подскажите по хаку казино

[xak333r]

Привет всем, собственно подскажите , можно ли что то сделать?
Есть два одинаковых сайта одного очень крупного казино, тестовый, назовем его A , и основной где все играют(B).
Сайты идиентичные на 99.9%, написаны на react ,vite, socket.io, в общем node.js.
на сайте A есть много аккаунтов разработчиков с крупными балансами, депозиты туда работают и в крипте и в фиате, но выводы с акаунтов заблочены ,именно с этих, на новорегах вывод доступен, но так же средства не приходят, небольшое ожидание и прилетает отмена,средства возвращаются. Чтобы снять ограничение на вывод нужна Kyc верификация, на сайте B проходит без проблем, на A , зависает на стадии проверки данных и висит в ожидании.Можно ли как то соединить эти сайты чтобы заработал вывод средств на сайте A ?
Так же есть возможность заливать файлы на поддомен сайта A, пока не могу найти куда они сохраняются, т.к. там s3, и в response прилетает только ссылка на файл без сигнатуры, соответственно 403 ошибка. Кто готов помочь отзовитесь, сработаем, деньги очень большие.жду в лс

 

[Seer]

One is dev, one is production. Different servers and databases. Nothing much to do

 

[zdestuta]

не могу найти куда они сохраняются

ffuf в помощь? ;-)

есть возможность заливать файлы на поддомен сайта A

расскажете как? тогда вероятно будет легче подумать.

очень часто файлы при заливе модифицируются (само имя файла или подкаталог) как security мера, ну и если просто имя->хэш то считай повезло, но обычно имя->хэш+соль

p.s. жаль что S3 там 403 байпас наверняка не прокатит, а то 403 его и bypass можно иногда делать, вот тут почитать можно.

 

[zdestuta]

One is dev, one is production. Different servers and databases. Nothing much to do

Sometimes users are "clever" enough to use same credentials in development and production environments ;-)

 

[Seer]

Sometimes users are "clever" enough to use same credentials in development and production environments ;-)

Well yes, my favorite attack vector is old subdomain with old, vulnerable dev

 

[BlackedOut]

I have several various casinos i exploit for giftcards

 

[zdestuta]

I have several various casinos i exploit for giftcards

it's very interesting
could you pls share at least _some_ info?

 

[xak333r]

ffuf в помощь? ;-)


расскажете как? тогда вероятно будет легче подумать.

очень часто файлы при заливе модифицируются (само имя файла или подкаталог) как security мера, ну и если просто имя->хэш то считай повезло, но обычно имя->хэш+соль

p.s. жаль что S3 там 403 байпас наверняка не прокатит, а то 403 его и bypass можно иногда делать, вот тут почитать можно.

на тестовом сайте нашел поддомен, на нем форма загрузки файлов, по дефолту там лежат два апк файла, с приложением казино на андроид, на production и test env. вот эти файлы заменить на свои получается легко, главное чтобы имя файла совпадало, вот думвю, может туда ратник залить попробовать под андроид?
только хз какой, покупать бешеных денег нету, а крякнутые говорят херня....

 

[BlackedOut]

Casino Notes


Website: Vegas Gems (https://vegasgems.com/)

Hackable:
AVS Requirements:
KYC Requirement:
Cash Out Methods: Bank Transfers or Crypto (BTC, ETH, LTC, USDT-ERC20)
Misc Notes:

————————————————————————————————————————————————————
Website: Jackpota (https://www.jackpota.com/)

Hackable:
AVS Requirements:
KYC Requirement:
Cash Out Methods: Bank Transfers or Giftcards
Misc Notes:
————————————————————————————————————————————————————
Website: Hellomillions (https://www.hellomillions.com/)

Hackable:
AVS Requirements:
KYC Requirement:
Cash Out Methods: Giftcards or Cash Prize
Misc Notes:
————————————————————————————————————————————————————
Website: Spree.com (https://spree.com/)

Hackable:
AVS Requirements:
KYC Requirement:
Cash Out Methods: Voucher or Cash Prize

it's very interesting
could you pls share at least _some_ info?

Misc Notes: Have to play through whatever your deposit is to cash out
————————————————————————————————————————————————————

 

[zdestuta]

Wow! Thanks! How did you found that casinos? I think you not scanned all the internet, right?

 

[BlackedOut]

Veg

Wow! Thanks! How did you found that casinos? I think you not scanned all the internet, right?

VegasGems if you bypass the KYC, You can deposit with card and withdraw almost instantly to BTC, LTC, ETH

 

[zdestuta]

Veg

VegasGems if you bypass the KYC, You can deposit with card and withdraw almost instantly to BTC, LTC, ETH

Can't understand what interest to just put money with card and withdraw in crypto? It could be done using any exchange site. Or I missing something?

What _very_ interesting: How you initially get a list of casinos? And how (best methods maybe) test that casinos are "hackable" ?

 

[BlackedOut]

Can't understand what interest to just put money with card and withdraw in crypto? It could be done using any exchange site. Or I missing something?

What _very_ interesting: How you initially get a list of casinos? And how (best methods maybe) test that casinos are "hackable" ?

best way I personally target them is via their payment gateways and release dates. Newer casinos are going to be easier to exploit than you biggers and older ones, but thats common sense

 

[zdestuta]

best way I personally target them is via their payment gateways and release dates. Newer casinos are going to be easier to exploit than you biggers and older ones, but thats common sense

How you target via their payment gateways? That's _very_ interesting!
I thought new casinos more secure because new software used there, while old use a lots of legacy code. Thanks for info!

 

[mrh4ck3r]

Interested in casinos in China?

 

[zdestuta]

Interested in casinos in China?

yes pls