Здравствуйте, господа.

Из названия темы видна суть моего вопроса.

Точнее, у меня несколько вопросов.

Начнем.

1) Я чайник, заинтересовался взломом ВК, не в корыстных и т.п. целях. Интересует взлом странички знакомого человека.

Имею иногда доступ к его телефону (андроид), следственно, могу с помощью нехитрой команды

Стырить куки.

Получаю что-то подобное:

Погуглив, узнал, что с помощью remixsid доступ к аккаунту получить можно, но есть одна загвоздка, с которой уже столкнулся.

Идет привязка к IP. То есть, если на этом IP человек когда-либо логинился ВК, то с подстановкой remixsid'а можно войти.

Если же на этом IP впервые происходит вход с этого аккаунта, то ничего не получается.

( Дома в домашней вафле на разных компьютерах пробовал, из-за одного IP все получается. То есть, нет привязки к железу и т.п., только к IP )

2) Выше было предисловие. Теперь - как с другого IP войти по имеющемуся remixsid'у ? Какую (и как) добыть информацию еще нужно, не зная пароля (но зная логин), чтобы потом можно было войти ? Прошу учесть, что происходит это на андроид-телефоне (через Google Chrome).

То есть - цель -вход в аккаунт.

3) На компе можно легко войти в сохраненные пароли и увидеть их. На андроиде же только логины. Где увидеть еще и пароли?

А также, как их вытянуть? Не только с Google Chrome, но и, например, с официального приложения ВКонтакте для андроид?

Прошу ответить, если вы знаете ответы на эти вопросы, и сделать это подробно, "для чайника"

Заранее спасибо.

Что ж. Прежде всего, remixsid привязывается к юзер-агенту до кучи. И к ip, да. Единственный выход - потрошить аккаунт на месте, или поднимать проксю, через которую потом работать. Пароли с телефона либо троями под иос\ведроид, либо через сеточку. Даже официальные(тм) приложения, которым многие косяки сходят с рук, не могут хранить пароль юзера ни под каким предлогом. Однако, они хранят access token'ы от апи, которые вполне переживают смену ip-адреса.

madhatter, хм, то есть по remixsid'у с другого айпи не зайти?.. Очень жаль.

Тогда.. Где хранятся куки на андроиде? Если этот файл вставить в другой телефон, будет ли браузер заходит на все сайты также? А если.. из папок с приложением все файлы скопировать и в другой телефон? Например, ковыряясь, нашел у всех связанных с интернетом приложений файлы бд типа webview.db и другие, которые если вскрыть, можно увидеть какие то хэши и прочее?

И уж если на то пошло.. Где можно взять эти вирусы на андроид, чтобы получить доступ именно к вк?

Заранее огромное спасибо.

Не уверен, что адреса должны быть равны. Возможно, подсеть, т.к. среди ЦА контактика многие все еще сидят за динамичным натом. Возможно, сейчас что-то поменяли. Но в целом, привязка так или иначе есть. Лучший способ - взять и проверить, слегка погоняв айпишники, и не меняя ничего больше.

Ведроид - это операционка. Кук в этом понимании у нее нет. Куки есть у браузеров. Хранятся примерно там же, где и всегда - в папках профиля.

Касательно мобильных версий - здесь тема уже поинтереснее. Точно могу сказать, что на это влияет как миниум юзер-агент. Возможно - мобильная версия(m.vk.com) выдает менее строгие плюшки, т.к. телефоны клиентов могут спокойно переключиться с 3\4g на wi-fi, получив совершенно другой адрес. Рекомендую смотреть в эту сторону с правильным юзер-агентом.

С приложениями все вообще иначе - это софтовые рожи на хттп апи контакта. В документации все разжевано донельзя. Там своеобразным аналогом плюшки выступает access_token, который можно использовать с любого ипа той же страны как минимум для официального(тм) приложения.

Раньше кукисы у вк были свободны а щас они привязаны к сессии и ИП

у меня был где то скрипт прокси сервера написаный под заказ но он скорее всего уже и не рабочий который мог сохранять данные от вк и одн именно авторизаци лог пас а другой трафик проходил мимо

то есть в настройках браузера телефона писался ip прокси сервера и порт и никаких программ на телефон не надо было ставить

так данные снифились

Доброго всем времени суток, я надеюсь, меня за некропостерство палками и камнями не закидают. Вообщем заинтересовал меня такой вопрос. Есть своя старая страничка ВК, к которой лет, эдак, 100 назад навсегда и безвозвратно утрачен доступ. Интересно попробовать взломать ее, но я в этом деле совсем профан. Начал читать эту (и не только тему), но я не то, что начинающий, я вообще пока, что не силен. Где бы найти литературу/инфу, что б, хотя бы начало темы для меня уже было понятно. Прошу понимания, я не волшебник еще, но очень хочу учится. За ранее спасибо.

в твоем случае только брутить или просить техподдержку. можешь еще попробовать здесь https://leakbase.pw/ и здесь http://find-password.ru/ поискать почту\номер который был привязан к странице. мб где-то уже слили пароль.

Окей. Понимаю, примерно, что брут до дела может и не довести, но если не сложно дайте совет как это делаеться. Так же хочу попробовать брутить пароль на забытую старую почту. За ранее спасибо.

Если у кого-то есть свободная минутка, киньте полезные ссылки сюда или в лс, по-поводу вопроса, который я задал выше.