Всем счастья, мои дорогие друзья! В прошлом топике-истории моего первого опыта тестирования актив, это потрясающе! Решил на этот раз поделиться как я атаковал ресурс, кража аккаунтов с балансом.
Я на волне прилива гормонов счастья. Нашел себя, я без сна и отдыха читаю статьи, пробую работу в Parrot, рыскаю дорки... А как насчёт хекнуть сайт с балансами? Нет, мне не нужны их деньги! Мне нужен адреналин. Взлом. Я в тени, атакующий ресурсы... Потрясающе! Это приводит мозг в тонус.
В поисках такого ресурса я собрал небольшой список сайтов, на которых есть баланс и возможность вывода средств. Мне пришлось потратить около 1.000р на тесты, я заливал балансы, менял кошельки и тестировал выводы. Итак : сутки работы, потраченый касарик и 4 сайта-донора. Это большой результат! Как ломать? Я не ведаю. Это моя вторая попытка, с чего начинать, это тёмный лес...
Я решил немного отдохнуть. Прогулка по вечернему городу, снег и хмурые прохожие. Я удалялся от дома в сторону небольшого леска. Там была прекрасная полянка, я посещаю её очень часто в тёплое время. Много холмов. Уверен, там уже есть накатанная горка! Я хочу прокатиться.
Я в центре. Горячий кофе, милая бариста и ожидание такси. Меня манит начать атаку, не дожидаясь приезда и я отменяю заказ машины и сажусь в кафе. Атака будет с мобильного. Хотя бы начало. Хотя бы план.
Обучение программированию заставляет думать иначе. Подготовка, очень важный этап и я набил кучу шишек на лбу, пока не понял этого. План. Должен быть всегда. Имей блокнот, записывай свои мысли и заключения! Это очень важно. На планирование атаки у меня ушел почти час и 3 кружки кофе. Пора домой. Мне нужен python. Да, на мобильном он тоже есть у меня, но это не очень удобно.
План был прост. Мне нужны учётные записи пользователей. Этот сайт слишком защищён от обычных уязвимостей и до меня его сотни раз пытались хакнуть. Нужно идти иначе. Сидя в кафе я изучал структуру и логику сайта а именно восстановление забытого аккаунта. Вы знаете что это очень важно? Читайте внимательно!
Большинство ресурсов имеют оплошность ярко указывать, что данный логин отсутствует в системе, либо же существует. Я не очень готов сказать или предложить что-то иное, но так не годится...
Первый пункт. Сбор логинов.
За логин на сайте воспринимались и сам логин, и почта. То, что мне требуется. Без промедления я сажусь писать скрипт на python, его логика проста:
Скрипт берет почту из списка.
Проверяет ее на сайте.
Исходя из результатов делает вывод.
Какой вывод? Зарегистрирована ли почта или нет.
За основу списка я взял слитую базу почт с паролями. Вы знаете, что это за база). Отсеив почтовики я отдал список скрипту и запустил брут. Пока скрипт разогревался, я пошел проверить популярность сайта. Да, он существует больше 8 лет. Огромная база актива. Пользователям прмсвается уникальный ID и судя по тому, что на моих двух аккаунтах они различаются лишь солью, все отлично.
ID первого аккаунта был такой :
03838461200
ID второго аккаунта:
03838461300
Все, что скрывало упорядочивание списка ID это лишь три нуля. Я выяснил, что база аккаунтов свыше 100к.
Время шло. Процесс брута не столь быстрый и я решил зайти иначе. Разбив базу почт на пять частей, я запустил четыре выделенных серверов и стартанул брут. Не думаю что админы заметят перебор, на часах второй час ночи и ресурс очень популярен. Время отдыха.
Утро. Машины трудились на славу и я, в халате с кружкой чая наблюдаю результаты. Слишком хорошее утро! Брут не окончен, но скрипты записали уже 73 почты. Это отличный мат и можно продолжать работу. Выключив скрипт на основе, но оставив на дедиках, я решил писать второй чекер. Это был чекер почт. Скрипт у меня был, самопис но к нему я решил дописать еще метод перебора, основываясь на логике людей и их любви, при смене пароля менять последний символ. На перебор пароля уходило буквально 15 секунд, скрипт отрабатывал отлично и за время приёма душа у меня были уже 20 активных почт, имеющих регистрацию на ресурсе. В это время мои дедики продолжали крутить базу и она пополнилась неумолимо. Прямо какая-то ферма!
Время чекать балансы. И тут я остался доволен. Работа прошла отлично, на выходе я получаю аккаунты с балансами. Я могу заменить пароль, изменить реквизиты на вывод, ведь почта в моих руках! Все так и было. За неделю я сбрутил и вскрыл около тысячи аккаунтов. Многие были пусты, некоторые имели баланс до 500р, еще реже, свыше 1.000.
Вывел ли я? Решать тебе мой друг. Эта чистая атака совершена. Она увенчена успехом, для меня это очередная победа! Для тебя это идея, как тестировать системы. Благодарю, что прочел статью. Дай знать, если тебе понравилось и я продолжу писать о своём опыте.
