Информация Пишем сами бруты/чекеры (2018)

Решил поделиться опытом как добывать свой мат и не тратиться на услуги кодеров. Это мой первый опыт написания статьи, так что не судите строго.

Я делаю бруты/чекеры под шопы, на которых есть сохраненные методы оплаты. Также можно искать сервисы с внутренними балансами или поинтами.

Идем в гугл и ищем то что нас интересует, я сделаю все на примере victoriassecret. Нашли мы интересующий нас шоп/сервис, идем на _ttp://pr-cy.ru/site-statistics/ и проверяем посещаемость сайта (чем выше посещаемость, тем больше шансов добыть кучу мата). У вики большая аудитория.



Также есть куча плагинов для браузера, я использую на хроме плагин IP Whois Flags Chrome Websites Rating .



Разведали инфу по сайту, регистрируем акк пустышку и смотрим есть ли платежки или внутренний баланс.

Если у сайта есть мобильное приложение, то лучше делать все через него. Устанавливаем на машину 2 софтины: Fiddler и Nox(я использую данный эмулятор). Далее идем в настройки фидлера, трогаем только эти 2 вкладки.





Запускаем командную строку и вводим ipconfig (узнаем свой локальный ип)



Далее запускаем нокс идем в настройки вайфай и прописываем прокси, свой локальный ип и порт 8888



Открываем браузер на ноксе и вписываем данный урл _ttp://ipv4.fiddler:8888/ , если все нормально, то увидите такого вида страницу.



Жмете на FiddlerRoot Certificate и добавляете сертификат фидлера (имя любое пишем).



Теперь у нас все готово для отлова запросов приложений, ищем и ставим приложение на нокс(если у сайта оно конечно есть). Я обычно качаю приложения с _ttps://apkpure.com/ , скачиваем и просто перетаскиваем файл на нокс, приложение установлено.
Запускаем приложение, вводим лог пасс и идем в фидлер смотреть запросы, ищем запрос где передаются наш емайл и пасс, жмем правой кнопкой на запрос и копируем хеадеры и пост данные справа.



Для удобства я подготавливаю все в блокноте, эти данные в хеадерах не нужны
Code:

cookie: vsSigninPrompt=true; acs.t=%7B%22_ckX%22%3A1516279578610%2C%22rid%22%3A%22d427cef-110578618-1e79-827d-74214%22%2C%22cp%22%3A%7B%22url%22%3A%22https%3A%2F%2Fwww.victoriassecret.com%2Faccount%2Fprofile%22%2C%22T5%22%3A%22%22%2C%22T31%22%3A%22%22%2C%22T26%22%3A%22%22%2C%22T19%22%3A%22%22%2C%22APP%22%3A%22%22%2C%22OMTR_BEACON%22%3A%22%22%2C%22terms%22%3A%22%22%2C%22browser%22%3A%22Chrome%20Mobile%2030%22%2C%22os%22%3A%22Android%22%2C%22flash%22%3A%220%22%2C%22hosted%22%3A%22false%22%2C%22referrer%22%3A%22%22%2C%22site%22%3A%22victoriassecret.com%22%2C%22trigger_version%22%3A%2219.0.32%22%2C%22pv%22%3A%2211%22%2C%22locale%22%3A%22en%22%2C%22cxreplayaws%22%3A%22true%22%7D%2C%22pl%22%3A1%2C%22pv%22%3A11%2C%22def%22%3A2%2C%22phonepv%22%3A11%2C%22rc%22%3A%22true%22%2C%22grft%22%3A1508505886161%2C%22mid%22%3A%22d427cef-110589086-eaa2-ee5f-99ac3%22%2C%22rt%22%3Atrue%2C%22cncl%22%3Afalse%2C%22rpid%22%3A%22d427cef-110589086-d3c5-067a-8fbbc%22%7D; UID=b713ae4c-4db7-4927-86d9-84d2c616c846; vsPopUnder=true; utag_main=v_id:015f39d1cefb0053d36973af52dc00090002008800556$_sn:3$_ss:1$_st:1512319649457$_pn:1%3Bexp-session$ses_id:1512317849457%3Bexp-session; _ga=GA1.2.1551765116.1508503577; _gid=GA1.2.1841430884.1512317851; _uetsid=_uet72224107; RES_TRACKINGID=852902994723990; ResonanceSegment=1; RES_SESSIONID=841913862852379; vsrt=; dcc=Himalia
Content-Length: 60
Host: www.victoriassecret.com
Connection: Keep-Alive​

очищаем от ненужного и получается так:



Все у нас готово. Теперь приступим к созданию брута/чекера. Кто-то использует для написания private keeper, я предпочтение отдаю UBC (пользуюсь с самого появления софта в бесплатной версии, по мне он не жрет так ресурсы как кипер и есть все необходимые инструменты)
Запускаем софт, авторизуемся и идем в менеджер проектов .



Создаем новый проект.



Жмем на первую строчку в левом верхнем углу и вставляем наши данные.



В заголовки вставляем все кроме юзерагента, он прописывается ниже отдельно.

HTML Code:

deviceId: b0c09069cc9b$random[1111-9999]$
VSAPPTYPE: ANDROIDHANDHELD
VSAPPVERSION: 5.2.6
Accept: application/json
Content-Type: application/json; charset=UTF-8
Accept-Encoding: gzip​

В девайсид я сделал рандомизацию последних 4 цифр(эмулируем разные устройства)
В валидацию для начала пишем HTTP
пост данные заменяем на теги, мыло на $email$ и пасс на $pass$

Code:

{"password":"$pass$","username":"$email$"}​

Жмем тестировать и вписываем свой мыло:пасс ну и начать:



смотрим в обработке ответа ответ сервера, он у нас совпадает с ответом сервера в фидлере, значит все нормально авторизация проходит, делаем ошибку в пароле,чтобы определить ответ сервера на неверный пароль.



Теперь берем данные и вписываем в валидацию страницы и определение гуда/бэда.



В бэде я еще прописал ответ сервера если акк в локе, получилось так:

Code:

errorMessageList":["We do not recognize your sign-in information
errorMessageList":["Your account has been locked temporarily​

Брут у нас готов, теперь сделаем чек на карту и другие данные(чтобы сделать чек надо сначала пробрутить базу и найти гуды, желательно 10-20, зависит от сервиса, гдето много акков с сс а гдето редкость, нашли гуды, чекаем руками акки на наличие карт иидем дальше к чекеру)
Идем снова в нокс и в переходим в профиле, видим в фидлере запрос и копируем также хеадеры как в первом случае:



Вставляем все данные с этого запроса, в заголовках я также сделал рандомизацию:
Code:

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
appdeviceid: YjBjMDkwNjljYzliMzE4MmNvbS52aWN0b3Jp$random_ABC_abc[5-5]$WNyZXQudnNhYQ==
vsapptype: ANDROIDHANDHELD
Accept-Encoding: gzip,deflate
Accept-Language: en-US​

Пожалуй лучшая статья за последнее время.

статьи сейчас как-нибудь оплачиваются?

mak каким это образом это лучшая статья за последнее время?
Обьяснены простейшие нюансы, которые освещались тысячи раз на том же школо-бхф (там же обитают и авторы юбк и приваткипера), там же выложены тонны проэктов под него, освещены даже проджэкты под биткоин биржисервисы, с антикапчей под брут,на сервисы где можно СРАЗУ выводить бабки себе на кошелек.
Абсолютно ничего нового, статья имитация сотен других. Тем более передертая. Оригинал статьи на скайфрауде, 2017 года. Зачем название в заголовке 2018, если это тема как минимум 3хлетней давности вообще?
То, что он показал на одном конкретном примере виктории, аналогично ДЛЯ ЛЮБОГО шопа из гугла где есть балик в акке и не используется капча. Виктория как пример неуместна.
Более того, набираем в ютьюбе приват кипер или юбк и вы увидите сотни, тысячи ВИДЕО РОЛИКОВ, где все проще и понятнее расписано, есть гораздо более сложные проэкты, так же можно изучать чужие в бесплатном доступе,или купленные за копейки, где используются для парсинга не несколько переменных логин пасс, а только лишь все с запроса.
Я аналогично на биржах делал автовывод баланса при гуде с подстановкой моих реквизитов+одновременное использование в связке с burp suite инструмента анализатора токена+интрудера+подбора токена+автовставки в запрос, использование обхода пассфраз на этой основе (сложно,но прокатывало),антикапчи,и где сразу идет автослив баланса вам на кошелек. Нашли биржусервисбткказиноетк (что и есть самое сложное)-изучили заголовки бёрпом-подставили ответы сервака, завели пару долларов или прочекали акки с минимальным балансом,запустили вывод, опять пропарсили как выводится, подставили.
Далее опять значенияпроанализировали токеныподставили-запустили чек с автовыводом. Пьем чай и наслаждаемся выскакивающими всплывающими окнами от electrum о пополнении кошелька. Иногда мелькали так, что я суммы упавшие с свернутом в трее электруме не успевал замечать Без всяких заказов и рероутов с прозвонами.
Я даже больше скажу, в том же берпе в интрудере можно абсолютно бесплатно,без регистраций и смс, чекать и парсить акки используя при чеке редиректы и куки+греп ответа,без заморочек, просто подставляя §pval§ в необходимые места запроса

Ничего нового, актуального не освещено. Просто эти темы на данном форуме не поднимались (а зря, поверьте), потому маку кажется что это лучшее. Сам статью пилить конечно не буду, т.к. не вижу смысла, все давно есть в паблике (даже с видео).Я вам только далее дам пару фишек от себя, которые не освещены ни в одной статье.

Школоте разжевовать тупо (все равно не найдут адекватный сервис). Кто в теме это знают и так,им писать=только смешить народ. Самое сложное-это поиск биржисервиса. А проджэкт написать пол часа делов. Причем автовывод не догадались юзать почему то большинство, видимо из за сложности анализа лол. Но в оправдание им скажу, если много не анализируемых динамических данных,то и не прокатит. А таких сервисов большинство.
Если с берпом разберетесь, то с кипером или юбк разберетесь даже без гайдов и видео, это просто не нужно. А статья вообще школьная.

З.Ы. иначе как вы думаете, почему скупают массово запросы блокчейна? Отрабатывают базы 5050? Просят обходы пробить двухфакторок с бирж? При хорошей базе можно десятки к поднять с базы $, если лень заморачиваться, отдайте у кого все готово под запросы с блокчейна, с норм базы (не пиздатой) пару к $ за пару дней поимеете. Вас чуть чуть конечно тоже поимеют (а может и не чуть чуть),но свои пару к вы получите =) Это плата за лень.

А если вы и сами ломаете базы, вам никакие селлерыпосреды вообще не нужны. Я не буду касаться темы обхода двухфакторок, далее, небольшой лайфхак от меня к вышизложенной, так называемой "статье", лол, который для более менее прошаренного скрипткидди (а иначе я назвать не могу) будет толчком к действию:

Ставим и настраиваем берп, ставим юбк (я им вообще иногда даже не пользовался, использовал интрудер в берпе ), находим сервисбиржуказиетк по крипте.

Для начала тщательно анализируем цель (таргет) на pr-cy том же или аналогичных. Изучаем сколько траффа и трастовость, чекаем на сабдомены,просматриваем отзывы, в общем пробиваем сервис тщательно.
Если подходит, изучаем через браузер с запущенным берпом (локальной проксей) саму биржусервис.
Заголовкиответы анализируем,лазим по бирже с включенным спайдером и функциями в сканнере active scanning - use suite scope (не обязательно, можно сканить потом отдельно необходимые передаваемые к бд параметры с наибольшим количеством точек входа,дабы уменьшить трафф) и live passive scanning scan everything. Советую так же использовать расширения.
Делаем так же акк на сервисе (или чекаем свою базку тематического валида на запросы с сервиса (я использую AIO,т.к. к нему привычен), если сервис актуальный и не слишком известный в наших кругах, и у вас адекватная база - запросов будет много) через локальную проксю берпа опять же.
Вообще все делаем через нее в браузере.
При нахождении гудов в aio, пробуем залогиниться руками на таргет с тем же мылом и паролем в сервисе, что и на мыло пасс (в 50-80 % случаев подходят , за пару минут валид на сервисе с валида на мыло пасс и запроса можно найти и ручками) Вообще на данном этапе минимизируем автоматизацию, и пробиваем все руками, ибо нельзя пропустить ни одной детали.
При подтверждении по почте, лезем на ящик и подтверждаем.
И так, логинимся на сервис (для того, чтобы берп сохранил куки и изучил внутреннюю кухню после авторизации,в личном кабинете, там самое главное).

Изучаем секретки если есть, изучаем как работает вывод,двухфакторку, изучаем токены если акков много, все это дело анализируем в том же берпе.

После чего,разлогиниваемся, запускаем интрудер, подставляем переменные в необходимые параметры, прогоняем через интрудер свою базу валида с запросами от сервиса (предварительно прочеканные aio) и грепаем свои параметры.
Отсеиваем подходящие по критериям (т.е. гуды на логин).

Теперь запускаем юбк или приваткипер. Делаем парктически то же что в "статье", но ессно парсим и сохраняем так же баланс, запросы на секретки, свои подходящие параметры.
Настраиваем под себя (автослив возможен только при навыках (иногда необходимо написание расширения под берп) и подходящих условиях на сервисе,повышает количество ошибок или вовсе убивает акки в неумелых руках, вплоть до закрытия слива или ввода дополнительных мер секурности на таргете,потому пока рассматриваем вывод ручками).
Создаем проджэкт. Пускаем, парсим балики и нужные акки, соответствующие нашим параметрам.
Заходим с деда, логинимся на нужный акк. Выводим. Профит.

Теперь дабы не быть голословным, обьясню
Почему советую использовать в связке с берпом (и пускать через него весь трафф):


В моем конкретном случае (и не одном в итоге), после выполнения всех вышеописанных манипуляций, я внезапно обнаруживал при включенных актив и пассив скан кучу уязвимостей на таргете (и даже на особо крупных и трастовых, но там раскрутить нереально).
Т.к. берп это фактически отличный и наиболее полный и гибкий (с возможностью писать любые расширения под себя, под любые задачи) инструмент пентестера и отличный анализатор траффика (прокся), он еще и в режиме серфинга и грамотно настроеный-способен выполнять автоматический поиск выбранных уязвимостей.

