SwiftCoder
Новичок
- Регистрация
- 14.10.2025
- Сообщения
- 1
Ну что ж, Всем доброго вечера 
.
Сегодня я здесь, чтобы рассказать вам свой опыт в частности Веб-приложений и страниц.
Весь мой опыт накоплен в зоне Telegram'овских мини-приложений и Азартных сайтов.
Когда то давным давно, я зашел на проект Lucky Up, на тот момент я абсолютно не знал что такое режим разработчика в браузере, но очень верил что он сущетсвует не просто так и там наверняка есть что-то крутое.
NET WORK (СЕТЬ) БУЛЕВЫЕ ЗНАЧЕНИЯ. TRUE, FALSE
начал копаться в настройках, в разных вкладках и спустя несколько часов случайным образом я зашел на вкладку "сеть" и увидел что, строки (запросы) можно копировать в разных форматах.. cmd node js и тд, но даже тогда я незнал что это такое...
мне стоило только скопировать .. но мне надо было кудато вставить это и я решил не открывать блокнот а вставить сразу в вкладку "консоль" - только потому что я знал что туда можно писать текст.
После вставки, мне потребовалось пару секунд что бы понять что вся сеть интернета работает через запросы - в которых передаються данные...
я увидел там строки user id, и еще какието были..
по началу я просто скопировал и вставил и ввел Enter.. запрос отправился.. в целом я даже ничего особо не заметил - пока не перезагрузил страницу.
я увидел что тот запрос который я скопировал, был моментом ставки в игре.
После чего я конечно же решил менять значения в строках..(ща вернусь)
в целом я больше наверно игрался с "функциями" встроенные в html onclick,
тоесть это по сути тот же клик по элементу но ввиде скрипта, еще я знал так же о trigger click jquery, но он не везде работал.
в общем я решил раскрыть кнопку отмены вывода и увидел там resetWithDraw(21344)
эти цифры в скобках как я понял были id вывода, и я подумал, а что будет если их поменять..
Не трудно догадаться что я отменил чужой вывод - но не понял только почему вывод отменился чужой но баланс капнул на мой счет...
давай те вернемся теперь к запросам.
запросы на самом деле очень крутая вещь
в них можно менять данные и так же можно было играть и выводить баланс за чужие id.
чтоб вы долго не искали где это находиться вот вам путь.
f12 network, сортируете по fetch, выбираете нужный запрос и кликаете правой кнопкой мыши кликаете на "копировать как" там будут вариант node js, fetch xhr...
я обычно выбирал node js т.к он для меня более понятен был.
ну в общем меняете данные и там будут разные ответы от сервера.
Если сервер хорошо написан то в теории взломать у вас ничего не выйдет но самые частые баги которые я видел это:
отправка булевых значений True, False.
эти штуки серьёзно ломали системы.
Например (это реальность).
была 1 игра и в ней типо нужно было пополнить счет и потом через некоторое время исходя из твоих прокачек ты должен был получить сумму побольше. но это нужно было ждать около 3х месяцев.
там онлайн в месяц был 600к человек, и я думал что я там ничего не найду НООО,
когда я в строке вывода ввел не числа а True, я каким то образом умудрился пройти проверку того что у меня баланс больше 0 и что я ваще могу чтото вывести...
я до сих пор незнаю как но мне удалось так целый час бустить реальный счет в телеграмме.
Если вспомним программирование то True=1 False=0.
сайт думал что я вывожу True, если что там система была в виде Ton, который был на тот момент 600р.
я сделал небольшой скрипт через setInterval, где я каждую минуту выводи по 1Тон.
но лишь через 40-50 минут вывод прекратил работать и игра временно прекратила всем выводы... админы были недовольны.
Но я сюда не просто так зашел, мне просто сказали что обманули 1 человека на деньги) будем считать что это небольшая карма, учитывая что у них на счете было 1500 ТОН.
Так же были и другие случаи до уже с другими значениями.
и так я вам сказал про true, false.
