Крокодил ВКонтакте - анализ багов приложения

Discussion in 'Социальные сети' started by mailbrush, 30 Mar 2010.

  1. StiXy24

    StiXy24 Member

    Joined:
    18 Dec 2009
    Messages:
    0
    Likes Received:
    6
    Reputations:
    0
    А по сути что от этого приложения7 Как я понимаю только понты.
    mailbrush, против не чего не имею... просто не понимаю почему подняли такое активное обсуждение... вопрос один, реальные деньги на этом поднять можно7 Прочитал мельком, понял тему так, что можно выделится среди других и на этом точка.
     
  2. Timofa

    Timofa New Member

    Joined:
    4 Jun 2009
    Messages:
    5
    Likes Received:
    3
    Reputations:
    0
    Заморочился парень ))) Эта игруля того не стоит.Я все это же в чарльз с ней делал.Плюс к тому и ручку себе сделал самую дорогую.Мелочь,а приятно )
     
  3. Assembler

    Assembler Elder - Старейшина

    Joined:
    1 Sep 2007
    Messages:
    173
    Likes Received:
    102
    Reputations:
    23
    Эта нет но при этом есть дофига приложений которые работают по тому же принципу... А это уже абсолютно другая тема. И я знаю как на этом реально можно заработать причем не мало...
     
  4. Assembler

    Assembler Elder - Старейшина

    Joined:
    1 Sep 2007
    Messages:
    173
    Likes Received:
    102
    Reputations:
    23
    И кстати маилбраш Ты говоришь исходняк разбирать. Как его выковырять то?
     
  5. ViLKaa

    ViLKaa Member

    Joined:
    24 Jul 2009
    Messages:
    41
    Likes Received:
    7
    Reputations:
    5
    в сурскоде страницы ищем 3456234yv823nf*ku4atfifr*324.ZIP
    качаем, меняем расширение на swf и декомпилим всякими SWF декомпилерами
     
  6. Neset

    Neset New Member

    Joined:
    30 Mar 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Такс...
    Покерок ...
    Просмотрел сниффер вобщем как такового в запросах нету ничего интересного как в кроко. Хотя может быть и есть просто я недопонимаю но походу sig гдето не там делаетс

    В декомпиляторе примерно из интересного нашел следующее тоже не очень понимаю может кто пошарестее посмотрит
    Насколько я понимаю это запрос на создание или присоеденение секрета

    m_psTransactionsLoader.addSignature(Application.instance.socialapi.CurrentApiNetworkSecretKey(), Preloader._instance.loaderInfo.parameters.vid);

    Щас еще поковыряю мб еще че интересное или сам секрет найду...

    Но одно я понял sig добавляется в запрос уже в готовом виде.... и пока хз я не знаю от чего зависит.

    Такс может быть это, только если покопатья там несколько видов запроса и каждый выглядить по разному вот один из них
    ________________________________

    variables["sig"] = generate_signature(request_params, m_apiNetwork.VIEWER_ID, m_apiNetwork.SECRET_KEY)
    Ага =) ищу дальше SECRET_KEY


    ________________________________

    Что то нашел но не уверен что то что надо почему их два??

    PHP:
    class VkApi extends Object implements CommonApi
    {
        private var 
    m_manager:SocialApiManager;
        private var 
    m_apiID:String "";
        private var 
    m_viewerID:String "";
        private static const 
    URL_SERVER_VK:String "http://api.vkontakte.ru/api.php";
        private static const 
    FIELDS_PROFILE:String "uid,first_name,last_name,sex,photo,city,bdate,photo_medium";
        private static const 
    GET_USERBALANCE:String "getUserBalance";
        private static const 
    GET_PROFILES:String "getProfiles";
        private static const [
    COLOR=Red]SECRET_KEY_631578:String "7zDvXcB421";[/COLOR]
        private static const 
    API_VERSION:String "2.0";
        private static const [
    COLOR=Red]SECRET_KEY_676982:String "2iStUcE4s0";[/COLOR]
        private static const 
    GET_CITIES:String "getCities";
        private static const 
    GET_APPFRIENDS:String "getAppFriends"
    _________________________________________________________________
    И еще кусочек кода с запросом баланса
    private function RequestGetUserBalance() :
    PHP:
    ApiRequestData
        
    {
            var 
    _loc_1:Object = {api_id:m_apiIDv:API_VERSIONmethod:GET_USERBALANCE};
            return new 
    ApiRequestData(_loc_1SocialApiManager.RQ_USERBALANCE);
        }
    // end function

        
    public function get SECRET_KEY() : String
        
    {
            var 
    _loc_1:String "";
            switch(
    m_apiID)
            {
                case 
    "676982":
                {
                    
    _loc_1 SECRET_KEY_676982;
                    break;
                }
                case 
    "631578":
                {
                    
    _loc_1 SECRET_KEY_631578;
                    break;
                }
                default:
                {
                    break;
                }
            }
            return 
    _loc_1;

    ************************************
    ИЛИ МОЖЕТ Я ЗРЯ ИПАЛ ГОЛОВУ И ВСЕ ТАКИ ВОТ ОНО
    private static const SKILL_CLUB_SECRET_KEY:String = "etostrashnoeslovo";
    **************************************
     
    #26 Neset, 31 Mar 2010
    Last edited: 31 Mar 2010
  7. Neset

    Neset New Member

    Joined:
    30 Mar 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Вобщем кто помозговитее помогите составить правильный запрос!!!! =) Маил браш может подумаешь чуток


