แอบใช้งาน Gmail, Hotmail, Yahoo ของคนอื่นโดยไม่ต้องรู้ password [Archive]

tonynuc

28-08-2007, 10:35 PM

ขออธิบายหลักการคร่าวๆก่อนนะครับ

ปกติเวลาที่เรา login เข้าใช้งาน webmail สำเร็จแล้ว ระบบจะสร้าง session ให้กับเรา

เพื่อจดจำข้อมูลของเราไว้จนกว่าเราจะ logout ซึ่งส่วนใหญ่แล้วข้อมูลของ session นี้จะ

ถูกเก็บไว้ที่ cookie ที่อยู่ใน browser ของเรานี่แหละครับ และ cookie จะไม่ได้ถูก

เข้ารหัสใดๆไว้ ดังนั้นถ้าเราสามารถแอบดูข้อมูลใน cookie ของคนอื่นเราก็สามารถใช้

cookie นั้นเพื่อขโมย session ของคนอื่นได้เพื่อแอบอ่าน email ของคนอื่นได้อย่าง

ง่ายดาย โดยไม่จำเป็นต้องรู้ password เลยครับ แต่บาง website จะทำการจำ ip address ไว้คู่กับ

session ครับดังนั้นเราอาจต้องทำการปลอม ip address ก่อนจึงจะขโมย session ได้ครับ

พอเข้าใจหลักการแล้วลองดูตัวอย่างจริงครับ:

**Hidden Content: Check the thread to see hidden data.**

เราสามารถแอบใช้งาน session นี้โดยที่เจ้าของจริงไม่มีทางรู้ได้เลยครับ แต่จะใชได้

จนกว่าเขาจะ logout ครับ

อิอิ....

0x90
tonynuc

LttHckr

28-08-2007, 11:13 PM

java script:(..) อะไรประมาณนี้ป่าวครับ
พอดีผมก็ไม่ค่อยมีความรู้เรื่องนี้เท่าไรครับ
แต่ไปได้ความรู้ (นิดหน่อย) จากการเล่น try2hack มาครับ

แต่ยังไงก็ขอบคุณครับ

แต่ที่ผมสงสัยจริงๆ คือ ip จะทำการปลอมได้เหรอถ้ามีการใช้ ip นั้นอยู่แล้ว

tonynuc

29-08-2007, 09:09 AM

ไม่เกียวกับ javascript เลยครับเทคนิคนี้อาศัยจุดอ่อนของ cookie และการสร้าง session ครับ

การทำ ip address spoofing อาจจะยากหน่้อยถ้าเป็น public ip เพราะถึงเราปลอม ip ได้เราแล้วก็
แค่ส่งข้อมูลเท่านั้นแต่รับไม่ได้ครับ แต่ถ้าเป็น private ip ก็ปลอมได้ไม่ยากครัย

justtalk

29-08-2007, 02:04 PM

ไม่เกียวกับ javascript เลยครับเทคนิคนี้อาศัยจุดอ่อนของ cookie และการสร้าง session ครับ

การทำ ip address spoofing อาจจะยากหน่้อยถ้าเป็น public ip เพราะถึงเราปลอม ip ได้เราแล้วก็
แค่ส่งข้อมูลเท่านั้นแต่รับไม่ได้ครับ แต่ถ้าเป็น private ip ก็ปลอมได้ไม่ยากครัย[/b]

แล้วเราจะสั่งแก้ไข cookie กับ session ยังไงครับ ถ้าไม่ใช้ javascript :(

java script:alert(document.cookie="session_id=9650e1c744d4e9e23aa1a408809f60ad")

l3asicgolf

29-08-2007, 04:29 PM

โห เยี่ยมคับ ดีเลย แหะๆ จะลองไปทำดูนะคับ ท่าไงจะมาบอกอีกที ว่าได้ผลอะป่าวอิอิ
แต่ตอนนี้ยังดูไม่ได้เลยอะ post ไม่ถึง แต่เร้วๆจะมาดูแน่นอน คับ

tonynuc

29-08-2007, 06:34 PM

java script:alert(document.cookie="session_id=9650e1c744d4e9e23aa1a408809f60ad")
อันนี้ไว้ดู cookie ครับแก้ไม่ได้

การแก้ cookie ทำได้หลายวิธีครับ

**Hidden Content: Check the thread to see hidden data.**

0x90
tonynuc

fang

30-08-2007, 02:17 AM

ผมเป็นเด็กใหม่อยากเรียนรู้มากๆกว่านี้ วอนพวกพี่ๆฝากเนื้อฝากตัวด้วยคับ

nakungza

30-08-2007, 03:14 AM

ขอบคุณครับ เรื่องใช้ javascript ผมก็พอมีพื้นฐานมาจากการเล่น try2hack มาอะครับ แต่ผมยัสงสัยการ

ปลอม ip ทำได้ด้วยหรอครับ เขาทำกันยังอะครับ

kuropika7

30-08-2007, 09:48 AM

ขอบคุณมากๆเลยครับ ได้ความรู้เพิ่มขึ้นมาอีกแล้ว แต่ยังไม่ได้ลองทำจริงเลย เพราะเราต้องรอเค้าเข้าเมล์ของเค้าด้วยใช่ปะครับ
<_< :) :D

dacha53

30-08-2007, 08:07 PM

:P โพสต์ต่อไปครับ

noicmi

31-08-2007, 04:29 AM

ยังคิด ๆ อยู่นิดหน่อยครับว่าต้องทำยังไง

เพราะมีข้อความตอนหนึ่งบอกว่าสามารถใช้ได้จนกว่าคนนั้น ๆ จะ Logout
หมายความว่าเราต้องใช้งานพร้อม ๆ กับเขาหรือครับ

อันนี้คงมาก ๆ เลยครับ

ผมยังไม่ได้อ่านครับเพราะ post มีไม่ถึงแต่ก็ขอขอบคุณไว้ล่วงหน้าเลยครับ

tonynuc

31-08-2007, 09:26 AM

[เพราะมีข้อความตอนหนึ่งบอกว่าสามารถใช้ได้จนกว่าคนนั้น ๆ จะ Logout
หมายความว่าเราต้องใช้งานพร้อม ๆ กับเขาหรือครับ]

ถูกต้องครับ ใช้งานพร้อมๆกับเขาจนกว่าเขาจะ logout ครับโดยที่เขาไม่มีทางรู้ตัว

theclone

02-09-2007, 04:35 PM

โอ้ว เยี่ยมครับ น่าสนจริงๆ
แต่ post ยังไม่ถึง อีกนิดนึงคงได้ดูแล้วหละครับ

golfmanen

03-09-2007, 10:26 PM

เจ๋งดีคับ เเต่สงสัยว่าจะขโมย session นี้ เเต่เป็นเครื่องที่อยู่วงเเลนเดียวกัน หรือว่าเครื่องไหนๆๆก็ได้
เเต่การปลอมไอพี นี่ใช้การเกาะพรอกซี่หรือคับ เเล้วจะรู้ไงว่าsession นั้นมันต้องการ ไอพีไหน

akira2006

05-09-2007, 12:07 AM

ขอบคุณมาก ๆๆ ครับ บางทีอาจจะสืบเมล์ แฟน ก็ได้ เผื่อเด๊วนี้แอบไปมีกิ๊ก อิอิ ขอบคุณครับ

HockEye

05-09-2007, 11:14 AM

โอ้วพี่น้องคับ เล่นกันแบบนี้เลยไม่อยากเชื่อ แต่ไอ้ต้องเล่นพร้อมกันตอนที่เค้าเล่นด้วยเนี้ยมันยากอยู่นา (จะรู้ได้ไงว่าเค้าเล่นตอนไหน) แต่อย่างไงต้องขอขอบคุณมาก ๆ ที่มาแบ่งความรู้กันขอให้เจริญ ๆ จ้า.... :lol:

ketcheykung

30-09-2007, 11:50 AM

เจ๋งดีคับ เเต่สงสัยว่าจะขโมย session นี้ เเต่เป็นเครื่องที่อยู่วงเเลนเดียวกัน หรือว่าเครื่องไหนๆๆก็ได้
เเต่การปลอมไอพี นี่ใช้การเกาะพรอกซี่หรือคับ เเล้วจะรู้ไงว่าsession นั้นมันต้องการ ไอพีไหน
[/b]
อืม... ผมก็สงสัยเหมือนกัน ไอ้เรื่องคุ๊กกี้ กะอะไรพวกนี้ เหมือนไม่ซึมเข้าหัวผมเลย ^_^

Bads

30-09-2007, 02:13 PM

ก็ดีนะครับ แต่ผมใช้วิธีแฮกพาสเวิร์ดแล้วเข้าไปเช็คเองเลยอ่ะ - -
ในวิชาคอมพิวเตอร์ เวลามีโอกาส ผมจะใช้วิธีหลอกล่อให้เพื่อน้sing in msn
โดยใช้เครื่องมือที่หาได้จากเว็บนี้ ลองหาดูนะครับ แล้วผมก้อเข้าไปเช็คเมลให้เพื่อนซะเลย^ ^
ป.ล.ไม่ได้ก่อให้เกิดความเสียหายนะ แค่เล่นสนุกๆน่ะครับ

tonynuc

02-10-2007, 11:23 AM

Hacking is Pure Art
การแฮคเป็นศิลปะอย่างหนึ่ง

If you cant hack the system, you hack the person.
เจาระบบไม่ได้ก็เจาะที่คนใช้ระบบง่ายกว่ากันเยอะ.....

aratanawa

31-03-2008, 01:51 AM

สำหรับ gmail แก้ cookie ตัวนี้ตัวเดียวครับ สามารถสวมรอยได้ 100%
**Hidden Content: Check the thread to see hidden data.**