но ведь мы можем и другие значения писать, не так ли?
NET WORK. ТЕКСТОВЫЕ И ЧИСЛОВЫЕ ДАННЫЕ.
И так, возьмем цифорки, они у нас такие разные. бывают случаи когда true false не работает как мы бы хотели и на помощь может прийти -1 0 1
это 3 значений в разных системах. минусовая нейтральная и плюсовая.
минусовую мы можем использовать для вывода баланса.
тоесть в теории есть вероятность что при выводе минус -100 мы получим на баланс +100.. все поняли?
давай те возьмем другую схему.
у нас есть кликер игра где мы кликаем по кнопочке.. но мы умные люде и не будет терять зря время.
копируем запрос клика, и пробуем ввести какие нибудь значения.
технически в каждой игре кликалке есть энергия - которая ограничивает процесс кликинга по емкости.. 1 клик = 1 энергия
тоесть в теории есть мы кликнем -10 раз то тогда нам добавить +10.. да это работает иногда...
в целом почему бы и не написать сразу +1000 .. если б не было энергии
ну это такие себе моменты - мне не всегда помогали но иногда что-то ломали
я думаю вы сами поймете где такое можно будет использовать но так же не забывайте использовать
ДРОБНЫЕ ЧИСЛА, потому что это разная система хоть и считаются цифрами. не все серверы умеют складывать не полное число особенно когда там не число а
ТЕКСТОВЫЕ ДАННЫЕ
ДА вот они тоже умеют творить чудеса и ломать систему.
представим у нас есть таблица-топ.
и там чисто числа всякие по порядку убывания..
соотвественно у кого больше тот и получит награду... да?
знаете как у меня вышло сломать эту часть (когда она уже была сломлена 1000000000 очками).
-я просто ввел вместо числа , текст..
и у меня получилось так что я в ТОП 1 с колличеством очков: (не число).
это было щедро что я встал на 1 место..
ПЕРЕРАСПРЕДЕЛЕННЫЙ КОНТЕНТ
ну чтож) а ТЕПЕРЬ ПЕРЕЙДЕМ К САМОМУ ИНТЕРЕСНОМУ).
У нас в браузере по мимо net work, html, console есть так же Sources - там находиться весь код сайта...
и его можно менять)
его можно менять и сохранять и перезагружать страницу.)
зачем нам это если данные фальшивые будут?
ну во первых
давайте вернемся к net work.
в наших запросах есть еще разные вкладки, заголовки, предварительный просмотр, ответ, и тд.. это находиться на правой части окна.
нам нужен ОТВЕТ.
Нажимаем правой кнопкой мыши и выбираем
И нажимаем "перераспределить контент"
данная штука нам поможет менять ответ от сервера (локально) (только не забудьте сохранить его в папку)
предположим у вас есть ответ о вашем аккаунте и там написано:
ваше имя:Генадий
баланс:21412
админ: false
время: 01-12-2020.
ну и возможно есть другие данные.
допустим если поменять admin false на true то вы сможете увидеть страницу от лица админа..
Но скорее всего весь его функционал вам не будет доступен и вы не сможете кого то забанить.
давай те возьмем другие данные.
представим что перед вами уже более менее достойная игра - кликер, где каждый клик идет с шифром
click:15,
HASH:239UR9RFJ93F
ну чтото типо такого..
у нас в запросах в network есть вкладка связанная с трассировкой запросов - там типо много ссылочек будет. в теории нам нужна самая верхняя.
и там должен быть конечный код который отправляет запрос то сколько вы раз кликнули и какой хэш.
ваша задача будет убрать переменную, передающая значение кликов и поставить туда просто свои цифры - но только не перебарщивайте.. начние с маленьких значений- ведь у сервера может быть защита на той что он может принять не более 200 кликов за 1 запрос.
и когда вы сохраняете этот код (после перезагрузки страницы)
вы можете кликать и у вас сайт будет отправлять на сервер ваш 1 клик за 200.
