Шопы+СС и работа с Private Keeper

Шопы+СС и работа с Private Keeper

Stoya


И вновь желаю доброго времени суток лучшим умам, которые собрались в нашей конфе.

И так, сегодня рассказываю про брут различных шопов к аккаунтам которых может быть привязана СС, с которой мы можем совершить покупку, ты ведь не думал что СС может быть привязана только к EBay.

Поиск шопов у меня как всегда начинается с Google шоппинга, гуглю интересующий меня товар и открываю все магазины которые мне выдаёт в левом блоке снизу.

Далее следует регистрация в каждом магазине, после регистрации мы идём в аккаунт магазина и ищем там пункт "Payment methods" или что-то похожее.

@Compe93

Если есть возможность добавить кредитную карту в аккаунте, смотрим, просит ли он сразу CVV, если не просит, то кидаем что-нибудь в корзину и идём оплачивать, выбираем оплату картой и смотрим, обычно в магазинах присутствует такая возможность, сохранить карту для последующих покупок, выглядит примерно так:

@Compe93

Если такая возможность есть, это очень хорошо.

Собственно говоря на этом этапе можно уже начинать писать самому брут под этот шоп, так как написание спустя несколько дней практики занимает не более 30 минут.

Private Keeper

Private Keeper - Это приложение для разработчиков и брутфорсеров.

Я расскажу пару базовых моментов которые миллион раз описывались в различных видео, но там вам предлагают использовать какой-то софт и прочее.

Для каждого шопа всё уникально, я лишь помогу разобраться вам в GET и POST запросах, это самое простое, дальше дело в количестве подходов-повторений.

Мы покупаем лицензию на определённый период, цены:

С регистрацией и активацией думаю разберёшься.


Перед нами открывается наша рабочая площадка.

@Compe93


Я всё делаю через оперу, так как в хроме у меня почему-то не всё показывает, что нужно. Мы сегодня с вами напишем брут/чеккер.

На сайте может быть уникальный токен для каждой авторизации, для сайта с токеном порядок действий будет такой: GET запрос на парсинг токена, POST запрос на авторизацию и проверку аккаунта на валид и GET запрос на парсинг платёжной информации, если таковая имеется.

Првым делом мы идём на сайт на страницу авторизации, жмём Ctrl+Shift+I, мы увидим такую страницу:

Далее мы вводим данные от нашего аккаунта и жмём на вход.

В панели снизу мы увидим множество данных которые передаёт нам шоп, нам нужно первое что он нам отправил, данные авторизации, так что листаем вверх.

Это та самая ссылка для авторизации которая нам нужна, запомним она будет у нас под номером "1", затем мы отмотаем в самый низ и увидим данные которые использовал шоп.

@Compe93

Тут мы видим, что у данного сайта при авторизации используется токен, его может не быть или быть два токена. Если токена нет то у нас будет сразу POST запрос на авторизацию. И так тут у нас токен и нам нужно его спарсить.

Жмём Ctrl+U нам откроется страница с кодом страницы, там мы жмём Ctrl+F и ищем наш токен.

@Compe93

Отлично, это будет №2, и третье что нам нужно это нажать на view source прямо над токеном на предпоследнем скрине.

@Compe93

Тут мы видим как осуществляется вход, токен+логин+пароль.

Идём в кипер:

@Compe93

Выставляем GET запрос, затем в поле 1 вставляем нашу ссылку для входа, под номером 2 мы должны ввести значения до и после нашего токена в коде страницы.

Как ввели, жмём добавить-это 3 пункт. Затем вводим наши данные для входа, сохраняем нашу авторизацию, жмём проверить и смотрим лог. Если всё ок, мы увидим примерно тоже самое что на скрине.


@Compe93

Окей! Следующим пунктом мы добавляем ещё одну авторизацию с POST запросом. Берём связку токен+логин+пароль. И вставляем в строку пост данные, заменяя данные которые дал шоп значениями кипера, смотрим:

@Compe93

Токен который нам давали мы меняем на значение |PARS|[1], мыло которое было меняем на |LOGIN|, пароль-|PWD|.

Если на сайте два токена, то мы соответственно добавляем 2 парса и в пост данных будет |PARS|[1] и |PARS|[2].

Дальше мы добавляем значения для хорошего и плохого аккаунта. Для этого в логе авторизации смотрим пункт Location, проходим авторизацию валидным аккаунтом который мы сами зарегали и смотрим на какую страницу он попадает например:

Location: www.site.de/myaccount

Location: www.site.de/home

Location: /new/

Или даже "Location: /" везде по-разному.

И так далее, в зависимости от магазина, так же в данных для входа убираем последнюю цифру пароля, например, и смотрим какая локация будет при не правильном логине и пароле, например:

Location: www.site.de/myaccount/login

Location: www.site.de/registration

Location: www.site.de/index.php

Выходит примерно вот так:

@Compe93

Значение |RESPONSE| мы меняем на |HEADERS|, если мы не можем найти значение Location: для определения плохого аккаунта, мы можем сделать вот так:

@Compe93

Затем проверяем, всё ли у нас получилось, пробуя верные и не верные данные для входа, если всё верно, то он будет выдавать, считается результат хорошим или плохим.

@Compe93

Затем мы можем уже протестить наш проект, жмём в верхнем правом углу быстрое тестирование, загружаем базу и прокси и пробуем.

@Compe93

Прокси я беру бесплатные с http://www.vipsocks24.net/ если магазин не требовательный, то всё будет окей.

Если у тебя нет аккаунта с привязанной картой, то сначала нужно будет сбрутить N-ное количество аккаунтов и найти аккаунт с картой, после этого ты можешь дописать проект под чеккер.

Далее, мы добавляем ещё одну авторизацию на GET запрос и мы будем парсить данные кредитки, если она есть, в ссылку добавляем адрес страницы где находятся данные по карте, например: www.site.de/myaccount/paymentmethods/

@Compe93

Жмём на этой странице Ctrl+U и идём искать данные карты в коде страницы, например по последним цифрам карты, так быстрее. Нашли, теперь нам нужно спарсить это значение, всё как с токеном.

Не забываем Присвоить парсеру значение 2

@Compe93

Проверяем, если всё хорошо, то парсер выдаст нам данные карты.

Далее, чтоб мы видели это в конечном логе, идём во вкладку управление и меняем лог, например так:

@Compe93

Ну вот и успех, ищем баз побольше и и вперёд, далее в работе потребуются только дедики, не забываем спамить почту хозяину аккаунта.

Паки можно отправлять либо на скупа добавив в аккаунте ещё один шипинг адрес или же на посреда, но не забывай указывать номер ячейки и менять имя на посреде на имя кх.

Надеюсь, данная статья поможет разобраться, в любом случае, пробуйте, это интересно, и очень профитно. Успехов!


P.S. сайт который я использовал www.peek-cloppenburg.de не берите, там капча.

Можете попробовать например: www.amainhobbies.com там нет токена, у шопа есть внутренний баланс.

Report Page