https://virgool.io/feed/@m_30583402 fa 2026-06-25 16:40:56 https://files.virgool.io/upload/users/1596192/avatar/5hZ2LN.jpeg?height=120&width=120 https://virgool.io/@m_30583402 https://virgool.io/@m_30583402/%D8%B3%D8%A7%D8%AF%D9%87-%D8%B4%D8%AF%D9%86-%D9%81%D8%B4%DB%8C%D9%86%DA%AF-%D8%A8%D8%A7-%DA%A9%D9%85%DA%A9-%D9%86%D8%B1%D9%85-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D8%A2%D9%BE-%D8%A7%D8%B3%D8%A7%D9%86-%D9%BE%D8%B1%D8%AF%D8%A7%D8%AE%D8%AA-qc58pqy6uf2k چند روز پیش توی توییتر این توییت رو دیدمhttps://twitter.com/ikamrany/status/1545011762457624578نظرمو جلب کرد یه فیشینگ ساده بود که ۹۹٪ خودتون باهاش مواجه شدین و خب چند روز پیشیکیشون رو دیدم.خب هرکی یکم اشنا باشه میدونه gen_signed یعنی رت یا هرچیز مشابهی.دادم یه ربات چک کنه ویروسه جهت اطمینان و نتیجه این شد که ویروسه.خب خواستم ببینم چیکار کرده این هکر، برنامه رو دی کامپایل کردم با یه سایت و بهم یه فایل زیپ داد ، داخلش یه grep زدم و نتیجه جالب بود :ادرس سایتش بود ، ولی چون .tk بود نرفتم سمت whois به جاش رفتم سراغ ایپی سرور تا ببینم از کجاست ؟سایتش روی سرور های ای ار بست هاست بود و راحت میشه از ارايه دهنده اطلاعات خریدار رو گرفت و بقیه موارد قانونی ، اما. من اینجا بیخیال نشدم گفتم فایل توی کانال رو هم بیام همین کار بکنم و دیدم فایل ها متفاوته!!سورس رو چک کردم و دیدم میبره درگاه پرداخت ملت (ملت نیست کلون شده بود ) ، خب نکته جالبش اینجاست.?کپچا عوض میشد ، و چک میشد !اگه واقعا کسی ادرس رو چک نکنه متوجه نمیشه که درگاه فیک هست یا واقعی .توی عنوان هم گفتم با کمک اپ و الان رسیدیم به کمک اپ به فیشر ها :دریافت رمز پویا به api های این نرم افزار متصل هست.هیچ لایه امنیتی نداره و فقط به راحتی ارسال یه درخواست post با curl هست .اگه متوجه نشدین یعنی اینکه فیشر وقتی روی دریافت رمز پویا میزنین داخل بک اند خودش به اپ درخواست میده برای رمز پویا و دیگه بقیه ماجرا ...نمیدونم صدام به اپ میرسه یا نه ولی ممنون میشم این پست رو به اشتراک بزارین .پوزش اگه بد نوشتم اولین پستم هست :)پ .ن : سورس نرم افزار دوم روی یک ارايه دهنده دیگه بود ، که دیگه داخل پست ذکر نکردماگه کسی از دوستان داخل اپ هست اگه میتونه با من تماس بگیره . mohammad javad seydi mohammad javad seydi Fri, 08 Jul 2022 17:29:14 +0430