|
Título: Robo de cookies mediante imagen .htaccess + php. Publicado por: Xyzed en 2 Diciembre 2020, 04:40 am Hola a todos ;D
Tengo un foro en SMF 2.0.17 e investigando aprendí una forma de "ataque" que sirve para averiguar la dirección ip de un usuario en un foro mediante una imagen. Esto funciona acomodando con htaccess una imagen para que lea código php al ser visualizada. Esto lo logre con la siguiente sentencia en .htaccess: Código Después de eso simplemente en el foro deberías colocar el link de la imagen en un posteo o enviarlo por mensaje privado y gracias al htaccess, la "imagen", leerá el php (programado con posterioridad para recibir la ip y enviarla a un txt o un update mysql) y obtendrías la dirección ip del receptor. Luego de poder comprobar que esto funcionaba, me puse a intentar realizar varias cosas más, como un robo de cookies mediante la misma imagen con js o php + htaccess. Pero lamentablemente no pude lograr obtener lo que intentaba, simplemente el archivo me seguía devolviendo únicamente la dirección IP. ¿Hay alguna forma de poder obtener las cookies de sesión mediante dicha imagen "pre-programada"?. O por otra parte, ¿hay alguna forma de recibir una cookie de otro dominio en el mio? Son simplemente dudas que tengo sobre el tema y me parece bastante interesante averiguarlo. Espero su respuesta, ¡saludos! Título: Re: Robo de cookies mediante imagen .htaccess + php. Publicado por: Danielㅤ en 2 Diciembre 2020, 15:05 pm Hola, las cookies no creo que puedas obtenerlas porque cuando intentas obtener las cookies el navegador sabe que están intentando recibir las mismas desde otro dominio, ya que la imagen en el foro es como si fuera un iframe.
Pero podes obtener otros datos, si logras que el usuario en su navegador pueda procesar código js y la salida de un PHP, entonces podes hacer muchas cosas con eso. Saludos Título: Re: Robo de cookies mediante imagen .htaccess + php. Publicado por: el-brujo en 2 Diciembre 2020, 17:59 pm Llamando a @XSStringManolo
Título: Re: Robo de cookies mediante imagen .htaccess + php. Publicado por: Xyzed en 2 Diciembre 2020, 23:26 pm si logras que el usuario en su navegador pueda procesar código js y la salida de un PHP, entonces podes hacer muchas cosas con eso. Claro, eso es lo que intento procesar para poder realizar varias cosas que se me vienen a la mente. Llamando a @XSStringManolo Un genio @XSStringManolo, me dio una solución por privado que me sirvió bastante, espero que pueda ayudarme con este asunto :rolleyes: |