Новые cookies [В]контакте...Их секреты и хитрости в одной теме!

Discussion in 'Социальные сети' started by Mixon, 25 Sep 2009.

  1. ErrorNeo

    ErrorNeo Elder - Старейшина

    Joined:
    2 May 2009
    Messages:
    923
    Likes Received:
    838
    Reputations:
    402
    Mixon - молодец, что провел изыскания.
    теме ап. полезно
     
  2. vasy1980-8

    vasy1980-8 New Member

    Joined:
    14 Sep 2009
    Messages:
    1
    Likes Received:
    1
    Reputations:
    0
    Там есть некий параметр p=
    Вместе с ним и sid можно на любом компе зайти.
     
  3. stasik

    stasik Member

    Joined:
    6 Aug 2009
    Messages:
    22
    Likes Received:
    10
    Reputations:
    6
    что за параметр p= ?
     
  4. vasy1980-8

    vasy1980-8 New Member

    Joined:
    14 Sep 2009
    Messages:
    1
    Likes Received:
    1
    Reputations:
    0
    p - кука для vk.com
    кароче бесполезняк всё это. я раньше тысячами куки таскал, теперь хер возьмешь куки с vk.com, там редирект гребаный.
     
  5. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    Паша Дуров молодец.
    Так попробывал из одного браузера подменить куку в другом,
    всё работает.Зашел на подменненый акк.А не на свой.

    Затем поменял ip всё повторил и тогда меня кинуло на страницу авторизации.
     
  6. Артик

    Артик Elder - Старейшина

    Joined:
    13 Sep 2006
    Messages:
    0
    Likes Received:
    3
    Reputations:
    0
    Почитал бред по-поводу привязки к железу, аж смешно стало :)
    Логинимся. Удаляем нафик все куки vkontakte.ru
    Заходим на главную - бац и мы авторизировались...
    А всего-то оно еще на login.vk.com сохраняет куки "p" (эта ваша "привязка") и "l" (айдишник).
    Это сделали для того, что бы никаким xss нельзя было спереть драгоценную "p" куку...

    Сделано очень просто и гениально :)
     
  7. xFF

    xFF Guest

    Reputations:
    0
    К "аппаратной привязке" HTTP заголовки не имеют никакого значения, делается через javascript.
    Только это не значит что там оно есть ;)
     
  8. Артик

    Артик Elder - Старейшина

    Joined:
    13 Sep 2006
    Messages:
    0
    Likes Received:
    3
    Reputations:
    0
    xFF
    Я объяснил постом выше, как делается привязка...
     
  9. Lazy_bones

    Lazy_bones New Member

    Joined:
    5 Aug 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Ребят я чутка другую привязку заметил у себя! У меня дома несколько компов и 2 провайдера, вот какая история! Делаю куки я на первом компе на первом провайдере, все сделал, все заходит, переключаю провайдера на этом же компе, все показывает что все куки невалид и не по одному не заходит, переключаю на первого провайдера на этом же компе и все куки валид и все работает! переношу куки на другой комп и ставлю первого провайдера, все работает, пробую на втором компе врубить второго провайдера и пробую куки, то все не пашут! Причем на первом провайдере, на котором делал куки и на котором они работают, IP динамический, а на втором провайдере висит порядка 200компов в сети, но все равно исходящий ip 1 на всех! Такая же чушь, если поменять провайдеры, то она втором все будет работать, а на первом нет!
     
  10. Mixon

    Mixon Elder - Старейшина

    Joined:
    12 Mar 2008
    Messages:
    394
    Likes Received:
    119
    Reputations:
    12
    хм,не знаю не знаю,вобще я же проводил експеремент с проксей,тоисть подменой IP,тогда куки не мрут,заходит норм,а при смене провайдера походу токо IP меняеться...
     
  11. Lazy_bones

    Lazy_bones New Member

    Joined:
    5 Aug 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    ну там может привязка не совсем идет к IP а может как то к подсети провайдера, потому что провайдеры супер разные!
     
  12. Mixon

    Mixon Elder - Старейшина

    Joined:
    12 Mar 2008
    Messages:
    394
    Likes Received:
    119
    Reputations:
    12
    Я провайдеров менял,куки жили...
     
  13. Lazy_bones

    Lazy_bones New Member

    Joined:
    5 Aug 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Ну тот момент, когда ты менял провайдера и они жили был давно! Так как это уже давненько сменили! И привязка естЬ! Но она по подсети провайдера, но также не у каждого провайдера так! Также все зависит от программ, которыми пользуешься, если ты их имеешь в виду! Что они автоматом сейчас куки переделывают ... и имеется в виду сам провайдер а не твой IP
     
  14. FEV

    FEV Member

    Joined:
    23 Sep 2009
    Messages:
    15
    Likes Received:
    7
    Reputations:
    0
    я правильно понимаю, что имея p куку с vk.com можно авторизоваться на любом компе?
    если это так, то тырить её можно например троем, который либо снифает трафик (в этом случае лучше пасс и мыло тырить), либо парся файлы кукисов популярынх браузеров.
     
  15. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    394
    Likes Received:
    213
    Reputations:
    4
    привязка до сраки если куки тырит сниффер в лане выходящем через 1 шлюз?
     
  16. FEV

    FEV Member

    Joined:
    23 Sep 2009
    Messages:
    15
    Likes Received:
    7
    Reputations:
    0
    Эксперименты показали, что для авторизации необходимо и достаточно знать только "l" и "p" куки с доменом login.vk.com.
    Никаких привязок ни к IP, ни к чему бы то ни было еще, нет.
     
  17. Jingo Bo

    Jingo Bo Member

    Joined:
    25 Oct 2009
    Messages:
    368
    Likes Received:
    51
    Reputations:
    7
    Мде... l и p даёт домен login.vk.com, они нужны для обновелния remixsid и для определения того нужно ли пароль сохранять или нет. Короче теоретически если убрать указать галочку "Запомнить", то не будут даваться эти куки. Это раз.
    remixsid - это всего лишь идентификатор сессии, он даётся на время. Не зависимо от того на другом вы компе или нет, контакт рано или поздно попросит эти куки обновить и тут уже если вы поставили галочку "Запомнить", то будет создаваться новый remixsid, т.к. L и P есть. Это два.
    remixsid - это просто хэш, из ниего нереально что то вынуть. Он создаётся на основе юзер агента, времени создания, IP, ID, и немного рандомной инфы. И при добавлении это всё сильно перемешивается и наверняка подвергается фильтру.
     
  18. Skatbreaker

    Skatbreaker Guest

    Reputations:
    0
    Я заранее извиняюсь... прочитал ТС сочинение, как я провел лето... неудовлетворило..

    У меня всё работало,работает,и будет работать...
    1)Качаем Flylink DC++
    2)Ищем списки хабов, соотв своему городу.
    3)В поиск вбиваем login.vk
    4)Забираем все txt с этими куками.
    5)l- логин p-пасс (хеши естественно)
    6)В поиск вбиваем vkontakte
    5)Забираем все txt , нам нужен только ремикссид
    6)В опере подставляем всё соответственно


    К примеру(рабочее)


    мастер@vkontakte[1].txt

    ============
    remixchk
    5
    vkontakte.ru/
    1536
    1242147584
    30120846
    2716728704
    30045876
    *
    remixnews_privacy_filter
    0
    vkontakte.ru/
    1600
    3370861824
    30065156
    940328160
    30045040
    *
    remixsid

    6f2638288aa72d1b14d96b753ca04ac45920542fdaee4fc31c1785ec

    vkontakte.ru/
    1024
    901652608
    30119302
    3043608704
    30045876
    *
    remixclosed_tabs
    0
    vkontakte.ru/
    1600
    3287586176
    30118719
    529815200
    30046300
    *
    ===============

    мастер@login.vk[2].txt


    ===============


    l
    13096671
    login.vk.com/
    1024
    1609780352
    30117563
    3040008704
    30045876
    *
    p
    5b162d1bd3978f3bac2aa099704d5cc540a5
    login.vk.com/
    1024
    2054207232
    30119533
    3040008704
    30045876
    *
    ===========
     
  19. BLooD-FeRRuM

    BLooD-FeRRuM Member

    Joined:
    18 Nov 2008
    Messages:
    95
    Likes Received:
    35
    Reputations:
    2
    5b162d1bd3978f3bac2aa099704d5cc540a5
    кто нибудь знает что это за хэш?
    36 символов
     
  20. #Specan

    #Specan New Member

    Joined:
    16 Feb 2010
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    Почитал другие темы.
    Везде одни догадки.
    Определённого ничего.
    Похоже, что тут совокупность хешей.
    Однозначно тут зашифрованы UnixTime и IP.
    Вот знать бы как.
    И безвозвратно ли?
     
    #40 #Specan, 22 Feb 2010
    Last edited: 22 Feb 2010