Pokaż wyniki 1 do 4 z 4

Temat: Logowanie do vBiulletin

  1. #1
    Zarejestrowany
    May 2007
    Skąd
    przed komputerem
    Postów
    63

    Domyślnie Logowanie do vBiulletin

    Chodzi o to że chce w curlu (c++ w tym przypadku) zalgować się do vbiuletina...
    Problem leży w tym że najpierw chciałem przeprowadzić logowanie przez Live Http Headers ->wtyczka do ff.

    No i już tu się zaczęły problemy:


    Najpierw chce zrobić najprościej jak się da. Czyli włączam capturing w lhh (i taki skrót bede chyba używał) i loguje się moimi passami na forum.

    Potem wylogowuje się biorę tamte zapytanie i replay... I co? przekierowuje mnie do index.php :? 0 błędów tylko zamiast HTTP OK dostaje FOUND ...

    Patrze co może mi przeszkadzać - myśle cookie... I lookam co się w cookie zmienia od momentu wylogowania i to wstawiam do cookie. Dalej lipa.(Byłtam tylko lastvisit)
    Co ciekawe -> zawsze jak się daje powtórzenie zapytania to trzeba wykasować content lenght (bo lhh sam je dodaje a poprzedniego nie kasuje i są 2). Ale tym razem aby nie dostać 400 Bad request trzeba było też wykasować "Content-Type: application/x-www-form-urlencoded" bo inaczej 400...
    Może w tym właśnie jest błąd.

    Ja już nie mam pomysłów, a wujka próbowałem pytać i dał same nie rozwiązane tematy. (chyba że źle pytam)
    Ktoś wie ocb :?:

    Kod:
        http://p2mforum.info/login.php?do=login
    
        POST /login.php?do=login HTTP/1.1
        Host: p2mforum.info
        User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
        Accept-Language: pl,en-us;q=0.7,en;q=0.3
        Accept-Encoding: gzip,deflate
        Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7
        Keep-Alive: 300
        Connection: keep-alive
        Referer: http://p2mforum.info/login.php?do=login
        Cookie: __utma=32208255.1980439983.1247914772.1247914772.1247918405.2; __utmc=32208255; __utmz=32208255.1247914773.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=32208255.34.10.1247918405; bbsessionhash=5517076c265a3d63bad40e5c391c7b6c; bblastvisit=1247919277; bblastactivity=0
        Content-Type: application/x-www-form-urlencoded
        Content-Length: 194
        vb_login_username=ded&vb_login_password=&vb_db=ded&s=&securitytoken=guest&do=login&vb_login_md5password=b59d9f9e843dedb09e407849f3396cb1&vb_login_md5password_utf=b59d9f9e843dedb09e407849f3396cb1
    
    
        HTTP/1.x 200 OK
        X-Powered-By: PHP/5.2.6-1+lenny3
        Set-Cookie: bblastvisit=1247919277; expires=Sun, 18-Jul-2010 12:49:45 GMT; path=/
        Set-Cookie: bblastactivity=0; expires=Sun, 18-Jul-2010 12:49:45 GMT; path=/
        Cache-Control: private
        Pragma: private
        Content-Type: text/html; charset=ISO-8859-2
        x-ua-compatible: IE=7
        Content-Encoding: gzip
        Content-Length: 8672
        Date: Sat, 18 Jul 2009 12:49:46 GMT
        Server: lighttpd/1.4.19
    Z prawdziwego ze złymi passami [nie dam moich:P]

    Kod:
        http://p2mforum.info/login.php?do=login
    
        POST /login.php?do=login HTTP/1.1
        Host: p2mforum.info
        User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
        Accept-Language: pl,en-us;q=0.7,en;q=0.3
        Accept-Encoding: gzip,deflate
        Accept-Charset: ISO-8859-2,utf-8;q=0.7,*;q=0.7
        Keep-Alive: 300
        Connection: keep-alive
        Referer: http://p2mforum.info/login.php?do=login
        Cookie: __utma=32208255.1980439983.1247914772.1247914772.1247918405.2; __utmc=32208255; __utmz=32208255.1247914773.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=32208255.34.10.1247918405; bbsessionhash=5517076c265a3d63bad40e5c391c7b6c; bblastvisit=1247919277; bblastactivity=0
        Content-Length: 194
        vb_login_username=ded&vb_login_password=&vb_db=ded&s=&securitytoken=guest&do=login&vb_login_md5password=b59d9f9e843dedb09e407849f3396cb1&vb_login_md5password_utf=b59d9f9e843dedb09e407849f3396cb1
    
    
        HTTP/1.x 302 Found
        X-Powered-By: PHP/5.2.6-1+lenny3
        Set-Cookie: bblastvisit=1247919277; expires=Sun, 18-Jul-2010 12:51:03 GMT; path=/
        Set-Cookie: bblastactivity=0; expires=Sun, 18-Jul-2010 12:51:03 GMT; path=/
        Cache-Control: private
        Pragma: private
        Content-Type: text/html; charset=ISO-8859-2
        x-ua-compatible: IE=7
        Location: http://p2mforum.info/index.php
        Content-Length: 0
        Date: Sat, 18 Jul 2009 12:51:03 GMT
        Server: lighttpd/1.4.19
    Z replaya...


    PS. Jakie to forum to chyba nvm? Bo nie chce mi się hashować hosta :P
    Właściwością człowieka jest błądzić, głupiego - w błędzie trwać.

  2. #2

    Domyślnie

    trzeba było też wykasować "Content-Type: application/x-www-form-urlencoded" bo inaczej 400...
    wykasowac to trzeba content-length bo leci podwojnie. Gdyby ci zalezalo odpalilbys wiresharka i to sprawdzil.

    Kod:
    POST /login.php HTTP/1.1
    Host: p2mforum.info
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 58
    vb_login_username=dupa1&vb_login_password=dupa123&do=login
    Kod:
    HTTP/1.x 200 OK
    Transfer-Encoding: chunked
    X-Powered-By: PHP/5.2.6-1+lenny3
    Set-Cookie: bbsessionhash=4336b90dd645fe4544a45afd2e7b9ba7; path=/; HttpOnly
    Set-Cookie: bblastvisit=1248631208; expires=Mon, 26-Jul-2010 18:00:08 GMT; path=/
    Set-Cookie: bblastactivity=0; expires=Mon, 26-Jul-2010 18:00:08 GMT; path=/
    Cache-Control: private
    Pragma: private
    Content-Type: text/html; charset=ISO-8859-2
    X-UA-Compatible: IE=7
    Date: Sun, 26 Jul 2009 18:00:08 GMT
    Server: lighttpd/1.4.19
    Ostatnio edytowane przez cr0 : 07-26-2009 - 20:00

  3. #3
    Zarejestrowany
    May 2008
    Skąd
    Katowice
    Postów
    59

    Domyślnie

    Sorry za OT, ale wygląda na to, że w mechanizmie autentykacji vB jest mały błąd. Jeżeli wyślemy dwa różne hashe:

    vb_login_md5password=MD5(pass1)
    vb_login_md5password_utf=MD5(pass2)

    wówczas możemy sprawdzić dwa hasła jednym requestem.

    Domyślnie vB blokuje IP, na 15 minut, po 5 nieudanych próbach.
    Wykorzystując tą metodę można sprawdzić 10 haseł / 15 minut. Ot, taka ciekawostka

  4. #4

    Domyślnie

    hehe no w sumie tak, ale sa wieksze bledy w VB ze mozna sie wbic na admina
    uwierz mi na slowo

Podobne wątki

  1. AP + logowanie
    By aggressivex in forum Newbie - dla początkujących!
    Odpowiedzi: 4
    Autor: 01-02-2009, 21:21
  2. logowanie
    By kalipawel in forum Off Topic
    Odpowiedzi: 6
    Autor: 10-17-2007, 11:09
  3. ominięcie logowanie w php
    By gogulas in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 5
    Autor: 09-18-2007, 20:11
  4. logowanie na maila
    By parolL in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 3
    Autor: 04-23-2007, 17:12
  5. logowanie
    By Ewelina in forum Bash
    Odpowiedzi: 1
    Autor: 12-04-2006, 07:58

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj