Robo de cookies mediante imagen .htaccess + php.

Iniciado por Xyzed, 2 Diciembre 2020, 04:40 AM

0 Miembros y 1 Visitante están viendo este tema.

Xyzed

Hola a todos ;D
Tengo un foro en SMF 2.0.17 e investigando aprendí una forma de "ataque" que sirve para averiguar la dirección ip de un usuario en un foro mediante una imagen. Esto funciona acomodando con htaccess una imagen para que lea código php al ser visualizada.
Esto lo logre con la siguiente sentencia en .htaccess:

Código (php) [Seleccionar]
RewriteEngine on
RewriteRule imagen.png archivo.php [NC]

Después de eso simplemente en el foro deberías colocar el link de la imagen en un posteo o enviarlo por mensaje privado y gracias al htaccess, la "imagen", leerá el php (programado con posterioridad para recibir la ip y enviarla a un txt o un update mysql) y obtendrías la dirección ip del receptor.
Luego de poder comprobar que esto funcionaba, me puse a intentar realizar varias cosas más, como un robo de cookies mediante la misma imagen con js o php + htaccess. Pero lamentablemente no pude lograr obtener lo que intentaba, simplemente el archivo me seguía devolviendo únicamente la dirección IP.
¿Hay alguna forma de poder obtener las cookies de sesión mediante dicha imagen "pre-programada"?.
O por otra parte, ¿hay alguna forma de recibir una cookie de otro dominio en el mio?
Son simplemente dudas que tengo sobre el tema y me parece bastante interesante averiguarlo.
Espero su respuesta, ¡saludos!
...

Danielㅤ

Hola, las cookies no creo que puedas obtenerlas porque cuando intentas obtener las cookies el navegador sabe que están intentando recibir las mismas desde otro dominio, ya que la imagen en el foro es como si fuera un iframe.

Pero podes obtener otros datos, si logras que el usuario en su navegador pueda procesar código js y la salida de un PHP, entonces podes hacer muchas cosas con eso.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

el-brujo


Xyzed

Cita de: [D]aniel en  2 Diciembre 2020, 15:05 PM
si logras que el usuario en su navegador pueda procesar código js y la salida de un PHP, entonces podes hacer muchas cosas con eso.

Claro, eso es lo que intento procesar para poder realizar varias cosas que se me vienen a la mente.


Cita de: el-brujo en  2 Diciembre 2020, 17:59 PM
Llamando a @XSStringManolo
Un genio @XSStringManolo, me dio una solución por privado que me sirvió bastante, espero que pueda ayudarme con este asunto  :rolleyes:
...