Форум АНТИЧАТ - Хак ucoz.ru помогите подделать куки.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Болталка (https://forum.antichat.xyz/forumdisplay.php?f=46)

- - Хак ucoz.ru помогите подделать куки. (https://forum.antichat.xyz/showthread.php?t=60391)

Хак ucoz.ru помогите подделать куки.

Проблемма в следующем, обнаружил активную xss))
Перехватываю куки но не могу перехватить сессию. Что не так?

Код:

0banderlogiuzfss=lt=1201638915,pst=1201588163; 0banderlogif0=FQASTZ9HBwDiaJ9HEQDcSZ9HAgDCiJ9HEgABSp9HEADShJ9HFABIUJ9HCgDEZ59HFgDQi59HFwB3iJ9HDQCNaJ9HBgBjF59HAwCcaJ9HDwA6YZ9HCACKZ59HEwAvSp9HBQAmZ59HDQD2i59H; 

0banderlogifpo=FgAB; 

0lovefavourucvid=c4VJM0X9nu;

0romeo-richucvid=ynUfb0NrUg; 

0scorpion-denisucvid=R6krc0RxO9; 

0ucozucvid=L78MJ2uQyw; UcoZs=sid=44938667908570824,u=bander-logi,d=0,ll=0,server=s14; 

0banderlogiuzll=1201638178; 

0banderlogiuispm=0-0; UcoZso=; 0banderlogipoc=AwE=; 0banderlogiUcoZ=uz=3eae580c8f2024f9e71f0cbde3b61c70b031c8eac87de2a55ccdb186a96b5123d24232062823bbeb09df884e6466ed0d025cec1a1640a37303db6ad29749cc7181731c8064c4f1e29ae516038ae625e1d53b0d02b0e9ed3e5230c137b490aad56bb4e2b01d3088d7efe84379ceda09e07ade63b23a583135d75853f45d9bfdb41e79eac2ecff125648a98b77c3eb28226efc9d945c36b31b64c7fdbaf1e424452df9a4896d9656bb9b3cbe30796ecb2c37850796541c87dd,ses=6134343235326d774f706e5232f48a

вот пример перехваченой куки, админа(знаю его ip).
юзаю "мини-браузер" и оперу, но каждый раз разочаровываюсь)) Что не так? Хочу получить доступ к /tmpls/ Возможно истёк срок?!

Посоветуйте можно ли вытянуть пасс?
Какой эффективный скрипт можно впаять для похищения паса если я имею доступ к страничке авторизации пользователя?

Цитата:

Сообщение от FluffY

Проблемма в следующем, обнаружил активную xss))
Перехватываю куки но не могу перехватить сессию. Что не так?

Код:

0banderlogiuzfss=lt=1201638915,pst=1201588163; 0banderlogif0=FQASTZ9HBwDiaJ9HEQDcSZ9HAgDCiJ9HEgABSp9HEADShJ9HFABIUJ9HCgDEZ59HFgDQi59HFwB3iJ9HDQCNaJ9HBgBjF59HAwCcaJ9HDwA6YZ9HCACKZ59HEwAvSp9HBQAmZ59HDQD2i59H; 

0banderlogifpo=FgAB; 

0lovefavourucvid=c4VJM0X9nu;

0romeo-richucvid=ynUfb0NrUg; 

0scorpion-denisucvid=R6krc0RxO9; 

0ucozucvid=L78MJ2uQyw; UcoZs=sid=44938667908570824,u=bander-logi,d=0,ll=0,server=s14; 

0banderlogiuzll=1201638178; 

0banderlogiuispm=0-0; UcoZso=; 0banderlogipoc=AwE=; 0banderlogiUcoZ=uz=3eae580c8f2024f9e71f0cbde3b61c70b031c8eac87de2a55ccdb186a96b5123d24232062823bbeb09df884e6466ed0d025cec1a1640a37303db6ad29749cc7181731c8064c4f1e29ae516038ae625e1d53b0d02b0e9ed3e5230c137b490aad56bb4e2b01d3088d7efe84379ceda09e07ade63b23a583135d75853f45d9bfdb41e79eac2ecff125648a98b77c3eb28226efc9d945c36b31b64c7fdbaf1e424452df9a4896d9656bb9b3cbe30796ecb2c37850796541c87dd,ses=6134343235326d774f706e5232f48a

всем уже известно что во всех сайтах ucoz страничка авторизации админа воть http://domen.ucoz.ru/admin/
и я еще одну вешь заметилна ftp сервер укоз там такой же пользователь как и на сайте админ только в начале приписывается нолик прикинем наш админ вот такой -admin то на фтп будет так 0admin это старый прикол так и ломается укоз

Цитата:

Сообщение от FluffY

обнаружил активную xss))

делись :)

Я всё таки подделал сессию)) Итог - спи(*здил сайт.
Помимо этого я угнал мыло админа. Поменял все пасы вопросы и ответы, снял права у админов.
Жестоко поизмывался над сайтом - залил пару голых сисек в галерею и отредактировал фотки админа сайта)) они были на главной (дикий хохот).
Не долго длилось счастье( На сайте ведутся ремонтные работы, но кто их ведёт?
Ах да.. я там ещё над евреем-админом стебанулся, указывая на его симитские корни. Неужели это администрация юуоза юмора не поняла? Реально ли вернуть сайт?

ппц тебе, Моисей тебя покарает

Цитата:

Не долго длилось счастье( На сайте ведутся ремонтные работы, но кто их ведёт?

Наверно бригада сисечников, оценивают размер...
а тебе не легче зарегить себе новый сайт и вешать сисек на главную сколько влезет? =/

ТС ты бы активкой поделился лучше =/

Цитата:

посмотри щас сайт
там просто проходила проверка, и теперь всё должны быть в норме . . . они просто делают новый модуль . . . из-за этого некоторое время будет в отключке=)
да и кстати, поделись своим методом взлома юкоз, а то чё то я немогу . . .=)

Alexandr II откуда знаеш про модуль? Админ юкоза?

У них раньше был баг с админками сайтов в сообществе. Если у сайтов была общая БД пользователей, то из админки одного ("младшего") кидало в одминку другого ("старшего"). ))) Сейчас не знаю, ибо сайтов на укозе у меня нет.