Пишет
Ageнт членS
Халявные WM
Пару дней назад сам не знаю как набрал в гугле inurl:operator_id и получил список интересных ссылок. В описании у одной было написано "smsid xxxxxx.xx status:reply". Просмотрев адрес ссылки, я удивился. В ней были параметры operator,operator_id,msg,user_id,cost. Такие параметры используют партнерки, для получения подтверждения отправки смс пользователем. Перейдя по ссылке, я обнаружил что-то вроде:"Заказ не найден". Тогда я перешел на главную, посмотреть, что за сайт. Это оказался сервис по обмену смс на вебмани. Недолго думая я вбил различные данные: номер мобилы, кошель, мэйл и др. Естественно не свои
Мне выдало: отправьте смс на такой-то номер, получите код и вбейте его в форму ниже. Тогда перешел на предыдущую ссылку и подправил параметры на только что введенные в форму.(т.е. в id поставил номер телефона и т.д.). Перейдя по получившейся ссылке я был ошеломлен, там было написано:"Код активации 2645". Я ввел этот код, но меня ждала неудача:"код активации неверный!". Тогда я еще раз внимательно посмотрел на параметры, что там не так. Неправильным оказался параметр smsid. При каждом новом платеже его нужно увеличивать как минимум на единицу. Попробовал заново и удача! Платеж был успешен. Таким образом, я получил доступ к куче вебманек. Но на свой кошелек несделал ни одного перевода. Попытавшись провернуть то же самое на следующий день, я был обескуражен: код больше не выводился. Вернее, ничего не выводилось. Я еще раз посмотрел на параметры. Меня заинтересовал параметр skey. Как я догадался, это был пароль для доступа, зашифрованный md5. Сбегав на онлайн бруты, я быстро получил результат: qwert. Но к сожалению, это был старый пароль, а мне был нужен новый. Тогда я взял наугад пароль qwerty, зашифровал его в md5 и заменил старый skey. Перевод опять заработал!Но к сожалению ненадолго. Админ проекта догадался наконец в чем дело и сменил пароль на более сложный. Внимание! Данная статья не призывает к взлому! Автор не перевел себе данным способом ни копейки! URL: http://site.ru/script.php?skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&smsid=0000000000.00000&num=XXXX&operator=mtsnw&operator_id=110&user_id=7917xxxxxxx&cost=156.81&msg=TEXT P.S. Тут осталось неражеванное-дожуйте Пару дней назад сам не знаю как набрал в гугле inurl:operator_id и получил список интересных ссылок. В описании у одной было написано "smsid xxxxxx.xx status:reply". Просмотрев адрес ссылки, я удивился. В ней были параметры operator,operator_id,msg,user_id,cost. Такие параметры используют партнерки, для получения подтверждения отправки смс пользователем. Перейдя по ссылке, я обнаружил что-то вроде:"Заказ не найден". Тогда я перешел на главную, посмотреть, что за сайт. Это оказался сервис по обмену смс на вебмани. Недолго думая я вбил различные данные: номер мобилы, кошель, мэйл и др. Естественно не свои Мне выдало: отправьте смс на такой-то номер, получите код и вбейте его в форму ниже. Тогда перешел на предыдущую ссылку и подправил параметры на только что введенные в форму.(т.е. в id поставил номер телефона и т.д.). Перейдя по получившейся ссылке я был ошеломлен, там было написано:"Код активации 2645". Я ввел этот код, но меня ждала неудача:"код активации неверный!". Тогда я еще раз внимательно посмотрел на параметры, что там не так. Неправильным оказался параметр smsid. При каждом новом платеже его нужно увеличивать как минимум на единицу. Попробовал заново и удача! Платеж был успешен. Таким образом, я получил доступ к куче вебманек. Но на свой кошелек несделал ни одного перевода. Попытавшись провернуть то же самое на следующий день, я был обескуражен: код больше не выводился. Вернее, ничего не выводилось. Я еще раз посмотрел на параметры. Меня заинтересовал параметр skey. Как я догадался, это был пароль для доступа, зашифрованный md5. Сбегав на онлайн бруты, я быстро получил результат: qwert. Но к сожалению, это был старый пароль, а мне был нужен новый. Тогда я взял наугад пароль qwerty, зашифровал его в md5 и заменил старый skey. Перевод опять заработал!Но к сожалению ненадолго. Админ проекта догадался наконец в чем дело и сменил пароль на более сложный. Внимание! Данная статья не призывает к взлому! Автор не перевел себе данным способом ни копейки! URL: http://site.ru/script.php?skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&smsid=0000000000.00000&num=XXXX&operator=mtsnw&operator_id=110&user_id=7917xxxxxxx&cost=156.81&msg=TEXT P.S. Тут осталось неражеванное-дожуйте 