Главная страница
Главная страница
Поиск по сайту
Каталог файлов
Гостевая книга
Новости сайта
Лента новостей
Для просмотра всех возможностей сайта, вам необходимо пройти процедуру регистрации, либо войти в свой аккаунт.*
*Форма входа и регистрация пользователя, располагается в шапке сайта, либо в блоке "Профиль" на страницах типа "Главная".
Поиск по сайту  RSS канал 
Меню
Мини чат
Реклама


VIP Партнеры


Кланы и Команды



Статистика

Статистика пользователей

   Всего:
   Новых за месяц: 0
   Новых за неделю: 0
   Новых вчера: 0
   Новых сегодня: 0


Счетчик стран

Страны

Счетчики

  
  

Посетители

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Просмотров: 872 Просмотров данной публикации: 872 Комментарии: 0 Комментариев к данной публикации: (0)
Итак... как часто случается в нашей жизни - мы не всегда получаем то чего желаем. Трудности для того и существуют чтобы их преодолевать и, замечу, не всегда самым трудным путём.
Ближе к делу - часто в логах мы получаем неполные данные - холдеры заходят на свои акки без ответов на секретные вопросы, без дополнительных верификаций. Причина может быть во многих факторах - IP, flash (*.sol), слепок системы (набор индивидуальных параметров ПК, которые в совокупности дают очень редкий "рисунок") и cookies. Уверен что есть еще и другие параметры для идентификации, но тут я постараюсь проанализировать последний - cookies (куки).
Думаю 99% кто читает эту статью - понимают для чего и как записываются куки. Если невкурсе - погуглите - это не тайна.
Для примера разберем куки наиболее популярного банка bankofamerica.com. Допустим у нас есть логи компа где холдер заходит без ответов, логин скрыт звездочками... как быть? Некоторое время назад это была для меня неразрешимая задача - щас... все решаемо ;-).
Нам нужен любой акк этого же банка с полным доступом, браузер FireFox и два плагина к нему - Cookies Importer, Cookies Exporter. Суть думаю уловили - будем заходить по полноценному доступу и попытаемся понять как использовать куки и можно ли их использовать вобще для этого банка.
1)Оценка возможности использования только куков для верификации
Берем полноценный акк... заходим на него (ставим всюду галочки типа "запомнить меня" где есть возможность). Запонинаем (записываем) адреса страниц где вводили логин, пасс, ответы и т.д. Выходим правильно - LogOut. Тут же заходим опять и проверяем действительно ли нас запомнил сервер банка - если все ок - делаем экспорт куков после очередного LogOut (используем плагин) в текстовый файл.
Далее чистим куки, меняем IP (в пределах разумного диапазона ;-) ), меняем параметры системы. Вобщем делаем все для того чтобы от старого захода остались только куки (они в текстовом фале). Желательно подождать (если терпеливы) несколько часов - чтобы не было практически одновременных заходов с разных IP. Открываем чистый браузер, импортируем куки (используем плагин) и идем логиниться. Если речь идет о БОА - у вас все получится - куки сработают как часы ;-).
Если не получилось - значит это на тот счастливый случай когда можно обойтись "малой кровью". Продолжайте изучать сайт банка другими способами.
2)Анализ куков - какие из них нам конкретно нужны?
Честно говоря - в 90% своих попытках разобраться в этом вопросе все сводилось к тупому перебору разных куков, их комбинациям. Благо их как правило не так уж много (куков :-) ) Сразу бросаются в галаза куки с названиями включающими слова или фрагментов слов login, ID... сориентируетесь там уже по ситуации. Единственное что могу посоветовать - можно сразу отфильтровать ненужные куки. Когда вы заходите на сайт БОА - вам записывается определенный набор куков. И ежу понятно что они никакого отношения к доступу на акк не имеют.
Рассмотрим пример - куки при заходе на bankofamerica.com

