Стукнуло мне в голову моча и я админу стукнул о баге. Если появится время - поищу ещё - у меня там раньше что-то ещё наклёвывалось.

Мдя. Админ клялся что всё пофиксил. Проверил заготовку - не работает. Но нарушение синтаксиса осталось. Поменял второй тег, с пом. которого выходим за пределы первого тега и вуаля - опять работает =\.
http://b00z3.jino-net.ru/test1.txt

http://b00z3.jino-net.ru/xakep_ru_lol_dybl2.txt
------------------------------------------------------------
Не знаю как вы, а я уже под столом валяюсь от смеха =)))))). О первых двух багах я админу сообщал, т.к. совесть цуко проснулась не кстати =). Баг наконец-то пофиксили, но я успел выпотрошить ещё одну XSS, опять в бб-теге . Смешно и неудобно называется...

На этот раз немного удачнее - сделал вариант для Opera и для IE (кто помнит срабатывающие параметры для мозиллы - пишите здесь или стучите в пм/аську)/

Конкретно для Opera:
срабатывает при наведении на картинку мышки, поэтому целесообразно ещё добавить параметр style с большими размерами картинки (только обязательно зашифровать всё после "style=" и обрамить по бокам табуляциями).

Как всегда для IE:
Ну тут всё предельно ясно. Употреблять в готовом виде - начинку для "style" тоже шифруем.

Использование:
Всё просто шикарно. Можем украсть куки, а можем вставить фрейм в тело письма. Кстати при document.write тело полностью переписывается, поэтому можно сделать отличный фейк, а можно сначала вставить фрейм, а потом переадресовать на главну. Что в фрейме: форма, которая меняет мыло пользователя (чтобы его изменить, пасса знать не надо). Далее когда мы изменили мыло, то нам на него приходит подтверждение о смене мыла на форуме. Мы естественно всё подтверждаем, а потом бежим в восстановление пароля на форуме. Вбиваем наше изменённое мыло и получаем на него свежесгенерированный пасс... В общем лепотааааа..

З.Ы. Когда ещё не пофиксили второй вариант баги, я успел снять видео о её использовании (исключительно для истории ))). Кинул линк на видео в видео.ачат.ру - надеюсь его выложат в общак =). Если не выложат - буду дуться на слайдера. А если всётки хотите глянуть на процесс юзания баги (со сменой мыла), то качайте отсюда: http://b00z3.jino-net.ru/xakep.ru_xss_usage.rar

З.З.Ы. Античат фарева =)

Ну чуточку подробнее насчёт дефа (извините, не сдержался его не сделать...)
Сначала две ночи подряд выискивал самых активных юзеров кроме пупкина, чтобы получить их куки, но после того как двое из них оказалось что не обладали никакими правами, я всётки решил сунуться к пупкину. Вечером заслал последнюю хсс, закрасив выперающие корешки тегов цветом фона. Утром посмотерл - вот они куки. Потрахал хеш, - без результата.

Ну тогда залогинился под пупкиным с помощью его же кук, обследовал админку. Ничего примечательного в ней не было (кроме того, что меня туда пустило без спроса пароля). Попробывал залить asp-шелл через смайлы, - вышло. Но когда к шеллу обратился, меня послали нафиг. Ну и не надо - подумал я, стёр у него в пм свою мессагу, с пом. которой я его протроянил и уже хотел уходить, но пришла ему мессага, что форум взломали. Ну у меня петросянство в жопе заиграло, - я ответил что-то вроде "а мне пох.... гыгыгыы :: Mafia Of Antichat ::" и побежал редактировать метатеги индекса форума.....

На данный момент xss пофиксена, шелл подтёрт (гы, я сам забыл его убрать), больше ничего не тронуто...

Да и кстати, я ипался там чтобы всю страницу переписать, но не вышло, поэтому там чуток разные дефу у всех на скриншотах. Вот мой последний:



З.Ы. кстати, все уже знают, что из-за дефа я опоздал в универ

З.Ы. кстати все знают, что моня лолег? =)

moved to boltalka

+1
интересно что ответел пользователь на твою месагу на то что тебе =)

Гыгы спустил с LoA сразу до болталки )) Я не это имел в виду )) Пох

хек! зачотно бузя!

молодца

понравилось ))