www. chatmoscow.ru
 

Привет пиплз!!! Обычно привык до всего доходить смоими ручками, ))) но в данном случае www.chatmoscow.ru злобный админ тут же меня банит((( Поймите правильно- это не то чтобы помощь о взломе, а просьба указать пути где возможно найти уязвимости!!! Ну а если кто поможет то тому моё глубокое уважение и огромная благодарность!!..
p.S. да кстати админ там Илья, и у него пароль к фтипи доступу в 40 символов- короче параноик, так что подобрать его пасс брутом ооочень тяжко!!!

У них есть Форум (правда - если параноик, проблемно будет хэш перебрать (при условии если ты его выташишь))
...
+ xss:
http://www.chatmoscow.ru/fotos/view.php?o_id=<script>alert(/testing_by_censored!/)</script>&album=
В куках лежит сессия, и чат_хэш и id пользователя.
...
+ тамже раскрытие пути + вылетает ошибка. Если силен в SQL, то возможно и получится sql-including

Все. Готово. Получен вебшел (ни какой он и не параноик =)))) )
Вечером попробую разобраться как там и чего.

2censored! >> Esli razbereshsya, to pros'ba ne davat' dostup k shellu nikamu, normal'niy chat, normal'nie tam lydi i Il'ya toge tam normal'niy! Ya ne zashishayu etot chat, ya ne iz Moskvi sovsem, no Eto sovsem ne pravda! Konechno admin budet banit', esli nachinaesh pihat' v obshee okno popitki vipolnit' kakie libo tegi! Puti ukazal ti! ;) Ya dumayu hvatit!

Ну я ведь не пятилетний. Я доступ никому давать небуду так как я против разрушений и т.п. гадостей.

И, опять же, после "там все гады - взломайте их" никто ничего ломать небудет. У чела может порыв ненависти, а могут пострадать хорошие люди.

итак.. чтоб разобрать всё пишу!

у меня была договорённость с Ильёй- я захожу как админ- он мне официально поднимеат права...
я защёл как админ в его форум, создал топик и вообщем указал ему уязвимость форума...
после етого он исправил уязвимость и понизил меня в правах,
далее у меня был ник A'D?
так как был апостров- то при клике на мой ник- выхадил аллерт- он сначала обещал мне его оставить и не банить- но после взлома он не только не сдержал всех своих слов- но и прислал мне письмо- пита просьба больше не появляться в чате и благодарит за сознательность...
вообщето я считаю что поступил чесно- показал уязвимость и ничего не грохнул...тем более с разрешения админа.. я думаю хотябы элементарное спасибо я заслужил... а в итоге все свои слова он не сдержал и ещё и забанил!!! короче решайте сами... я его всё равно достану... дело не в беспределе а в справедливости!!!

итак ещё на счёт пути...www.chatmoscow.ru/info.php
вот только я не селён в sql-including
я больше фрикер.. но я учусь!!)))

silveran, так то оно может и так, но, опять же - написать можно все что угодно. У нас тут и инвалид даже был и рассказывал слезливые истории про дюймовочку, мужика гада и светлую и вечную любовь. Всякое бывает.

спроси его сам.... передавай привет от A'd примени соц инженерию.. сам поймёш...
у меня не привычек врать и обманывать людей чьи знания я уважаю!!!

как вспомню тот тупизм )))
рук нет ногами пишу, мыло крякнуть хочу, девчёнку найти хочу
блин инвалид...

Я спрашивать конечно же небуду.
Но с информацией тебе помогли. Есть xss, и, что более важно, есть возможность получить веб-шел.
Т.е. дырки есть. Удачи!