Nov 18, 2012
7 Min
Facile

Sur le web, on tombe souvent sur des articles expliquant comment récupérer les cookies d’une victime avec des outils de sniffing ou avec l’exploitation des failles XSS. Par contre, on ne trouve jamais la méthode pour exploiter  le cookie.


En général, le cookie est un petit fichier texte, qui est stocké par un site web sur votre disque dur. Ce stockage est réalisé par votre navigateur. Cela est utilisé par le site web que vous visitez pour vous reconnaître. Aussi, quand plusieurs jours après votre visite, vous revenez sur le même site, celui-ci demandera votre cookie, et s’il est encore présent sur votre disque dur, le site web lira les informations contenues dans le cookie et vous redirigera vers votre session sans authentification.

Le but du hacker, est donc généralement de voler le cookie de sa victime pour en exploiter le contenu.

Dans cet article, nous allons voir comment exploiter et utiliser le cookie. En supposant que vous avez déjà récupéré le cookie d’un cible à l’aide d’un sniffer ou à l’aide d’une attaque par le milieu ou peut être en accédant directement a l’ordinateur d’un proche.

J’ai le cookie de la victime mais comment l’exploiter ?

Pour cela, vous aurez besoin des outils suivant :

  • Greasemonkey
    Greasemonkey est un Addon pour Firefox qui permet d’utiliser des scripts en JavaScript sur les différentes pages web.
  • Cookie injector
    Cookies Injector est un script qui permet d’injecter la chaîne de cookie dans n’importe quelle page Web.

Exemple d’utilisation

Après avoir installer les deux outils, on va récupérer le cookie d’un compte Facebook sur un navigateur chrome et l’injecter sur le navigateur Firefox (ça reste  le même principe pour l’utilisation des cookies des autres sites web).

Pour cela, veuillez suivre les étapes ci-dessous:

  1. Ouvrez votre navigateur chrome puis lancez www.facebook.com , entrez le login et le mot de passe
  2. Ensuite tapez dans la barre d’adresse le code suivant : » javascript:document.cookie » afin de recupérer le cookie du compte facebook
  3. Copiez le cookie affiché
  4. Maintenant ouvrez Facebook dans le navigateur Firefox
  5. Tapez les touches suivantes : ALT + C
  6. Coller le cookie dans le champ texte


  7. Enfin relancer Facebook ainsi vous pouvez accéder à votre session sur le navigateur Firefox sans avoir validé le moindre identifiant ni mot de passe.

Pour accéder à la session d’une cible, changer seulement votre cookie par le cookie de la victime. 🙂

4 Commentaires

  1. Mohamed Rifak

    tiens, je viens de voir cet article, mais apparement ce n’est pas aussi simple pour un grand site comme facebook, sinon ça marche pour d’autre xP Merci encore

  2. Abou Le Cavalier Sanstete

    Cela ne marche plus car lorsque lon met le cookie dans le cookie injector et que l’on actualise rien ne se passe .