Tuto Ajouter Paysafecard sur Prometheus

[Swarzox]

Bonjour à tous, avant toute chose mon module n'est pas 100% automatique car Paysafecard ne fournit pas d'API permettant la vérification des cartes cependant il est ergonomique, rapide, professionnel et très simple d'utilisation que ça soit pour vous et vos joueurs.

Prérequis :

- 1 site web avec prometheus installé dessus avec un accès ftp à ce dernier
- Les crédits doivent être activés sur votre prometheus
- 1 serveur mysql avec accès (phpmyadmin)
- Mon pack "Prometheus Paysafecard" disponible ici : https://www.dropbox.com/s/490i8ryrz696197/Prometheus Paysafecard by Swarzox 1.0.rar?dl=0
Sachez que dans ce tutoriel je prend en compte le fait que votre prometheus est déjà installé, configuré et fonctionne normalement. Si vous ne disposez pas de prometheus vous pouvez l'acheter ici : https://scriptfodder.com/scripts/view/565/prometheus-a-gmod-donation-system

Côté joueur :

Le système est très simple pour le joueur, il a juste à rentrer son code et à attendre j'ai mis au point une sécurité solide anti spam/flood afin d'éviter tout abus de la part du joueur.

Côté administrateur, un panel de gestion de chaque paysafecard, accessible si on a la permission "transactions" :

Vous vérifierez de votre côté si la paysafecard est correcte ou non, vous pourrez ainsi la valider :

Ou la refuser :

Il y a également l'information de chaque paysafecard validée pour éviter tout abus :

Il y a également dans les logs chaque actions effectuées sur les paysafecard.

INSTALLATION :

1. Base de donnée

1 - Rendez-vous sur votre espace phpmyadmin sur lequel vous avez les fichiers sql de prometheus installés, si vous ne vous en souvenez plus ils sont indiqués dans le fichier "config.php" de prometheus web :

2- Une fois connecté, vous irez dans votre base de donnée prometheus puis dans la navbar vous cliquerez sur "Importer"

3- Puis vous glissez simplement le fichier paysafecard.sql et cliquez sur "Exécuter"

2. Installation du script

1 - Dans le fichier config.php qui se trouve à la racine vous devez rajouter ceci :

// Mettez sur false si vous souhaitez désactiver le module paysafecard ou sur true si vous souhaitez l'activer
$paysafecard = true;

Vous pourrez à tout moment désactiver mon module en remplacement le "true" par "false"

2 - Vous remplacez et ajoutez les fichiers de mon pack dans votre FTP :

Fichiers à remplacer :
/store.php
/pages/admin/navigation.php
/pages/store/credits.php

Fichiers à ajouter :

/pages/admin/paysafecard.php
/pages/store/paysafecard.php
/inc/ajax/psc.php

Voilà, n'hésitez pas à me faire vos retours, si ça marche bien ou si vous avez d'éventuelles erreurs. Je compte faire des mises à jour assez régulières si vous avez des idées pour améliorer le module n'hésitez surtout pas

 

[Deadman69330]

Est-ce qu'il est compatible avec le tuto pour ajouter Starpass ?

 

[Swarzox]

Est-ce qu'il est compatible avec le tuto pour ajouter Starpass ?

Je vais faire 2 - 3 modifs vite fait pour le rendre compatible avec starpass

 

[Swarzox]

Pour ceux qui veulent utiliser paysafecard et starpass : https://www.dropbox.com/s/4hvqx71ne0jmt9s/starpass et psc.rar?dl=0

les 2 fichiers à remplacer :
../store.php
../pages/store/credits.php

 

[Makss]

$db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} ");

 

[Swarzox]

$db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} ");

Regarde tout le code avant tu peux envoyer cette requête que si t'as une certaine permission

 

[Makss]

Regarde tout le code avant tu peux envoyer cette requête que si t'as une certaine permission

Oui j'ai remarqué, mais un fondateur pas avisé pourrait donner cette permissions à quelqu'un et alors il ferait n'importe quoi avec la base de donnée

 

[Swarzox]

Oui j'ai remarqué, mais un fondateur pas avisé pourrait donner cette permissions à quelqu'un et alors il ferait n'importe quoi avec la base de donnée

Côté administrateur, un panel de gestion de chaque paysafecard, accessible si on a la permission "transactions" :

Et si le fondateur donne la permission "transactions" à une mauvaise personne (ce qui arrive normalement jamais) il a simplement accès à cette requête qui peut juste supprimer des codes paysafecard + les logs permettent de voir si justement un administrateur a utilisé cette requête pour supprimer un code

 

[Makss]

Et si le fondateur donne la permission "transactions" à une mauvaise personne (ce qui arrive normalement jamais) il a simplement accès à cette requête qui peut juste supprimer des codes paysafecard - ARRETE D'EDITER TES MESSAGES QUAND J'ECRIS

