I
Может, там api есть какой и можно токен получить
Size: a a a
2020 February 19
👾0
пробую вот
N
в чем может быть трабл? словил xsshunter'ом куки админа, отправляю со всеми заголовками и всеми куками (рабочими 100%), все равно страница логина. проверка по ip? либо я куки как то не так ставлю? просто в разных цмс по разному пути кукисов и прочее, может быть еще что то забыл?
А на чём сайт? В некоторых кейсах тебе нужно содержимое локал стораджа, а не кук
👾0
там самопис и я проверил, там куки именно
BF
там самопис и я проверил, там куки именно
Попробуй тогда создать второго пользователя и с его сессиями поэкспериментировать
BF
найди правило, которое регулирует сессии, и юзани его для того, чтобы админа захватить там
👾0
никто не встречал в куках b2uid и b2hash ?
👾0
а все нашел, это pixie
AS
в чем может быть трабл? словил xsshunter'ом куки админа, отправляю со всеми заголовками и всеми куками (рабочими 100%), все равно страница логина. проверка по ip? либо я куки как то не так ставлю? просто в разных цмс по разному пути кукисов и прочее, может быть еще что то забыл?
Httponly/secure?
BF
Httponly/secure?
Он уже словил их
Было бы шттпонли он бы их не своровал
Было бы шттпонли он бы их не своровал
I
в чем может быть трабл? словил xsshunter'ом куки админа, отправляю со всеми заголовками и всеми куками (рабочими 100%), все равно страница логина. проверка по ip? либо я куки как то не так ставлю? просто в разных цмс по разному пути кукисов и прочее, может быть еще что то забыл?
А ты уверен, что ты словил все куки админа?
B
HttpOnly, все такое
VS
Когда не дождались @i_bo0om с его «ты пидор» и открыл для мелкософта направление в игровом бизнесе. ждем отделение по работе со ставками на спорт 😎
http://blog-ambassadors.microsoft.com/
http://blog-ambassadors.microsoft.com/
I
Когда не дождались @i_bo0om с его «ты пидор» и открыл для мелкософта направление в игровом бизнесе. ждем отделение по работе со ставками на спорт 😎
http://blog-ambassadors.microsoft.com/
http://blog-ambassadors.microsoft.com/
домен разделегировали вроде, подними пожалуйста еще раз
VS
не успел рулетку докрутить?))
BF
Когда не дождались @i_bo0om с его «ты пидор» и открыл для мелкософта направление в игровом бизнесе. ждем отделение по работе со ставками на спорт 😎
http://blog-ambassadors.microsoft.com/
http://blog-ambassadors.microsoft.com/
ЛОЛЧТО
Объясни прикол, пожалуйста
Объясни прикол, пожалуйста
VS
ты слишком молод. вот и не знаешь про мтс-ты_пидор 🙃
VS
вообще это из области domain/subdomain_takeover
забыли разделегировать, оплатить - и оп у тебя уже порно, скамеры, гэмблинг или ты_пидор.
забыли разделегировать, оплатить - и оп у тебя уже порно, скамеры, гэмблинг или ты_пидор.
BF
Охрененно. А я позавчера unprivileged API access/DoS нашёл на 600$. И ещё сверху 250$ кинули за хороший репорт.
u
ты слишком молод. вот и не знаешь про мтс-ты_пидор 🙃
да не так уж и давно было)