Эти две небольших истории произошли со мной когда я был молод и глуп, но скорее глуп чем молод. Наверное, каждый из вас, в свое время, увлекался чем-либо. Возможно, это увлечение пришло к вам спонтанно, из-за стечения разного рода обстоятельств, так получилось и у меня. В те далекие-далекие времена я увлекся темной стороной силы взломом сайтов. Мой интерес был праздным, я лишь начинал свой путь веб-программиста и несколько моих сайтов взломали с помощью sql-injection. Мне требовалось дополнить свои юные знания чтобы впредь подобное не повторялось, чем, собственно, я и занялся.
Ну и как многие другие, в то время я увлекался браузерными играми и решил применить свои небольшие на тот момент и на этот знания в коварных целях.
История про «футбольный менеджер»
Как сейчас помню, сижу я развалившись в кресле, вяло наблюдая как по полю бегают маленькие виртуальные игроки моей команды. В чате творится обыденный бурный хаос, в голове лишь одна мысль — как же скучно. К этому моменту у меня был небольшой опыт брутфорса разных форумов, мы с друзьями играли в «линейку» и чтобы быть в курсе событий действий чужих кланов — я брутил их форумы, чтобы читать важную стратегическую информацию :).
В голову пришла мысль — а почему бы не попробовать и тут? Попробуем использовать брутфорс! Оказалось, что на входе в игру не используется капча и логин игрока совпадает с ником в игре. Элементарно, Ватсон!
Был написан небольшой скрипт который перебирал указанным логинам стандартные пароли, логины игроков я быстро получил из рейтинга. Пароли же взял самые простые, рекордсменом был, конечно же, «123456» после него с гордо поднятой головой шли «1234», «111111», «qwerty», «qazwsx» и подобные, у меня было всего около 10 основных паролей по которым я «работал». Получилось несколько сотен доступов, это было для меня простым развлечением и я занимался тем что логинился под каким-либо игроком и писал в чат от его имени. Достаточно быстро в игровом чате началась легкая паника, некоторые люди писали что-то вроде «Да это фигня, а ну, взломай меня!», я подставлял для брута только один логин и скачанную где-то базу основных паролей :) Обычно все получалось и я заходил под его ником и стращал остальных. После нескольких подобных случаев уже никто не смеялся и половина чата бегала с криком «А-а-а-а-а» по кругу.
На форуме несколько десятков игроков начали живо обсуждать «взлом сайта», «слив базы» , «он продал моего Рональдо» и «мы все умрем». Администрация отбивалась как могла и не понимала что происходит, а так как я не скрывался, быстро вышла на мой основной ник и спросила «че за?». В тот момент я понял что это успех и начал глупо гордо играть в злобного хацкера, который способен уничтожить их игру. В ходе общения, за остановку своих деструктивных действий и помощи в устранении уязвимости я запросил аж… 100$. Да, это было забавно в тот момент и одновременно очень ново для меня :). После того как я назвал «цену» администрация ответила что-то вроде «утром стулья — вечером деньги» и намекнула что если уязвимость действительно будет — сразу заплатят. Но тут во мне проснулся ковбой Мальборо и я ответил: «Теперь мои услуги стоят 200$». Сейчас это выглядит дико, но в тот момент я действительно так сделал :).
В общем то, немного поразмыслив, я понял что надо идти сдаваться написать им про брутфорс и sql-инъекцию (которую я нашел в тот же вечер, но чуть позже). Сделав свое грязное дело я получил заветные 200$ на вебмани! Честно сказать, не ожидал, что они заплатят, но они отправили деньги с комментариями «ну ты, блин, шантажист :)». После этого я совсем обнаглел и через пару дней попросил у них игровой валюты (несколько друзей играли в эту игру и я хотел им помочь), администрация не отказала и засыпала меня как золотая антилопа Раджу :)
К слову сказать, сейчас данная игра чувствует себя очень неплохо, судя по статистике с их сайта, зарегистрировано в игре более 6 000 000 игроков.
История про сочинский сайт
Лет 5 назад у моего города был «основной» сайт, самый известный и посещаемый, он и сейчас есть, собственно, но конкурентов значительно больше. Зачем я начал проверять его на sql-инъекции — не знаю, но факт в том, что я нашел уязвимость в добавлении объявлений — чем и воспользовался. Удалось получить доступ к базе данных mysql 5 версии — список всех таблиц и полей, логин и хеш пароля от администратора форума и сайта, ну и подобные скучные вещи. Но в этот раз я решил что настало время спалиться проявить себя.
Узнав где находится офис данного сайта (а у них целый офис, штат сотрудников — все серьезно) я приехал на встречу к директору чтобы на месте показать им насколько я глуп что сам приехал уязвимыми они являются на самом деле. Гордо и уверенно я поведал директору телеканала сайта об их проблемах, даже показал в режиме «онлайн» процесс получения любых данных из их базы. После чего, он мне сказал следующее: «Ты в курсе что за текущий год мы уже двух таких посадили?». Он явно намекал мне на неправомерность моих действий. Хорошо что я не стал глупить, а пришел и рассказал — подумал я. В общем, начальник директор сайта спросил чего бы я хотел за помощь, а так как я очень-очень-очень скромный, то попросил лишь 3 000 рублей :). В белом конвертике мне была передана сумма и сказано «спрячь, чтобы сотрудники не видели», после чего я как заправский шпион вышел на улицу и был таков.
Конечно, суммы фигурирующие в статье достаточно смешные, но, прошу учесть что у меня не было цели «заработать» и все происходило достаточно спонтанно, кстати, подобных историй у меня много, но именно «получил вознаграждение» я в этих двух :)
Автор: Steely