Как это обойти:)

Discussion in 'Песочница' started by RAINUR, 31 Aug 2010.

  1. RAINUR

    RAINUR New Member

    Joined:
    24 May 2010
    Messages:
    151
    Likes Received:
    0
    Reputations:
    0
    Не знал как тему назвать, извините:)
    Я нашел php скрипт, который пополняет виртуальный счет пользователя, вот код:
    Code:
    <?php
include_once ('config/ini.php');
include_once ('config/function.php');
//include_once ('config/header2.php');
include_once ('config/connect.php');
include_once ('config/click-club.class.php');
$secret_key="gvoemtekla";

if($_POST['LMI_PREREQUEST']==1)
{
   
    echo "YES";
}
else
{
   $common_string = $_POST['LMI_PAYEE_PURSE'].$_POST['LMI_PAYMENT_AMOUNT'].$_POST['LMI_PAYMENT_NO'].$_POST['LMI_MODE'].$_POST['LMI_SYS_INVS_NO'].$_POST['LMI_SYS_TRANS_NO'].$_POST['LMI_SYS_TRANS_DATE'].$secret_key.$_POST['LMI_PAYER_PURSE'].$_POST['LMI_PAYER_WM'];
   $hash = strtoupper(md5($common_string));
      $hash_check = ($_POST['LMI_HASH'] != $hash);
   
   //file_put_contents('t.txt',"$hash \r\n $_POST[LMI_HASH] \r\n $hash_check");
   
   if($hash_check) exit;
   $summa = floatval($_POST['LMI_PAYMENT_AMOUNT']);

   $login = mysql_escape_string($_POST['login']);
   
   mysql_query("update `users` set money=`money`+'$summa' where `nick`='$login';");
   //file_put_contents('t.txt',"$hash \r\n $_POST[LMI_HASH] \r\n $hash_check\r\n".mysql_error()."\r\n".
   //"update `users` set money=`money`+'$summa' where `nick`='$login';");
   exit;
}
    Видать админ тестил и на файл t.txt записывались некоторые данные, вот они:
    Code:
    
94E756073E0062E249EE5880299F1831
 94E756073E0062E249EE5880299F1831 
update `users` set money=`money` +'5' where `nick`='user';
    Какие нужно ПОСТ запросы послать, что бы обойти это? :) если можно, то сразу в виде html кода:)
     
    #1 RAINUR, 31 Aug 2010
  2. -=Zhenek=-

    -=Zhenek=- Elder - Старейшина

    Joined:
    31 Dec 2007
    Messages:
    271
    Likes Received:
    77
    Reputations:
    1
    http://www.web-zona.ru/products/manual/board/92/26.html читай
    Первое что сказал Яндекс.

    А для чего тебе это нужно,увы только догадываюсь.. Опиши подробнее проект, какая CMS
     
    #2 -=Zhenek=-, 31 Aug 2010
  3. RAINUR

    RAINUR New Member

    Joined:
    24 May 2010
    Messages:
    151
    Likes Received:
    0
    Reputations:
    0
    Объясню для чего. Сумел достать php код, как видно webmoney посылал запрос на пополнение виртуального счета пользователя на сайте. Сайт сделан не на пабличном кмс, самописный. Кто может объяснить, какие запросы послать, что бы пополнить счет пользователю, которому я хочу:)
     
    #3 RAINUR, 31 Aug 2010
  4. Gifts

    Gifts Green member

    Joined:
    25 Apr 2008
    Messages:
    2,494
    Likes Received:
    807
    Reputations:
    614
    RAINUR Передать в пост запросе на этот скрипт строку:

    LMI_HASH=0214aadf8980ef980828d084e534a0ba&LMI_PAYMENT_AMOUNT=100&login=твой_логин
     
    _________________________
    #4 Gifts, 31 Aug 2010
  5. RAINUR

    RAINUR New Member

    Joined:
    24 May 2010
    Messages:
    151
    Likes Received:
    0
    Reputations:
    0
    Нет. :( не получилось. Сделал html форму. Попробовал, не получилось.
     
    #5 RAINUR, 31 Aug 2010
  6. Sajeys

    Sajeys Banned

    Joined:
    24 Aug 2010
    Messages:
    206
    Likes Received:
    35
    Reputations:
    5
    Написал тебе в ПМ что и как.. попробуй-отпишись.
     
    #6 Sajeys, 8 Sep 2010
  7. RAINUR

    RAINUR New Member

    Joined:
    24 May 2010
    Messages:
    151
    Likes Received:
    0
    Reputations:
    0
    ПМ. Это куда? :) если в приват имеешь ввиду, то мне ничего не приходило:)
     
    #7 RAINUR, 11 Sep 2010
(You must log in or sign up to post here.)