Визит в Second life

[Aels]

Warn! Статья рассматривает довольно стерильный случай, который к тому же закончился неудачей.
Интерес представляет скорее не конкретный сайт, а методика поиска и мышления, в поиске игрового сайта, которым можно поживится.​

Итак. есть сайт secondlife.com.
Цель сайта - создание функциональной альтернативной реальности (тоесть на нем собираются трансы, извращенцы, фури, и просто педики))
Главное что нас интересует - на нем есть возможность ебатцавывода заработаных денег.
Уже интересно.
Лезем в аккаунт, и паралельно в гогл.
Русское сообщество sl говорит что схема внесения денег следующая - прикрепляем сс или палку, и дальше перечисляем на акаунт инстантом (тоесть, фактически в кредит линденам). Хорошо.
А что с выводом? часа 4 гогла вывели на сайт
//dreamland.anshechung.com/index.php?fct=SELL_L$ Значит не все безнадежно.
Пробуем прицепить сс к акаунту (вот тут хоть убейте - ну не цепляется и все.) - хрен с ним, отложили. Будем иметь чужие аки.

Ищем что сайт при себе имеет. А имеет он свеженькую еву неизвестной модели (адская помесь жабы, форума, и их внутреннего месенжера) И в ней разрешен хтмл, притом почти весь ( режется только жс, ифрейм, стили).

Идем в раздел "личные сообщения", видим что в поле получателей можно вбивать несколько людей, и что все криво зааякшено. Фаербагом ловим форму:

Parameters:
body	<body><p><strong>yah!</strong></p></body>
doPost	Send Message
subject	test
[B]to	132075,44347[/B]
Source
Content-Type: application/x-www-form-urlencoded
Content-Length: 129

в поле to подставляются ни тухлые "имя фамилия", а вполне приятные айдишники, узнавать которые даже нет необходимости, притом пишутся они без заморочек - через запятую.
в одну строчку генерим первые 500шт на пробу (от 5к до 5500, чтобы нидайбог, не задеть админов)
тыкаем "сенд", и вуаля, пошешрав немного, сервер выдал "отправлено",
*тут подмечу, что всего айдишников я нашел 140к, несмотря на то что в википедии обещано лимон регистраций. И когда на скрипт мейлера я зарядил ряд в 2к номеров - сервер просто упал, и продолжал я уже на следующий день.
Чтобы не запариваться с фильтрацией реферера и юзерагента, да еще и не имея деда с пхп, сокетами\курлом, был накатан .js для оперы, котрый зам заполнял форму, сабмитил, убивал фрейм, создавал новый.
Разумеется, все прекрасно работало с моей машины, через проксю, и что примечательно, скушало всего мегабайт трафика, за всю рассылку.

Чем спамил то?

Есть такая бородатая фича. если у документа\файла\картинки отправить вместо нормального хедера
вот такой:

header("WWW-Authenticate: Basic realm=\"".$message."\"");
header("HTTP/1.0 401 Unauthorized");

то выпрыгнет окошко с просьбой ввести логин и пароль.
Соответственно рассылаем наш php-снифф, кторый отдает 401й хедер.
Такаем его в лс просто как картинку.
Разрешенный хтмл давал лишь одну полезность - скрыть картинку атрибутом display:none.
Как обставлял, чтобы клюнули?
Да ничего хитрого... Красиво пишем заголовок "приватное сообщени", рядом картинка замочка, далее в рамочке текст

"сообщение приватное, авторизуйтесь пожалуйста, <тут пояснения для тупых, что ввести в поле логина (для нашего сайта авторизация по имени, фамилии и паролю), и если он по глупости нажал отмену - пусть нажмет Ф5>"

все максимально подробно. юзерам нравится забота)
В заголовке выскакивающего окна все нормальные браузеры пишут адрес сервера. для этой цели были регнуты secondllfe.com и secondlife-secure.com на данные хуиза вточности, а как оригинал, на них и закинул сниферы.
Чтобы окошко не долбило юзера после ввода логина и пароля - как только он что-то введет - выдаем ему фирменные кукисы).

Итак, с лс разобрались. Что делаем когда получили логин и пароль?
идем в кабинет юзера, покупаем линденов, перекиываем их себе на акк (а лучше не себе, а на соседний, куда прикрепим свою палку)
потом ползем в контору по ссылке выше, и подаем заявку на обнал.
Вот собственно и вся сястема)


Что было на самом деле:
Суток 5 я тупо ковырял сайт во все дырки, ничего полезного не выковырял, режется все к чертям.
В первый вечер спама я отправил 1+к личных сообщений, после чего уронил мессинг-сервер. с пришедших 14 акаунтов я перевел линдены на еще пару, и подал заякуна обналичивание.
Вобщем только их я обналичить и успел. вышло всего 120$, ну чтоже и так неплохо.
На следующий день. когда я проспамил отстаток, я всетаки задел пару админов, и на форуме поднялась волна говна и стонов. через полчаса после первой темы (через 10 минут после завершения рассылки) отключили лс, через 2 часа всем рефрешнули пароли.
Лс включили дня 3 назад (месяц ничего не работало), еще не смотрел что поменяли.
На этом история победного спамера закончилась, но несовсем)
у меня остались домены, а у форума осталась функция "уведомить о теме на имеил", а такимиже опциями ( бесконечно получателей, хтмл в теме), но письмо уже шло на имеил, а туда годился только тупой фейк-фишинг.


Подведу итоги:

• Описаным методом можно тянуть акаунты почти везде, где можно вставить картинку с http:. Метод стар как мой дом, но еще работает, и надежно)
• Расходы - 120р на 3 литра апельсинового сока, выпитого за это время, еще 500 на домены.
• Доходы - 120$, говно, но могло быть и лучше.
• Степень риска - потерять домены. Уменьшить степень риска - купить абузоустойчивые домены в 8 раз дороже, а учитывая, что контента никакого вообще нет(только запароленый скрипт), то абузить не на что.
• Время - в общей сумме неделя. полезно потраченого (не на багопоиск) двое суток.
• Мне почти не пригодились мои "хако-прогерские" знания, поскольку сервер по сути затронут не был, метод может использовать любой "новичек" (блин, боюсь этого слова))

Для примерного описания процента клюнувших, даю кусочек лога за 40 минут работы спамилки..

 //home.xml.in/elaevi_.html

(кликать на ip )

Копия снифака, бросал на скорую руку, но мб вам понравится, сорец одним файлом могу выкинуть, он крохотный, но умеет все что нужно.

//home.xml.in/?do=show

(ничего не тыркая, на клаве наберите 123 и нажмите ентер) любое другое обращение считается за посещение.

И собственно, вот рисунок, который вызвал всплывшее в при загрузке окошко:

 http://home.xml.in/?url=img.gif

Как видите, и тут работает, можно отбирать акаунты у школоты.

Простите за сумбурность оформления, я не копирайтер,
мелкое доение secondlife и ныне актуально, у кого получится скардить без холда - буду рад. Наверное у меня просто карма квадратная)
"А против крокодилов в канализации у нас свои методы"..


(с) Aels. хотя я сомневаюсь что эта статья представляет такую уж ценность.

зы. тоже хочу атм-ку, хотя негоже покупать бумажник, если класть нечего.

 

[mikola]

Спасибо, +
Дай исходники снифера плиз

 

[Aels]

http://carder.market/showthread.php?p=61940
описание+сорс

 

[Devi]

У меня одного на этой странице выскакивает херня ?

 

[nuknuk0071]

неа.. у меня просит авторизацию в опере, но я отменяю
лучше ничего не вводите

 

[Aels]

И собственно, вот рисунок, который вызвал всплывшее в при загрузке окошко:

деви, нукнук, вы блин меня обижаете.
это не бага, это фича, наглядная демонстрация. вы статью что ли нихрена не читали?)

*могу убрать, но тогда не так эффектно.

 

[nuknuk0071]

сорри не хотел ничего плохого сказать, просто предупредил что во избежания недоразумений лучше ничего не вводить в выпадающее окошко

статью не читал, так как мало что понятно еще раз сорри

 

[Aels]

да извиняться то не за что, просто в "этой выпрыгивающей уйне" нет ничего некашерного.
Писать туда можно хоть сочинение лермонтова, а посмотреть потом свою писанину по адресу в статейке)

Зы. Обнон редиска. вот че)