******************************
.ic-live.com TRUE / FALSE 0 pid2 1302191085bD3jH0tU4xO5
.ic-live.com TRUE / FALSE 0 sid1233 1302191085bD3jH0tU4xO5
.bankofamerica.tt.omtrdc.net TRUE /m2/bankofamerica FALSE 0 mboxPC 1302191078960-174401.17
.bankofamerica.tt.omtrdc.net TRUE /m2/bankofamerica FALSE 0 mboxSession 1302191078960-174401
www.bankofamerica.com FALSE / FALSE 0 CMAVID none
www.bankofamerica.com FALSE / FALSE 0 JSESSIONID 0000OPd1-T_ZxM9RxtkCdF_NxJN:15m36m8jo
sofa.bankofamerica.com FALSE / FALSE 0 90010394_reset 1302191089
sofa.bankofamerica.com FALSE / FALSE 0 TestSess3 70201302191086025274579
sofa.bankofamerica.com FALSE / FALSE 0 CoreID6 70201302191086025274579
sofa.bankofamerica.com FALSE / FALSE 0 90010394_login 1302191080018461671490010394
.bankofamerica.com TRUE / FALSE 0 NSC_CbolPgBnfsjdb 445b326f7852
.bankofamerica.com TRUE / FALSE 0 cmTPSet Y
.bankofamerica.com TRUE / FALSE 0 throttle_value 23
.bankofamerica.com TRUE / FALSE 0 TCID 0007af3e-bf7c-4958-967c-a97e0000001e
.bankofamerica.com TRUE / FALSE 0 LANG_COOKIE en_US
.bankofamerica.com TRUE / FALSE 0 INTL_LANG en_US
.bankofamerica.com TRUE / FALSE 0 CONTEXT en_US
.bankofamerica.com TRUE / FALSE 0 BOA_0020 20110407:0:O:bbdc18dc-6b42-408d-a2a8e06eae9a9a1b
.bankofamerica.com TRUE / FALSE 0 TLTUID DCCDBD92612D10619EFAE8E6682ACC6D
.bankofamerica.com TRUE / FALSE 0 TLTSID DCCDBD92612D10619EFAE8E6682ACC6D
bac.com FALSE / FALSE 0 BIGipServerngen-www.80 910603947.20480.0000
.doubleclick.net TRUE / FALSE 0 id 22ada169180100a5||t=1302191085|et=730|cs=bsbqxt2l
***************************

