Wordpress 1.5.2

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Wordpress 1.5.2

Опции темы

Поиск в этой теме

Опции просмотра

Wordpress 1.5.2

23.03.2007, 22:37

cylaaaan

Участник форума

Регистрация: 31.08.2006

Сообщений: 149

С нами: 10365076

Репутация: 155

Wordpress 1.5.2

Помогите с хешем.
Использовал пассивную XSS, сунул админу. в Снифере:

Цитата:

QUERY: dbx-postmeta=grabit=3-,5 ,2-,4 ,0 ,1-,6-&advancedstuff=0 ,2-,1-; wordpressuser_3f49a4ec2804734389ab123e3242e990=adm in; wordpresspass_3f49a4ec2804734389ab123e3242e990=963 984caccd024a011bc0c6780f67e2d; phpbb2mysql_data=a:2:{s:11:"autologinid";s:32:"a5a 3a83fb13d5e7077ed95bf1f9b2e26";s:6:"userid";i:2;}

вставляю эти значения себе в куки...и мне пишет - Срок сессии истек.
Че за хрень? Если так не получится, то придется расшифровывать хеш... а я незнаю что это, то ли MD5, то ли еще что то...

Помогите...

admin
963984caccd024a011bc0c6780f67e2d

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось cylaaaan; 23.03.2007 в 22:41..

23.03.2007, 22:58

neval

Moderator - Level 7

Регистрация: 13.12.2006

Сообщений: 531

С нами: 10215686

Репутация: 383

если время сессии истекло то бесполезно.
по хешам сюда

23.03.2007, 23:00

cylaaaan

Участник форума

Регистрация: 31.08.2006

Сообщений: 149

С нами: 10365076

Репутация: 155

а это Md5 ?

23.03.2007, 23:07

neval

Moderator - Level 7

Регистрация: 13.12.2006

Сообщений: 531

С нами: 10215686

Репутация: 383

если честно - хз

23.03.2007, 23:13

Utochka

Постоянный

Регистрация: 21.12.2005

Сообщений: 620

С нами: 10729766

Репутация: 268

скачай сорцы Wordpress 1.5.2 и глянь как там шифруется пароль. может он там с солью.

24.03.2007, 00:35

k1b0rg

Тут может быть ваша реклама.

Регистрация: 30.07.2005

Сообщений: 1,243

С нами: 10937126

Репутация: 1316

wordpressuser_3f49a4ec2804734389ab123e3242e990=adm in; wordpresspass_3f49a4ec2804734389ab123e3242e990=963 984caccd024a011bc0c6780f67e2d;

это готовые админские куки, отправив их сможешь войти в wp-admin

24.03.2007, 11:00

Koller

Постоянный

Регистрация: 25.07.2005

Сообщений: 471

С нами: 10944386

Репутация: 931

Решил глянуть как там да чем хешируется...
Сам пароль в БД хранится как md5...а в куках уже md5(md5($pass))...то есть "поимев" куки, можно узнать и пароль админа, хотя зачем, если подменой куков ты и так сможешь зайти по словам k1b0rg'a...

Пример...
wordpresspass_a099c39a2f1348d46f7d76beb30b214b: 63ee451939ed580ef3c4b6f0109d1fd0
wordpressuser_a099c39a2f1348d46f7d76beb30b214b: admin
wrfcookies: 123123%7C123%7C1173652606%7C1173652344

В бд хешированный пароль выглядит так - 4297f44b13955235245b2497399d7a93
63ee451939ed580ef3c4b6f0109d1fd0 = 123123 md5(md5($pass))
4297f44b13955235245b2497399d7a93 = 123123 md5 простой...

Цитата:

Пароль в данном случае у тебя это - vellvell

Последний раз редактировалось Koller; 24.03.2007 в 11:03..

24.03.2007, 15:18

cylaaaan

Участник форума

Регистрация: 31.08.2006

Сообщений: 149

С нами: 10365076

Репутация: 155

ок, понял. Спасибо =)

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
WordPress вот так.	Ali_MiX	Уязвимости	3	13.03.2007 00:48
Хакеры встроили вредоносный код в дистрибутив WordPress	bx_N	Мировые новости. Обсуждения.	3	07.03.2007 23:09

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

Home

Help

Terms and Rules