Я считаю race довольно недооцененным эксплоитом, он в кучу раз проще чем сидеть париться с sql-ами/шеллами и остальными задротскими изысками. И уж точно лучше сидеть весь день тыкать race'ом по интернету, чем зная веб вдоль и поперёк сидеть получать 100$ на баг баунти за эксплоит который стоит дороже чем внешний долг либерии. Я не хакер и не задрот, поэтому race - мой любимый инструмент. В качестве таргетов у меня было несколько казино, букмекеров и нищих сайтов с лохотрон-рулетками, где на крипто-кошельке лежит от силы полторы штуки, а владельцем является типичный лох-миллионер, которого от обычного человека отличают только деньги.
Про часть таргетов я умолчу, поделюсь только теми сайтами, админов которых я считаю кончеными мудилами.
На оформление темы мне в общем-то плевать, тред создан только чтобы более опытные люди возможно заработали с этих сайтов копейку, проверив на них свои методы
Whale.io
Это криптоказино с моментальным выводом. В самом whale.io я уязвимости особо не проверял, вроде там есть рефералка с кнопкой "Забрать". Я пробовал много раз через single-packet забрать бонусы, которые мне приходили в уведомлениях, и мне приходил валидный ответ от сервера, но на аккаунт ничего не начислялось (видимо ввиду того что у каждого подарка есть свой id и там где-то что-то в базе данных мутится).
Но суть не в сайте казино, с ним вроде всё в порядке. Пару месяцев назад они выпустили свою тапалку (wheel of whales) в телеграме, в которой за клики тебе могли упасть фриспины на аккаунт, выигранные деньги с которых можно было сразу получить себе на аккаунт.
Сейчас будет много писанины, про сам race будет в конце.
Колесо со скриншота выдавало только каждые +-3500 кликов, за 50 прокрутов колеса примерно 1-2 раза падали 5 FS в казино.
По началу бот был полностью сырой и можно было простым HTTP запросом накрутить себе нужное число кликов. Также сервер выдавал информацию на каком количестве кликов был следующий прокрут колеса
За проверку дать/не дать клики на аккаунт отвечает api-метод reach
В случае если вам полагается колесо, можно получить то что с него выпало методом ack
В самом начале, если падали whale_free_spins, метод ack почему-то багался и можно было просто одним запросом добавлять себе 5 фриспинов на сумму 0.25$ на аккаунт казино.
Прошло порядка 10 дней, прежде чем они пнули своего боснийского фрилансера и он поменял api. Теперь метод ack не багался, но всё ещё можно было крутить себе клики и получать фриспины в казино.
Я само-собой разумеется поставил на конвейер накрутку фриспинов на аккаунт, с последующим их отыгрышем.
Из-за того что не было способа спрятать аккаунт, я начал светиться в топе leaderboards, после чего прошла волна банов и последовало новое изменение в api.
Основные изменения:
1. Через метод clicks нельзя указать точное количество кликов которое должно быть на аккаунте. Можно только указать сколько кликов добавить на аккаунт. Сервер принимает только числа от 1 до 20. Если отправить много запросов за сколько-то минут - сервер всё равно выдаст HTTP 200 OK, но клики на аккаунт не засчитает. Какую-то античит систему они придумали, которая видимо ограничивает макс. число кликов в час
2. Больше нигде в api нельзя увидеть на каком точно числе кликов выдаст reach
3. Они добавили мини-игру (в которой собственно и был RACE)
Поскольку всё ещё можно было получать прокрут колеса и фриспинов за кол-во токенов на аккаунте, тема жила.
В данной мини-игре можно забрать выигрыш много раз (так, чтобы хватило на следующий прокрут колеса)
После того как на одном аккаунте я получал 200млн+ токенов (что эквивалентно примерно 200$ в фриспинах) я сразу проигрывал всё чтобы не светиться в leaderboards.
Потом прошло ещё около недели, эксплоит с мини-игрой продолжал работать, но теперь после 1 успешного применения начал постоянно вылезать cloudflare с HTTP 429
Я разумеется подсуетился и добавил всякого мусора в хэдеры чтобы клаудфлейр меня почаще пропускал, но почему-то бонусное колесо теперь перестало выдавать вообще. Возможно я лох и что-то упустил из виду, смотрите как хотите
Прикрепляю пруфы вывода с трех аккаунтов (на остальные заходить лень)
jabka.skin (есть ещё англоязычный сайт)
Абсолютно бедный сайт, на трц-20 лежит 1300$ (которые регулярно пополняются на 100-200$ владельцем), остальные выводы - во внутриигровых скинах и балансе сервиса Steam. Зарегистрирован на подставное лицо в грузии и в болгарии.
Мини-игры защищены, сделать отрицательный баланс на аккаунте невозможно, единственная уязвимость - колесо бонусов.
За регистрацию дают 1 спин, далее - 1 спин каждые 3 дня. При этом в нём может выпасть повторное вращение.
Если черёз Burp отправить 100 запросов на прокрут - колесо прокрутит и зачислит подарки несколько раз, но снимется только 1 вращение. Таким образом можно было выбить себе очень много повторных вращений и всяких бонусов.
В burp'е демонстрировать не буду, мне лень. Прошло пару дней, школьники модераторы переполошились из-за того что с криптокошелька пропали деньги (ну и нехуй было автоматический вывод на сайте делать...). Как итог - теперь у меня досрочно закрыт автокредит. Кстати говоря в FAQ у них написано, что за найденный баг можно получить от 10 до 500 местной валюты (считайте 450$ максимум
)
Далее идёт сайт csgoempire.com (недоступен без впна)
Это довольно богатая рулетка + букмекерка с огромной линией (можно без проблем поставить договорняк и никто не будет ебать мозги).
Но эксплоит на ней был абсолютно нищий: за активацию промокода можно было получить бесплатный кейс (это что-то типа рулетки, только в которой выпадают внутриигровые предметы), из которого можно получить либо 0.01$, либо 1200$+ с очень маленьким шансом.
В остальном функционале сайта я RACE'ов не нашёл, моё внимание именно привлекло то, что можно реферальный промокод активировать много раз.
Я подумал, что можно абузить систему рефералов, но за активацию разных промокодов через RACE только на один из них аккаунт засчитывало как реферала. Вывод - ничего не заработал, пустая трата времени. Но возможно вы тут что-то ещё найдёте
Были ещё и другие казино и букмекеры про которых я умолчал. Сайты там написаны на php, а писали их видимо лохи. Как только я изучу что-то новое я к ним вернусь, поэтому их в этой теме нет. Самый лучший многомиллионный профит был получен с вэйла, остальные крупные таргеты получалось заабузить на суммы поменьше. Подобных говносайтов и проектов - море, некоторые из них функционируют на вебсокетах, в которых вроде как тоже есть уязвимость с RACE, но я понятия не имею как через websockets turbo intruder их раскручивать, да и желания закидывать деньги повсюду у меня нет. Видел тут тему от чувака, который bcgame копал, а именно их зеркала. Там вроде RACE не блокируется защитой, но просто не срабатывает либо из-за формул в SQL'е, либо из-за того что с сервера зеркала запросы идут на основной сервер, который их собственно и блокирует, фиг знает. Есть ещё stake, но там сайт полностью на graphql'е написан, да и защищен он как пентагон в США. Основные большие взломы казино о которых я слышал обычно начинались с фишинга и угона админского аккаунта. Мне этим заниматься лень, как и лень искать скрытые эндпоинты на сайтах где я использовал RACE. Если честно, для меня большая загадка почему скилловые хакеры предпочитают пахать на баг ханте как рабы на галере, где тебя ещё и на деньги кидают, когда вокруг столько всего вкусного. Сейчас ищу новые таргеты которые можно протестировать. Если найдёте ещё что-то в сайтах которые я перечислил - просто отпишите, мне очень интересно будет узнать получится у вас что-то или нет. В лс могу накидать ещё подобных таргетов, обменяемся опытом
Про часть таргетов я умолчу, поделюсь только теми сайтами, админов которых я считаю кончеными мудилами.
На оформление темы мне в общем-то плевать, тред создан только чтобы более опытные люди возможно заработали с этих сайтов копейку, проверив на них свои методы
У вас должно быть более 10 реакций для просмотра скрытого контента.
Whale.io
Это криптоказино с моментальным выводом. В самом whale.io я уязвимости особо не проверял, вроде там есть рефералка с кнопкой "Забрать". Я пробовал много раз через single-packet забрать бонусы, которые мне приходили в уведомлениях, и мне приходил валидный ответ от сервера, но на аккаунт ничего не начислялось (видимо ввиду того что у каждого подарка есть свой id и там где-то что-то в базе данных мутится).
Но суть не в сайте казино, с ним вроде всё в порядке. Пару месяцев назад они выпустили свою тапалку (wheel of whales) в телеграме, в которой за клики тебе могли упасть фриспины на аккаунт, выигранные деньги с которых можно было сразу получить себе на аккаунт.
Сейчас будет много писанины, про сам race будет в конце.
Колесо со скриншота выдавало только каждые +-3500 кликов, за 50 прокрутов колеса примерно 1-2 раза падали 5 FS в казино.
По началу бот был полностью сырой и можно было простым HTTP запросом накрутить себе нужное число кликов. Также сервер выдавал информацию на каком количестве кликов был следующий прокрут колеса
За проверку дать/не дать клики на аккаунт отвечает api-метод reach
В случае если вам полагается колесо, можно получить то что с него выпало методом ack
В самом начале, если падали whale_free_spins, метод ack почему-то багался и можно было просто одним запросом добавлять себе 5 фриспинов на сумму 0.25$ на аккаунт казино.
Прошло порядка 10 дней, прежде чем они пнули своего боснийского фрилансера и он поменял api. Теперь метод ack не багался, но всё ещё можно было крутить себе клики и получать фриспины в казино.
Я само-собой разумеется поставил на конвейер накрутку фриспинов на аккаунт, с последующим их отыгрышем.
Из-за того что не было способа спрятать аккаунт, я начал светиться в топе leaderboards, после чего прошла волна банов и последовало новое изменение в api.
Основные изменения:
1. Через метод clicks нельзя указать точное количество кликов которое должно быть на аккаунте. Можно только указать сколько кликов добавить на аккаунт. Сервер принимает только числа от 1 до 20. Если отправить много запросов за сколько-то минут - сервер всё равно выдаст HTTP 200 OK, но клики на аккаунт не засчитает. Какую-то античит систему они придумали, которая видимо ограничивает макс. число кликов в час
2. Больше нигде в api нельзя увидеть на каком точно числе кликов выдаст reach
3. Они добавили мини-игру (в которой собственно и был RACE)
Поскольку всё ещё можно было получать прокрут колеса и фриспинов за кол-во токенов на аккаунте, тема жила.
В данной мини-игре можно забрать выигрыш много раз (так, чтобы хватило на следующий прокрут колеса)
После того как на одном аккаунте я получал 200млн+ токенов (что эквивалентно примерно 200$ в фриспинах) я сразу проигрывал всё чтобы не светиться в leaderboards.
Потом прошло ещё около недели, эксплоит с мини-игрой продолжал работать, но теперь после 1 успешного применения начал постоянно вылезать cloudflare с HTTP 429
Я разумеется подсуетился и добавил всякого мусора в хэдеры чтобы клаудфлейр меня почаще пропускал, но почему-то бонусное колесо теперь перестало выдавать вообще. Возможно я лох и что-то упустил из виду, смотрите как хотите
Прикрепляю пруфы вывода с трех аккаунтов (на остальные заходить лень)
У вас должно быть более 10 реакций для просмотра скрытого контента.
jabka.skin (есть ещё англоязычный сайт)
Абсолютно бедный сайт, на трц-20 лежит 1300$ (которые регулярно пополняются на 100-200$ владельцем), остальные выводы - во внутриигровых скинах и балансе сервиса Steam. Зарегистрирован на подставное лицо в грузии и в болгарии.