Теперь посмотрим на куки которые мы получим после LogOut с банк-акка

*****************
onlineeast1.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191239723&t2=1302191257296&t3=130219128 558 4<i=1302191275754&ln=&hr=https%3A//onlineeast1.bankofamerica.com/cgi-bin/ias/2/GotoLogout&fti=&fn=%20Online%20Banking%20%7C%20Acc ounts%20Overview_form1%3A0%3B&ac=&fd=&uer=&fu=&pi= %20Online%20Banking%20%7C%20Accounts%20Overview&ho =sofa.bankofamerica.com/eluminate%3F&ci=90010394&ul=https%3A//onlineeast1.bankofamerica.com&rf=https%3A//sitekey.bankofamerica.com/sas/challengeQandA.do
onlineeast1.bankofamerica.com FALSE / FALSE 0 CMAVID none
onlineeast1.bankofamerica.com FALSE / FALSE 0 BOA_COM_CRE heloc
onlineeast1.bankofamerica.com FALSE /cgi-bin/ias/0/E/ TRUE 0 SessionID xmHOHohsLTlU0Qpf6OFlVhZ
onlineeast1.bankofamerica.com FALSE /cgi-bin/ias TRUE 0 SessionID xmHOHohsLTlU0Qpf6OFlVhZ
onlineeast1.bankofamerica.com FALSE / FALSE 0 JSESSIONID 0000xmHOHohsLTlU0Qpf6OFlVhZ:15hbtp9of
.ic-live.com TRUE / FALSE 0 pid2 1302191085bD3jH0tU4xO5
.ic-live.com TRUE / FALSE 0 sid1233 1302191085bD3jH0tU4xO5
offers.bankofamerica.com FALSE / FALSE 0 CMAVID none
offers.bankofamerica.com FALSE / FALSE 0 ASP.NET_SessionId d2fgd255fracdo45kaa5g345
.yahoo.com TRUE / FALSE 0 B duebpll6prn7t&b=3&s=os
.bankofamerica.tt.omtrdc.net TRUE /m2/bankofamerica FALSE 0 mboxPC 1302191078960-174401.17
.bankofamerica.tt.omtrdc.net TRUE /m2/bankofamerica FALSE 0 mboxSession 1302191078960-174401
.advertising.com TRUE / FALSE 0 C2 +zdnNRLPIw+qGAH
www.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191045895&t2=1302191090349&t3=130219113 898 3&fti=1302191133798&fn=homepageContentPersonalho me _personal_SiteSearchForm%3A0%3BhomepageContentPers onalhome_personal_frmSignIn%3A1%3BhomepageContentP ersonalhome_personal_stateSelectForm%3A2%3Bhomepag eContentPersonalhome_personal_frmLocator%3A3%3Bhom epageContentPersonalhome_personal_otherServices%3A 4%3B&ac=1:S&fd=1%3A17%3Aid%3B1%3A17%3Aid%3B1%3A19% 3Arembme%3B1%3A22%3Astateselect%3B1%3A18%3Aolb_sig nin%3B&uer=&fu=https%3A//sitekey.bankofamerica.com/sas/signon.do&pi=homepage%3AContent%3APersonal%3Bhome_ personal&ho=sofa.bankofamerica.com/eluminate%3F&ci=90010394
www.bankofamerica.com FALSE / FALSE 0 CMAVID none
www.bankofamerica.com FALSE / FALSE 0 JSESSIONID 0000OPd1-T_ZxM9RxtkCdF_NxJN:15m36m8jo
sitekey.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191193471&t2=1302191194916&t3=130219122 666 0&t4=1302191189951&fti=1302191216251&fn=OLBPRODU CT ONLINE_BANKINGSITEKEY_verifyImageForm%3A0%3B&ac=0: S&fd=0%3A6%3Apasscode%3B&uer=&fu=/sas/verifyImage.do&pi=OLB%3APRODUCT%3AONLINE_BANKING%3 BSITEKEY&ho=sofa.bankofamerica.com/eluminate%3F&ci=90010394
