ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу Что можно сделать, зная куки?
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Что можно сделать, зная куки?
  #1  
Старый 02.09.2005, 15:05
Аватар для *Van*
*Van*
Постоянный
Регистрация: 14.08.2005
Сообщений: 378
Провел на форуме:
670862

Репутация: 54
Отправить сообщение для *Van* с помощью ICQ
Question Что можно сделать, зная куки?
Порядком я помучился, сначала учась как спирать куки на пхпбб2, потом как их юзать чтоб заходить под чужим ником. Наконец-то у меня получилось! Респект вам всем огромный!
Но теперь хочется большего: например как узнать пароль, если ты зашёл под чужим именем. Именно узнать, а не сменить. В редактировании профиля пароль не высылается, там его можно только сменить, зная старый. Через функцию "Забыл пароль" я могу получить пароль, предварительно поставив в профиле своё мыло. Но пароль присылается новый! А мне нужен старый, потому что хочу ещё и асю чела поиметь и на других форумах! Что вы можете сказать по этому делу?
 
Ответить с цитированием

  #2  
Старый 02.09.2005, 16:17
Аватар для censored!
censored!
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258

Репутация: 648


По умолчанию
В куках хранится хэш пароля. Попробуй его подобрать: http://www.insidepro.com/rus/passwordspro.shtml
__________________
+ (это не крестик, это плюсик!)
__________________
 
Ответить с цитированием

  #3  
Старый 02.09.2005, 16:55
Аватар для Zadoxlik
Zadoxlik
Постоянный
Регистрация: 28.02.2005
Сообщений: 853
Провел на форуме:
3369632

Репутация: 749


По умолчанию
В некоторых случаях (в т.ч. на небезызвестных сервисах) в куках пароль хранится либо в чистом виде либо в шифрованом виде.

Когда пароль в чистом виде - то тут все ясно.
Когда в шифрованом - стоит попробовать проанализировать шифр с известным паролем (работает на очень примитивных). А иногда бывает так, что при авторизации с куками с шифрованым паролем - дешифрованный пароль заносится прямо в поле формы авторизации. Такая ситуация прослеживается на очень все нам (молчу на каком) известном форуме и на довольно известном почтовике (тоже молчу на каком) ).
 
Ответить с цитированием

  #4  
Старый 02.09.2005, 17:11
Аватар для Cr4sh
Cr4sh
Познающий
Регистрация: 25.08.2005
Сообщений: 57
Провел на форуме:
216363

Репутация: 76
Отправить сообщение для Cr4sh с помощью ICQ
По умолчанию
Цитата:
Сообщение от Zadoxlik  
В некоторых случаях (в т.ч. на небезызвестных сервисах) в куках пароль хранится либо в чистом виде либо в шифрованом виде.
Если быть точным, то это не пароль в зашифрованом виде, а хэш от него, сгенерированый по специальному необратимому алгоритму (разница огромная) В случее с IPB 2.x например, в куках храниЦЦа не пароль, а идентификатор сессии, который можно подстваить в свои кукисы и поиметь права админа на форуме (правда, в админку не попадёш)
 
Ответить с цитированием

  #5  
Старый 02.09.2005, 17:58
Аватар для Zadoxlik
Zadoxlik
Постоянный
Регистрация: 28.02.2005
Сообщений: 853
Провел на форуме:
3369632

Репутация: 749


По умолчанию
Перечитай пост и поймешь что я не про хеш, а шифр =) Или ты думаешь они брутят хеши перед тем как положить в поле формы чистый пароль?
 
Ответить с цитированием

  #6  
Старый 02.09.2005, 19:42
Аватар для *Van*
*Van*
Постоянный
Регистрация: 14.08.2005
Сообщений: 378
Провел на форуме:
670862

Репутация: 54
Отправить сообщение для *Van* с помощью ICQ
По умолчанию
хэш пароля хранится в phpbb2mysql_sid ?
И ещё: на форумах phpbb2 MD5 шифр?
 
Ответить с цитированием

  #7  
Старый 02.09.2005, 21:44
Аватар для *Van*
*Van*
Постоянный
Регистрация: 14.08.2005
Сообщений: 378
Провел на форуме:
670862

Репутация: 54
Отправить сообщение для *Van* с помощью ICQ
По умолчанию
Все, нашёл я где зашифрованный пароль хранится, и опытным путем понял что он зашифрован MD5. А что все-таки означает phpbb2mysql_sid? То что там не пароль, я уже понял...
 
Ответить с цитированием

  #8  
Старый 02.09.2005, 23:54
Аватар для max_pain89
max_pain89
Постоянный
Регистрация: 11.12.2004
Сообщений: 592
Провел на форуме:
2260903

Репутация: 345


По умолчанию
sid - это соответственно session_id бесполезный для хакера или ламера(как в твоем случае)
 
Ответить с цитированием

  #9  
Старый 03.09.2005, 00:28
Аватар для Cr4sh
Cr4sh
Познающий
Регистрация: 25.08.2005
Сообщений: 57
Провел на форуме:
216363

Репутация: 76
Отправить сообщение для Cr4sh с помощью ICQ
По умолчанию
Цитата:
Сообщение от Zadoxlik  
Перечитай пост и поймешь что я не про хеш, а шифр =) Или ты думаешь они брутят хеши перед тем как положить в поле формы чистый пароль?
Хм, что-то я не замечал, чтоб в пхпББ (в первом посте ведь именно о нем шла речь =)) в БД кроме хэшэй хранились еще и пароли зашифрованые по какому-нибуть обратимому алгоритму =)))
 
Ответить с цитированием

  #10  
Старый 03.09.2005, 08:00
Аватар для Zadoxlik
Zadoxlik
Постоянный
Регистрация: 28.02.2005
Сообщений: 853
Провел на форуме:
3369632

Репутация: 749


По умолчанию
Крэш, я просто так сказал вообще о куках =). Я опирался на название топика)
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Ru.phreak Faq silveran Электроника и Фрикинг 0 21.07.2005 10:20
Аудит аутентификации на Web-сайтах. Часть вторая k00p3r Чужие Статьи 0 13.06.2005 11:20
Что можно сделать в форуме Ipb 2.0.3. Имея пароль администратора? MDD Форумы 5 09.06.2005 11:59
Что можно сделать с ip адресом iRedX ICQ 1 01.04.2003 21:21



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