Настроение:

aggravated

Смотрите, что я нашел
Недавно на меня вышел чел, предлагающий базу хешированных паролей от Ljplus.ru. Говорит, что часто пользователи ставят пароли одни и теже на разные сайты. И что, если подобрать пароль от Лжплюса, то можно и чей-нить ЖЖ ломануть. Хочет он за базу паролей - 5000wmz. Но я-то не дурак, зафига мне хешированные пароли, да еще и от Ljplus.ru, я то знаю, что в связи с последними событиями мало кто держит одинаковые пароли на ЛЖплюсе и ЖЖ, да и процеcсорного времени на полный брутфорс у меня нет.

В общем, выпросил у него тестовый кусок (типа проба товара). Прислал он мне 1051го пользователя, логины которых начинаются на А. Счас запустил брутфорс только по цифрам ... цифры быстро пробегутся, счас уже 7 знаков перебирает. Думаю до 9-ти дойду и остановлюсь, посмотрю что из этого всего подберется.


Вот хеши паролей, которые для удобства сохранил простым текстом. Слева логин, справа хэш пароля, и так 1000+ раз. Кто знает, поймет.
Итак, первым делом я залогинился на ljplus.ru и проверил свои куки. Куки - это то, что сервер оставляет на нашей машине, чтобы при следующем заходе знать, что мы это мы. Вот, что увидел

Картинка сделана в Опере, коей я пользуюсь и считаю "да бест".
Итак, нас интересуют только три поля куков:
1)login 2)pass 3)userid
Досчитав в поле pass до 32 я убедился, что имеет место md5, и разработчики лжеплюса особо не мудрили. Казалось бы, все просто - прописываем пароль и хэш себе в куку и сервер воспринимает нас как любого из представленных пользователей. Что было быстро мною проверено. Однако, чтобы залогинится в Ljplus.ru под любым пользователем из списка, не достаточно указать только поле 1) и 2) в соответствии с приведенным куском, есть еще загадочное поле userid, в котором стоит порядковый номер пользователя в базе. Соответственно его можно либо подобрать, либо подсмотреть где-нить. Где, правда, я еще не понял. В ЖЖ, например, userid пользователя можно определить по второй цифре ссылки аватара (пример - http://userpic.livejournal.com/23183565/53631, userid=53631). Может кто знает подобный способ для Ljplus.ru ?

В общем, кому интересны пароли на Ljplus - разбирайтесь.

PS: Кстати, прежде чем постить все это, я предупредил чела, что выложу этот кусок для всех. Он сказал, что те, кто хочет всю базу пусть пишут ему на strashok@hotmail.com

PSPS: И помните, что в интернете никто не может чувствовать себя в безопасности, а также здесь могут послать на йух.

(c) http://flashr.livejournal.com/16045.html



UPD: Смешно, оказывается все еще есть люди, которые номер своей аськи используют как пароль от ЖЖ