Я фрилансер, работаю над разными вещами, от разработки до системного администрирования и тестирования, и очень заинтересован во всем, что связано с технологиями. Несколько лет назад ко мне обратился один из моих соотечественников на одной из внештатных платформ с просьбой помочь в извлечении данных. После небольшого обсуждения, задача была в основном MySQL Injection, выкапывающим некоторую информацию о паре пользователей из некоторого домена. Сайт выглядел наивно просто, почему бы мне не попробовать. Незначительная незаконная вещь, ничего существенного. Мне нравится вызов. Парень предложил около 500 долларов, еще один стимул, быстрые и легкие деньги.
Мы перешли от фриланс-платформы к анонимному чату, чтобы мы могли говорить более конфиденциально, более свободно, обмениваться информацией и организовывать варианты оплаты. Он указал доменное имя и спросил, могу ли я извлечь несколько файлов PHP (administrator.php, configuraiton.php, catalog.php, modules.php, Customers.php, crypt.php). Ему, видимо, удалось найти некоторых «администраторов», но пароли были зашифрованы. Идея заключалась в том, чтобы получить доступ к заказам через панель администратора. Хотя он может быть расшифрован, просто получив эти файлы PHP. Теперь я знаю, с кем имею дело. Я взял всю информацию, которую он мог предоставить о цели, взял мой ноутбук, карту Wi-Fi и направился в удаленное местоположение с ранее взломанной точкой доступа. Я не хотел терять слишком много времени с этим, поэтому я немедленно обратился к SQLi Dumper & sqlmap. Домен, которым он пользовался, полагался на другой сервер MySQL (без прямого доступа). Получить информацию о сервере? Cid = 11 или 1 = [t] и 1 = 1, и мы получили данные, которые у него уже были. Хорошо, дальше SQLMap предоставил около 131 таблицы, поэтому не такой маленький, как говорил парень. С этим обновлением парень попросил предоставить админ, файлы администратора и таблицы заказов, полный контент. Хм, это серьезный скачок от "нескольких пользователей", но хорошо, я уже там, ничего не потеряю.
Таблицы admin & admin_files были небольшими, но в заказах было около 82 тыс. Записей с 80 столбцами. Я предоставил admin & admin_files согласно запросу, и парень немедленно заплатил определенную сумму. Далее заказывается стол. Извлечение шло медленно, извлечение поля за полем через медленный WiFi, это занимало много времени. Простой расчет дал оценку 250 дней. Черт. Я не хотел оптимизировать запросы и переходить к ручному режиму, поэтому я решил исключить ненужные поля. Вещи начали разворачиваться намного быстрее. Наконец я проверил, что было сброшено. Было много «стандартных» полей в заказах и одна чертова вещь, которую я не ожидал и не заметил сразу. Черт, номера кредитных карт. Из 80 полей я никогда не замечал префикс cc на некоторых из них. Номер, выпуск, тип, владелец, ccv, все было там, современные карты, незашифрованные. Мне это не нужно. Слишком рискованно заниматься публично (подключаться через внештатные платформы) к чему-то такого масштаба. Более того, я сделал это даром. Около 500 долларов, когда реальная стоимость этих кредитных карт в темной сети может достигать 200 тысяч долларов (в то время).
Я был очень зол на себя за то, что не рассматривал и проверял вещи более тщательно, и за парня за то, что он не объяснил, какова была конечная цель. Теперь началась паранойя. Кто он, насколько он заслуживал доверия, насколько тщательно я проверил этого парня, насколько я глубоко, как уйти от всего этого. Было слишком поздно, дело было сделано. В конце концов я решил пойти наполовину правдивой историей, отрицая, что я знал, что это значит - жаловаться на риск в сравнении с выплатами, внезапно заканчивая наше сотрудничество. Я думаю, что мне удалось передать ему некоторую паранойю, он не возражал. Не берите работу из общедоступных профилей (фриланс-платформ, социальных сетей и т. Д.), Независимо от того, насколько они просты, используйте темные веб-профили, безопасные соединения и способы оплаты. Не оставляйте ничего на волю случая.