1. Спонсор публикаций Marketplace codeby. Сервис, который так долго ждали. При расчетах используем биткоин. Первый товар уже в продаже: Консультация на тему ИБ от Ondrik8

    Скрыть объявление
  2. Спонсор публикаций Marketplace codeby. Сервис, который так долго ждали. При расчетах используем биткоин. Второй товар маркетплейса: Надёжная обфускация вашей программы от PingVinich

    Скрыть объявление

Бесконечная накрутка в уязвимых android приложениях

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем Dr.Lafa, 15 июл 2017.

  1. Dr.Lafa

    Dr.Lafa Member
    Paid Access

    Репутация:
    0
    Регистрация:
    30 дек 2016
    Сообщения:
    14
    Симпатии:
    15
    *Здесь могло быть предупреждение о том, что не нужно пользоваться данным методом в целях совершения преступления, но вы же умные ребята, верно?*
    Don't try this at home, kids.


    Сегодня я хотел бы показать на примере, как халатно относятся разработчики приложений для "мобильного заработка" (заработка разработчиков, естественно) к безопасности своих программ.

    Инструменты:
    1. Bettercap
      На Kali Linux:

      На других Linux-системах:
    2. VM либо телефон на android с play market

    Устанавливаем приложение.

    Достаточно набрать в поиске гугл плей что-то вроде "Мобильный заработок" или "Накрутка лайков вк" и т.д.
    Я выбрал с картинкой посмешнее и названием поглупее.​

    Поддельный сертефикат.
    Большинство приложений сегодня используют https соеденение. Что бы мы могли расшифровать трафик, будем использовать поддельный сертефикат. Таковой уже имеется в Bettercap в директории /sudo/.bettercap/bettercap-ca.pem . Его нужно установить на телефон (настройки > безопасность > сертефикаты).
    Начинаем снифать трафик.
    В консоли компьютера пишем:

    Где
    -T - ip телефона
    --proxy-https - использовать прокси с поддельным https сертефикатом для расшифровки траффика
    --sniffer - запустить сниффер пакетов.
    Бесконечная накрутка в уязвимых android приложениях
    Исследуем трафик приложения.
    Теперь, когда трафик отслеживается, поклацаем по разным кнопкам и попробуем выполнить задание.
    Бесконечная накрутка в уязвимых android приложениях
    Я нашёл для себя интересными два запроса:

    получил бонус

    Выполнил задание

    Создаём кастомный запрос.
    Поэксперементировав с данными из полученых запросов, пишем скрипт для отправки кастомного запроса:

    Запрос выполнился с ответом

    Очки начислены мне на аккаунт, это, кстати говоря, минимальная сумма выплаты (8$)
    Бесконечная накрутка в уязвимых android приложениях
    Итог.
    Гугл плей забит подобными приложениями, разработчики которых зарабатывают на желании быстрой наживы у неокрепших умов. Чаще всего, правда, создатели совсем не заботятся о безопасности своего детища. В этом случае мне пришлось поэксперементировать с запросами, но что-то мне подсказывает, что во многих подобных приложениях можно просто циклично переотправить один запрос, выдающий монетки за выполненное задание.

    P.S: воровство - это плохо, но исследование трафика и накрутку лайков никто не запрещал ;)​
     
    IioS, DusikOff, anonymous_prodject и 8 другим нравится это.
  2. jeromy

    jeromy New Member

    Репутация:
    0
    Регистрация:
    4 авг 2016
    Сообщения:
    1
    Симпатии:
    0
    годно,было не плохо с видосом конечно. но и за таое респект.
     
  3. Terraxsploit

    Terraxsploit New Member

    Репутация:
    0
    Регистрация:
    28 янв 2016
    Сообщения:
    1
    Симпатии:
    0
    Великолепный пример халатности, который может пригодиться многим. Спасибо, очень интересная тема!
     
  4. Hans

    Hans New Member

    Репутация:
    0
    Регистрация:
    26 ноя 2016
    Сообщения:
    2
    Симпатии:
    0
    здорово....а как это реализовать не мог бы пояснить по подробнее
     
  5. DusikOff

    DusikOff Well-Known Member
    Paid Access

    Репутация:
    0
    Регистрация:
    27 июн 2017
    Сообщения:
    46
    Симпатии:
    23
    КУДА ЖЕ ЕЩЕ ПОДРОБНЕЕ......
     
    jeromy нравится это.
  6. Hans

    Hans New Member

    Репутация:
    0
    Регистрация:
    26 ноя 2016
    Сообщения:
    2
    Симпатии:
    0
    мне на конкретно одном примере, так как сам писать думаю прогу под андроид
    --- Добавлено 17 июл 2017. Первое сообщение размещено 17 июл 2017 ---
    помоешь...дай скайп
     
  7. Koro1

    Koro1 New Member

    Репутация:
    0
    Регистрация:
    30 май 2017
    Сообщения:
    2
    Симпатии:
    0
    Выводить не пробовал? Часто на таких проектах вроде бы проверяют на нарутку при выводе средств.
     
  8. Dr.Lafa

    Dr.Lafa Member
    Paid Access

    Репутация:
    0
    Регистрация:
    30 дек 2016
    Сообщения:
    14
    Симпатии:
    15
    Пробовал, не вывели, но это скорее всего какой-то заговор (не выплачивают никому)
     
  9. Koro1

    Koro1 New Member

    Репутация:
    0
    Регистрация:
    30 май 2017
    Сообщения:
    2
    Симпатии:
    0
    Помню похожим образом, с год назад на проекте OpenI, накруткой рефов и сообщений кучу бабок вывел... Эх, было круто
     
Загрузка...

Поделиться этой страницей