Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   Куки от IPB 2.3.6 (https://forum.antichat.xyz/showthread.php?t=94404)

NewBHack 02.12.2008 01:38
Куки от IPB 2.3.6
 
Код:
<script>document.cookie="forum_read=a%3A1%3A%7Bi%3A2%3Bi%3A1228164997%3B%7D;%20rte-sidepanel=open;%20anonlogin=-1;%20vc=5;%20topicsread=a%3A1%3A%7Bi%3A1%3Bi%3A1228165472%3B%7D;%20coppa=0"</script>
Вот такой куки возращает IPB :( Снифером пользовался
bsSniffer...

Какая то фигня... Эксперимента ради, на локалке вмонтировал скрипт обращения к снифу в страницу... один фиг :(



Ребят, что может быть не так?

Меня смущает "nonlogin" хотя я залогинился...

NewBHack 02.12.2008 23:14
Поменял снифер и всё получилось :)

session_id=9afc395d7a8ea7c9f4f72a7bf7a532ff; ipb_stronghold=aca392b0aa7cc691fc28e0ced2e33c00; member_id=1; pass_hash=9e421735af303063f893dfc03b67226e; ipb-myass-div=189,1; forum_read=a:2:{i:14;i:0;i:9;i:1228174182;}; anonlogin=-1; coppa=0


Теперь вот тока чота с подстановкой не катит... Наверное ИПБ еще и айпи проверяет, потому что через оперу сую все данные что получил: session_ID, pass_hash,ipb_stronghold, member_id... Эффекта 0...
Пробую на одном айпишнике создать два юзера - на ура происходит подмена!

Может в админских куках есть еще что-то, что обязательно надо подменить???

NewBHack 03.12.2008 12:09
Я наверное зря бьюсь??? Подскажите, пожалуйста, знающие - реально ли это впринципе имея такие данные которые получил я, залогиниться под админом?

iddqd 03.12.2008 12:15
Сессия привязана к IP. Эта опция включена в последних версиях ипб по умолчанию.

NewBHack 03.12.2008 14:09
ппц :( ... кароч никак? или как то можно подсунуть ипб левый айпишник?

ТОчнее сформулирую вопрос... Как это сделать в Tamper Data? Потому что айпи как таковой там нигде не пробегает :( И можно ли это сделать, если сам выхожу через прокси.
Тренировался на 2ip.ru - может кто накидает тутор как сделать так чтоб 2ип.ру показал не мой айпи, а тот который захочу, юзая Tamper Data.
Но лучше канеш на каком нить IPB показать... :p На 2ип впринципе осилить мона.


Я думаю всем нубам тип мну будет полезно.
Спасибо.

NewBHack 04.12.2008 00:02
:( Скажите хотя бы реально ли это???

chekist 08.12.2008 18:59
Цитата:
Сообщение от NewBHack
:( Скажите хотя бы реально ли это???
нет :(

сделай яваскрипт который будет отсылать запросы от браузера админа в админку, к примеру запрос который будет делать админом каково нибудь юзера, с помощью хсс можно не только скомунизьдить куки

NewBHack 09.12.2008 14:40
О! Точно :)... Это клёвая мысль! Спасибо...

iddqd 09.12.2008 14:45
Советую посмотреть видео от Grey про WCPS, там через хсс идет заливка шелла.

NewBHack 09.12.2008 14:58
упс нашол... лень сцуко :) :) :) вот чтоб люди долго ни искали.

http://rapidshare.com/files/89037260/wcps_xss.rar.html

Но думаю с IPB такое не прокатит.


Время: 00:53
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице