Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];
Вниз
Как вытащить пароль из кукисов Найти похожие ветки
← →
alucard © (2006-10-30 08:49) [0]Доброго времени суток.
Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,
но по кукисам ещё входит, как и где найти мой пароль?
Спасибо.
← →
KilkennyCat © (2006-10-30 08:59) [1]Зайти на сайт, предоставляющий почтовые услуги. Найти там линк "Я забыл пароль".
← →
KilkennyCat © (2006-10-30 09:00) [2]И еще наблюдается противоречие: закрыли и входит.
← →
TurburatoR (2006-10-30 09:32) [3]В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля
← →
alucard © (2006-10-30 10:15) [4]>В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля
А где хранятся Хэш и номер сессии?
← →
Плохиш © (2006-10-30 11:07) [5]
> alucard © (30.10.06 10:15) [4]
> >В кукисах пароля нет: либо номер сессии, либо мега-хэш
> пароля
>
> А где хранятся Хэш и номер сессии?
Надо почитать стандарт на кукисы. Если таковых не найдёшь, то надо у провайдера спросить, хде же он такой-сякой изволит пароли прятать. Если не ответит, то смело подавай на него в суд.
← →
Anatoly Podgoretsky © (2006-10-30 11:09) [6]>bА где хранятся Хэш и номер сессии?
В "кукисах"
← →
Gero © (2006-10-30 11:15) [7]> [4] alucard © (30.10.06 10:15)
> А где хранятся Хэш и номер сессии?
А зачем это тебе?
← →
Anatoly Podgoretsky © (2006-10-30 11:42) [8]> А зачем это тебе?
Надеется вытащить пароль из хеша
← →
MeF Dei Corvi © (2006-10-30 11:42) [9]
> Зайти на сайт, предоставляющий почтовые услуги. Найти там
> линк "Я забыл пароль".
Насколько я понял человек забыл пароль на сайт и не может его получить по почте, так как её закрыли. А может просто хацкер :)
> А где хранятся Хэш и номер сессии?
"Кукисы" хранятся в разных местах в зависимости от браузера. Впрочем в Опере и ФФ кукисы можно посмотреть из браузера, в случае IE - Document and Settings/<YourName>/Cookies/ и там искать интерисующий сайт.
> либо номер сессии
Вряд ли номер сессии, так как сессия скорее всего уже давно закрылась бы.
> либо мега-хэш пароля
Получив хэш, можно попытаться его расшифровать. Тут уже в зависимости от сайта. Например, по хэшу от IPB1.3 можно почти наверняка сразу же узнать пароль, воспользовавшись базами md5 в интернете. От IPB2.1 по хэшу узнать пароль, практически невозможно, благо он там двойной и ещё с какими-то извращениями.
← →
Anatoly Podgoretsky © (2006-10-30 11:45) [10]
> Например, по хэшу от IPB1.3 можно почти наверняка сразу
> же узнать пароль,
По хешу пароль узнать нельзя, можно получить бесконечное множество паролей из которых получится тот же хеш.
← →
Anatoly Podgoretsky © (2006-10-30 11:45) [11]Удалено модератором
← →
Плохиш © (2006-10-30 11:54) [12]
> Anatoly Podgoretsky © (30.10.06 11:45) [11]
> Удалено модератором
Хм, самокритично :-))
← →
palva © (2006-10-30 12:01) [13]Вряд ли в кукисах хранится хэш. Там просто хранится информация, что такого-то можно пускать без пароля до такой-то даты.
← →
Anatoly Podgoretsky © (2006-10-30 12:09) [14]
> Хм, самокритично :-))
Что ты понимаешь в самокритике, вот вчера я себя забанил, вот это была самокритика. Хорошо, что это была резервная система.
← →
Anatoly Podgoretsky © (2006-10-30 12:11) [15]palva © (30.10.06 12:01) [13]
По сути это тоже хеш, врядли там в открытом виде хранится.
← →
KilkennyCat © (2006-10-30 12:12) [16]Любая почтовая служба вполне может решить проблемы с забытыми паролями.
Иное монструозное решение навевает мысли о взломе.
← →
alucard © (2006-10-30 12:14) [17]А где хэш хранится?
Да это же всё на моём компьютере, какой я хакер - полный круглосуточный доступ к нему с правами админа,
я же не спрашиваю вас как получить доступ к удалённому компу в сети с правами админа и оттуда что-то выкачать,
если бы я мог это сделать то такого бы вопроса как в заголовке у меня бы не возникло.
Удалено модератором.
← →
Плохиш © (2006-10-30 12:16) [18]Вроде в [16] всё доступно сказано.
← →
KilkennyCat © (2006-10-30 12:18) [19]> [17] alucard © (30.10.06 12:14)
Взлом может быть не только на удаленном компьютере. А другого пользователя. Например, просмотреть ящик жены :)
P.S.
В последнее время меня просто заваливают просьбами на взлом почты своих вторых половин... Вроде, не весна :)
← →
alucard © (2006-10-30 12:19) [20]
> Anatoly Podgoretsky © (30.10.06 11:42) [8]
> > А зачем это тебе?
>
> Надеется вытащить пароль из хеша
Надеюсь надеюсь.
← →
Gero © (2006-10-30 12:22) [21]> [20] alucard © (30.10.06 12:19)
Надейся. Надежда умирает последней, как известно.
