Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Залить шелл через http запрос (https://forum.antichat.xyz/showthread.php?t=28382)

serg™ 02.12.2006 18:59
Залить шелл через http запрос
 
Скажу сразу, ничего в этом не смыслю=))

Есть сайт, принял куки вида :
cookie_test=please_accept_for_session;PHP_SESSION_ NAME=<img+src=http://сайт.com/123.gif+onload=alert(тест)>;b=b

То есть вывел загруженный 123.gif в теле сайта и сработал алерт. Можно ли этим как то воспользоваться и залить шелл?

Lombardo 03.12.2006 11:43
Цитата:
Сообщение от serg™
Скажу сразу, ничего в этом не смыслю=))

Есть сайт, принял куки вида :
cookie_test=please_accept_for_session;PHP_SESSION_ NAME=<img+src=http://сайт.com/123.gif+onload=alert(тест)>;b=b

То есть вывел загруженный 123.gif в теле сайта и сработал алерт. Можно ли этим как то воспользоваться и залить шелл?
Может всетаки откроеш страшную тайну - что за сайт (url)?.. Дело в том, что предоставленой тобой информации явно не достаточно, что бы зделать какие-то выводы.

serg™ 03.12.2006 17:27
Lombardo, какая ещё инфа нужна? на сайте включены куки (есть авторизация) - и при подмене куков на перечисленные выше они сработали. Загрузился gif и вывелся на страницу+ сработал алерт.

FQziT 03.12.2006 19:29
Цитата:
Можно ли этим как то воспользоваться и залить шелл?
С помощью этого ты шелл не зальёшь.

TaNkist 03.12.2006 19:30
Скорее всего Нет, это обычная Xss-ка.

Lombardo 05.12.2006 17:27
Цитата:
Сообщение от serg™
Lombardo, какая ещё инфа нужна? на сайте включены куки (есть авторизация) - и при подмене куков на перечисленные выше они сработали. Загрузился gif и вывелся на страницу+ сработал алерт.
Это типичная XXS, толку от нее мало. Но, возможно еще что-то помимо этого есть.


Время: 07:24