sitekey.bankofamerica.com FALSE / FALSE 0 state NC
sitekey.bankofamerica.com FALSE / FALSE 0 CMAVID none
sitekey.bankofamerica.com FALSE / TRUE 0 PMData PMV2AA0h5tuV2dV7QrEhxd3EeR2POjzyjCdFCHLhzRl+5ctMTu Uzv80jaN/q5H4pQ0NELd/samzVQRMmjLLdK3lLoNUi3+nc16oYozaKUNg40xZnEcxF2CpjA FGGGOqwZmH0Ws
sitekey.bankofamerica.com FALSE / FALSE 0 GSLSESSIONID 0000czSDREPunLXopMfOaYSoOYN:13k5uooic
sofa.bankofamerica.com FALSE / FALSE 0 90010394_reset 1302191343
sofa.bankofamerica.com FALSE / FALSE 0 TestSess3 70201302191086025274579
sofa.bankofamerica.com FALSE / FALSE 0 CoreID6 70201302191086025274579
sofa.bankofamerica.com FALSE / FALSE 0 90010394_login 1302191080018461671490010394
.bankofamerica.com TRUE / FALSE 0 NSC_CbolPgBnfsjdb 445b326f7852
.bankofamerica.com TRUE / FALSE 0 throttle_value 23
.bankofamerica.com TRUE / FALSE 0 TLTUID DCCDBD92612D10619EFAE8E6682ACC6D
.bankofamerica.com TRUE / FALSE 0 TLTSID DCCDBD92612D10619EFAE8E6682ACC6D
.bankofamerica.com TRUE / FALSE 0 mbox check#true#1302191378|session#1302191289716-573450#1302193178|disable#browser%20timeout#130219 4914
.bankofamerica.com TRUE / TRUE 0 olb_makePayment_state showMakePayment:1
.bankofamerica.com TRUE / FALSE 0 olb_header billpay:1|transfer:1|investment:1|payroll:0|bustoo ls:0|openacct:1|alert:1|myPortfolio:1|newbill:0|ne wmail:0
.bankofamerica.com TRUE / FALSE 0 olb_signin_prefill_multi merv*****:04/07/2011
.bankofamerica.com TRUE / TRUE 0 olb_signin_prefill_multi_secure merv*****:82F69B23A23FDB870D26F20144A123C4F0BC5DFD A89DA0D6:04/07/2011
.bankofamerica.com TRUE / FALSE 0 BOA_WMEL M
.bankofamerica.com TRUE / FALSE 0 BA_0021 OLB
.bankofamerica.com TRUE / TRUE 0 LANG_COOKIE en_US
.bankofamerica.com TRUE / FALSE 0 SERVERID 1302191224040_26278_98
.bankofamerica.com TRUE / FALSE 0 targetdomain https://onlineeast1.bankofamerica.com
.bankofamerica.com TRUE / TRUE 0 queue_indicator GAIMW
.bankofamerica.com TRUE / FALSE 0 session_start_time 1302191217577
.bankofamerica.com TRUE / TRUE 0 cpk rO0ABXNyACdjb20uaWJtLndzLm9iamVjdGdyaWQuU2Vzc2lvbk hhbmRsZUltcGwa7TWmxGjDEAwA%0AAHhwdwURAAADkng%3D
.bankofamerica.com TRUE / FALSE 0 WAOR 1726259115.281.0000
.bankofamerica.com TRUE / FALSE 0 state NC
.bankofamerica.com TRUE / FALSE 0 cmTPSet Y
.bankofamerica.com TRUE / FALSE 0 TCID 0007af3e-bf7c-4958-967c-a97e0000001e
.bankofamerica.com TRUE / FALSE 0 INTL_LANG en_US
.bankofamerica.com TRUE / FALSE 0 CONTEXT en_US
.bankofamerica.com TRUE / FALSE 0 BOA_0020 20110407:0:O:bbdc18dc-6b42-408d-a2a8e06eae9a9a1b
bac.com FALSE / FALSE 0 BIGipServerngen-www.80 910603947.20480.0000
.doubleclick.net TRUE / FALSE 0 id 22ada169180100a5||t=1302191085|et=730|cs=bsbqxt2l
***************************

Если из №2 забрать те что встречаются в №1, куки которые не имеют никакого отношения к домену bankofamerica.com, ну и всякие там offers, sofa, advertising (эти типа рекламы - чтобы банк помнил что он вам предлагал и от чего вы отказались) - то получим впринципе то что прямо или косвенно имеет отношение к логину на банк-акк. А именно в нашем случае:

**********************************
onlineeast1.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191239723&t2=1302191257296&t3=130219128 558 4<i=1302191275754&ln=&hr=https%3A//onlineeast1.bankofamerica.com/cgi-bin/ias/2/GotoLogout&fti=&fn=%20Online%20Banking%20%7C%20Acc ounts%20Overview_form1%3A0%3B&ac=&fd=&uer=&fu=&pi= %20Online%20Banking%20%7C%20Accounts%20Overview&ho =sofa.bankofamerica.com/eluminate%3F&ci=90010394&ul=https%3A//onlineeast1.bankofamerica.com&rf=https%3A//sitekey.bankofamerica.com/sas/challengeQandA.do
onlineeast1.bankofamerica.com FALSE / FALSE 0 BOA_COM_CRE heloc
onlineeast1.bankofamerica.com FALSE /cgi-bin/ias/0/E/ TRUE 0 SessionID xmHOHohsLTlU0Qpf6OFlVhZ
onlineeast1.bankofamerica.com FALSE /cgi-bin/ias TRUE 0 SessionID xmHOHohsLTlU0Qpf6OFlVhZ
onlineeast1.bankofamerica.com FALSE / FALSE 0 JSESSIONID 0000xmHOHohsLTlU0Qpf6OFlVhZ:15hbtp9of
www.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191045895&t2=1302191090349&t3=130219113 898 3&fti=1302191133798&fn=homepageContentPersonalho me _personal_SiteSearchForm%3A0%3BhomepageContentPers onalhome_personal_frmSignIn%3A1%3BhomepageContentP ersonalhome_personal_stateSelectForm%3A2%3Bhomepag eContentPersonalhome_personal_frmLocator%3A3%3Bhom epageContentPersonalhome_personal_otherServices%3A 4%3B&ac=1:S&fd=1%3A17%3Aid%3B1%3A17%3Aid%3B1%3A19% 3Arembme%3B1%3A22%3Astateselect%3B1%3A18%3Aolb_sig nin%3B&uer=&fu=https%3A//sitekey.bankofamerica.com/sas/signon.do&pi=homepage%3AContent%3APersonal%3Bhome_ personal&ho=sofa.bankofamerica.com/eluminate%3F&ci=90010394
sitekey.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191193471&t2=1302191194916&t3=130219122 666 0&t4=1302191189951&fti=1302191216251&fn=OLBPRODU CT ONLINE_BANKINGSITEKEY_verifyImageForm%3A0%3B&ac=0: S&fd=0%3A6%3Apasscode%3B&uer=&fu=/sas/verifyImage.do&pi=OLB%3APRODUCT%3AONLINE_BANKING%3 BSITEKEY&ho=sofa.bankofamerica.com/eluminate%3F&ci=90010394
sitekey.bankofamerica.com FALSE / FALSE 0 state NC
sitekey.bankofamerica.com FALSE / FALSE 0 CMAVID none
sitekey.bankofamerica.com FALSE / TRUE 0 PMData PMV2AA0h5tuV2dV7QrEhxd3EeR2POjzyjCdFCHLhzRl+5ctMTu Uzv80jaN/q5H4pQ0NELd/samzVQRMmjLLdK3lLoNUi3+nc16oYozaKUNg40xZnEcxF2CpjA FGGGOqwZmH0Ws
sitekey.bankofamerica.com FALSE / FALSE 0 GSLSESSIONID 0000czSDREPunLXopMfOaYSoOYN:13k5uooic
.bankofamerica.com TRUE / FALSE 0 mbox check#true#1302191378|session#1302191289716-573450#1302193178|disable#browser%20timeout#130219 4914
.bankofamerica.com TRUE / TRUE 0 olb_makePayment_state showMakePayment:1
.bankofamerica.com TRUE / FALSE 0 olb_header billpay:1|transfer:1|investment:1|payroll:0|bustoo ls:0|openacct:1|alert:1|myPortfolio:1|newbill:0|ne wmail:0
.bankofamerica.com TRUE / FALSE 0 olb_signin_prefill_multi mirv*****:04/07/2011
.bankofamerica.com TRUE / TRUE 0 olb_signin_prefill_multi_secure mirv*****:82F69B56A23FDB870D26F20144A178C4F0BC5DFD A89DA0D6:04/07/2011
.bankofamerica.com TRUE / FALSE 0 BOA_WMEL M
.bankofamerica.com TRUE / FALSE 0 BA_0021 OLB
.bankofamerica.com TRUE / TRUE 0 LANG_COOKIE en_US
.bankofamerica.com TRUE / FALSE 0 SERVERID 1302191224040_26278_98
.bankofamerica.com TRUE / FALSE 0 targetdomain https://onlineeast1.bankofamerica.com
.bankofamerica.com TRUE / TRUE 0 queue_indicator GAIMW
.bankofamerica.com TRUE / FALSE 0 session_start_time 1302191217577
.bankofamerica.com TRUE / TRUE 0 cpk rO0ABXNyACdjb20uaWJtLndzLm9iamVjdGdyaWQuU2Vzc2lvbk hhbmRsZUltcGwa7TWmxGjDEAwA%0AAHhwdwURAAADkng%3D
.bankofamerica.com TRUE / FALSE 0 WAOR 1726259115.281.0000
.bankofamerica.com TRUE / FALSE 0 state NC
***********************************