    PS: Я ассемблер, меня тупо забанили =)
     
  8. Neset

    Neset New Member

    Joined:
    30 Mar 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Нашел приложение которое само все че надо генерирует бля ппц причем у паши дурова на страницее =)

    http://vkontakte.ru/app35569

    Щелкайте по скрину чтобы увеличить

    [​IMG]
     
    #28 Neset, 1 Apr 2010
    Last edited: 1 Apr 2010
  9. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    Neset улыбнул.
    Написал на javascript расшифратор word.
    PHP:
    <html>

    <
    head>

    <
    TITLE>Расшифровываем Слово из приложения "Крокодил".</TITLE>
    <
    SCRIPT>
    function 
    hack_begin()
    {
        
    input document.fromCharCode.input.value;
        
    massive input.split(",");
        
    0
        slovo 
    "";
        
    predel massive.length 5;
        while (
    predel){
                    
    nomer massive[i];        
                    
    nomer=nomer-i;
                    
    slovo slovo String.fromCharCode(massive[i]-i);
                    
    i++;    
                }
                
    document.fromCharCode.output.value slovo;
    }
    </SCRIPT>


    </HEAD>

    <BODY>
    <H1 ALIGN=CENTER>&nbsp;</H1>
    <H1 ALIGN=CENTER><font face="Verdana" size="2">Расшифровываем Слово из приложения <a href="http://kroko.vkontakte.ru">"Крокодил".</a></font></H1>
    <H1 ALIGN=CENTER><font face="Verdana" size="2">Вставьте в поле параметр "word"</font></H1>
    <p ALIGN=CENTER><font face="Verdana" size="2">Чтобы получить параметр "word" вам нужно использовать программу для перехвата пакетов.<br>Мы советуем Вам использовать программу Charles.<br>Под формой находится ссылка для скачивания.</font></p>
    <p ALIGN=CENTER>&nbsp;</p>

    <hr Size='1' color='#E6E6E6'/>
    <FORM NAME=fromCharCode>
    <p align="center">
    <TEXTAREA ROWS=4 COLS=30 NAME=input>"Word"_Вставлять_сюда!</TEXTAREA>
    <INPUT TYPE=Button VALUE="Расшифровать" onClick="hack_begin()">
    <TEXTAREA ROWS=4 COLS=30 NAME=output></TEXTAREA>
    </FORM>
    </b></font>
    </p> 
    </BODY></HTML>
     
  10. *uNkN0Wn*

    *uNkN0Wn* Member

    Joined:
    25 Mar 2009
    Messages:
    175
    Likes Received:
    92
    Reputations:
    11
    mailbrush если ты не против я напишу в твоей теме баг еще одного приложения. От создателей Крокодила. Не сильно полезное но все же может пригодится.
    Игра Абракадабра. (http://vkontakte.ru/app1830851)
    Заходим в приложение. Открываем HTTP Analyzer. В приложении нажимаем "Играть". В программе смотрим запрос http://188.93.17.214:8180/abbra/newAbbra?.... Видим это:
    [​IMG]
    Дальше жмем правой кнопкой мыши и выбираем кодировку UTF-8 (Первую) :
    [​IMG]
    После этого видим:
    [​IMG]
    Правильными словами являются те, после которых стоят цыфры. Эти цыфры означают положение букв, тоесть в каких они строках, столбцах.
     
  11. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    2 unknow
    старый баг.
    и еще чисто моё мнение юзай чарлиз
    response->xml
     
  12. Neset

    Neset New Member

    Joined:
    30 Mar 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    UP/ Тупо Маилбраш отпишись харошь тормозить.
     
  13. Neset

    Neset New Member

    Joined:
    30 Mar 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Бля народ, толи не помню тли хз кто предыдущее сообщение набрал. Походу меня хакнули =) Я кстати Маил браш пишу через пробел олени =)
     
  14. =CEMPER=

    =CEMPER= New Member

    Joined:
    4 Nov 2004
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    ...на длинну фиксанули?
     
  15. tinyM

    tinyM Member

    Joined:
    30 Dec 2008
    Messages:
    1
    Likes Received:
    98
    Reputations:
    0
    фиксанули...а жаль,я неуспел воспользоваться)
     
  16. T.i.p.

    T.i.p. New Member

    Joined:
    4 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    новый интерфей,может с ним и новые баги
     
  17. unl1m

    unl1m Banned

    Joined:
    25 Nov 2008
    Messages:
    0
    Likes Received:
    18
    Reputations:
    0
    не актуально уже вроде как
     
  18. bike

    bike Member

    Joined:
    26 Oct 2005
    Messages:
    37
    Likes Received:
    28
    Reputations:
    -8
    Актуально!Только что на длину заюзал.
     
  19. ruslan444

    ruslan444 New Member

    Joined:
    6 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Neset можешь оставить контакты??

    параметры какие допустим знаю
    но в каком порялке генерируется сиг??
    md5(param1=1param2=2VIEWER_ID=111SECRET_KEY) или (12111SECRET_KEY)
     
  20. ruslan444

    ruslan444 New Member

    Joined:
    6 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    подскажите брутфорс который будет подбирать пароли по типу:
    param1=1
    param1=1param2=2param3=3param4=4
    param1:1param2:2
    param2=21
    и т.д.
    пробывал в passwordsPro комбинированный брут - что то не то...