ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
13.04.2013, 06:43
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Можно ли как-то через веб-шелл ходить по удаленным ресурсам винды типа \\10.32.0.236?
|
|
|
13.04.2013, 11:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
728
Репутация:
0
|
|
Сообщение от BigBear
BigBear said:
второй вариант пробовал?
да не чего даже пробовать этот символ "_" не должен присутствовать в запросе.
надо както зашифровать названия таблицы
|
|
|
|
13.04.2013, 18:58
|
|
Guest
Сообщений: n/a
Провел на форуме:
62120
Репутация:
0
|
|
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?
|
|
|
|
13.04.2013, 20:34
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
Провел на форуме:
1585404
Репутация:
564
|
|
Сообщение от попугай
попугай said:
Можно ли как-то через веб-шелл ходить по удаленным ресурсам винды типа \\10.32.0.236?
можно через гейт воланда тыц
__________________
Никогда не бойся делать то, что ты не умеешь. Помни, ковчег был построен любителем. "Титаник" - проффесионалами.
|
|
|
|
13.04.2013, 22:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
6578
Репутация:
-7
|
|
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести
скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело? |
|
|
|
13.04.2013, 22:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
344922
Репутация:
75
|
|
Сообщение от not_bad
not_bad said:
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?
может быть и так и так, все по рзному скрипты пишут
Сообщение от vova1609
vova1609 said:
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести
скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело? нет нету
|
|
|
|
14.04.2013, 01:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
62120
Репутация:
0
|
|
Сообщение от qaz
qaz said:
может быть и так и так, все по разному скрипты пишут
А поподробнее можно пожалуйста?
|
|
|
|
14.04.2013, 06:27
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268
Репутация:
0
|
|
Сообщение от vova1609
vova1609 said:
Нашел пассивную XSS уязвимость в форме регистрации, то есть ввести
скрипт выпоняется. Вся проблема в том что нельзя из этого сделать ссылку и кинуть админу чтобы забрать его куки. Есть еще другие методы чтобы раскрутить это дело? Можно попробовать проверить наличие CSRF в форме, если она отображается для залогиненых пользователей.
|
|
|
|
14.04.2013, 13:53
|
|
Guest
Сообщений: n/a
Провел на форуме:
62120
Репутация:
0
|
|
Сообщение от not_bad
not_bad said:
Не смотря на количество выкуреных мануалов по кукам, остались у меня еще некоторые вопросы которые хотел бы уточнить.
1) Первый и самый главный: хранится всетаки или нет в кукисах пароль? Одни говорят одно другие другое. Как я понял он в них может хранится в зашифрованном виде и раньше так и было в основном, сейчас же используется идентификатор сессии а сам пароль передается только при авторизации. Поправьте если что не так.
2) Как влияет смена ип на сессию? Насколько я понял если стоит привязка к ип то выкинет обратно на страницу авторизации если заходиш с другого компа?
3) Что будет если ты допустим перехватил постоянные куки или куки которым жить отведено долго достаточно, но юзер авторизовался заново? Перехваченые куки становятся бесполезными и принимать их уже не будет?
4) Можно ли зайти одновременно с 2х компов с одним куки если ип один и тот же (компы одной сети), и если ип разный?
Хотябы 3 и 4 вопрос поясните плз. Если может быть по разному то как узнать как конкретно на данном сайте делается? Эта информация заложена в самих куках или только на самом сайте? Чтобы не попасть в ситуацию что перехватил куки а через день они уже не работают. Спасибо.
|
|
|
|
14.04.2013, 22:24
|
|
Guest
Сообщений: n/a
Провел на форуме:
5147
Репутация:
0
|
|
Сообщение от not_bad
not_bad said:
Хотябы 3 и 4 вопрос поясните плз. Если может быть по разному то как узнать как конкретно на данном сайте делается? Эта информация заложена в самих куках или только на самом сайте? Чтобы не попасть в ситуацию что перехватил куки а через день они уже не работают. Спасибо.
берешь и проверяешь. все зависит от того как устроен сам двиг.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид