Как вытащить пароль из кукисов

← →
alucard © (2006-10-30 08:49) [0]

Доброго времени суток.

Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,

но по кукисам ещё входит, как и где найти мой пароль?

Спасибо.

← →
KilkennyCat © (2006-10-30 08:59) [1]

Зайти на сайт, предоставляющий почтовые услуги. Найти там линк "Я забыл пароль".

← →
KilkennyCat © (2006-10-30 09:00) [2]

И еще наблюдается противоречие: закрыли и входит.

← →
TurburatoR (2006-10-30 09:32) [3]

В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля

← →
alucard © (2006-10-30 10:15) [4]

>В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля

А где хранятся Хэш и номер сессии?

← →
Плохиш © (2006-10-30 11:07) [5]

> alucard © (30.10.06 10:15) [4]
> >В кукисах пароля нет: либо номер сессии, либо мега-хэш
> пароля
>
> А где хранятся Хэш и номер сессии?

Надо почитать стандарт на кукисы. Если таковых не найдёшь, то надо у провайдера спросить, хде же он такой-сякой изволит пароли прятать. Если не ответит, то смело подавай на него в суд.

← →
Anatoly Podgoretsky © (2006-10-30 11:09) [6]

>bА где хранятся Хэш и номер сессии?

В "кукисах"

← →
Gero © (2006-10-30 11:15) [7]

> [4] alucard © (30.10.06 10:15)

> А где хранятся Хэш и номер сессии?

А зачем это тебе?

← →
Anatoly Podgoretsky © (2006-10-30 11:42) [8]

> А зачем это тебе?

Надеется вытащить пароль из хеша

← →
MeF Dei Corvi © (2006-10-30 11:42) [9]

> Зайти на сайт, предоставляющий почтовые услуги. Найти там
> линк "Я забыл пароль".

Насколько я понял человек забыл пароль на сайт и не может его получить по почте, так как её закрыли. А может просто хацкер :)
> А где хранятся Хэш и номер сессии?

"Кукисы" хранятся в разных местах в зависимости от браузера. Впрочем в Опере и ФФ кукисы можно посмотреть из браузера, в случае IE - Document and Settings/<YourName>/Cookies/ и там искать интерисующий сайт.
> либо номер сессии

Вряд ли номер сессии, так как сессия скорее всего уже давно закрылась бы.
> либо мега-хэш пароля

Получив хэш, можно попытаться его расшифровать. Тут уже в зависимости от сайта. Например, по хэшу от IPB1.3 можно почти наверняка сразу же узнать пароль, воспользовавшись базами md5 в интернете. От IPB2.1 по хэшу узнать пароль, практически невозможно, благо он там двойной и ещё с какими-то извращениями.

← →
Anatoly Podgoretsky © (2006-10-30 11:45) [10]

> Например, по хэшу от IPB1.3 можно почти наверняка сразу
> же узнать пароль,

По хешу пароль узнать нельзя, можно получить бесконечное множество паролей из которых получится тот же хеш.

← →
Anatoly Podgoretsky © (2006-10-30 11:45) [11]

Удалено модератором

← →
Плохиш © (2006-10-30 11:54) [12]

> Anatoly Podgoretsky © (30.10.06 11:45) [11]
> Удалено модератором

Хм, самокритично :-))

← →
palva © (2006-10-30 12:01) [13]

Вряд ли в кукисах хранится хэш. Там просто хранится информация, что такого-то можно пускать без пароля до такой-то даты.

← →
Anatoly Podgoretsky © (2006-10-30 12:09) [14]

> Хм, самокритично :-))

Что ты понимаешь в самокритике, вот вчера я себя забанил, вот это была самокритика. Хорошо, что это была резервная система.

← →
Anatoly Podgoretsky © (2006-10-30 12:11) [15]

palva © (30.10.06 12:01) [13]
По сути это тоже хеш, врядли там в открытом виде хранится.

← →
KilkennyCat © (2006-10-30 12:12) [16]

Любая почтовая служба вполне может решить проблемы с забытыми паролями.
Иное монструозное решение навевает мысли о взломе.

← →
alucard © (2006-10-30 12:14) [17]

А где хэш хранится?

Да это же всё на моём компьютере, какой я хакер - полный круглосуточный доступ к нему с правами админа,
я же не спрашиваю вас как получить доступ к удалённому компу в сети с правами админа и оттуда что-то выкачать,
если бы я мог это сделать то такого бы вопроса как в заголовке у меня бы не возникло.

Удалено модератором.

← →
Плохиш © (2006-10-30 12:16) [18]

Вроде в [16] всё доступно сказано.

← →
KilkennyCat © (2006-10-30 12:18) [19]

> [17] alucard © (30.10.06 12:14)

Взлом может быть не только на удаленном компьютере. А другого пользователя. Например, просмотреть ящик жены :)
P.S.
В последнее время меня просто заваливают просьбами на взлом почты своих вторых половин... Вроде, не весна :)

← →
alucard © (2006-10-30 12:19) [20]

> Anatoly Podgoretsky © (30.10.06 11:42) [8]
> > А зачем это тебе?
>
> Надеется вытащить пароль из хеша

Надеюсь надеюсь.

← →
Gero © (2006-10-30 12:22) [21]

> [20] alucard © (30.10.06 12:19)

Надейся. Надежда умирает последней, как известно.

← →
alucard © (2006-10-30 12:28) [22]

> Gero © (30.10.06 12:22) [21]

В моём случае она не умрёт.

← →
alucard © (2006-10-30 12:30) [23]

в папке Cookies ничего с именем пользователя нет.

← →
Gero © (2006-10-30 12:32) [24]

> [22] alucard © (30.10.06 12:28)

Это хорошо. Она будет греть твое сердце.

← →
KilkennyCat © (2006-10-30 12:37) [25]

> [24] Gero © (30.10.06 12:32)

и даже после смерти - ибо по условию, последней умрет :)

← →
Gydvin © (2006-10-30 12:57) [26]

Что-то я непонял, если ты попадаешь на сайт по кукам, то вполне можешь зайти в свой профиль и там сменить пароль.

← →
alucard © (2006-10-30 13:06) [27]

Пароль не хранится в кукисах.
В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.

А где у меня хэш в этом файле user@www.ukr[1].txt:

passport_data
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A32%3A%22ec1d7681e495ec14ae69dc0cda311aea%22%3Bs%3A6%3A%22userid%22%3Bi%3A18315%3B%7D
ukr.net/
1536
1254617344
29891286
1758198848
29817862
*

← →
alucard © (2006-10-30 13:08) [28]

И есть ещё один:

phpAds_geoInfo
UA%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7Cgeoip.1
www.ukr.net/
1024
2407345024
29817831
221245024
29817831
*

← →
Gero © (2006-10-30 13:15) [29]

> [27] alucard © (30.10.06 13:06)

> Хэш, который расшифровывается на
> сервере и преобразуется в пароль.

Ты заблуждаешься.

> А где у меня хэш в этом файле

Примерно здесь:

> ec1d7681e495ec14ae69dc0cda311aea

Расшифровуй :D

← →
Gydvin © (2006-10-30 13:20) [30]

> Пароль не хранится в кукисах.
> В кукисах может хранится Хэш, который расшифровывается на
> сервере и преобразуется в пароль.

Он там не расшифровывается, а сравнивается с хешем хранимого пароля

← →
palva © (2006-10-30 13:21) [31]

> В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.

1. Хэш нельзя рашифровать и превратить в пароль.

2. Зачем серверу нужен пароль? Для того чтобы взять от него хэш и сравнить с тем, который он хранит. Сервер не должен пускать пользователя по хэшу, а только по паролю. Потому что хэш можно украсть взломав сервер, а пароль - нельзя. Пароль можно украсть только в момент авторизации данного пользователя, хэши можно украсть в любой момент всем списком.

Это все я пишу к тому, что хэш не должен храниться в кукисах. Хотя сейчас в этом деле столько любительства, что все может быть.