При моем анализе траффа для написания проджекта под юбк, я поставил поиск уязвимостей в пассивном и активном режимах. После слива всех доступных балансов с сервиса с моей базы (набралось за два часа работы под феном всего около 3к$ на электрум, все юзеры обычно сразу выводили,и стояла двухфакторка на мобилы во многих крупных акках при выводе иили авторизации),я обнаружил, что мой берпик нашел в параметре page_id выводящем страницу поиска предложений покупки продажи в сервисе ПОСЛЕ АВТОРИЗАЦИИ в ЛК- sql-inj и xss. Я начал подробнее изучать сервис уже со стороны пентеста.

Про нмап,порты, висящие на них бажные сервисы, сервак и PoCи с CVE под версию,метасплоит я рассматривать не буду.Это обширная тема.

Просканив тем же интрудером по своим словарям скомбинированным из словарей дирбастера и SecLists-master на доступные директории + нмапом на порты и питоновым саблистером на сабдомены, я нашел хитровыебанно спратянную админку,висящую на сабдомене, на нестандартном порту.

Справедливо решив, что возможно если получится залить шелл,я солью вообще все, а это значит профит будет в десятки или сотни раз выше-я погнал крутить скулю через sqlmap.
Расрутив я немного разочаровался
К сожалению доступ к mysql.user не было,я не dba, ветка пятая, инжект error based, все возможные права порезаны, т.е. я в режиме чтения чта уровне прав приложения фактически, без возможности вносить праффки и использовать file_priv+куча зависимостей - я для начала тупо слил пасс и хэш админа.
Хэш md5($salt) но очень сложный пасс, т.к. с пол года уже расшифрововается до сих пор на всех известных платных и бесплатных сервисах и по платным запросам у частников (смотрю уже чисто ради интереса). Так что админка отпала сразу. Я слил всех юзеров, в формате мыло,пасс, полный адрес у кого указан,фио, телефон, секретка и по мелочи.
Пассы в обычном бэйс64 были, чтобы на лету и не нагружать сервак, так что за секунду я их получил. А вот секретки (двухфакторки на трубу откинул сразу) были пошифрованы собственным алгоритмом,обернутым в aes, что расшифрововать равносильно самоубиству. Тем более без доступа к исходникам это невыполнимо.

Отчаявшись, и не обнаружив ничего более снаружи, кроме скули и пары xss, я досливал остальные д

не заебало копипастить?

Дополню, залившись я бы выводил не с таймаутами крупные балики, а мелкие с небольшими т.а., я бы еще перегонял еще с акка на акк до вывода. А т.к. я выбирал время в затишье и когда админы и саппорты не в сети (или только саппорты) и сервис работает через апи блокчейна на автомате - я бы вывел за ночь вообще все.
Плюс сервис на 80% самопис, можно было тихо тянуть ее пол года, сливая самые крупные балансы, на что справедливо лоху замечали бы что он сам лох,словил че то. Забиндить порт, сделать бэкконнект а то и вообще поднять привелегии до рута, внедриться в исходники и тихо мирно тянуть огромные суммы.
плюсом ко всему этому поставить биржу себе, а там и фишинг и скам,и спам на свои проэкты для привлечения клиентов иили продать исходники за большие деньги. К сожалению залиться я не смог, по вышеуказанным причинам. Но поле для деятельности обширное.

Added


i3wm я написал все сам. Балабол, прогугли хоть одну строчку и покажи откуда Или балабол и получишь заслуженный минус и не один. Пока даже плюсанул за up

Автору (Техно) - доходчивей расписывать мануалы, соавтору (LimOne) - поменьше эмоций. В целом тема интересная, но информативность на уровне: ... есть тема... а в деталях разбирайся сам Возможно такое восприятие в силу моих познаний в этой области, но тогда трудно представить какая каша у тех, у кого этих познаний 0 и какой подрыв пукана у тех кто в теме... Удачи в написании статей

iseeyou техно не автор. Он копирайтер. Меня просто убил комментарий мака... Так бы я это и не писал (40 минут в никуда). Технические детали... хмм...Вам дали направление,спалили фишки,дали инструментарий, еще и тех. детали? Скидывайте сразу кошельки, чтоб битки закидывать.

LimOne, вот тебя зацепило

В этой теме есть что-то новое, а не вот шоп, вбиваем трусы на адрес форварда и получаем профит.

Да я вхлам просто, не обращайте внимания
Ничего тут нового, к сожалению.

delete...