|
Cookie + Хэш
Ребят, пытаюсь мыло увести через куки жертвы.
Выяснил, что при захождении в ящик создается кука с содержанием: 1164173004:7b75405371536d7d19050219091d011b0005044 f6a5d5e465e0101031b0100081f06415655485e5c415859165 8505d5b174345:1polpolpol@mail.ru: Если она есть, то автоматически заполняются поля логина и пароля, если ее удалить, то ничего заполнятся не будет. При каждом захождении число перед первым двоеточием разное, соответсвенно и хэш меняется. Что это за хэш такой, как это все расшифровывать? |
Первое число очень похоже на UNIX Timestamp, число секунд, прошедших с начала эры UNIX.
Перевести во время можно тут: http://darkcoders.net/forum/toolz.htm (Это будет 22.11.2006 08:23:24). Хеш - скорее всего просто уникальный хеш, не зависящий от пароля. |
А как Вы думаете, можно ли эти уведенные куки использовать, чтобы зайти на mail.ru без ввода пароля, т.е. чтобы сервер меня узнал, как жертву?
|
смотри видео по Xss на майле ру... там все наглядно...как раз для тебя
|
Да для этого существует программа The Proxomitron , качай http://www.proxomitron.info/files/download/ProxN45j.exe ...
|
А не проще юзать оперу или плагин к фф для редактинга кукисов?
|
И.Г. - Спасибо за совет. Все получилось.
Но есть одно НО. Вечером зашел по кукам жертвы на ее ящик - все нормально. Утром уже авторизация требуется. Что такое? Теперь естественным образом вытекает другой вопрос. Я могу захоходить, но как можно сам пароль узнать, если доступ к ящику есть? |
Ну походу сесия кончилась...
|
Цитата:
|
| Время: 10:43 |