой уязвимости.
Например, предположим, что в популярном плагине WordPress обнаружена новая уязвимость. В течение нескольких часов кто-то, скорее всего, создаст шаблон Nuclei для ее обнаружения. Затем вы можете взять этот шаблон, добавить его в свой арсенал и начать сканирование сети на наличие уязвимых сайтов.
Этот подход массового сканирования — фигня. Вместо того, чтобы кропотливо проверять отдельные сайты, мы можем закинуть широкую сеть, определить большое количество потенциально уязвимых целей, а затем сосредоточить наши усилия на самых перспективных. Речь идет об эффективности, а в этой игре время — деньги.
Вам также нужно будет понять дорки. Это определенные поисковые запросы, которые вы можете запустить в Google, Shodan или FOFA, которые могут найти уязвимые системы или конфиденциальную информацию. Например, dork может показать веб-сайты, работающие на определенной версии программного обеспечения с известной уязвимостью. Я уже рассказывал о некоторых здесь: Уловки кардинга/хакерства: погружение в цифровую свалку с Google Dorks.
Взлом карт
Теперь перейдем к самому интересному: к получению номеров кредитных карт. Есть несколько способов сделать это, и ни один из них не является прогулкой в парке.
Сочные базы данных
Сначала вы можете попытаться найти магазины, которые действительно хранят номера кредитных карт в своих базах данных. Но вот в чем дело: большинство современных сайтов больше этого не делают. Они используют управляемое программное обеспечение, такое как WooCommerce, Shopify или Magento, которое токенизирует и безопасно передает данные карты платежному процессору через защищенный iframe во время оформления заказа (вспомните Stripe Elements, Authorize.Net, Adyen и т. д.).
Почему? Потому что хранение номеров кредитных карт — это огромная головная боль в заднице. Это огромный риск для безопасности, и это делает вас объектом всевозможных правил, таких как PCI DSS. Поверьте мне, ни один здравомыслящий владелец магазина не хочет этой головной боли. Итак, у вас остались сайты электронной коммерции эпохи динозавров, которые по-прежнему хранят номера карт в своих базах данных.
Так как же узнать, хранит ли сайт номера карт? Ищите признаки того, что они используют свою собственную платформу электронной коммерции. Проверьте исходный код на наличие подсказок, найдите уникальные потоки оформления заказа и попытайтесь определить платежный шлюз, который они используют. Это не является гарантией безопасности, но это только начало.
Даже если они хранят карты, они обычно зашифрованы. Но не теряйте надежды прямо сейчас. Поскольку эти карты хранятся для будущего использования (подписки, повторяющиеся платежи и т. д.), приложение должно иметь доступ к ключам дешифрования. Опытный хакер может найти и использовать эти ключи для дешифрования данных карты.
Снифферы
Даже если сайт не хранит карты в своей базе данных, они все равно полезны для кардеров, так как вы всегда можете внедрить скрипты сниффера. Это включает в себя внедрение вредоносных скриптов на страницу оформления заказа веб-сайта для захвата данных кредитной карты, которые вводятся ничего не подозревающими клиентами. Это похоже на то, как цифровой карманник тихо крадет номера карт, и жертва даже не подозревает об этом.
Этот метод часто ассоциируется с атаками Magecart, которые становятся все более распространенными. Эти атаки обычно нацелены на платформы электронной коммерции, в частности Magento, и включают внедрение вредоносного кода JavaScript в процесс оформления заказа.
Существует два основных подхода к внедрению снифферов на сайтах электронной коммерции:
1. JavaScript-снифферы: это скрытые скрипты, внедряемые непосредственно на страницу оформления заказа, которые захватывают данные карты по мере их ввода. Их сложнее обнаружить, поскольку они не мешают нормальному потоку платежей. Недостаток? Современные функции безопасности, такие как CSP (Политика безопасности контента), могут усложнить их реализацию.
2. Плагины/фишинг-снифферы: если у вас есть доступ администратора к платформе, такой как WooCommerce, вы можете установить вредоносный плагин для оплаты. Он заменяет законную форму оплаты на вашу собственную, захватывает данные карты, а затем плавно перенаправляет обратно на настоящую страницу оформления заказа. Менее элегантно, чем JS-снифферы, но иногда это ваш единственный вариант при работе с заблокированными сайтами.
Я написал подробное руководство по реализации обоих типов снифферов с примерами кода и методами скрытности. Вы можете найти его здесь: Самодостаточный кардер: ваш первый CC-сниффер.
Ключ к успешной работе сниффера заключается не только в его установке, но и в том, чтобы он оставался незамеченным. Вам нужно:
- Зашифруйте все украденные данные перед их утечкой
- Скройте свой вредоносный код
- Используйте для сбора данных доменные имена, которые выглядят законно
- Объедините свои скрипты с обычной функциональностью сайта
Есть всевозможные трюки, чтобы сделать эти снифферы труднообнаружимыми. Вы можете запутать код, используя кодировку или даже внедрить скрипт в легитимную стороннюю библиотеку. Но мы поговорим об этом позже.
