+15795905084----http://194.163.45.144/api/get_sms?key=32bc8eb5cef76734db75cd0dea7cc699----查号码有效期http://194.163.45.144/index/get_expiry?number=5795905084
+16837076975----http://194.163.45.144/api/get_sms?key=fb7c8b67edaa834a4f5b8c6088481cc4----查号码有效期http://194.163.45.144/index/get_expiry?number=6837076975
+12495365705----http://194.163.45.144/api/get_sms?key=fc576a9aed84147442636119be124274----查号码有效期http://194.163.45.144/index/get_expiry?number=2495365705
+12897109636----http://194.163.45.144/api/get_sms?key=3f44cafd0389b871dd41aec2b63a25a8----查号码有效期http://194.163.45.144/index/get_expiry?number=2897109636
+13547992671----http://194.163.45.144/api/get_sms?key=4b8f6879f74fcef5ef171be6f0b52156----查号码有效期http://194.163.45.144/index/get_expiry?number=3547992671
+15484775870----http://194.163.45.144/api/get_sms?key=9238e7c92d401adf47eb4b37e03aaac7----查号码有效期http://194.163.45.144/index/get_expiry?number=5484775870
+15488592617----http://194.163.45.144/api/get_sms?key=e13c5e1729698ca560d252bccf35e7c6----查号码有效期http://194.163.45.144/index/get_expiry?number=5488592617
送几个whatsapp号
777VVIP测试报告 @TGSEC分享.md
15.5 KB
今日分享五月份测试柬埔寨🇰🇭某博彩平台完整测试报告。
由于平台资金有限,提取400USDT
报告内有利用链和漏洞讲解。
核心漏洞成因:
未鉴权(Authentication)
- GET /api/game/payment-accounts — 匿名可访问
- POST /api/game/agent/register — 匿名可注册
未授权(Authorization)
- GET /api/game/agent/all-users 及全部 /admin/* 路由 — 登录了但没校验 role,agent 和 admin 权限等价
其余所有漏洞都是这两个根因的延伸:sessionToken 泄露、MD5 泄露、提款密码无验证,全是因为"能进来"之后没有任何访问控制拦着。
一句话:后端只检查"你登录了没",没检查"你是谁、能干什么"。
平台获取来源来自测绘引擎扫描。
@TGSEC 小国分享。
由于平台资金有限,提取400USDT
报告内有利用链和漏洞讲解。
核心漏洞成因:
- GET /api/game/payment-accounts — 匿名可访问
- POST /api/game/agent/register — 匿名可注册
未授权(Authorization)
- GET /api/game/agent/all-users 及全部 /admin/* 路由 — 登录了但没校验 role,agent 和 admin 权限等价
其余所有漏洞都是这两个根因的延伸:sessionToken 泄露、MD5 泄露、提款密码无验证,全是因为"能进来"之后没有任何访问控制拦着。
一句话:后端只检查"你登录了没",没检查"你是谁、能干什么"。
平台获取来源来自测绘引擎扫描。
@TGSEC 小国分享。
❤4👍1
TG SEC今日分享第二弹🖥
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
✅ 首先声明:本频道只致力于分享网络安全知识,以及为热爱网络安全爱好者提供优质信息平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”⚠️
附图如上,本次漏洞以修复,仅提供思路分享。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”
附图如上,本次漏洞以修复,仅提供思路分享。
此平台存在,任意用户可无限创建下级代理,以及任意调整下级用户反水百分比。
举例说明:用户A,创建用户B,用户A通过调整下级反水抓包请求,例如电子反水百分之1-2,此平台在请求中明文展示请求以及响应无加密,其中调整反水请求可自由修改,并且后端返回200,成功,并且把反水改为99999,正常为1。
那么通过如此修改,例如用户B,下注1U的电子,本应该获得0.01U的下级反水,修改后*99999。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
小国
@TGSEC 小国 @Godk 今日战绩🛒 成功拿下某号铺账号后台,提取全库账号以及用户数据信息,TGSEC致力于网络安全分析技术分享,小国以于漏洞出现第一时间联系对方,拒不配合。 出售号铺用户8000+高质量数据,账号凭证暂被打包📦
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
@TGSEC 今日分享🖥
🫥 TELEGRAM 顶级支付钱包被攻破,但是还好有火山哥 @BBAA 以及一系列资产背书,钱包安全无忧,但是安全无绝对,攻防无黑白,技术无罪。
如果你对安全感兴趣,TGSEC欢迎您的到来!
🎁 自动审核: @TGSRCJB18CmBot
小国评价:方阳只干大的!小国和TGSEC的含金量仍在上升。
关于 @OKPAY 被 @KOOYV 黑入接管全量商户出款300万美金左右的Hack。
如果你对安全感兴趣,TGSEC欢迎您的到来!
小国评价:方阳只干大的!小国和TGSEC的含金量仍在上升。
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👏1
在此之前, 先分享一个0day仓库包含几十个0day
包括但不限于firefox、7zip、docker、ffmpeg、php857等。
https://github.com/bikini/exploitarium
包括但不限于firefox、7zip、docker、ffmpeg、php857等。
https://github.com/bikini/exploitarium
❤3
Forwarded from Okpay News
OKPAY 公告
近期,OKPAY 监测到个别商户订单链路存在异常情况。技术团队已第一时间完成处理,并对相关链路进行了安全复核与加固。
经核查,本次异常未影响平台资产储备,未影响用户真实余额,未影响正常转账、收款、提现及商户结算。
针对外部个别传播的“平台发生 300 万 U 资金损失”等说法,经核查与事实不符。请大家以 OKPAY 官方频道及官方客服信息为准。
OKPAY 始终重视用户隐私、资产安全与服务稳定,也将继续坚持简单、私密、安全的产品理念,为用户提供稳定的加密资产转账、存储与数字红包服务。
目前 OKPAY 各项服务正常运行。如账户存在具体疑问,可联系官方客服:@okqb
OKPAY 在线,服务不打烊。
OKPAY 团队
近期,OKPAY 监测到个别商户订单链路存在异常情况。技术团队已第一时间完成处理,并对相关链路进行了安全复核与加固。
经核查,本次异常未影响平台资产储备,未影响用户真实余额,未影响正常转账、收款、提现及商户结算。
针对外部个别传播的“平台发生 300 万 U 资金损失”等说法,经核查与事实不符。请大家以 OKPAY 官方频道及官方客服信息为准。
OKPAY 始终重视用户隐私、资产安全与服务稳定,也将继续坚持简单、私密、安全的产品理念,为用户提供稳定的加密资产转账、存储与数字红包服务。
目前 OKPAY 各项服务正常运行。如账户存在具体疑问,可联系官方客服:@okqb
OKPAY 在线,服务不打烊。
OKPAY 团队
❤3👍3