тоесть тут уже даже система шифровки будет бесполезна.
эта же система будет работать если вам нужно угадать какое нибудь слово через азбуку морзе.
Пример из хомяка.
в запросе у него не было реального слова Но был ключ а на сайте была расшифровка ключа..
то есть если отследить (F8) функции через которые проходит ключ.. вывести переменную через console.log()
ну если вы не глупы вы найдете нужную функцию и сможете вывести ответ расшифровки слова в консоль..
там будет чтото типо
function getValueHash(key){}
ну и вместо key вам надо подставить те символы из запроса.
ЕСЛИ У ВАС НЕ ПОЛУЧАЕТСЯ НАЙТИ ЭТО
у вас есть ctrl + f или правой кнопкой по папке (поиск во всех файлах) в вкладке sources
попробуйте чтото подобрать и поискать нужные файлики.
в любом случае трассировка в network в запросе, вам в помощь.
НУ ТЕПЕРЬ ОСТАЁТЬСЯ ТОЛЬКО ДДОС или чтото вроде этого.
это по сути setInterval в 0мс.
вы можете делать отмену вывода или ставку делать или кликать..
Всегда есть вероятность что вместо 100р выведите 100р 3 раза за долю секунды - только потомучто сервер не успеет понять что произошло.
это может работать в разных схемах.. но зачастую может стоять система защиты от ддос cloudfare или чтото вроде того.
внизу будут скрины с разных проектов где удавалось сломать систему
НО помимо кодов есть еще разные программы.. Cheat Engine - она позволяет менять значения в программах.
Burp Suite - создан для атак на сайты - но я им ниразу не пользовался.
весь опыт что у меня был это только чистый скилл и удача.
зачастую админы сотрудничали и давали вознаграждение за найденные уязвимости.
еще кстати есть WebSocket.. в браузере. это типо более современных подход обмена данными.
и я пока могу им управлять только через распределение контента... меняя скрипт работу сайта.
никто не ждет что отуда будут отакавать так как обычным запросом туда не обратиться. ИИ в помощь
.Сегодня я здесь, чтобы рассказать вам свой опыт в частности Веб-приложений и страниц.
Весь мой опыт накоплен в зоне Telegram'овских мини-приложений и Азартных сайтов.
Когда то давным давно, я зашел на проект Lucky Up, на тот момент я абсолютно не знал что такое режим разработчика в браузере, но очень верил что он сущетсвует не просто так и там наверняка есть что-то крутое.
NET WORK (СЕТЬ) БУЛЕВЫЕ ЗНАЧЕНИЯ. TRUE, FALSE
начал копаться в настройках, в разных вкладках и спустя несколько часов случайным образом я зашел на вкладку "сеть" и увидел что, строки (запросы) можно копировать в разных форматах.. cmd node js и тд, но даже тогда я незнал что это такое...
мне стоило только скопировать .. но мне надо было кудато вставить это и я решил не открывать блокнот а вставить сразу в вкладку "консоль" - только потому что я знал что туда можно писать текст.
После вставки, мне потребовалось пару секунд что бы понять что вся сеть интернета работает через запросы - в которых передаються данные...
я увидел там строки user id, и еще какието были..
по началу я просто скопировал и вставил и ввел Enter.. запрос отправился.. в целом я даже ничего особо не заметил - пока не перезагрузил страницу.
я увидел что тот запрос который я скопировал, был моментом ставки в игре.
После чего я конечно же решил менять значения в строках..(ща вернусь)
в целом я больше наверно игрался с "функциями" встроенные в html onclick,
тоесть это по сути тот же клик по элементу но ввиде скрипта, еще я знал так же о trigger click jquery, но он не везде работал.
в общем я решил раскрыть кнопку отмены вывода и увидел там resetWithDraw(21344)
эти цифры в скобках как я понял были id вывода, и я подумал, а что будет если их поменять..
Не трудно догадаться что я отменил чужой вывод - но не понял только почему вывод отменился чужой но баланс капнул на мой счет...