Я на волне прилива гормонов счастья. Нашел себя, я без сна и отдыха читаю статьи, пробую работу в Parrot, рыскаю дорки... А как насчёт хекнуть сайт с балансами? Нет, мне не нужны их деньги! Мне нужен адреналин. Взлом. Я в тени, атакующий ресурсы... Потрясающе! Это приводит мозг в тонус.
В поисках такого ресурса я собрал небольшой список сайтов, на которых есть баланс и возможность вывода средств. Мне пришлось потратить около 1.000р на тесты, я заливал балансы, менял кошельки и тестировал выводы. Итак : сутки работы, потраченый касарик и 4 сайта-донора. Это большой результат! Как ломать? Я не ведаю. Это моя вторая попытка, с чего начинать, это тёмный лес...
Я решил немного отдохнуть. Прогулка по вечернему городу, снег и хмурые прохожие. Я удалялся от дома в сторону небольшого леска. Там была прекрасная полянка, я посещаю её очень часто в тёплое время. Много холмов. Уверен, там уже есть накатанная горка! Я хочу прокатиться.
Я в центре. Горячий кофе, милая бариста и ожидание такси. Меня манит начать атаку, не дожидаясь приезда и я отменяю заказ машины и сажусь в кафе. Атака будет с мобильного. Хотя бы начало. Хотя бы план.
Обучение программированию заставляет думать иначе. Подготовка, очень важный этап и я набил кучу шишек на лбу, пока не понял этого. План. Должен быть всегда. Имей блокнот, записывай свои мысли и заключения! Это очень важно. На планирование атаки у меня ушел почти час и 3 кружки кофе. Пора домой. Мне нужен python. Да, на мобильном он тоже есть у меня, но это не очень удобно.
План был прост. Мне нужны учётные записи пользователей. Этот сайт слишком защищён от обычных уязвимостей и до меня его сотни раз пытались хакнуть. Нужно идти иначе. Сидя в кафе я изучал структуру и логику сайта а именно восстановление забытого аккаунта. Вы знаете что это очень важно? Читайте внимательно!
Большинство ресурсов имеют оплошность ярко указывать, что данный логин отсутствует в системе, либо же существует. Я не очень готов сказать или предложить что-то иное, но так не годится...
Первый пункт. Сбор логинов.
За логин на сайте воспринимались и сам логин, и почта. То, что мне требуется. Без промедления я сажусь писать скрипт на python, его логика проста:
Скрипт берет почту из списка.
Проверяет ее на сайте.
Исходя из результатов делает вывод.
Какой вывод? Зарегистрирована ли почта или нет.
За основу списка я взял слитую базу почт с паролями. Вы знаете, что это за база). Отсеив почтовики я отдал список скрипту и запустил брут. Пока скрипт разогревался, я пошел проверить популярность сайта. Да, он существует больше 8 лет. Огромная база актива. Пользователям прмсвается уникальный ID и судя по тому, что на моих двух аккаунтах они различаются лишь солью, все отлично.
ID первого аккаунта был такой :
03838461200
ID второго аккаунта:
03838461300
Все, что скрывало упорядочивание списка ID это лишь три нуля. Я выяснил, что база аккаунтов свыше 100к.
Время шло. Процесс брута не столь быстрый и я решил зайти иначе. Разбив базу почт на пять частей, я запустил четыре выделенных серверов и стартанул брут. Не думаю что админы заметят перебор, на часах второй час ночи и ресурс очень популярен. Время отдыха.
Утро. Машины трудились на славу и я, в халате с кружкой чая наблюдаю результаты. Слишком хорошее утро! Брут не окончен, но скрипты записали уже 73 почты. Это отличный мат и можно продолжать работу. Выключив скрипт на основе, но оставив на дедиках, я решил писать второй чекер. Это был чекер почт. Скрипт у меня был, самопис но к нему я решил дописать еще метод перебора, основываясь на логике людей и их любви, при смене пароля менять последний символ. На перебор пароля уходило буквально 15 секунд, скрипт отрабатывал отлично и за время приёма душа у меня были уже 20 активных почт, имеющих регистрацию на ресурсе. В это время мои дедики продолжали крутить базу и она пополнилась неумолимо. Прямо какая-то ферма!
Время чекать балансы. И тут я остался доволен. Работа прошла отлично, на выходе я получаю аккаунты с балансами. Я могу заменить пароль, изменить реквизиты на вывод, ведь почта в моих руках! Все так и было. За неделю я сбрутил и вскрыл около тысячи аккаунтов. Многие были пусты, некоторые имели баланс до 500р, еще реже, свыше 1.000.
Вывел ли я? Решать тебе мой друг. Эта чистая атака совершена. Она увенчена успехом, для меня это очередная победа! Для тебя это идея, как тестировать системы. Благодарю, что прочел статью. Дай знать, если тебе понравилось и я продолжу писать о своём опыте.