← →
Gero © (2006-10-30 13:21) [32]

> [30] Gydvin © (30.10.06 13:20)

> а сравнивается с хешем хранимого пароля

Просто с хешем пароля, сам пароль нигде не хранится.

← →
Gydvin © (2006-10-30 13:23) [33]

> Просто с хешем пароля, сам пароль нигде не хранится.

Хорошо а как получают забытый пароль?

← →
Рамиль © (2006-10-30 13:24) [34]

> Что-то я непонял, если ты попадаешь на сайт по кукам, то
> вполне можешь зайти в свой профиль и там сменить пароль.
>

Любая, уважающая себя и пользователей, система аутентификации сначала попросит ввести старый пароль:)

← →
Gero © (2006-10-30 13:24) [35]

> [33] Gydvin © (30.10.06 13:23)

На нормальный ресурсах — никак. Его просто переустанавливают.

← →
alucard © (2006-10-30 13:30) [36]

При помощи хэша мне получается можно залогиниться?
Только что-то я в этих файлах ненайду своего пользователя :)

← →
palva © (2006-10-30 13:35) [37]

Нормальная система не должна восстанавливать забытый пароль. Она должна генерировать и высылать новый случайный пароль, с возможностью зайти на сайт и сменить его. Если сервер хранит пароли, то они должны быть зашифрованы, причем ключ должен вводиться человеком. Если пароль высылается автоматически в течение нескольких секунд, то это очень небезопасно. Кроме того, клиент будет знать, что администратору достаточно шепнуть своему приятелю пароль, и тот зайдет на сайт клиента из ближайшего интернет кафе.

← →
saxon (2006-10-30 13:37) [38]

> alucard © (30.10.06 13:30) [36]

autologinid ?

← →
alucard © (2006-10-30 13:39) [39]

HTTP/1.0 200 OK
Date: Mon, 30 Oct 2006 10:25:08 GMT
Server: Apache/2.0.59 (Unix)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Mon, 30 Oct 2006 10:25:08 GMT
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.ukr.net
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.ukr.net
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.mobil.ru
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.mobil.ru
Set-Cookie: redirect=http%3A%2F%2Fwww.stereo.ru%2F; path=/; domain=.ukr.net
Set-Cookie: check_cookies=1; expires=Monday, 30-Oct-06 11:25:08 GMT; path=/; domain=.ukr.net
Connection: close
Content-Type: text/html

← →
alucard © (2006-10-30 13:47) [40]

> palva © (30.10.06 13:35) [37]

У меня ящик который указан как основной спёрли, я могу сделать высылку туда пароля но его не прочитаю, а для изменения ящика нужен пароль.

Мне просто интересно теперь какой здесь SQL сервак это всё хранит.

← →
Gero © (2006-10-30 13:47) [41]

> [39] alucard © (30.10.06 13:39)

Зачем нам это?

← →
Gero © (2006-10-30 13:48) [42]

> [37] palva © (30.10.06 13:35)

> Кроме того, клиент будет знать, что администратору достаточно
> шепнуть своему приятелю пароль, и тот зайдет на сайт клиента
> из ближайшего интернет кафе.

Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.

← →
Gydvin © (2006-10-30 13:49) [43]

> Любая, уважающая себя и пользователей, система аутентификации
> сначала попросит ввести старый пароль:)

да это я упустил из внимания :(

> На нормальный ресурсах — никак.

На нормальных да, а многие высылают пароль и следовательно его хранят

← →
alucard © (2006-10-30 13:51) [44]

> Gero © (30.10.06 13:47) [41]

Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.

← →
Alien1769 © (2006-10-30 13:57) [45]

> У меня ящик который указан как основной спёрли, я могу сделать
> высылку туда пароля но его не прочитаю, а для изменения
> ящика нужен пароль.

Не грузи. На укрнете есть вопрос подсказка, если ты его конечно знаешь. Я сам сижу на укрнете. Так вот если твой ящик, то енто не проблема.