Уже меньше не так ли? Теперь уже надо смотреть что конкретно мы ищем. Логин и штат мы вводим на главное странице банка - тоесть надо искать куки с страниц ".bankofamerica.com".
Думаю штат уже увидели все:

*****************
.bankofamerica.com TRUE / FALSE 0 state NC
*****************

Логин, который часто скрыт в логах и показан фрагментом текста со звездочками - тут тоже в наличии:

********************
.bankofamerica.com TRUE / FALSE 0 olb_signin_prefill_multi mirv*****:04/07/2011
.bankofamerica.com TRUE / TRUE 0 olb_signin_prefill_multi_secure mirv*****:82F69B23A23FDB230D26F20144A123C4F0BC5DFD A81DA0D6:04/07/2011
********************

Если вы импортируете эти куки - на главной странице вам надо будет только нажать кнопку "SignIn". Все данные уже вытянутся с куков.

Страница где задаются вопросы находится на домене sitekey.bankofamerica.com. там же и находится поле для ввода Passcode - другими словами - в этих куках и надо искать наш ключик к обходу вопросов. Вполне очевидно что из всех куков этого домена - наиболее вероятно информация сохранена в этих:

****************************
sitekey.bankofamerica.com FALSE / FALSE 0 cmRS &t1=1302191193471&t2=1302191194916&t3=130219122 666 0&t4=1302191189951&fti=1302191216251&fn=OLBPRODU CT ONLINE_BANKINGSITEKEY_verifyImageForm%3A0%3B&ac=0: S&fd=0%3A6%3Apasscode%3B&uer=&fu=/sas/verifyImage.do&pi=OLB%3APRODUCT%3AONLINE_BANKING%3 BSITEKEY&ho=sofa.bankofamerica.com/eluminate%3F&ci=90010394
sitekey.bankofamerica.com FALSE / TRUE 0 PMData PMV2AA0h5tuV2dV7QrEhxd3EeR2POjzyjCdFCHLhzRl+5ctMTu Uzv80jaN/q5H4pQ0NELd/samzVQRMmjLLdK3lLoNUi3+nc16oYozaKUNg40xZnEcxF2CpjA FGGGOqwZmH0Ws
sitekey.bankofamerica.com FALSE / FALSE 0 GSLSESSIONID 0000czSDREPunLXopMfOaYSoOYN:13k5uooic
****************************

тут уж опытным путем было установлено что нас интересует только этот:

***************************
sitekey.bankofamerica.com FALSE / TRUE 0 PMData PMV2AA0h5tuV2dV7QrEhxd3EeR2POjzyjCdFCHLhzRl+5ctMTu Uzv80jaN/q5H4pQ0NELd/samzVQRMmjLLdK3lLoNUi3+nc16oYozaKUNg40xZnEcxF2CpjA FGGGOqwZmH0Ws
***************************

Подведение итогов: При поиске акков БОА в логах можно столкнуться с 2 проблемами - отсутствие полного ID и ответов на вопросы. Имея набор куков PMData и olb_signin_prefill_multi - можно спокойно обойти эти неприятности ;-)
Аналогично можно поступать с другими банками - только не надо слепо следовать этому плану.. это всеголишь образец. Включайте мозги и анализируйте. Успехов всем в этом нелегком деле.
Добавил: www1Публикацию добавил: www1 Дата: 07.01.2012Дата добавления публикации: 07.01.2012


Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Профиль


Top 5
    TOP Пользователей
    vasiliy_petrov245
    Сообщений: 433
    Комментариев: 0
    stepakov
    Сообщений: 428
    Комментариев: 0
    HACKERus
    Сообщений: 95
    Комментариев: 0
    vaskas122
    Сообщений: 79
    Комментариев: 0
    www1
    Сообщений: 63
    Комментариев: 0