Человеческий элемент
В наши дни системы заперты крепче, чем задница краба, поэтому хакеры охотятся за самым слабым звеном: людьми, ну да. Социальная инженерия и покупка доступа к корпоративным платформам через логи стали основными векторами атак.
Вам не нужно быть каким-то элитным кодером, чтобы преуспеть в этой игре. Черт, если вы можете уговорить свою бабушку дать вам ее секретный рецепт печенья, у вас есть шанс. Иногда красноречие может быть эффективнее тысячи строк кода. В наши дни умело спланированная хитрость может стоить больше, чем эксплойт нулевого дня. Так с чего же начать начинающему хакеру?
Ну, хакерские группы повсюду в Discord и Telegram пытаются пробраться в системы компании. Они не просто ищут уязвимости кода; они охотятся за логами или другими вещами, которые дадут им доступ. Они исследуют компанию — ее сайты, панели, поддомены — затем прочесывают журналы в поисках логинов. Как только они оказываются в этой двери, они меняют курс. Иногда они уговаривают других сотрудников играть на человеческих слабостях или подменяют их сим-картами, чтобы получить доступ к электронной почте. В других случаях они находят уязвимости во внутренней сети. Это чертовски беспорядок, но знаете что? Это работает.
Помните, что большинство усилий по обеспечению безопасности сосредоточено на продуктах, ориентированных на клиента. Разработчики часто полагают, что их внутренние инструменты безопасны, потому что они не являются общедоступными. Это большая ошибка. Группы вроде Lapsus$ показали, насколько разрушительными могут быть эти атаки, получающие доступ к крупным компаниям, таким как Microsoft и Okta, через скомпрометированные учетные записи сотрудников. Это как войти через входную дверь, потому что какой-то идиот оставил ее незапертой.
Программы-вымогатели
Программы-вымогатели — еще один прибыльный путь, и он часто связан с предыдущим пунктом о получении доступа через социальную инженерию или журналы. Вместо того, чтобы преследовать мелкие цели, группы программ-вымогателей нацеливаются на целые компании. Они шифруют данные компании и требуют солидный выкуп за их раскрытие и обещание не разглашать их общественности.
Эти группы часто работают по партнерской модели, когда отдельные лица или небольшие группы получают доступ к сети компании, а затем развертывают программу-вымогатель. Затем прибыль делится между партнером и операторами программ-вымогателей.
Теперь, если вы собираетесь пойти по этому пути, по крайней мере, имейте какую-то мораль. Не нацеливайтесь на больницы, школы или другие важные службы.
Больше ресурсов
Вот несколько ресурсов, с которых можно начать:
- ГРЁБАННЫЙ КОЗОЛОТ:
- https://book.hacktricks.xyz/ (HackTricks — Полная Библия Пентестинга)
- Базы данных уязвимостей:
- https://nvd.nist.gov/ (Национальная база данных уязвимостей)
- https://www.exploit-db.com/
- https://cve.mitre.org/
- https://vuldb.com/
- https://www.rapid7.com/db/ (База данных уязвимостей Rapid7)
- Основные инструменты:
- https://portswigger.net/burp (Burp Suite — тестирование веб-безопасности)
- https://github.com/sqlmapproject/sqlmap (SQLMap - SQL-инъекции)
- https://www.metasploit.com/ (фреймворк Metasploit)
- https://www.kali.org/ (Kali Linux — ОС для пентестинга)
- https://www.wireshark.org/ (Анализатор сетевых протоколов)
- https://nmap.org/ (Сетевой сканер)
- https://github.com/OWASP/ZAP (OWASP ZAP — сканер веб-приложений)
- Сканирование и разведка:
- https://www.shodan.io/ (поисковая система Интернета вещей)
- https://fofa.info/
- https://github.com/projectdiscovery/nuclei
- https://censys.io/
- https://github.com/ffuf/ffuf (быстрый веб-фаззер)
- https://github.com/projectdiscovery/subfinder (Обнаружение поддоменов)
- Платформы обучения:
Это просто небольшой аперитив. Мы углубимся в конкретные темы в будущих выпусках этой серии. И когда я говорю «глубоко», я действительно это имею в виду.
Это нелегко, но возможно
Взлом в 2025 году — это не прогулка в парке. Для этого нужны навыки, терпение и куча настойчивости. Но если вы готовы приложить усилия, изучить азы и оставаться на шаг впереди, вы все равно сможете заработать деньги. Просто помните, что это постоянная игра в кошки-мышки. Защитники всегда адаптируются, и вам тоже. По мере продолжения этой серии я помогу вам превратиться из скрипт-кидди в человека с достаточными навыками, чтобы взломать свой первый сайт.
Итак, вы готовы поднять свою игру? Или вы собираетесь остаться скрипт-кидди навсегда? Выбор за вами.
(c) Телеграм: d0ctrine