давай те вернемся теперь к запросам.
запросы на самом деле очень крутая вещь
в них можно менять данные и так же можно было играть и выводить баланс за чужие id.
чтоб вы долго не искали где это находиться вот вам путь.
f12 network, сортируете по fetch, выбираете нужный запрос и кликаете правой кнопкой мыши кликаете на "копировать как" там будут вариант node js, fetch xhr...
я обычно выбирал node js т.к он для меня более понятен был.
ну в общем меняете данные и там будут разные ответы от сервера.
Если сервер хорошо написан то в теории взломать у вас ничего не выйдет но самые частые баги которые я видел это:
отправка булевых значений True, False.
эти штуки серьёзно ломали системы.
Например (это реальность).
была 1 игра и в ней типо нужно было пополнить счет и потом через некоторое время исходя из твоих прокачек ты должен был получить сумму побольше. но это нужно было ждать около 3х месяцев.
там онлайн в месяц был 600к человек, и я думал что я там ничего не найду НООО,
когда я в строке вывода ввел не числа а True, я каким то образом умудрился пройти проверку того что у меня баланс больше 0 и что я ваще могу чтото вывести...
я до сих пор незнаю как но мне удалось так целый час бустить реальный счет в телеграмме.
Если вспомним программирование то True=1 False=0.
сайт думал что я вывожу True, если что там система была в виде Ton, который был на тот момент 600р.
я сделал небольшой скрипт через setInterval, где я каждую минуту выводи по 1Тон.
но лишь через 40-50 минут вывод прекратил работать и игра временно прекратила всем выводы... админы были недовольны.
Но я сюда не просто так зашел, мне просто сказали что обманули 1 человека на деньги) будем считать что это небольшая карма, учитывая что у них на счете было 1500 ТОН.
Так же были и другие случаи до уже с другими значениями.
и так я вам сказал про true, false.
но ведь мы можем и другие значения писать, не так ли?
NET WORK. ТЕКСТОВЫЕ И ЧИСЛОВЫЕ ДАННЫЕ.
И так, возьмем цифорки, они у нас такие разные. бывают случаи когда true false не работает как мы бы хотели и на помощь может прийти -1 0 1
это 3 значений в разных системах. минусовая нейтральная и плюсовая.
минусовую мы можем использовать для вывода баланса.
тоесть в теории есть вероятность что при выводе минус -100 мы получим на баланс +100.. все поняли?
давай те возьмем другую схему.
у нас есть кликер игра где мы кликаем по кнопочке.. но мы умные люде и не будет терять зря время.
копируем запрос клика, и пробуем ввести какие нибудь значения.
технически в каждой игре кликалке есть энергия - которая ограничивает процесс кликинга по емкости.. 1 клик = 1 энергия
тоесть в теории есть мы кликнем -10 раз то тогда нам добавить +10.. да это работает иногда...
в целом почему бы и не написать сразу +1000 .. если б не было энергии
ну это такие себе моменты - мне не всегда помогали но иногда что-то ломали
я думаю вы сами поймете где такое можно будет использовать но так же не забывайте использовать
ДРОБНЫЕ ЧИСЛА, потому что это разная система хоть и считаются цифрами. не все серверы умеют складывать не полное число особенно когда там не число а
ТЕКСТОВЫЕ ДАННЫЕ
ДА вот они тоже умеют творить чудеса и ломать систему.
представим у нас есть таблица-топ.
и там чисто числа всякие по порядку убывания..
соотвественно у кого больше тот и получит награду... да?
знаете как у меня вышло сломать эту часть (когда она уже была сломлена 1000000000 очками).
-я просто ввел вместо числа , текст..
и у меня получилось так что я в ТОП 1 с колличеством очков: (не число).
это было щедро что я встал на 1 место..
ПЕРЕРАСПРЕДЕЛЕННЫЙ КОНТЕНТ
ну чтож) а ТЕПЕРЬ ПЕРЕЙДЕМ К САМОМУ ИНТЕРЕСНОМУ).
