Salve a tutti, sono qui per mostrarvi come sfruttare il bug "SSO", inizio con il dire che questo bug è presente in tutti gli HoloCMS ed è il BUG che usa Diesel o MikiOwna per scammare gli staff nei retro e spammare i loro.
Questo BUG non è stato trovato da DIESEL, ma è stato postato su un forum spagnolo/tedesco.
Perché rilasciarlo?
Perché ci sono troppe persone nel mondo dei RetroServer che si sentono superiori ad altre solo per aver trovato una guida su Internet,lo scopo di questa guida è infatti quello di far capire a queste persone che non sono nessuno, o almeno adesso non lo saranno più.
E' sempre possibile sfruttarlo?
No, perché ci sono alcuni Hotel che lo tengono già filtrato questo bug.
E' difficile sfruttare questo BUG?
Niente è difficile se ci si impegna.
..... beh, penso che possiamo iniziare.
Vi spiegherò prima di tutto come usarlo e successivamente come fixarlo,così da poter mettere finalmente fine a quei numerosi Scam,nonostante ci sia anche lo Staff Code perchè in questo Bug praticamente non serve a nulla.
COME UTILIZZARLO:
P.S. QUESTO BUG E' SFRUTTABILE SOLAMENTE TRAMITE FIREFOX 31.0,QUINDI NON USATE GOOGLE O ALTRE VERSIONI
DI FIREFOX. (Link alla fine del post)
P.S.2 SCARICARE IL COMPONENTE AGGIUNTIVO PER FIREFOX DI NOME 'Live HTTP Headers' (Link alla fine del post)
P.S.3 L'HOTEL NON DEVE USARE HADDO EMU,VISTO CHE L'SSO L'ABBIAMO FIXATO.
P.S.4 CONTROLLATE L'ESISTENZA DEL FILE /myhabbo/store.php nell'Hotel.
1) Trovare un Hotel che usa un Cms basato su HoloCms.
2) Registrarsi normalmente.
3) Controllare se ha la pagine 'La mia pagina',se non la ha,potete anche cambiare Hotel altrimenti cliccateci.
4) Una volta arrivati in quella pagina,cliccare il bottone 'Modifica' e successivamente cliccare 'Negozio'.
5) Adesso è il momento di usare il componente aggiuntivo installato prima. Cliccare 'Strumenti' in altro.
Se non vi appare 'Strumenti', fate click destro nella Barra di firefox e dopo clicca 'Barra dei menu'.
Successivamente cliccare 'Live HTTP Headers',come nello screen:
6)A questo punto viene la parte difficile,se quando aprite il componente ci sono codici,cliccare il bottone 'Clear'
per svuotarlo.
Adesso,tenendo aperto Live HTTP Headers,cliccare su una sezione qualsiasi del negozio,SOLO UNA MIRACCOMANDO.
Molto probabilemente in cima ai codici troverete /myhabbo/store.php?key=items. Perfetto,cliccatelo
e successivamente cliccare il bottone sotto 'Replay'. Vi apparirà una cosa del genere:
6) Bene,siamo giunti all'ultimo passaggio. Una volta aperta quella schermata,andate a vedere nel box sotto
'Send Post content ?'. Dovrete mettere un "-" davanti all'ultimo numero e infine un codice dopo.
Il codice in questione è:
PHP:Perfavore, Entra oppure Registrati per vedere i codici!
Quindi,il codice finale dovrà essere così:
Ok,adesso basterà cliccare il pulsante 'Replay'. Se l'hotel ha il bug in questione,vi apparirà una schermata del genere:
Perfetto,NON CHIUDETE QUELLA PAGINA, è arrivato il momento di usare il bug!
7)Andare nel client dell'Hotel che avete preso di mira,usare CTRL + U e copiare tutto il contenuto.
Adesso incollare il contenuto in una scheda vuota di Notepad ++ (O il notepad normale) e salvarlo con il nome
che preferite in locale (se usate IIS salvatelo su C:\inetpub\wwwroot,se usate xampp salvatelo su C:\xampp\htdocs).
Aprite il file salvato e trovare la stringa ' "sso.ticket" :' e sosituire il codice successivo con l'SSO dell'utente
che vogliamo scammare.
Esempio:
"sso.ticket" : "SSO-fsf543ds-HADDO-POWAH";
Se avete fatto tutto bene,basterà andare suPerfavore, Entra oppure Registrati per vedere i Link!e sarete dentro con il PG che avete scelto
di scammare!
P.S. Potete fare tutto quello che volete NEL CLIENT,infatti non potrete entrare per esempio nell'Housekeeping
o nelle altre funzioni nel CMS. Quando l'utente scammato entrerà nel client,voi crasherete,al contrario
se entrate quando lui è connesso,sarà lui a crashare.
COME FIXARLO:
1) Recarsi nel core.php
2) Trovare la funzione di nome 'FilterText'.
3) Sostituirla con il seguente codice:
PHP:Perfavore, Entra oppure Registrati per vedere i codici!
Download:
Firefox 31.0:Perfavore, Entra oppure Registrati per vedere i Link!
HTTP Live Headers:Perfavore, Entra oppure Registrati per vedere i Link!
Questa guida è stata rilasciata al solo scopo di far capire a tutti che Diesel non è assolutamente nessuno, ha copiato
una guida e basta.
- Impossibol & Raikas77
Guida molto seria e utile, c'è solo un problema, sono riuscito a scoprire l'sso ticket di tutti gli utenti di un retro, ho copiato il codice php del client del retro in questione, lo ho incollato in notepad++, ho modificato l'sso ticket con quello di un utente ed infine ho messo il file in xampp/htdocs, startato apache e mysql, vado su localhost/ilnomedelfileamiascelta.php ed esce una pagina bianca e non carica il client.. come posso fare? Grazie in anticipo.