Мини-игры защищены, сделать отрицательный баланс на аккаунте невозможно, единственная уязвимость - колесо бонусов.
За регистрацию дают 1 спин, далее - 1 спин каждые 3 дня. При этом в нём может выпасть повторное вращение.
Если черёз Burp отправить 100 запросов на прокрут - колесо прокрутит и зачислит подарки несколько раз, но снимется только 1 вращение. Таким образом можно было выбить себе очень много повторных вращений и всяких бонусов.
В burp'е демонстрировать не буду, мне лень. Прошло пару дней, школьники модераторы переполошились из-за того что с криптокошелька пропали деньги (ну и нехуй было автоматический вывод на сайте делать...). Как итог - теперь у меня досрочно закрыт автокредит. Кстати говоря в FAQ у них написано, что за найденный баг можно получить от 10 до 500 местной валюты (считайте 450$ максимум
)У вас должно быть более 10 реакций для просмотра скрытого контента.
Далее идёт сайт csgoempire.com (недоступен без впна)
Это довольно богатая рулетка + букмекерка с огромной линией (можно без проблем поставить договорняк и никто не будет ебать мозги).
Но эксплоит на ней был абсолютно нищий: за активацию промокода можно было получить бесплатный кейс (это что-то типа рулетки, только в которой выпадают внутриигровые предметы), из которого можно получить либо 0.01$, либо 1200$+ с очень маленьким шансом.
В остальном функционале сайта я RACE'ов не нашёл, моё внимание именно привлекло то, что можно реферальный промокод активировать много раз.
Я подумал, что можно абузить систему рефералов, но за активацию разных промокодов через RACE только на один из них аккаунт засчитывало как реферала. Вывод - ничего не заработал, пустая трата времени. Но возможно вы тут что-то ещё найдёте
У вас должно быть более 10 реакций для просмотра скрытого контента.
Были ещё и другие казино и букмекеры про которых я умолчал. Сайты там написаны на php, а писали их видимо лохи. Как только я изучу что-то новое я к ним вернусь, поэтому их в этой теме нет. Самый лучший многомиллионный профит был получен с вэйла, остальные крупные таргеты получалось заабузить на суммы поменьше. Подобных говносайтов и проектов - море, некоторые из них функционируют на вебсокетах, в которых вроде как тоже есть уязвимость с RACE, но я понятия не имею как через websockets turbo intruder их раскручивать, да и желания закидывать деньги повсюду у меня нет. Видел тут тему от чувака, который bcgame копал, а именно их зеркала. Там вроде RACE не блокируется защитой, но просто не срабатывает либо из-за формул в SQL'е, либо из-за того что с сервера зеркала запросы идут на основной сервер, который их собственно и блокирует, фиг знает. Есть ещё stake, но там сайт полностью на graphql'е написан, да и защищен он как пентагон в США. Основные большие взломы казино о которых я слышал обычно начинались с фишинга и угона админского аккаунта. Мне этим заниматься лень, как и лень искать скрытые эндпоинты на сайтах где я использовал RACE. Если честно, для меня большая загадка почему скилловые хакеры предпочитают пахать на баг ханте как рабы на галере, где тебя ещё и на деньги кидают, когда вокруг столько всего вкусного. Сейчас ищу новые таргеты которые можно протестировать. Если найдёте ещё что-то в сайтах которые я перечислил - просто отпишите, мне очень интересно будет узнать получится у вас что-то или нет. В лс могу накидать ещё подобных таргетов, обменяемся опытом
