• XSS.stack #1 – первый литературный журнал от юзеров форума

Обязательная двух-факторная авторизация на Exploit.IN

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
Телефон где был установлен гугл аутен потерян. Остался код настройки код типа SDFLgh3SD******. Ввел его в гугл актер на новом телефоне - каждые 30 сек появляется новый код, но в аккаунт так и не пускает. Это я что-то делаю не так или код настройки не правильный у меня?
Кто нибудь может объяснить как это технически работает? Ввел там на шару случайный набор букв - тоже шлёт коды
 
larryalcina сказал(а):
Телефон где был установлен гугл аутен потерян. Остался код настройки код типа SDFLgh3SD******. Ввел его в гугл актер на новом телефоне - каждые 30 сек появляется новый код, но в аккаунт так и не пускает. Это я что-то делаю не так или код настройки не правильный у меня?
скорее всего на телефоне установлено неправильное время.
larryalcina сказал(а):
Кто нибудь может объяснить как это технически работает? Ввел там на шару случайный набор букв - тоже шлёт коды
путём хитроумных манипуляций из строки типа SDFLgh3SD****** плюс текущего времени получается строка из 6 цифр.
если на телефоне и на сервере в функцию введена одинаковая строка и время (с разницей +/- 30 сек), то 6 цифр будут одинаковые, так и производится проверка 2FA.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Dread Pirate Roberts сказал(а):
если на телефоне и на сервере в функцию введена одинаковая строка и время (с разницей +/- 30 сек), то 6 цифр будут одинаковые, так и производится проверка 2FA.
То есть при первой настройке гугл аутен с этим кодом настройки, сервер гугла синхронизировал время с моим прошлым телефоном?
Сейчас есть смысл на трубке менять время, например, увеличить или убавить на 2 минуты?
 
larryalcina сказал(а):
То есть при первой настройке гугл аутен с этим кодом настройки, сервер гугла синхронизировал время с моим прошлым телефоном?
время сравнивается не на сервере гугла, а на том, который выдаёт и проверяет код 2FA, в данном случае - сервер exploit.in
и этот сервер не синхронизирует время с телефоном, а подразумевается, что и на сервере, и на телефоне, время установлено верно - часы не спешат и не отстают.

larryalcina сказал(а):
Сейчас есть смысл на трубке менять время, например, увеличить или убавить на 2 минуты?
это ни в коем случае делать нельзя, тогда 2FA точно работать не будет!

Dread Pirate Roberts сказал(а):
путём хитроумных манипуляций из строки типа SDFLgh3SD****** плюс текущего времени получается строка из 6 цифр.
если на телефоне и на сервере в функцию введена одинаковая строка и время (с разницей +/- 30 сек), то 6 цифр будут одинаковые, так и производится проверка 2FA.
предположим, что на сервере время 14:35:11 GMT, и функция (SDFLgh3SD****** + 14:35:11 GMT) выдаёт код 970660. эта функция будет выдавать этот же код ближайшие 30 секунд, до 14:35:30 GMT.
если на телефоне время от 14:35:00 до 14:35:30, то функция (SDFLgh3SD****** + 14:35:** GMT) тоже выдаст код 970660 и будет выдавать его до 14:35:30 GMT.
когда на сервере время станет 14:35:31 GMT, то функция (SDFLgh3SD****** + 14:35:31 GMT) выдаст новый код, например 027614. когда на телефоне время станет 14:35:31 GMT, то там тоже будет код 027614.
но если на сервере уже 14:35:31 GMT, а на телефоне ещё 14:35:29 GMT, то на сервере уже будет код 027614, а на телефоне ещё 970660, и верификация 2FA не сработает.

именно поэтому, чтобы учитывать погрешность времени плюс-минус 1 минута на разных девайсах, разработчикам сайтов рекомендуется на сервере проверять сразу три кода: текущий, предыдущий (30 секунд назад) и будущий (30 секунд вперёд), но этой рекомендации быдлокодерыразработчики обычно не следуют, поэтому нужно выставлять точное время на телефоне и надеяться, что на сервере оно тоже точное.

