Есть sid в phpBB что делать?

Discussion in 'Песочница' started by neT9, 17 May 2007.

  1. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Вот такую сессию словил сниффер.
    sid=8a71cf8345fe53c6105297ddfe2afe3c
    Захожу в куки вижу
    site.com FALSE / FALSE 1210958145 phpbb2mysql_data a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%22%22%3Bs%3A6%3A%22userid%22%3Bs%3A2%3A%2245%22%3B%7D


    Я веть могу сделать подмену и зайти под чужим аком? Но как что-то как-то зашифровано паходу.

    На ачате все пере искал нечего не нашол, сильно не пинайте если гдето уже разжовывалось. ;)
     
    #1 neT9, 17 May 2007
  2. maxster

    maxster Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    188
    Likes Received:
    88
    Reputations:
    -7
    никак сид - это сесион ид, тоесть это не пасс, а просто ид, если бы это было ид админской сессии, можно было бы зайти в админку
     
    #2 maxster, 18 May 2007
  3. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    и то, если сессия еще не закончилась, так?
     
    #3 Piflit, 18 May 2007
    1 person likes this.
  4. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    ну так то оно так но я же поидее могу зайти и под обычным пользователем чей сид мне пришол, в течении времени его жизни (sid ессно)
     
    #4 neT9, 18 May 2007
  5. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    вот именно, а время жизни сессии админа походу давно истекло, только если ты не сниффаешь его в реальном времени
     
    #5 Piflit, 18 May 2007
    1 person likes this.
  6. maxster

    maxster Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    188
    Likes Received:
    88
    Reputations:
    -7
    время действия сессии админа ~15 мин
     
    #6 maxster, 18 May 2007
  7. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    в том то и дело что я его могу предсказывать. т.е примерно знаю когда оно должно прийти. Поэтому и хачу узнать как можно это использовать.
     
    #7 neT9, 19 May 2007
  8. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    юзаешь сниффер, ловишь куки, заменяешь id в редакторе кукисов (в опере встроенный), и заходишь на форум до истечения сессии=) все просто
    если что-то непонятно, говори)
     
    #8 Piflit, 19 May 2007
  9. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Piflit дак я что ловлю куки или сессию?
    Ловлю я сессию теперь подними глаза к первому посту и смотри там я написал как выглядит сессия и как выглядит кук! И теперь скажи мне как туда её запихать?
     
    #9 neT9, 19 May 2007
  10. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Какая версия борды? Я понимаю 2.0.16......
     
    #10 fly, 19 May 2007
  11. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    ты ловишь куки в которых лежит id сессии =\
    других способов словить сессию "через сниффер" нету. Она берется из кук.

    Ты на том форуме вообще зарегистрирован? то что хранится у ТЕБЯ в куках мало похоже на сессию. Зарегистрируйся, войди и посмотри.
     
    #11 Abra, 19 May 2007
  12. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%2 2%22%3Bs%3A6%3A%22userid%22%3Bs%3A2%3A%2245%22%3B% 7D

    3A%2245 --- 45 вроде бы в phpbb у админа uid 2 , а это левый юзер!
     
    #12 fly, 19 May 2007
  13. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    fly так точна
     
    #13 neT9, 19 May 2007
  14. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    попробуй не в куки, а в ссылку запихать. что-нибудь типа
    forum.ru/index?sid=blablalbla
    ЗЫ я в phpBB не шарю.
     
    #14 Piflit, 19 May 2007
  15. fly

    fly Member

    Joined:
    15 Apr 2007
    Messages:
    584
    Likes Received:
    95
    Reputations:
    -10
    Code:
    попробуй не в куки, а в ссылку запихать. что-нибудь типа
forum.ru/index?sid=blablalbla
ЗЫ я в phpBB не шарю.
    нЕ В ТЕМУ!


    Линк КИНЬ! Че к xss привязался!
     
    #15 fly, 19 May 2007
  16. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    почему не в тему? поясни.
    какой линк? какие xss? то вообще о чем?
     
    #16 Piflit, 19 May 2007
  17. neT9

    neT9 New Member

    Joined:
    23 Aug 2006
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    fly дело в том что это мои куки. А у меня на руках есть лишь сессия. Часто в куках храниться сессия в открытом виде, нам лишь стоит её заменить и зайти на форум. Но в случае с phpBB она каким-то образом зашифрована. Вопрос: Как её зашифровать так чтобы я мог на короткое время жизни сессии полазить под чужим акаунтом?
     
    #17 neT9, 20 May 2007
  18. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    может там url-кодировка?
     
    #18 Piflit, 20 May 2007
(You must log in or sign up to post here.)