← →
alucard © (2006-10-30 13:57) [46]

Заходите на Google.ru,
вводите "вычисление хэшей" и поиск.

← →
palva © (2006-10-30 13:57) [47]

> Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.
А-а, понятно. В самом деле.

> Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.

Если вы узнаете пароль по хэшу, то алгоритм хэширования никуда не годится. И надо срочно писать сообщение в серьезный журнал о случае взлома алгоритма, чтобы этим алгоритмом больше никто не пользовался.

← →
alucard © (2006-10-30 14:01) [48]

> Alien1769 © (30.10.06 13:57) [45]

я не на укр нете, я поменял сайт чтоб не вычислили кто-то перед мной.

← →
Gero © (2006-10-30 14:02) [49]

> [44] alucard © (30.10.06 13:51)

Из хеша пароль получить невозможно. Еще есть вопросы?

← →
alucard © (2006-10-30 14:11) [50]

> Gero © (30.10.06 14:02) [49]

>Из хеша пароль получить невозможно.

согласен

>Еще есть вопросы?

Да.

Где здесь запрос сервера?
он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )

Можно посчитать PwDump и Sniff.

← →
Gero © (2006-10-30 14:14) [51]

> он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )

Да, он здесь: alucard © (30.10.06 13:39) [39]

← →
palva © (2006-10-30 14:14) [52]

Перебором если. Паролей типа cat vova, dot.

← →
McSimm © (2006-10-30 14:15) [53]

> Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,
> но по кукисам ещё входит, как и где найти мой пароль?

На этот сайт ?

← →
KilkennyCat © (2006-10-30 14:23) [54]

> [53] McSimm © (30.10.06 14:15)

Зачот :))

← →
alucard © (2006-10-30 14:31) [55]

Gero © (30.10.06 14:14) [51]

Вот это

Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/

?

← →
Gero © (2006-10-30 14:34) [56]

> [55] alucard © (30.10.06 14:31)

Ага.

← →
alucard © (2006-10-30 14:39) [57]

Gero © (30.10.06 14:34) [56]

Что в моём случае посоветуешь делать?

Заходить по хэшу?

← →
Gero © (2006-10-30 14:57) [58]

> [57] alucard © (30.10.06 14:39)

См. [1].

← →
MeF Dei Corvi © (2006-10-30 15:09) [59]

Удалено модератором

> [59] MeF Dei Corvi © (30.10.06 15:09)

Идентичный хэш - это здорово. Да вот есть у меня подозрения, что она немножко однократна, эта идентичность :)))))

Gero © (30.10.06 14:57) [58]
я не забыл пароль, я его и не знал. Когда ящик был - тогда я воспользовался восстановлением и с почты его скопировал в поле Password, почты уже нет!

MeF Dei Corvi © (30.10.06 15:09) [59]
Удалено модератором

Что там модератор вечно удаляет?

Если сейчас заходит, неужели нет варианта узнать как и продублировать это в случае очистки кукисов?

Думаю что есть.

KilkennyCat © (30.10.06 15:24) [60]

Что однократно, я уже месяц никакого пароля не вхожу.

Пароль вычислить по хэшу можно, люди умудрялись,
вопрос только как?

> Пароль вычислить по хэшу можно, люди умудрялись,
> вопрос только как?

здесь - никак.

> Что там модератор вечно удаляет?

Ссылки вестимо :) Не знаю зачем, т.к. ссылки взяты с http://ru.wikipedia.org/wiki/MD5

> Что там модератор вечно удаляет?

Он доудаляется!

> [61] alucard © (30.10.06 16:01)

Люди иногда умудряются попасть пальцем в небо. Но чаще - в другое место.

Как Вы до сих пор не поймете, что если из хэша можно вытащить пароль, то получается хэш просто-напросто пароль и есть? Только кодированный. Но тогда какой смысл в хэше? Оригинальная замена ***** ? Не кажется ли это глупым? И если кажется, то не стоит ли прийти к выводу о недостаточности информации? Почитать литературу? И уяснить трудоемкость задачи? И прийти к выводу, что проще узнать домашний адрес администратора почты, приехать к нему лично, предварительно смотавшись на другой полушар земли за экзотической бутылкой пива?

> И прийти к выводу, что проще узнать домашний адрес администратора
> почты, приехать к нему лично, предварительно смотавшись
> на другой полушар земли за экзотической бутылкой пива?

По крайней мере дешевле.

> По крайней мере дешевле.

Быстрее :)

> Как Вы до сих пор не поймете, что если из хэша можно вытащить
> пароль, то получается хэш просто-напросто пароль и есть?

Можно же ведь брутфорсом попытаться получить пароль, но сколько минут/часов/дней/месяцев/лет это займёт не известно. К тому же, если учесть, что искомый пароль действительно принадлежит автору, то я думаю, он знает из каких приблизительно символов состоит пароль и какой он длины.

> [67] MeF Dei Corvi © (30.10.06 16:55)

C Вашей же ссылки в вики

Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)

KilkennyCat © (30.10.06 17:04) [68]

А начинающие, они верят, что яйцеголовые витают в облаках своей математики, и страшно далеки от народа. А народ, вооруженный посконной мудростью, запросто вычисляет пароли по хэшу, нужно только слово знать. Вот они слово и ищут. Или цветок папоротника - с цветком каждый дурак и без хэша пароль подберет.

В хэшах тоже уязвимости находят... Насколько мне известно, в довольно популярных MD5 и SHA-1 уже нашли.

> [69] Игорь Шевченко © (30.10.06 17:09)

Я бы с цветком папоротника лучше б клад нашел. Зачем сложные промежуточные этапы? :)

Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)

Должна, но не обеспечивает.
В силу фиксированной длины хеш значения.
Паролей бесконечно много и у каждого можно вычислить хеш.
Но хеш значений не бесконечно много.

Да и не лежит парольного хэша в кукисах - смысла нет.

> MeF Dei Corvi (30.10.2006 16:55) [67]

Сколько можно говорить, как получить то, чего нет?

> Сколько можно говорить, как получить то, чего нет?

Почему нет?

> MeF Dei Corvi © (30.10.06 16:55) [67]

Знаю первую букву, что всего из 6 символов, пароль не сложный.

> palva © (30.10.06 17:55) [73]

А что тогда в кукисах лежит?

Ссылки чтоб модератор не удалял плиз бросайте мне на ящик.

Надо что-то придумать чтоб по Автологину он у меня заходил, пока ещё впускает.

Как перенести на другой комп и какие файлы, или это невозможно?

А как узнать алгоритм хэширования?

> alucard (31.10.2006 09:43:19) [79]

> А как узнать алгоритм хэширования?

Алгоритмы хеширования опубликованы в Сети

косвенно по длине хеш значения

alucard © (31.10.06 09:03) [77]

> > palva © (30.10.06 17:55) [73]
> А что тогда в кукисах лежит?

Ну я ведь не знаю, что взбредет в голову тамошнему вэб-программисту. Я бы положил туда дату последнего захода по паролю и криптографический хэш этого значения, чтоб нельзя было подделать. Если со времени последнего захода прошло больше месяца, то этот кукис можно удалять и требовать ввода пароля.

Но на самом деле там может лежать все что угодно, вплоть до пароля в открытом виде. -- Столько сейчас разработчиков расплодилось с очень странными представлениями о безопасности.

palva © (31.10.06 10:02) [82]

т.е. хэш вычисляется по определённому алгоритму по любому значению (например паролю, или дате последнего ввода пароля),

как и почему происхлдит Авто-логирование?

> palva (31.10.2006 10:02:22) [82]

> Столько сейчас разработчиков расплодилось с очень странными
> представлениями о безопасности.

Да нормальные представления. Ты кто такой? Пользователь! Так пользуйся.

> alucard (31.10.2006 10:23:23) [83]

> как и почему происхлдит Авто-логирование?

Это большой, большой вебмастеровский секрет.

Как вытащить пароль из кукисов Найти похожие ветки