хотя да, можно попробовать сделать так: выставить на телефоне время +1 или +2 минуты, запомнить выданный код, и пытаться ввести его несколько раз через каждые 30 секунд.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Dread Pirate Roberts сказал(а):
время сравнивается не на сервере гугла, а на том, который выдаёт и проверяет код 2FA, в данном случае - сервер exploit.in
и этот сервер не синхронизирует время с телефоном, а подразумевается, что и на сервере, и на телефоне, время установлено верно - часы не спешат и не отстают.


это ни в коем случае делать нельзя, тогда 2FA точно работать не будет!


предположим, что на сервере время 14:35:11 GMT, и функция (SDFLgh3SD****** + 14:35:11 GMT) выдаёт код 970660. эта функция будет выдавать этот же код ближайшие 30 секунд, до 14:35:30 GMT.
если на телефоне время от 14:35:00 до 14:35:30, то функция (SDFLgh3SD****** + 14:35:** GMT) тоже выдаст код 970660 и будет выдавать его до 14:35:30 GMT.
когда на сервере время станет 14:35:31 GMT, то функция (SDFLgh3SD****** + 14:35:31 GMT) выдаст новый код, например 027614. когда на телефоне время станет 14:35:31 GMT, то там тоже будет код 027614.
но если на сервере уже 14:35:31 GMT, а на телефоне ещё 14:35:29 GMT, то на сервере уже будет код 027614, а на телефоне ещё 970660, и верификация 2FA не сработает.

именно поэтому, чтобы учитывать погрешность времени плюс-минус 1 минута на разных девайсах, разработчикам сайтов рекомендуется на сервере проверять сразу три кода: текущий, предыдущий (30 секунд назад) и будущий (30 секунд вперёд), но этой рекомендации быдлокодерыразработчики обычно не следуют, поэтому нужно выставлять точное время на телефоне и надеяться, что на сервере оно тоже точное.

хотя да, можно попробовать сделать так: выставить на телефоне время +1 или +2 минуты, запомнить выданный код, и пытаться ввести его несколько раз через каждые 30 секунд.
Попробовал и с задержкой код вводить и время на телефоне поменял - все тщетно :(
 
Пожалуйста, обратите внимание, что пользователь заблокирован
У меня все работает. Зачем на телефон его ставить? Можно же поставить расширение для браузера. Это проще и удобно.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
weaver сказал(а):
У меня все работает. Зачем на телефон его ставить? Можно же поставить расширение для браузера. Это проще и удобно.
Изначально на скорую руку нужно было на эксп зайти, а там поставили эту 2фа обязаловкой, быстро сделал не вникая особо, но код настойки сохранил и вот так аккаунт ушел походу :(
 
larryalcina сказал(а):
Изначально на скорую руку нужно было на эксп зайти, а там поставили эту 2фа обязаловкой, быстро сделал не вникая особо, но код настойки сохранил и вот так аккаунт ушел походу :(
напиши админу экспа этот код, пусть он сравнит с тем, что в базе.
если в базе такой же код - то это будет подтверждением, что это действительно твой аккаунт, и что у тебя проблемы с телефоном. если другой - значит, ты пытаешься угнать чей-то чужой аккаунт :)

а ещё попробуй другой софт. например, я пользуюсь https://github.com/andOTP/andOTP и всё отлично работает.
 
Коды-шмоды для подобных форумов такое себе. Когда такое новшество вводили, на экспе многие писали про проёб телефонов с приложениями и кодом соответственно и т.п. В итоге так и есть. Но благо секретку оставили, а изначально онли аудентификатор хотели
 
Eleven сказал(а):
Коды-шмоды для подобных форумов такое себе. Когда такое новшество вводили, на экспе многие писали про проёб телефонов с приложениями и кодом соответственно и т.п. В итоге так и есть. Но благо секретку оставили, а изначально онли аудентификатор хотели
Так админам экспы только в кайф что бы ребята заного покупали новые акки за 200 баксов each. :smile50:🤣🤪
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх