Автор student / мой_телеграмм_канал
Источник: https://xss.pro
Bruteforce m.stepn.com написанный на JavaScript
Это еще один мой авторский проект написанный полностью на JavaScript на движке A-Parser. Запускаем A-Parser, импортируем пресет, загружаем файл в котором хранятся email:password, запускаем. Инструкция ниже
---пресет---
Для чего нужен этот проект
Этот пресет проверяет email на регистрацию в stepn. Если аккаунт зарегистрирован, то сохраняет его в гуды. Полученные аккаунты ручками проверяются на баланс и на кроссовки. Да, кроссовки можно продать и получить криптовалюту.
Что такое stepn
m.stepn.com - это игра, которая платит вам криптовалютой за то что вы ходите. В приложении можно приобретать кроссовки, чинить их, улучшать, пополнять криптовалютный баланс(эфириум и другие сети поддерживаются). Сейчас, конечно, у stepn не лучшие годы, он был на хайпе до этих событий: https://xss.pro/threads/68052/
Но могу сказать, что за неделю до того, как приступил писать этот проект на конкурс нашел аккаунт с кроссовком на 200$ и успешно их продал. Так что все ок, проект жив. Можно использовать его в браузере m.stepn.com или скачать мобильное приложение. Если взглянуть на новости то не всех так плохо, как кажется.
Предыстория
Как все начиналось. В брутфорсе я давно
Еще в школу ходил. Мы с товарищем работали по валиду азии, думали где найти новые проекты, которые хайпятся и вывод не составит труда. Сам я не сильно крутился в крипте, знал, как создать холодный кошелек и запросить средства))) Я обратился на соседний форум, раздал материала валидного и тут мне пишет в личку человек: "Мужик, мне зашла твоя базка оставь кош закину на чай". Даю ему кош и начинаю думать, я же дал отработку, где он смог достать крипту... К сожалению проект сразу определить не удалось. Мы стали с ним работать. Я ему поставлял валидные мыла, он с них снимал stepn балик и кроссы продавал. В один момент он мне пишет, что вот нашел аккаунт, не успел продать кросс, а пароль сменил холдер. Дает емейл и просит сбрутить. Я такой опаа))) Пора повбивать этот аккаунт по популярным криптосервисам. Я стал гуглить "самые популярные криптобиржи азии". И сидел вбивал... Думаю какого хрена нигде не зарегистрировано. Отдаю этот аккаунт другому знакомому, спустя часик он мне подсказал что это stepn. И сказал, что уже видел письма на почтах от этого сервиса. Я решил отписаться тому человеку, что нашел проект который он крутит. В итоге он посмеялся и рассказал мне, что сложнее всего это продать кроссовок, а не сервис этот заполучить. Он мне выдал 100 тысяч гудов и чекер. Договорились, что я подберу пароль к мылам и отдам ему. Ну он поснимал мне, не помню какой профит с этого вышел может 1500-2000$.
Создаем проект
В прошлой статье (https://xss.pro/threads/105597/) я уже рассказывал, как подойти к написанию брутфорсера на tronscan тут похожая ситуация поэтому некоторые моменты будут опущены. Я понимаю лень читать большие куски кода, особенно, когда ты не знаком с синтаксисом языка. Поэтому постараюсь рассказать так, чтобы даже новичку было понятно. A-Parser сам по себе очень гибкий и не обязательно прописывать разделение email:pass на JS. Реализуем это куда проще.
$query.query - это сам запрос, который используется по умолчанию для $query. С помощью регулярного выражения мы разбиваем $query на одну часть $1 to: query. То есть получаем email. А почему мы не делаем вот так:
$query.query это тоже самое, что и $query.
$2 нам не нужен, пароль может быть любой. Мы ведь определяем мыло зарегистрировано или нет, пароль нам неважен.
Используем опцию Bypass CloudFlare. Как она работает мне неизвестно, но лишним не будет, ведь stepn использует cloud.
Дальше надо парсить ответ от сервера и сохранять гуды, в зависимости от ответа. A-Parser использует шаблонизатор Template Toolkit. Ознакомиться тут: https://a-parser.com/docs/guides/template-toolkit/overview
query.orig используем потому что нужно email:pass сохранять (исходный запрос), а не просто email, который с помощью regex был разбит.
j хранит ответ от сервера в формате json. Если ответ не содержит Incorrect username/password, то сохраняем query (наш запрос).
Мы разбили строку email:password на email и сохранили ее как query, добавили обход CloudFlare, прописали условия в шаблонизаторе для сохранения гудов, ну и конечно же осталось сформировать запрос, который будет лететь к API, чтобы получать ответ в JSON.
Обратите внимание, что пароль может быть любой. Это абсолютно важно. Откуда я взял этот запрос? Зашел на m.stepn.com попытался войти в учетку и перехватил запрос, используя Burp Suite.
Нравится вам такой формат? Продолжать?
