HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости Mail-сервис
Перезагрузить страницу Cookie + Хэш
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Cookie + Хэш
  #1  
Старый 22.11.2006, 09:32
Makes
Познающий
Регистрация: 21.11.2006
Сообщений: 30
С нами: 10247373

Репутация: -1
По умолчанию Cookie + Хэш
Ребят, пытаюсь мыло увести через куки жертвы.

Выяснил, что при захождении в ящик создается кука с содержанием:

1164173004:7b75405371536d7d19050219091d011b0005044 f6a5d5e465e0101031b0100081f06415655485e5c415859165 8505d5b174345:1polpolpol@mail.ru:

Если она есть, то автоматически заполняются поля логина и пароля, если ее удалить, то ничего заполнятся не будет.

При каждом захождении число перед первым двоеточием разное, соответсвенно и хэш меняется.

Что это за хэш такой, как это все расшифровывать?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 22.11.2006, 09:44
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
С нами: 10721066

Репутация: 4360


По умолчанию
Первое число очень похоже на UNIX Timestamp, число секунд, прошедших с начала эры UNIX.
Перевести во время можно тут: http://darkcoders.net/forum/toolz.htm
(Это будет 22.11.2006 08:23:24).
Хеш - скорее всего просто уникальный хеш, не зависящий от пароля.
 
Ответить с цитированием

  #3  
Старый 22.11.2006, 21:42
Makes
Познающий
Регистрация: 21.11.2006
Сообщений: 30
С нами: 10247373

Репутация: -1
По умолчанию
А как Вы думаете, можно ли эти уведенные куки использовать, чтобы зайти на mail.ru без ввода пароля, т.е. чтобы сервер меня узнал, как жертву?
 
Ответить с цитированием

  #4  
Старый 22.11.2006, 21:49
И.Г.
Постоянный
Регистрация: 29.08.2006
Сообщений: 752
С нами: 10368954

Репутация: 1178


По умолчанию
смотри видео по Xss на майле ру... там все наглядно...как раз для тебя
 
Ответить с цитированием

  #5  
Старый 22.11.2006, 23:23
zl0ba
Banned
Регистрация: 10.10.2006
Сообщений: 596
С нами: 10307906

Репутация: 1365


По умолчанию
Да для этого существует программа The Proxomitron , качай http://www.proxomitron.info/files/download/ProxN45j.exe ...
 
Ответить с цитированием

  #6  
Старый 22.11.2006, 23:27
_Great_
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
С нами: 10721066

Репутация: 4360


По умолчанию
А не проще юзать оперу или плагин к фф для редактинга кукисов?
 
Ответить с цитированием

  #7  
Старый 23.11.2006, 07:42
Makes
Познающий
Регистрация: 21.11.2006
Сообщений: 30
С нами: 10247373

Репутация: -1
По умолчанию
И.Г. - Спасибо за совет. Все получилось.
Но есть одно НО. Вечером зашел по кукам жертвы на ее ящик - все нормально. Утром уже авторизация требуется. Что такое?

Теперь естественным образом вытекает другой вопрос. Я могу захоходить, но как можно сам пароль узнать, если доступ к ящику есть?
 
Ответить с цитированием

  #8  
Старый 23.11.2006, 12:52
zl0ba
Banned
Регистрация: 10.10.2006
Сообщений: 596
С нами: 10307906

Репутация: 1365


По умолчанию
Ну походу сесия кончилась...
 
Ответить с цитированием

  #9  
Старый 23.11.2006, 15:18
WEED
Познающий
Регистрация: 28.03.2006
Сообщений: 90
С нами: 10590038

Репутация: 25
По умолчанию
Цитата:
Я могу захоходить, но как можно сам пароль узнать, если доступ к ящику есть?
врятли ты его сможешь узнать....
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Программа для поиска хэш коллизий алгоритма Md5 Utochka PHP 2 30.04.2008 01:23
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23
Cookies Болталка 9 11.01.2004 03:43



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.