← →
alucard © (2006-10-30 12:28) [22]
> Gero © (30.10.06 12:22) [21]
В моём случае она не умрёт.
← →
alucard © (2006-10-30 12:30) [23]в папке Cookies ничего с именем пользователя нет.
← →
Gero © (2006-10-30 12:32) [24]> [22] alucard © (30.10.06 12:28)
Это хорошо. Она будет греть твое сердце.
← →
KilkennyCat © (2006-10-30 12:37) [25]> [24] Gero © (30.10.06 12:32)
и даже после смерти - ибо по условию, последней умрет :)
← →
Gydvin © (2006-10-30 12:57) [26]Что-то я непонял, если ты попадаешь на сайт по кукам, то вполне можешь зайти в свой профиль и там сменить пароль.
← →
alucard © (2006-10-30 13:06) [27]Пароль не хранится в кукисах.
В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.
А где у меня хэш в этом файле user@www.ukr[1].txt:
passport_data
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A32%3A%22ec1d7681e495ec14ae69dc0cda311aea%22%3Bs%3A6%3A%22userid%22%3Bi%3A18315%3B%7D
ukr.net/
1536
1254617344
29891286
1758198848
29817862
*
← →
alucard © (2006-10-30 13:08) [28]И есть ещё один:
phpAds_geoInfo
UA%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7Cgeoip.1
www.ukr.net/
1024
2407345024
29817831
221245024
29817831
*
← →
Gero © (2006-10-30 13:15) [29]> [27] alucard © (30.10.06 13:06)
> Хэш, который расшифровывается на
> сервере и преобразуется в пароль.
Ты заблуждаешься.
> А где у меня хэш в этом файле
Примерно здесь:
> ec1d7681e495ec14ae69dc0cda311aea
Расшифровуй :D
← →
Gydvin © (2006-10-30 13:20) [30]
> Пароль не хранится в кукисах.
> В кукисах может хранится Хэш, который расшифровывается на
> сервере и преобразуется в пароль.
Он там не расшифровывается, а сравнивается с хешем хранимого пароля
← →
palva © (2006-10-30 13:21) [31]> В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.
1. Хэш нельзя рашифровать и превратить в пароль.
2. Зачем серверу нужен пароль? Для того чтобы взять от него хэш и сравнить с тем, который он хранит. Сервер не должен пускать пользователя по хэшу, а только по паролю. Потому что хэш можно украсть взломав сервер, а пароль - нельзя. Пароль можно украсть только в момент авторизации данного пользователя, хэши можно украсть в любой момент всем списком.
Это все я пишу к тому, что хэш не должен храниться в кукисах. Хотя сейчас в этом деле столько любительства, что все может быть.
← →
Gero © (2006-10-30 13:21) [32]> [30] Gydvin © (30.10.06 13:20)
> а сравнивается с хешем хранимого пароля
Просто с хешем пароля, сам пароль нигде не хранится.
← →
Gydvin © (2006-10-30 13:23) [33]
> Просто с хешем пароля, сам пароль нигде не хранится.
Хорошо а как получают забытый пароль?
← →
Рамиль © (2006-10-30 13:24) [34]
> Что-то я непонял, если ты попадаешь на сайт по кукам, то
> вполне можешь зайти в свой профиль и там сменить пароль.
>
Любая, уважающая себя и пользователей, система аутентификации сначала попросит ввести старый пароль:)
← →
Gero © (2006-10-30 13:24) [35]> [33] Gydvin © (30.10.06 13:23)
На нормальный ресурсах — никак. Его просто переустанавливают.
← →
alucard © (2006-10-30 13:30) [36]При помощи хэша мне получается можно залогиниться?
Только что-то я в этих файлах ненайду своего пользователя :)
← →
palva © (2006-10-30 13:35) [37]Нормальная система не должна восстанавливать забытый пароль. Она должна генерировать и высылать новый случайный пароль, с возможностью зайти на сайт и сменить его. Если сервер хранит пароли, то они должны быть зашифрованы, причем ключ должен вводиться человеком. Если пароль высылается автоматически в течение нескольких секунд, то это очень небезопасно. Кроме того, клиент будет знать, что администратору достаточно шепнуть своему приятелю пароль, и тот зайдет на сайт клиента из ближайшего интернет кафе.
← →
saxon (2006-10-30 13:37) [38]
> alucard © (30.10.06 13:30) [36]
autologinid ?
← →
alucard © (2006-10-30 13:39) [39]HTTP/1.0 200 OK
Date: Mon, 30 Oct 2006 10:25:08 GMT
Server: Apache/2.0.59 (Unix)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Mon, 30 Oct 2006 10:25:08 GMT
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.ukr.net
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.ukr.net
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.mobil.ru
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.mobil.ru
Set-Cookie: redirect=http%3A%2F%2Fwww.stereo.ru%2F; path=/; domain=.ukr.net
Set-Cookie: check_cookies=1; expires=Monday, 30-Oct-06 11:25:08 GMT; path=/; domain=.ukr.net
Connection: close
Content-Type: text/html
← →
alucard © (2006-10-30 13:47) [40]
> palva © (30.10.06 13:35) [37]
У меня ящик который указан как основной спёрли, я могу сделать высылку туда пароля но его не прочитаю, а для изменения ящика нужен пароль.
Мне просто интересно теперь какой здесь SQL сервак это всё хранит.
Страницы: 1 2 3 вся ветка
Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];
Память: 0.54 MB
Время: 0.06 c