Источник: https://xss.pro
Bruteforce m.stepn.com написанный на JavaScript
Это еще один мой авторский проект написанный полностью на JavaScript на движке A-Parser. Запускаем A-Parser, импортируем пресет, загружаем файл в котором хранятся email:password, запускаем. Инструкция ниже
---пресет---
Код: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Для чего нужен этот проект
Этот пресет проверяет email на регистрацию в stepn. Если аккаунт зарегистрирован, то сохраняет его в гуды. Полученные аккаунты ручками проверяются на баланс и на кроссовки. Да, кроссовки можно продать и получить криптовалюту.
Что такое stepn
m.stepn.com - это игра, которая платит вам криптовалютой за то что вы ходите. В приложении можно приобретать кроссовки, чинить их, улучшать, пополнять криптовалютный баланс(эфириум и другие сети поддерживаются). Сейчас, конечно, у stepn не лучшие годы, он был на хайпе до этих событий: https://xss.pro/threads/68052/
Но могу сказать, что за неделю до того, как приступил писать этот проект на конкурс нашел аккаунт с кроссовком на 200$ и успешно их продал. Так что все ок, проект жив. Можно использовать его в браузере m.stepn.com или скачать мобильное приложение. Если взглянуть на новости то не всех так плохо, как кажется.
Предыстория
Как все начиналось. В брутфорсе я давно
Еще в школу ходил. Мы с товарищем работали по валиду азии, думали где найти новые проекты, которые хайпятся и вывод не составит труда. Сам я не сильно крутился в крипте, знал, как создать холодный кошелек и запросить средства))) Я обратился на соседний форум, раздал материала валидного и тут мне пишет в личку человек: "Мужик, мне зашла твоя базка оставь кош закину на чай". Даю ему кош и начинаю думать, я же дал отработку, где он смог достать крипту... К сожалению проект сразу определить не удалось. Мы стали с ним работать. Я ему поставлял валидные мыла, он с них снимал stepn балик и кроссы продавал. В один момент он мне пишет, что вот нашел аккаунт, не успел продать кросс, а пароль сменил холдер. Дает емейл и просит сбрутить. Я такой опаа))) Пора повбивать этот аккаунт по популярным криптосервисам. Я стал гуглить "самые популярные криптобиржи азии". И сидел вбивал... Думаю какого хрена нигде не зарегистрировано. Отдаю этот аккаунт другому знакомому, спустя часик он мне подсказал что это stepn. И сказал, что уже видел письма на почтах от этого сервиса. Я решил отписаться тому человеку, что нашел проект который он крутит. В итоге он посмеялся и рассказал мне, что сложнее всего это продать кроссовок, а не сервис этот заполучить. Он мне выдал 100 тысяч гудов и чекер. Договорились, что я подберу пароль к мылам и отдам ему. Ну он поснимал мне, не помню какой профит с этого вышел может 1500-2000$.Создаем проект
В прошлой статье (https://xss.pro/threads/105597/) я уже рассказывал, как подойти к написанию брутфорсера на tronscan тут похожая ситуация поэтому некоторые моменты будут опущены. Я понимаю лень читать большие куски кода, особенно, когда ты не знаком с синтаксисом языка. Поэтому постараюсь рассказать так, чтобы даже новичку было понятно. A-Parser сам по себе очень гибкий и не обязательно прописывать разделение email:pass на JS. Реализуем это куда проще.
$query.query - это сам запрос, который используется по умолчанию для $query. С помощью регулярного выражения мы разбиваем $query на одну часть $1 to: query. То есть получаем email. А почему мы не делаем вот так:
$query.query это тоже самое, что и $query.
$2 нам не нужен, пароль может быть любой. Мы ведь определяем мыло зарегистрировано или нет, пароль нам неважен.
Используем опцию Bypass CloudFlare. Как она работает мне неизвестно, но лишним не будет, ведь stepn использует cloud.
Дальше надо парсить ответ от сервера и сохранять гуды, в зависимости от ответа. A-Parser использует шаблонизатор Template Toolkit. Ознакомиться тут: https://a-parser.com/docs/guides/template-toolkit/overview
Код:
[% j = tools.parseJSON(p1.data);
IF !j.msg.match('Incorrect username\/password');
query.orig _ (j.msg.match('Google Authenticator') ? ' | Google Auth' : '') _ "\n";
END %]query.orig используем потому что нужно email:pass сохранять (исходный запрос), а не просто email, который с помощью regex был разбит.
j хранит ответ от сервера в формате json. Если ответ не содержит Incorrect username/password, то сохраняем query (наш запрос).
Мы разбили строку email:password на email и сохранили ее как query, добавили обход CloudFlare, прописали условия в шаблонизаторе для сохранения гудов, ну и конечно же осталось сформировать запрос, который будет лететь к API, чтобы получать ответ в JSON.
Код:
https://apilb.stepn.com/run/login?account=$query&password=abcdefg&type=3&deviceInfo=webОбратите внимание, что пароль может быть любой. Это абсолютно важно. Откуда я взял этот запрос? Зашел на m.stepn.com попытался войти в учетку и перехватил запрос, используя Burp Suite.
Нравится вам такой формат? Продолжать?