Normalement oui,
Mais tu exécute une requête SQL avec le paramètre $_POST['id'] dedans sans vérifier que ce dernier est un nombre, on peux donc faire une SQLi avec :
1; DROP TABLE paysafecard

 

[Swarzox]

non tu peux pas essaie par toi même tu verras

 

[Makss]

J'ai pas Prometheus donc je peux pas tester complètement, par contre j'ai testé juste le {$_POST['id']}

 

[Keeta]

J'ai pas Prometheus donc je peux pas tester complètement, par contre j'ai testé juste le {$_POST['id']}

Bah RIP la méchante injection cépasbo

 

[Swarzox]

J'ai pas Prometheus donc je peux pas tester complètement, par contre j'ai testé juste le {$_POST['id']}

Sauf que dans mon code ça marche pas du tout comme ça c'est pas aussi simple, toi tu passes directement par le lien ce qui n'est pas possible avec le code il faudrait que l'admin s'amuse à forger une requête http à l'aide d'outils comme curl ou wget et même encore là y a d'autre vérifications + comme je te l'ai dit avant il y a un système de login et de permission avant que l'admin puisse tenter de s'auto hacker

 

[Makss]

Sauf que dans mon code ça marche pas du tout comme ça c'est pas aussi simple, toi tu passes directement par le lien ce qui n'est pas possible avec le code il faudrait que l'admin s'amuse à forger une requête http à l'aide d'outils comme curl ou wget et même encore là y a d'autre vérifications

<?php
SESSION_START();
$page = 'ajax';
include('../functions.php');
if(prometheus::loggedin()) { $j = $_SESSION['uid']; if(!isset($_SESSION['already_reported_p'])){ $_SESSION['already_reported_p'] = false; } if(empty($_POST['id'])){ } if (permissions::has("transactions")){ $action = $_POST['action']; if($action == "delete"){ // === > == $db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} "); prometheus::log('Suppression de la paysafecard : ' . $_POST['id'], $j, 1); }

Je vois aucun code pour empêcher le chargement direct
Si tu penses qu'on est obligé de passer par curl / wget pour accéder aux paramètre POST :
https://addons.mozilla.org/fr/firefox/addon/hackbartool/?src=search

comme je te l'ai dit avant il y a un système de login et de permission avant que l'admin puisse tenter de s'auto hacker

Normalement avoir cette permission ( dans ton code ) permet seulement de retirer les codes PaySafeCard et d'ajouter de la monnaie mais au final on peux supprimer toute la base de donnée

 

[Swarzox]

Y a que un groupe de permission de base dans prometheus avec lequel on peut tout faire hein : https://prntscr.com/jgzaz7 donc en gros y a que les fondateurs qui ont les permissions

+ Essaie de faire tes requêtes pour supprimer la bdd avec prometheus en entier + mon module tu verras que tu pourras pas et même si on pouvait ça reste cocasse un fondateur qui veut supprimer sa bdd

 

[Swarzox]

if(prometheus::loggedin()) { // besoin du cookie PHPSESSID // on peux donc faire un truc compliqué ou passer par // Firefox / Chrome / Autre

J'ai ri

if(empty($_POST['id'])){ // de toute façon id n'est pas vide vu qu'on a notre injection // j'enlève cette section inutile du coup }

Justement ça nous signale si un malin comme toi veut essayer d’accéder directement au lien pour faire des carabistouilles (même si ça mènera à rien)

Suite du code ?

 

[Makss]

J'ai ri

En effet la variable $_SESSION ( qui est utilisé dans prometheus::loggedin() ) est initialisé en fonction du cookie client PHPSESSID

Je pense que tu n'as toujours pas compris :
On peux faire une injection SQL, ce qui touche donc TOUTE la base de donnée, en ayant JUSTE la permission transactions sur Prometheus

Suite du code ?

 elseif($action == "add"){ } else { die("Erreur, action non déterminée"); }
} else { die("Vous devez être connecté");
}

Bref pour le régler y'a juste à faire un if, je vois pas trop pourquoi tu veux autant d'explication sur quelque chose d'aussi évident

 

[Keeta]

Bref pour le régler y'a juste à faire un if

Comme ça ?

 if($action == "delete"){ if (!is_numeric($_POST['id'])) {die();} $db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} "); prometheus::log('Suppression de la paysafecard : ' . $_POST['id'], $j, 1); }

 

[Makss]

Comme ça ?

 if($action == "delete"){ if (!is_numeric($_POST['id'])) {die();} $db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} "); prometheus::log('Suppression de la paysafecard : ' . $_POST['id'], $j, 1); }

Chhhht il ne fallait pas lui dire !

 

[cherchehackeur.com]

Chhhht il ne fallait pas lui dire !