У нас в браузере по мимо net work, html, console есть так же Sources - там находиться весь код сайта...
и его можно менять)
его можно менять и сохранять и перезагружать страницу.)
зачем нам это если данные фальшивые будут?
ну во первых
давайте вернемся к net work.
в наших запросах есть еще разные вкладки, заголовки, предварительный просмотр, ответ, и тд.. это находиться на правой части окна.
нам нужен ОТВЕТ.
Нажимаем правой кнопкой мыши и выбираем
И нажимаем "перераспределить контент"
данная штука нам поможет менять ответ от сервера (локально) (только не забудьте сохранить его в папку)
предположим у вас есть ответ о вашем аккаунте и там написано:
ваше имя:Генадий
баланс:21412
админ: false
время: 01-12-2020.
ну и возможно есть другие данные.
допустим если поменять admin false на true то вы сможете увидеть страницу от лица админа..
Но скорее всего весь его функционал вам не будет доступен и вы не сможете кого то забанить.
давай те возьмем другие данные.
представим что перед вами уже более менее достойная игра - кликер, где каждый клик идет с шифром
click:15,
HASH:239UR9RFJ93F
ну чтото типо такого..
у нас в запросах в network есть вкладка связанная с трассировкой запросов - там типо много ссылочек будет. в теории нам нужна самая верхняя.
и там должен быть конечный код который отправляет запрос то сколько вы раз кликнули и какой хэш.
ваша задача будет убрать переменную, передающая значение кликов и поставить туда просто свои цифры - но только не перебарщивайте.. начние с маленьких значений- ведь у сервера может быть защита на той что он может принять не более 200 кликов за 1 запрос.
и когда вы сохраняете этот код (после перезагрузки страницы)
вы можете кликать и у вас сайт будет отправлять на сервер ваш 1 клик за 200.
тоесть тут уже даже система шифровки будет бесполезна.
эта же система будет работать если вам нужно угадать какое нибудь слово через азбуку морзе.
Пример из хомяка.
в запросе у него не было реального слова Но был ключ а на сайте была расшифровка ключа..
то есть если отследить (F8) функции через которые проходит ключ.. вывести переменную через console.log()
ну если вы не глупы вы найдете нужную функцию и сможете вывести ответ расшифровки слова в консоль..
там будет чтото типо
function getValueHash(key){}
ну и вместо key вам надо подставить те символы из запроса.
ЕСЛИ У ВАС НЕ ПОЛУЧАЕТСЯ НАЙТИ ЭТО
у вас есть ctrl + f или правой кнопкой по папке (поиск во всех файлах) в вкладке sources
попробуйте чтото подобрать и поискать нужные файлики.
в любом случае трассировка в network в запросе, вам в помощь.
НУ ТЕПЕРЬ ОСТАЁТЬСЯ ТОЛЬКО ДДОС или чтото вроде этого.
это по сути setInterval в 0мс.
вы можете делать отмену вывода или ставку делать или кликать..
Всегда есть вероятность что вместо 100р выведите 100р 3 раза за долю секунды - только потомучто сервер не успеет понять что произошло.
это может работать в разных схемах.. но зачастую может стоять система защиты от ддос cloudfare или чтото вроде того.
внизу будут скрины с разных проектов где удавалось сломать систему
НО помимо кодов есть еще разные программы.. Cheat Engine - она позволяет менять значения в программах.Burp Suite - создан для атак на сайты - но я им ниразу не пользовался.
весь опыт что у меня был это только чистый скилл и удача.
зачастую админы сотрудничали и давали вознаграждение за найденные уязвимости.
еще кстати есть WebSocket.. в браузере. это типо более современных подход обмена данными.
и я пока могу им управлять только через распределение контента... меняя скрипт работу сайта.
никто не ждет что отуда будут отакавать так как обычным запросом туда не обратиться. ИИ в помощь
