Print This Post OCR нахаляву

Суббота, 23. Октябрь 2010
Раздел: C#, автор:

В последнее время всеми любимый сервис antigate.com работал не очень стабильно, поэтому многие стали временно использовать известную альтернативу - captchabot.com.
И я решил, так сказать, "заценить", что из себя представляет этот сервис. Не знаю, как с качеством и скоростью распознавания, но меня очень порадовала реализация системы пополнения счета с помощью WebMoney.
Если попытаться пополнить счет, скажем, на 5$, то произойдет переход на промежуточную страницу, в исходном коде которой можно наблюдать стандартную для WebMoney форму запроса проведения платежа.

Однако, довольно интересно себя ведет скрипт, указанный в параметре LMI_RESULT_URL. При простом обращении к нему, во-первых, мы видим раскрытие путей, во-вторых, теоретическую возможность проведения SQL-инъекции (параметры, передаваемые скрипту, можно посмотреть тут). И, как оказалось, скрипт не проводит аутентификацию запроса, что позволяет пополнить счет на любую сумму, используя параметр LMI_PAYMENT_NO со страницы платежа. То есть мы просто передаем скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и деньги зачисляются на счет.

Чтобы не тыкать все это дело ручками, написал программку, которая все сделает за вас. Потребуется ввести только логин, пароль и сумму. Пользуйтесь, хотя быстро прикроют, скорее всего.
Скачать: zip

P.S. На антикапче несколько месяцев назад тоже был замечательный баг, позволяющий делать переводы и выводить средства, превышая доступный баланс.

 Обсудить на форуме


Получать обновления на почту:     

Комментариев: 63 к “OCR нахаляву”


  1. школьник :

    списали не большая сумма была имхо

    [Ответить]


  2. Алексей :

    Не списали. на счету пара к $. Пользоваться пока не буду.(отлёжка)

    [Ответить]


  3. oO :

    Лавочку прикрыли =(

    [Ответить]


  4. mojaev :

    неуспел :(((

    [Ответить]


  5. Guest :

    Я думаю все акки руками проверяют, поэтому спишут у всех со временем.

    [Ответить]


  6. holfza :

    4f088dab
    e38c1d89
    8f573c97

    Свежие инвайты

    [Ответить]


  7. Ден :

    Каими, а можешь чуть по подробнее расписать, как передать скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и как провести SQL-инъекцию (на твоем примере).
    просто нашел сайт с подобным сриптом, хочу такую же фишку провернуть =)

    [Ответить]

    Kaimi:

    В гет запросе взять и передать, вот только вряд ли на другом сайте получится что то провернуть. Тут просто код некорректно написан был и всё.

    [Ответить]


  8. паха :

    Не работает уже? Пичяль ((

    [Ответить]


Оставьте ваш комментарий