Добыча сс
[Пролог]
Думаю каждый из нас пытался добыть кредиток самостоятельно, я не исключение.. Основной метод это слив БД онлайн магазин через SQL-inj.
[Парсинг]
Все начинается с парсинга ссылок. Лично я использовал свой парсер. Вы же можете юзать общедоступный софт.. Учтите, что не стоит просто использовать голый запрос вида
inurl:product.php?id=нужно что то вроде этого
inurl:"product.php?id=" buy iphoneили даже так
inurl:"*shop.com" inurl:".php?id=" dress Ковычки здесь играют большую роль...
Вот немного дорок для экскрементов
inurl:buy.php?category=
inurl:gallery.php?id=d=
inurl:event.php?id=
inurl:view_product.php?id=
inurl:product.php?id=
inurl:products.php?id=
inurl:shop.php?id=
inurl:collectionitem.php?id=
inurl:shopping.php?id=
inurl:items.php?id=
И вот у наc есть пару тысяч линков (правда у меня эта цифра зашкаливала за 1 лям)..
[Чек на sql-inj. Слив БД]
Все, мы напарсили свой миллион ссылок. Начнем чек.. И здесь я использовал свой чекер.. Вы же можете юзать общедоступный софт...
Тут особо не о чем говорит, так что дальше.
Вот оно...
Мы собрали уязвимые линки, начинаем слив. Лично но я вначале кручу через Havij. Если он не может, а это в 50% случаев, то в ход идут руки. И вот оно!!! Мы наткнулись на таблицу с названием
orders
Открываем ее, и ..... и там нет колонок с кредитками. Мдя...
[СС там, где его нет]
Да мы не нашли колонки с сс, и это печально. 99% кардеров забьют на такой шоп и двинут дальше. Не стоит торопицца. У нас на руках все заказы шопа, имена, фамилии, адресса и даты заказчиков. А теперь вспомним что обычно происходит когда мы щипаем на сс? Правильно, у на просят фото документов и кредитной карты....
[Теперь МЫ шоп!]
Сливаем из таблицы
ordersколнки
FName
LName
order date
Само собой названия могут быть другими.
Теперь у нас есть все что нужно. Регистрируем на hotmail.com email вида shop_name@hotmail.com. Теперь мы готовы. Начинаем спамить..
Примерный текст письма
Dear FName LName,
We are processing your order . As part of our security procedures, we ask that you provide the following documents:
1) Your valid photo identification (e.g. passport or driving license).
2) An utility bill or bank statement issued on your name, that shows your current address. Please note that such can only be accepted if it’s dated no longer than 3 months back from the current date.
3) Copy of your credit card (front and back side).
Once your ID and utility bill are verified, they will be placed in a secure file and you will not be asked to re-send it in the future.
Send your documents at e-mail to shop_name@hotmail.com.
Please note, if after 2 days, we do not receive legible e-mail, we will cancel your order.
[P.S]
Тесты я проводил над Индией. Отклик составил примерно 40%.
Все документы полученные данным путем были стерты, а шопы оповещены об уязвимость.
Статья была написана исключительно в ознакомительных целя. Я ни в коем случаи не побуждаю Вас к действию.