Tu peux pas l'exploiter dans tous les cas regarde les fonctions include de prometheus un peu jean-jecroissavoircoder

Comme ça ?

 if($action == "delete"){ if (!is_numeric($_POST['id'])) {die();} $db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} "); prometheus::log('Suppression de la paysafecard : ' . $_POST['id'], $j, 1); }

Inutile c'est pas exploitable il veut juste chercher la petite bête pour montrer que c'est le bestcoder2018 regarde la fonction db execute de prometheus

 

[Keeta]

Tu peux pas l'exploiter dans tous les cas regarde les fonctions include de prometheus un peu jean-jecroissavoircoder

Il ta donner un surnom c'est plus mignon ^^

 

[Makss]

Inutile c'est pas exploitable il veut juste chercher la petite bête pour montrer que c'est le bestcoder2018 regarde la fonction db execute de prometheus

Sauf que la fonction execute de Prometheus prends en argument un array des paramètres de la requête SQL, dans ce code là

$db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} ");

$_POST['id'] est intégré directement à la requete

 

[Keeta]

Sauf que la fonction execute de Prometheus prends en argument un array des paramètres de la requête SQL, dans ce code là

$db->execute("DELETE FROM paysafecard WHERE code = {$_POST['id']} ");

$_POST['id'] est intégré directement à la requete

Laisse tomber le seul truc qu'il sait faire c'est réagir avec sa réaction "Disagree" x) cétout

 

[Snk]

L'intention initiale est bonne mais attention en effet à la sécurité ;-)

Quand il s'agit d'argent, il faut toujours faire très attention !

 

[Membre supprimé 131193]

lien mort...

 

[ZarosOVH]

lien mort...

Les compétences du mec aussi

Go mp le grand @Makss, contre 1 BTC il peu te faire un truc correcte

 

[Membre supprimé 131193]

Les compétences du mec aussi

Go mp le grand @Makss, contre 1 BTC il peu te faire un truc correcte

1 btc c'est un peu cher

 

[ZarosOVH]

1 btc c'est un peu cher

Négocie avec lui mais le talent n’a pas de prix voyons

 

[Makss]

1 btc c'est un peu cher

Vu que t'es sympa je te fais une promo de 50%

 

[Membre supprimé 131193]

Vu que t'es sympa je te fais une promo de 50%

100%?

 

[HumLeJusDorange]

Lien mort @Swarzox

 

[BlacKBoss57]

Lien mort @Swarzox

 

[Neptune2]

Vu que t'es sympa je te fais une promo de 50%

Tu pourrais nous donner une solution pour fixer le patch après avoir expliqué comment l'exploité. Merci

 

[ZarosOVH]

Tu pourrais nous donner une solution pour fixer le patch après avoir expliqué comment l'exploité. Merci

Oui bien sûr ça fera 1 btc

 

[HumLeJusDorange]

En faite c'est bon j'ai réussi à créer mon module.. C'est tellement simple...

 

[Lescaro]

Cant download the Modul

 

[TyKoz74]

Lien mort

 

[Gariox28]

Lien stp ?

 

[Offshorp]

Lien stp ?

La personne qui a créé le post est inactif comme tu peux le voir aux commentaires

 

[J7gaming]

Le lien du pack ne fonctionne plus

 

[BlacKBoss57]

up

 

[ZarosOVH]

Le lien du pack ne fonctionne plus

nan jure ? gg mec personne avais remarqué .... ho wait

lien mort...

Lien mort @Swarzox

Cant download the Modul

Lien mort

Lien stp ?

Ca fais assez de message nan ?

 

[TyKoz74]

nan jure ? gg mec personne avais remarqué .... ho wait








Ca fais assez de message nan ?

Lien mort

 

[ZarosOVH]

Lien mort

yes

 

[NoaGamingFR]

Est-ce qu'il est compatible avec le tuto pour ajouter Starpass ?

Peut être que tu un new lien/l'archive pour ceux qui en ont besoin x)

 

[KATTIX]

Peut être que tu un new lien/l'archive pour ceux qui en ont besoin x)

AHHHH UN NOUVEAU LIEN VITEEEEE!!!u

 

[NoaGamingFR]

AHHHH UN NOUVEAU LIEN VITEEEEE!!!u

Je sais pas s'il n'as un lien ^^'

 

[Deadman69330]

Peut être que tu un new lien/l'archive pour ceux qui en ont besoin x)

non :x ça fait 1 an quand même xD

 

[NoaGamingFR]

non :x ça fait 1 an quand même xD

Ont sait jamais hein mon dossier téléchargement contient 695 elements, et j'en delete souvent mais bon ^^'

 

[MineProdZ]

J'en ai vraiment besoin de ce module, dommage que le lien ne fonctionne plus ...